next up previous
Next: Role Compatibility (RC) - Up: Модели RSBAC Previous: Malware Scan (MS)


File Flags (FF)

Эта модель определяет некоторые флаги доступа для файлов, fifo (нов. в 1.1.1) и каталогов. На сегодня поддерживаются следующие флаги:



execute_only FILE  
search_only DIR  
read_only FILE, FIFO, DIR  
write_only FILE, FIFO  
secure_delete FILE При удалении и усечении файл очищается (только ext2, msdos/vfat, minix)
no_execute FILE  
no_delete_or_rename FILE, FIFO, DIR новинка в 1.1.1, не унаследовано
add_inherited FILE, FIFO, DIR не унаследовано



Эти флаги проверяются каждый раз при доступе к объектам заданного типа. Изменять флаги может только пользователь в system_role 'security officer'.

Флаг add_inherited является специальным: если он указан, то к собственным флагам объекта будут добавлены флаги родительского каталога. Наследственность включена по умолчанию. Внимание: флаги no_delete_or_rename и add_inherited не могут быть унаследованы, они всегда должны быть установлены явно.

Пожалуйста, имейте ввиду, что атрибуты независимы друг от друга и разграничены: Все атрибуты, которые установлены или применены, например execute_only и no_execute вместе (или read_only и write_only) не приведут к появлению какого-либо доступа.

Флаги, выбранные для одних объектов, будут игнорированы другими. Это может быть использовано для установки search_only и execute_only на каталог, тогда вы сможете осуществлять ПОИСК (не ЧТЕНИЕ!) в этом каталоге и выполнять файлы, но ничего более.

Пример 1: Установите write_only на каталог журнала. Все файлы журнала, созданные в этом каталоге, унаследуют флаг write_only, таким образом журнал не будет прочитан до тех пор, пока этот флаг не убран.

Пример 2: Установите no_execute на /home. Все исполняемые файлы ниже этого каталога наследуют этот флаг, таким образом никто не сможет выполнять файлы в своих домашних каталогах, ока этот флаг не будет убран.

Пример 3: Установите no_delete_or_rename на /home. Домашние каталоги пользователей ниже этого каталога могут быть добавлены, удалены и индивидуально защищены, но родительский каталог /home не может быть перемещен или замещен для подделки других домашних каталогов для большинства пользователей.


next up previous
Next: Role Compatibility (RC) - Up: Модели RSBAC Previous: Malware Scan (MS)