20. Списки контроля доступа. Общий принцип работы.

При создании любого объекта, включая файлы, потоки, события и даже марке­ры доступа, ему присваивается дескриптор защиты. Основной частью деск­риптора защиты является список прав доступа к объекту, называемый списком контроля доступа (ACL). Владелец объекта, которым обычно является его со­здатель, обладает правом селективного контроля доступа к объекту и может изме­нять ACL объекта, чтобы разрешить или запретить другим его использование. На рис. 3-11 упрощенно изображен файловый объект и его ACL

Каждый вход ACL называется элементом контроля доступа (access control entry, АСЕ). АСЕ содержит идентификатор защиты и набор прав доступа. Пользо­вателю с соответствующим идентификатором защиты перечисленные права доступа могут быть разрешены, запрещены или разрешены с аудитом. Сумма прав доступа, предоставленных отдельными АСЕ, формирует набор прав досту­па, предоставляемых ACL.

Предположим, что Вы хотите, например, просмотреть файл. Если ACL фай­лового объекта содержит АСЕ с Вашим идентификатором защиты или с иденти­фикатором защиты одной из Ваших групп, и этот АСЕ содержит право доступа "чтение данных", то просмотр файла Вам разрешен. В дополнение к этому, если операция, которую Вы пытаетесь выполнить, является привилегированной, та­кой как создание маркера доступа, то Вы должны иметь привилегию создавать маркер доступа. В противном случае доступ будет отменен.

Как показано на рис. 3-11, АСЕ может также содержать идентификатор защи­ты группы. DAVEC имеет доступ к файловому объекту по чтению, члены группы ТЕАМ1 — по чтению и записи, а все другие пользователи — права на исполнение.

Рис. 3-11. Список контроля доступа (ACL).

Чтобы определить, какой ACL должен быть назначен новому объекту, система защиты применяет три взаимоисключающих правила, в приведенном ниже порядке:

• Если ACL явно задан при создании объекта, то система защиты присва­ивает объекту данный ACL

• Если ACL не задан и у объекта есть имя, то система защиты ищет ACL каталога объектов, в котором будет сохранено имя нового объекта. Не­которые АСЕ каталога объектов могут быть обозначены как "наследуе­мые" — это означает, что они должны быть присвоены новым объектам, созданным в данном каталоге. Если такие наследуемые АСЕ присутству­ют, то система защиты составляет из них ACL, который она назначает новому объекту.

• Если ни один из первых двух случаев не имеет места, то система защиты присваивает новому объекту ACL по умолчанию из маркера доступа вызывающего процесса.

Кроме ACL, дескриптор защиты объектов содержит поле, управляющее аудитом объекта. Аудит (auditing) означает способность системы защиты "шпи­онить" за выбранными объектами и их пользователями и генерировать сообще­ния или оповещения, если кто-либо попытается выполнить над объектом опе­рацию, использование которой ограничено. Например, система защиты может выполнять аудит попыток чтения или изменения системного файла. Если кто-то пытается модифицировать данный файл, то система защиты помещает сооб­щение в журнал аудита вместе с идентификатором защиты пользователя. Сис­темный администратор может генерировать отчеты, составленные по инфор­мации из этого журнала. Для систем с очень высоким уровнем защиты система защиты может даже генерировать звуковые или визуальные сигналы тревоги на машине администратора, когда происходит некоторое действие. Аудит умень­шает риск незаконного проникновения в компьютер.