RSBAC - RSBAC
Kontrola dostępu oparta na zestawie reguł ( RSBAC ) to struktura kontroli dostępu typu open source dla obecnych jąder Linuksa , która jest używana w stabilnym środowisku produkcyjnym od stycznia 2000 r. (wersja 1.0.9a).
Cechy
- Darmowe rozszerzenie bezpieczeństwa jądra Linux GNU General Public License ( GPL )
- Niezależność od rządów i dużych firm
- Kilka znanych i nowych modeli zabezpieczeń, np. obowiązkowa kontrola dostępu ( MAC ), lista kontroli dostępu ( ACL ) i zgodność ról (RC)
- Skanowanie antywirusowe przy dostępie z interfejsem Dazuko
- Szczegółowa kontrola dostępu do sieci poszczególnych użytkowników i programów
- W pełni kontrolowane zarządzanie użytkownikami na poziomie jądra
- Możliwa dowolna kombinacja modeli zabezpieczeń
- Łatwo rozszerzalny: napisz własny model do rejestracji w czasie wykonywania
- Wsparcie dla najnowszych jąder
- Stabilny do użytku produkcyjnego
- Łatwo przenośna do innych systemów operacyjnych
Architektura systemu RSBAC została wyprowadzona i rozszerzona na podstawie Generalized Framework for Access Control ( GFAC ) przez Marshalla Abramsa i Leonarda La Padulę.
RSBAC oznacza „kontrolę dostępu opartą na zestawie reguł” i jest również rozwiązaniem kontroli dostępu opartej na rolach ( RBAC ). Te dwa akronimy mogą powodować zamieszanie.
W swoim eseju „Rule Set Modeling of a Trusted Computer System” Leonard LaPadula opisuje, w jaki sposób podejście Generalized Framework for Access Control (GFAC) mogłoby zostać zaimplementowane w systemie operacyjnym UNIX System V. Wprowadził wyraźny rozdział pomiędzy Access Enforcement Facility (AEF), Access Decision Facility (ADF) z Access Control Rules (ACR) i Access Control Information (ACI).
AEF jako część funkcji wywołania systemowego wywołuje ADF, który używa ACI i reguł do zwrócenia decyzji i zestawu nowych wartości atrybutów ACI. Decyzja jest następnie egzekwowana przez AEF, który również ustala nowe wartości atrybutów i, w przypadku dostępu dozwolonego, zapewnia podmiotowi dostęp do obiektu.
Ta struktura wymaga rozszerzenia wszystkich wywołań systemowych związanych z bezpieczeństwem o przechwytywanie AEF i wymaga dobrze zdefiniowanego interfejsu między AEF i ADF. Dla lepszego modelowania wykorzystano zestaw typów żądań, w których miały być wyrażone wszystkie funkcjonalności wywołań systemowych. Ogólna struktura GFAC została również uwzględniona w normie ISO 10181-3 Ramy bezpieczeństwa dla systemów otwartych: Rama kontroli dostępu oraz w standardzie API autoryzacji (AZN) The Open Group .
Pierwszy prototyp RSBAC podążał za sugestiami La Paduli i wdrożył kilka zasad kontroli dostępu, które zostały tam krótko opisane, a mianowicie obowiązkową kontrolę dostępu ( MAC ), kontrolę funkcjonalną (FC) i modyfikację informacji o zabezpieczeniach (SIM), a także model prywatności autorstwa Simone Fischer-Hübner .
Wiele aspektów systemu zmieniło się od tego czasu, np. obecny framework obsługuje więcej typów obiektów, obejmuje ogólne zarządzanie listami i kontrolę dostępu do sieci, zawiera kilka dodatkowych modeli bezpieczeństwa oraz obsługuje rejestrację w czasie wykonywania modułów decyzyjnych i wywołań systemowych służących do ich administrowania.
RSBAC i inne rozwiązania
RSBAC jest bardzo zbliżony do systemu Security-Enhanced Linux ( SELinux ), ponieważ mają one znacznie więcej wspólnego w swoim projekcie niż inne kontrole dostępu, takie jak AppArmor .
Jednak RSBAC zapewnia własny kod przechwytujący, zamiast polegać na module bezpieczeństwa systemu Linux ( LSM ). Z tego powodu RSBAC jest technicznie zamiennikiem samego LSM i implementuje moduły podobne do SELinux, ale z dodatkową funkcjonalnością.
Struktura RSBAC obejmuje pełny status obiektu i ma pełną wiedzę o stanie jądra podczas podejmowania decyzji, dzięki czemu jest bardziej elastyczny i niezawodny. Jednak odbywa się to kosztem nieco wyższych kosztów w samym frameworku. Chociaż systemy obsługujące SELinux i RSBAC mają podobny wpływ na wydajność, sam wpływ LSM jest znikomy w porównaniu z samym szkieletem RSBAC.
Z tego powodu LSM został wybrany jako domyślny i unikalny mechanizm podpinania zabezpieczeń w jądrze Linuksa, RSBAC jest dostępny tylko jako oddzielna łatka.
Historia
RSBAC był pierwszą poprawką do kontroli dostępu opartą na rolach ( RBAC ) i obowiązkową kontrolą dostępu ( MAC ) w Linuksie .
Zobacz też
- Lista kontroli dostępu
- Kontrola dostępu oparta na atrybutach (ABAC)
- Kontekstowa kontrola dostępu (CBAC)
- Uznaniowa kontrola dostępu (DAC)
- Kontrola dostępu oparta na wykresach (GBAC)
- Kontrola dostępu oparta na sieci (LBAC)
- Obowiązkowa kontrola dostępu (MAC)
- Kontrola dostępu oparta na organizacji (OrBAC)
- Kontrola dostępu oparta na rolach (RBAC)
- Bezpieczeństwo oparte na możliwościach
- Uwierzytelnianie oparte na lokalizacji
- Uwierzytelnianie oparte na ryzyku
- Bezpieczeństwo komputera
- Patena
- Linux ze zwiększonymi zabezpieczeniami