- 访问控制模型
- 自主访问控制模型(DAC)
自主访问控制是指用户有权对自身创建的对象进行访问,并可将这些对象的访问权授予其他用户和从授予的用户中收回访问权限。
getfacl Filename #获取文件控制访问列表
setfacl -m u:USERNAME:7Filename #设置用户在文件或目录控制访问列表
setfacl -m g:GROUPNAME:7Filename #设置组在文件或目录控制访问列表
setfacl -x u:USERNAME:7Filename #删除某用户在某目录或文件上的访问列表
setfacl -x g:GROUPNAME:7Filename #删除某组在某目录或文件的访问列表
setfacl -b Filename #取消对该文件上的所有ACL权限
特点:
- L授权的实施主体自主负责赋予和回收其他主体对客体资源的访问权限,
- ACL是DAC中常用的一种安全机制,系统安全管理员通过维护ACL来控制用户访问有关数据
缺点:
- 主题的权限太大,无意间就可能造成泄露信息
- 不能防备特洛伊木马的攻击访问控制表
- 当用户数量多、管理数据量大时,ACL就会很庞大不易维护。
- BLP模型
它是1973年提出,是最早也是最常用的一种多级访问控制模型,该模型用于保证系统信息的机密性。
- BLP安全特性:
低安全级不可以向高级安全级读,高安全级可以向底安全级读。
低安全可以向高级安全写,高级安全不能向低级安全写。
注:不同范畴不可以读和写
- Biba模型
1977年提出biba模型,多级访问控制模型,保护数据完整性。强制安全策略为每一个主体和客体都分配了完整级。 - Clark-Wilson模型
1987年确保商业数据完整性的访问控制模型,侧重于满足商业应用的安全需求。 - 基于角色的访问控制(RBAC)模型
系统内置多个角色,将权限与角色进行关联,用户必须成为某个角色才能获得权限。
RBAC支持三个著名的安全原则:最小权限原则,责任分离原则和数据抽象原则。 - 基于属性的访问控制(ABAC)模型
ABAC就以面向对象的思想来进行更精细的访问控制,匹配复杂的业务场景,