Cele ochrony.
•
Domeny ochrony.
•
Macierz dostpów.
•
Implementacja macierzy dostpów.
•
Cofanie praw dostpu.
•
Kontrola dostpu oparta o role.
•
Systemy dziaajce na zasadzie uprawnie.
•
Ochrona na poziomie jzyka
programowania.
Wiesaw Paczek
Systemy Operacyjne: Wykad 11
1
Ochrona
(protection)
– mechanizm sucy do kontrolowania dostpu
programów, procesów lub uytkowników do zasobów zdefiniowanych przez
system komputerowy;
musi zawiera rodki pozwalajce specyfikowa rodzaje
wymaganej ochrony oraz zasób rodków ich wymuszania
.
•
Zapewnienie, aby kady wykonywany w systemie proces uywa zasobów tylko
w sposób zgodny z polityk przewidzian dla uytkownika danych zasobów
–
nieodzowne ze wzgldu na niezawodno systemu!
•
Zapobieganie zoliwym, zamierzonym naruszeniom ogranicze dostpu przez
uytkowników.
Rol ochrony jest dostarczenie
mechanizmu
do wymuszania
polityki
(policy)
rzdzcej sposobem uycia zasobu.
System ochrony powinien by tak elastyczny, aby mona byo za jego pomoc
wymusza przestrzeganie kadej zasady, któr da si w nim zadeklarowa
–
mechanizm powinien by oddzielony od polityki.
Zasada minimum przywilejów
(principle of least privilege)
– programy,
uytkownicy, a nawet systemy powinny posiada tylko tyle przywilejów, ile
faktycznie potrzebuj do wykonania swoich zada.
Stosowanie tej metody prowadzi do
minimalizcji szkód
w przypadku naruszenia
ochrony.
W celu zapewnienia takiej funkcjonalnoci niektóre systemy implementuj
kontrol
dostpu opart o role
(role-based access control; RBAC).
Wiesaw Paczek
Systemy Operacyjne: Wykad 11
2
System komputerowy jest zbiorem
obiektów
:
obiekty sprztowe
(procesor, segmenty pamici, drukarki, dyski, przewijaki tamy
itd.)
oraz
obiekty oprogramowania
(pliki, programy, semafory).
Kady obiekt ma jednoznaczn nazw, a dostp do niego odbywa
si tylko za pomoc dobrze zdefiniowanego zbioru operacji,
np.
procesor moe tylko wykonywa rozkazy, segmenty pamici mog
by odczytywane i zapisywane itd.
Proces powinien mie dostp tylko do tych zasobów, do których
zosta uprawniony,
co wicej, w kadej chwili powinien mie
mono kontaktu tylko z tymi zasobami, których aktualnie
potrzebuje do zakoczenia zadania
–
zasada wiedzy koniecznej
.
•
Struktura domenowa
Domena ochrony
(protection domain)
definiuje
zbiór obiektów
i
rodzaje
operacji
, które mona wykonywa dla kadego obiektu, tzn. jest zbiorem
praw dostpu do obiektów.
Prawo dostpu
(access right) –
moliwo wykonania operacji na obiekcie
ma posta uporzdkowanej pary
<nazwa-obiektu, zbiór-praw>
.
Domeny nie musz by rozczne – mog dzieli prawa dostpu.
Wiesaw Paczek
Systemy Operacyjne: Wykad 11
3
Przykad:
Trzy domeny:
D_1, D_2, D_3.
D_1
D_2
D_3
<O_3,{czytaj, pisz}>
<O_1,{wykonaj}>
<O_3,{czytaj}>
<O_1,{czytaj, pisz}>
<O_2,{wykonaj}>
<O_2,{pisz}>
<O_4,{drukuj}>
•
Zwizek midzy procesem a domen moe by:
Statyczny
– zbiór zasobów dostpnych dla procesu jest
ustalony
podczas
jego dziaania
problem z zasad wiedzy koniecznej!
Dynamiczny
– moliwo
zmian
zawartoci domeny lub
przeczania
midzy domenami w trakcie wykonywania procesu.
•
Sposoby realizacji domeny:
Domen moe by kady
uytkownik
– przeczanie domen wraz ze
zmian uytkownika
(zbiór obiektów zaley od identyfikacji uytkownika).
Domen moe by kady
proces
– przeczanie domen poprzez przesyanie
komunikatów midzy procesami
(zbiór obiektów zaley od ID procesu).
Domen moe by kada
procedura
– przeczanie domen wraz z
wywoaniem procedury
(zbiór obiektów – zmienne lokalne procedury).
Wiesaw Paczek
Systemy Operacyjne: Wykad 11
4
System operacyjny dziaajcy w dwóch trybach (
monitora
i
uytkownika
) skada si z dwóch domen:
Monitora (nadzorcy)
– proces moe wykonywa rozkazy
uprzywilejowane.
Uytkownika
– proces moe wykonywa tylko rozkazy
nieuprzywilejowane.
UNIX:
Domena jest zwizana z uytkownikiem.
Przeczaniu domen odpowiada czasowa zmiana identyfikacji
uytkownika –
dokonuje si to poprzez system plików
:
Z kadym plikiem zwizany jest
identyfikator waciciela
i
bit domeny
,
tzw.
bit ustanowienia identyfikatora uytkownika
(setuid bit)
.
Kiedy uytkownik wykonuje plik bdcy wasnoci
innego
uytkownika, dla którego
bit domeny
jest ustawiony na
1
, to
efektywnym identyfikatorem uytkownika
(
EUID
) procesu staje si
identyfikator waciciela pliku
i proces zyskuje prawa dostpu
ustanowione dla waciciela pliku; po zakoczeniu dziaania procesu ta
chwilowa zamiana przestaje obowizywa
(np. program
passwd
,
programy do wspópracy z sieci itp.)
Niebezpieczestwo naduycia!
Systemy Operacyjne: Wykad 11
5
Wiesaw Paczek