Access-control list (Italiano)

0 Comments

Molti tipi di sistemi operativi implementano ACL o hanno un’implementazione storica. Il primo dei quali era nel filesystem di Multics nel 1965.

Filesystem ACLsEdit

Un filesystem ACL è una struttura dati (di solito una tabella) contenente voci che specificano i diritti di singoli utenti o gruppi su specifici oggetti di sistema come programmi, processi o file. