Zugriffssteuerungsliste
Viele Arten von Betriebssystemen implementieren ACLs oder haben eine historische Implementierung. Der erste davon war 1965 im Dateisystem von Multics.
Dateisystem ACLsEdit
Eine Dateisystem-ACL ist eine Datenstruktur (normalerweise eine Tabelle), die Einträge enthält, die einzelne Benutzer-oder Gruppenrechte an bestimmten Systemobjekten wie Programmen, Prozessen oder Dateien angeben. Diese Einträge sind bekannt als “ access-control entries (ACEs) in Microsoft Windows NT, OpenVMS und Unix-ähnlichen Betriebssystemen wie Linux, macOS und Solaris., Jedes zugängliche Objekt enthält einen Bezeichner für seine ACL. Die Berechtigungen oder Berechtigungen bestimmen bestimmte Zugriffsrechte, z. B. ob ein Benutzer ein Objekt lesen, schreiben oder ausführen kann. In einigen Implementierungen kann ein ACE steuern, ob ein Benutzer oder eine Gruppe von Benutzern die ACL für ein Objekt ändern kann.
Eines der ersten Betriebssysteme, das Dateisystem-ACLs bereitstellte, war Multics. PRIMOS zeigte ACLs mindestens schon 1984.
In den 1990er Jahren wurden die ACL-und RBAC-Modelle ausgiebig getestet und zur Verwaltung von Dateiberechtigungen verwendet.
POSIX ACLEdit
POSIX 1003.,1e / 1003.2 c Arbeitsgruppe bemühte sich, ACLs zu standardisieren, was zu dem führt, was jetzt als „POSIX.1e ACL“ oder einfach „POSIX-ACL“. Die POSIX.1e/POSIX.die Entwürfe wurden 1997 zurückgezogen, weil die Teilnehmer das Interesse an der Finanzierung des Projekts verloren und sich leistungsfähigeren Alternativen wie NFSv4 ACL zuwandten. Ab Dezember 2019 konnten keine Live-Quellen des Entwurfs im Internet gefunden werden, er befindet sich jedoch weiterhin im Internetarchiv.
Die meisten Unix-und Unix-ähnlichen Betriebssysteme (z. B. Linux seit 2.5.46 oder November 2002, BSD oder Solaris) unterstützen POSIX.,1e ACLs (nicht unbedingt Entwurf 17). ACLs werden normalerweise in den erweiterten Attributen einer Datei auf diesen Systemen gespeichert.
NFSv4 ACLEdit
NFSv4-ACLs sind viel stärker, als POSIX-Entwurf-ACLs. Im Gegensatz zu POSIX-ACLs werden NFSv4-ACLs von einem tatsächlich veröffentlichten Standard als Teil des Netzwerkdateisystems definiert.
NFSv4 ACLs werden von vielen Unix-und Unix-ähnlichen Betriebssystemen unterstützt. Beispiele hierfür sind AIX, FreeBSD, Mac OS X ab Version 10.4 („Tiger“) oder Solaris mit ZFS-Dateisystem, die NFSv4-ACLs unterstützen, die Teil des NFSv4-Standards sind., Es gibt zwei experimentelle Implementierungen von NFSv4 ACLs für Linux: NFSv4 ACLs Unterstützung für Ext3-Dateisystem und die neueren Richacls, die NFSv4 ACLs Unterstützung für Ext4-Dateisystem bringt. Wie bei POSIX-ACLs werden NFSv4-ACLs normalerweise als erweiterte Attribute auf Unix-ähnlichen Systemen gespeichert.
NFSv4-ACLs sind nahezu identisch mit den in NTFS verwendeten Windows NT-ACLs organisiert. NFSv4.1 ACLs sind eine Obermenge von NT ACLs und POSIX Draft ACLs. Samba unterstützt das Speichern der NT-ACLs von SMB-Shared-Dateien in vielerlei Hinsicht, darunter als NFSv4-codierte ACLs.,
Active Directory ACLsEdit
Der Active Directory-Verzeichnisdienst von Microsoft implementiert einen LDAP-Server, der Konfigurationsinformationen über Benutzer und Computer in einer Domäne speichert und verbreitet. Active Directory erweitert die LDAP-Spezifikation, indem es den gleichen Zugriffskontrolllistenmechanismus hinzufügt, den Windows NT für das NTFS-Dateisystem verwendet. Windows 2000 erweiterte dann die Syntax für Zugriffssteuerungseinträge so, dass sie nicht nur Zugriff auf ganze LDAP-Objekte gewähren oder verweigern konnten, sondern auch auf einzelne Attribute innerhalb dieser Objekte.,
Netzwerk ACLsEdit
Auf einigen Arten proprietärer Computerhardware (insbesondere Router und Switches) enthält eine Zugriffssteuerungsliste Regeln, die auf Portnummern oder IP-Adressen angewendet werden, die auf einem Host oder einer anderen Schicht 3 verfügbar sind, jeweils mit einer Liste von Hosts und/oder Netzwerken, die den Dienst verwenden dürfen. Obwohl es zusätzlich möglich ist, Zugriffssteuerungslisten basierend auf Netzwerkdomänennamen zu konfigurieren, ist dies eine fragwürdige Idee, da einzelne TCP -, UDP-und ICMP-Header keine Domänennamen enthalten., Folglich muss das Gerät, das die Zugriffssteuerungsliste erzwingt, Namen separat in numerische Adressen auflösen. Dies stellt eine zusätzliche Angriffsfläche für einen Angreifer dar, der die Sicherheit des Systems, das die Zugriffskontrollliste schützt, gefährden möchte. Sowohl einzelne Server als auch Router können Netzwerk-ACLs haben. Zugriffssteuerungslisten können im Allgemeinen so konfiguriert werden, dass sie sowohl den eingehenden als auch den ausgehenden Datenverkehr steuern, und ähneln in diesem Zusammenhang Firewalls. Wie Firewalls könnten ACLs Sicherheitsvorschriften und Standards wie PCI DSS unterliegen.,