В составе утилит ОС UNIX находится утилита cron, которая предоставляет возможность запускать пользовательские программы в определенные моменты (промежутки) времени и, соответственно, ввести временные параметры для ограничения доступа пользователей.
Для управления доступом в ОС UNIX также применяется разрешение установки идентификатора владельца. Такое разрешение дает возможность получить привилегии владельца файла на время выполнения соответствующей программы. Владелец файлов может установить такой режим, в котором другие пользователи имеют возможность назначать собственные идентификаторы режима. Аналогичным образом, разрешение установки идентификатора группы позволяет лицу, выполняющему программу, приобретать привилегии члена группы, в которую входит владелец программы (только на время выполнения этой программы).
Совершенствование механизмов защиты
Широкое распространение, многочисленные достоинства и хорошие перспективы ОС UNIX с 1984года были поддержаны попытками стандартизации ее пользовательских интерфейсов и языка Си. Стандартизация языка Си завершилась принятием стандарта Американского национального института стандартов (ANSI). Проект стандарта интерфейсов мобильной ОС, названный POSIX, подготовлен рабочими группами института IEEE (США). В рамках этого проекта разработан интерфейс защиты (управляемого доступа), который отличается от традиционного подхода к управлению доступом к данным в ОС UNIX.
|
|
В соответствии с разработанным интерфейсом защиты объекты, на которые распространяется управляемый доступ, включают файлы всех типов (в том числе программные каналы) и процессы. Файлы выступают в роли объектов, процессы - в роли субъектов. Различается доступ к объектам, основанный на дискретном выборе, и доступ, основанный на полномочиях.
Дискретный выбор
Использует соответствие списков (для каждого объекта составляются списки субъектов, доступ которых к объекту разрешен). Этот механизм доступа реализован в имеющихся версиях ОС UNIX.
Доступ, основанный на полномочиях
Использует соответствие меток. Для этого вводятся метки объектов (файлов) и субъектов (процессов), а также понятия доминанты и равенства меток (для выражения отношения между метками). Создаваемый файл наследует метку от создавшего его процесса. Вводятся соотношения, определяющие права процессов по отношению к файлам.
Интерфейс дискретного доступа
Существенно детализирует имеющиеся механизмы защиты ОС UNIX. Вводимые средства можно разделить на следующие группы:
· работа со списками доступа при дискретной защите;
|
|
· проверка права доступа;
· управление доступом на основе полномочий;
· работа привилегированных пользователей.
В рамках проекта POSIX создан интерфейс системного администратора. Указанный интерфейс определяет объекты и множества действий, которые можно выполнить над объектами. В качестве классов субъектов и объектов предложены пользователь, группа пользователей, устройство, файловая система, процесс, очередь, вход в очередь, машина, система, администратор, программное обеспечение и др. Определены атрибуты таких классов, операции над классами и события, которые могут с ними происходить.
Стандартизация интерфейсов ОС UNIX и появление юридического стандарта повысит значимость ОС UNIX, в том числе и для обеспечения безопасности данных.