第7讲细粒度的访问控制.ppt

第7讲细粒度的访问控制 第4章：操作系统基础安全性 第4部分/共5部分 本讲内容 主题：细粒度的访问控制 教材内容： 第4.7节：基于ACL的访问控制 第4.8节：特权分割与访问控制 访问控制表思想回顾 基本访问控制方法回顾 用户粒度的细化 访问控制表 访问控制表的表示 访问控制表的示例 访问控制表的特例 访问权限的上限 由访问控制表的一行表示： mask::RWX 判定时，与目标权限作“逻辑与”运算。 例： user:usr1:rwx mask::r-x rwx ⊕ r-x = r-x usr1拥有的最终权限为：r-x 访问控制表的访问判定算法（1/8） 访问控制表的访问判定算法（2/8） 访问控制表的访问判定算法（3/8） 访问控制表的访问判定算法（4/8） 访问控制表的访问判定算法（5/8） 访问控制表的访问判定算法（6/8） 访问控制表的访问判定算法（7/8） 访问控制表的访问判定算法（8/8） 有权限上限的访问判定算法 访问控制中的特权 在某种程度上，拥有特权可免受常规访问控制的约束。 特权是双刃剑：系统服务之所需，安全威胁之所在。 特权分离原则：财务权--出纳权+会计权 最小特权原则：杀鸡不要配牛刀 特权分离是实现最小特权原则的基础。 特权的定义方法（1/3） CAP_DAC_READ_SEARCH： 读文件或目录时，不受自主访问控制的“读”权限的限制。 CAP_DAC_OVERRIDE： 访问系统资源时，完全不受自主访问控制权限的限制。 特权的定义方法（2/3） CAP_FOWNER： 对文件进行操作时，不受“必须是文件的属主”的限制。 CAP_SYS_BOOT： 拥有该特权才能重启操作系统。 CAP_SYS_MODULE： 拥有该特权才能装载或删除操作系统的动态内核模块。 特权的定义方法（3/3） CAP_SYS_ADMIN： 拥有该特权才能进行安装文件系统、卸载文件系统、设置磁盘配额、设置主机名和域名、配置设备端口等方面的操作。 CAP_NET_ADMIN： 拥有该特权才能进行网络接口配置、路由表修改、防火墙管理、代理服务的地址绑定等操作。 程序特权与进程特权 根据程序所要执行的任务，配置该程序的特权集属性。 借助程序的特权集属性，确定进程的特权集属性。 特权集的定义 有效的特权集E： 访问判定的依据 许可的特权集P： 允许分配给进程的特权集合 可继承的特权集I： 可被新进程继承的特权集合 进程特权集属性的确定 系统第一个进程： 由操作系统在初始化时设定 新生子进程： 与父进程相同 更新程序映像后的进程： 结合程序映像文件确定 更新程序映像时的进程特权集 进程Proc1执行可执行文件F后，演变成进程Proc2。 进程Proc2的特权集根据文件F和进程Proc1的特权集确定。 现实系统对特权的支持 IEEE POSIX.1e标准草案定义的权能（Capability）机制：特权机制。 Linux系统实现对“权能”特权机制的支持。 *? 2009 电子工业出版社 系统与信息安全研究实验室 RENMIN UNIVERSITY OF CHINA 石文昌 （博士/教授/博导） /wshi 从客体到用户的一对多关系：一个客体?多个用户。 属组 其余 属主 文件 属组 其余 属主 属组 属主 指定组 其余 指定用户 用户1 用户2 用户m 组1 组2 组n 文件 属组 其余 属主 属主 用户1 用户2 用户m 属组 组1 组2 组n 其余 文件 属主 用户1 用户2 用户m 属组 组1 组2 组n 其余 文件 user::RWX user:uname1:RWX user:uname2:RWX user:unamem:RWX group::RWX group:gname1:RWX group:gname2:RWX group:gnamen:RWX other::RWX R：r 或 - W：w 或 - X：x 或 - 文件 user::rwx user:uname1:r-x user:uname2:-w- user:unamem:--x group::r-x group:gname1:r-- group:gname2:-wx group:gnamen:rw- other::--x 文件 user::RWX group::RWX other::RWX 属组 其余 属主 属组 属主 指定组 其余 指定用户 “属主/属组/其余”机制是“访问控制表”机制的特例。 访问控制表中没有属主和属组的标识，可在文件属性中找到。 EUID EGID 进程P 属主 属组 其余 文件F user::RWX user:usr-x:RWX group::RWX group:grp-y:RWX other::RWX