14.2.2. Керування доступом у середовищі Trusted Solaris
Середовище Trusted Solaris шляхом забезпечення дискреційного і мандатного керування доступом (див. розділ 4) контролює, які користувачі можуть отримувати доступ і до якої інформації.
Дискреційне керування доступом
Дискреційне керування доступом (Discretionary Access Control, DAC) — це програмний механізм керування доступом користувачів до файлів і каталогів, який дає змогу власникам файлів і каталогів обмежувати доступ до цих даних. У системі Trusted Solaris застосовано дві форми механізму DAC: традиційні для систем UNIX біти дозволу (див. розділ 12) і списки керування доступом (Access Control Lists, ACL). Нагадаємо, що біти дозволу дають змогу встановити права доступу на читання, записування та виконання для власника, групи і решти користувачів. У традиційних системах UNIX суперкористувач (root) може подолати захист дискреційного керування доступом. У середовищі Trusted Solaris доступ до настроювання DAC мають адміністратор і спеціально авторизований користувач.
Списки керування доступом роблять цей процес більш гнучким, даючи змогу власникам інформації надавати певні повноваження окремим користувачам і групам. Розглянемо такий варіант політики безпеки: в організації є кілька відділів, співробітники кожного з яких утворюють відповідну групу. Дуже легко встановити правила, за якими буде надано доступ до окремих каталогів і файлів лише співробітникам певного відділу. Для цього файл потрібно віднести до відповідної групи і надати їй доступ до файлу (решті користувачів доступ до файлу буде заборонено). Відтак співробітники інших відділів не матимуть доступу до цього файлу. Встановити додаткові дозволи окремим користувачам буде складно. Можна зробити окремого довіреного користувача членом одразу кількох груп, що дасть йому змогу отримати доступ до всіх файлів, доступ до яких є відкритим для цих груп. Але в такий спосіб не можна відкрити доступ окремим користувачам до певних файлів. Розв'язати ці завдання можна за допомогою списків керування доступом.
У середовищі Trusted Solaris, як і у звичайному середовищі Solaris, перегляд та модифікацію списків керування доступом здійснюють за допомогою команд getfacl і setfacl. Далі розглянемо приклад: файл clients.db має такі встановлені атрибути:
% ls -l clients.db
-rw-rw l ivanych managers 65536 Jul 10 2006 clients.db
де % — стандартне запрошення системи.
Очевидно, що власником файлу є користувач ivanych із групи managers. Лише власник файлу і члени групи мають доступ до нього із правами читання та записування. Таку саму інформацію, але у більш розгорнутому вигляді, буде отримано у разі використання команди getfacl:
% getfacl clients.db # file: clients.db
owner: ivanych
group: managers user::rw-
group::rw- # effective:r--
mask:r--
other:---
%
А тепер надамо право доступу до файлу користувачу petrovych, який не є членом групи managers:
% setfacl -m user:petrovych:rw-clients.db
Після цього команда getfacl відобразить таку інформацію:
% getfacl clients.db
file: clients.db
owner: ivanych
group: managers user::rw-
user:petrovych:rw- # effective:rw- qroup::rw- # effective:r--
mask:r--
other:
З'явився додатковий рядок, що описує права доступу користувача: user:
petrovych. Елементи списку керування доступом можуть надавати права окремим користувачам або групам. Зауважте, що звичайна команда ls -l лише інформує користувача про наявність списку керування доступом, але не показує його вміст:
% Is -1 clients.db
-rw-rw + l ivanych managers 65536 Jul 10 2006 clients.db
%
Тут після стандартного переліку прав доступу з'явився знак «+», який і свідчить про наявність списку керування доступом.
Слід зазначити, що керування списками — складне завдання, відтак їх слід застосовувати обережно — лише за потреби.
Мандатне керування доступом
Мандатне керування доступом (Mandatory Access Control, МАС) — це механізм примусового керування доступом, в якому для забезпечення політики безпеки застосовують допуски (Clearances) та мітки (Labels). МАС асоціює програми, які користувач запускає на виконання, із рівнем безпеки (описаним за допомогою допусків і міток), на якому цей користувач працює в поточному сеансі та який надає доступ до інформації, програм і пристроїв лише на тому самому чи нижчому рівні. МАС також забороняє користувачам здійснювати записування у файли нижчих рівнів. МАС застосовують відповідно до політики безпеки інформації, прийнятої у конкретній ІКС. Цей механізм захисту інформації користувач без спеціальних авторизації та привілеїв подолати не зможе.
Допуски
Адміністратор
безпеки приписує допуски усім користувачам
ІКС (допуски є складовою політики
безпеки системи). Допуск користувача
показує ступінь безпеки, з яким цей
користувач працюватиме. Допуск має два
компоненти.
♦
Класифікація
(Classification)
показує ієрархічний рівень безпеки.
Людей класифікують за мірою довіри до
них, а дані — за ступенем захисту, якого
вони потребують. Наприклад, в урядових
організаціях США використовують таку
класифікацію: UNCLASSIFIED
(некласифікована), CONFIDENTIAL
(конфіденційна), SECRET
(таємна), TOP
SECRET
(цілком таємна). У неурядових організаціях
і підприємствах класифікацію таким
чином не стандартизовано, гіпотетично,
вона може бути такою: PUBLIC
(загальнодоступна), INTERNAL
(внутрішня), NEED
ТО KNOW
(важлива) та REGISTERED
(зареєстрована).
♦
Категорія
(Compartment)
представляє
групування, наприклад, робочу групу,
відділ, проект або тематику. Доступ до
категорій надається за принципом
необхідності.
Деякі
типові допуски показано на рис. 14.1
[112].
