小智 6
强制访问控制:访问控制系统只允许已经获得许可级别的用户访问他们想要访问的资源。但是他们如何授予访问权限?这就是 Levels 发挥作用的地方。在进一步的讨论中,用户将被称为主题,资源将被称为对象。该域中的每个对象和主题都被赋予一个“安全级别”。
举个例子: - 假设有三个安全级别。A , B , C 。A 的安全级别是最高的。B 的安全级别低于 A 。C 的安全前夜低于 B 。A>B>C。现在,级别 A 的主体将只能访问安全级别低于 A 的对象。现在,级别为 B 的主体将只能访问安全级别低于 B 的对象。现在具有级别 C 的主体将只能访问安全级别低于 C 的对象 假设 Natasha 具有安全级别 B 。现在假设 /var 下的文件具有 A 级,而 /etc/ 下的文件具有 C 级。根据我提到的规则,Natasha 将只能访问 /etc 下级别低于她的级别的文件。
自主访问控制非常简单。创建文件时,您就是该文件的所有者。并且在自由访问控制中,文件的所有者拥有自己的“自由裁量权”来选择可以授予和不授予访问权限的用户。
*** 附注。超级用户可以更改文件的所有权。所以只有当超级用户没有将所有权更改为其他人时,您才是文件的所有者***并回答你的第二个问题。 MAC是更安全的大公司,因为该公司的整体安全性就在于车主手中的文件,如果他们实现DAC。如果所有者决定向不应授予访问权限的人授予访问权限,该怎么办?因此,在MAC的情况下,决定权在架构师手中,他们确保文件落到正确的人手中。
基本上,这取决于用户能够自行决定覆盖访问控制。在基于 MAC 的系统中,用户无法覆盖该策略以允许权限较低的用户访问资源。MAC 是强制性的。
在某些情况下,可能有必要采取这种行为。通常,我听说过在军事和高度安全的政府设施中使用的高度安全操作系统中使用的 MAC。直到最近,还没有“企业级”或“消费级”操作系统真正支持 MAC。Windows Vista(具有“完整性级别”功能)和 SELinux 都是 MAC 的形式。
| 归档时间: |
|
| 查看次数: |
6499 次 |
| 最近记录: |