"suvakasutaja" - 1 õppematerjal

Andmeturve konspekt / kokkuvõte

· Iga subjektiga võib siduda voliloendi (capability list). Voliloend sisaldab objekti ja lubatava pöörduse paare. mati: (printer: K, CD: L) Millal parem: palju erinevate õigustega kasutajaid, objekte on pigem vähe Millal halvem: palju faile ja vähem kasutajaid · capability tõlgitakse volituseks · Näited reaalsetest volitustest Linuxis: ­ CAP_DAC_OVERRIDE - sellele protsessile ei mõju failiõigused, saab igale poole ligi, nt backup ­ CAP_KILL - ainult administraator võib suvakasutaja protsesse tappa ­ CAP_SYS_RAWIO - pöördumine otse kettaseadmete või IO-portide poole, otse riistvaraga suhtlemine ­ CAP_NET_BIND_SERVICE - madalamad pordid (0-1023) kasutajatele blokeeritud, nemad ei saa kuulata ega kasutada; selle volitusega aga saab DAC realiseerimine · Pääsupoliitika võib esitada maatriksina (nn. maatriksmudel): Oi -- objektid, Si -- subjektid L -- lugemine, K -- kirjutamine Haldamine keeruline, kuna on üks suur tabel - arvutis on sadu tuhandeid faile