next up previous
Next: RSBAC MAC-Light Up: Mandatory Access Control (MAC) Previous: Состояния Запроса для доступа

Реализация RSBAC MAC

Модель Unix System V/MLS была изменена для соответствия схеме запроса доступа RSBAC, которой известно более 30 типов доступа. Также оригинальным способом реализована система дополнения так, что вы всегда можете осуществлять запись на все более высокие уровни. С версии 1.1.1 и выше запись разрешена только на тот же самый уровень.

Так как администрирование завязано на роль офицера безопасности, то были добавлены основные функции роли. Это ограничивает внесение любых изменения в классификации субъектов и объектов и назначениях роли (установки MAC-атрибутов) офицерами безопасности.

Атрибуты security_level, используемые в RSBAC, это то, что обычно называется классификацией безопасности. В RSBAC 1.0.8 были добавлены категории, по причинам эффективности ограниченные множеством 64. С версии 1.0.9b количество security_level было увеличено до 253 (0-252, 8 Бит минус 3 специальных значения).

Текущий уровень безопасности (классификация) и текущий набор категорий процесса при необходимости устанавливаются автоматически, если включен флаг mac_auto, что является значением по умолчанию. Однако, как только активность процесса достигнет текущего уровня или набора категорий, mac_auto отключается.

Установка *-property выполнена с верхней и нижней границами, называемыми min_write и max_read. Эти значения переустанавливаются только для выполнения новой программы, а не во время ответвления/дублирования или закрытия файлов, так как только новое выполнение освобождает область памяти процесса.

Пожалуйста, имейте в виде, что с версии 1.1.0 все допуски записи, например: создание файла в DIR (CREATE на объекте DIR), производятся с учетом ограничения min_write. Это может привести к очень ограниченному допуску. Поэтому с версии 1.1.1 доступы на единичные записи CREATE и DELETE не устанавливаются в соответствии с границами min_write, если все еще выполняются MOUNT, APPEND_OPEN, READ_WRITE_OPEN, WRITE_OPEN и TRACE.

Обращение к устройствам происходит с подобными файловым уровнями безопасности и категориями, с использованием всех свойств. Однако эти проверки могут быть выключены (атрибут mac_check), потому что иначе система может стать непригодной.

MAC атрибуты файла/каталога security_level и mac_categories могут быть унаследованы от родительского каталога. Для безопасности выравнивают значение, чтобы указать, что наследование от родителя - 5 (4 используется внутренне), для категорий, это является пустым набором (все биты 0). С версии 1.0.9b специальные значения security_level были подняты до 249, в настоящий момент 254 и 253.



Subsections
next up previous
Next: RSBAC MAC-Light Up: Mandatory Access Control (MAC) Previous: Состояния Запроса для доступа