Мітки
Середовище
Trusted
Solaris
використовує рядки символів, які
називають мітками, що містять класифікацію
та категорії аналогічно допускам. Мітки
застосовують для визначення, до якої
інформації користувач має доступ. Такі
мітки ще називають
мітками чутливості
(Sensitivity
Labels,
SL).
Вони можуть бути відображені на екрані
в рядках заголовків вікон програм, на
панелі завдань (Trusted
Solaris
8 має для цього спеціальну область у
нижній частині екрана) чи взагалі не
відображені, залежно від того, як
настроєно систему. На рис. 14.2 показано,
як виглядатиме екран у системі, де
мітки відображено. Символ довіри
знаходиться у верхньому лівому куті
екрана та в рядках заголовків вікон,
пов'язаних з компонентами КЗЗ. Мітки
відображаються в рядках заголовків
вікон документів. Переносити
інформацію між файлами з різними мітками
може лише адміністратор.
Рис.
14.1.
Приклади типових допусків
Усі
суб'єкти та об'єкти в системі мають
мітки. Під суб'єктами тут мається на
увазі активна сутність, як правило,
процес (програма, що виконується), який
спричиняє інформаційний потік між
об'єктами або змінює стан системи.
Об'єкт — пасивна сутність, що містить
або отримує дані (наприклад, файл даних,
каталог, принтер чи інший пристрій).
Інколи процес може бути об'єктом, як у
випадку, коли до нього застосовують
команду kill.
Роль,
яку мітки відіграють у транзакціях
Середовище
Trusted
Solaris
виступає
посередником в усіх транзакціях, а це
може
впливати
на безпеку. Програма порівнює мітку
суб'єкта з міткою об'єкта і дозволяє
чи забороняє транзакцію залежно від
того, яка з міток домінує. Мітка сутності
домінує, якщо буде виконано дві умови:
компонент
класифікації першої сутності задає
рівень безпеки, що дорівнює або перевищує
рівень другої;
усі
категорії з мітки другої сутності
долучено до мітки першої.
Кажуть,
що мітки дорівнюють одна одній, коли
вони мають однакові рівні безпеки
і тотожні набори категорій. Якщо вони
дорівнюють одна одній, то обидві є
домінуючими, і доступ дозволено. Якщо
одна мітка має вищий рівень та містить
усі категорії іншої мітки, то говорять,
що така мітка є суворо домінуючою
(Strictly
Dominates).
Кажуть, що дві мітки не пов'язані
(Disjoint),
або непорівнювані (Non
comparable),
якщо жодна з них не є домінуючою. У табл.
4.1 наведено приклади відносин між
мітками [112].
Рис.
14.2. Приклад робочого простору Solaris
10 із пакетом Trusted
Extensions
У
транзакції читання мітка суб'єкта
має домінувати над міткою об'єкта. Це
правило гарантує, що рівень довіри
до суб'єкта задовольняє вимоги доступу
до об'єкта і що мітка суб'єкта
містить усі категорії, яким доступ
до об'єкта дозволено.
У
транзакції записування, тобто коли
суб'єкт створює або модифікує об'єкт,
мітка об'єкта має домінувати над
міткою суб'єкта. Це правило не дає
можливості суб'єкту знизити рівень
мітки об'єкта.
Користувачі
іноді використовують акронім WURD
(Write
Up,
Read
Down
—
записувати
вгору, читати знизу), щоб запам'ятати
дозволені напрями в мандатному
керуванні доступом. Проте на практиці
суб'єкти і об'єкти в транзакціях
читання та записування, як правило,
мають однакові мітки, тому немає
потреби розглядати суворе
домінування.
Як
бачимо, середовище Trusted
Solaris
у
мандатному керуванні доступом
реалізує модель Белла — ЛаПадула
[52].
Коли
користувач виконує операцію перенесення
даних з одного файлу до іншого,
зокрема операції перетягування (Drag
and
Drop)
і копіювання та вставляння (Copy
and
Paste),
середовище Trusted
Solaris
перевіряє відносини між мітками.
Якщо здійснено спробу перенесення
даних між файлами, що мають різні
мітки, Trusted
Solaris
запитує підтвердження дії (відображаючи
відповідне діалогове вікно), якщо
користувач має право змінювати мітку.
Коли ж користувач такого права не
має, транзакцію буде заблоковано.
Користувач, який має спеціальну
авторизацію, що надає йому право
змінювати мітки, може або підвищити
рівень безпеки файлу призначення,
або знизити рівень безпеки інформації,
для того щоб зберегти для файлу
призначення ту мітку, яку він має, або
взагалі відмовитися від транзакції.
Відповідальність
користувачів за захист даних
Усі
користувачі, обмежуючи доступ до
власних файлів і каталогів, захищають
їх у такий спосіб. Дії користувачів
є складовою дискреційного керування
доступом. Права доступу до файлів і
каталогів можна перевіряти та
встановлювати не лише за допомогою
згаданих вище засобів, але й у вікні
програми File
Manager.
В
операційну систему впроваджено
автоматичне мандатне керування
доступом. Користувач, який має
повноваження підвищувати або знижувати
рівень безпеки інформації,
встановлений мітками, несе
відповідальність за свої дії. Він
може змінювати рівень безпеки лише
на законних підставах. |
||
Мітка 1 |
Відносини між мітками |
Мітка 2 |
Top Secret А В |
(Суворо) домінує |
Secret А |
Top Secret А В |
(Суворо) домінує |
Secret А В |
Top Secret А В |
(Суворо) домінує |
Top Secret А |
Top Secret А В |
Домінує (дорівнює) |
Top Secret А В |
Top Secret А В |
Не пов'язані |
Top Secret С |
Top Secret А В |
Не пов'язані |
Secret С |
Top Secret А В |
Не пов'язані |
Secret ABC |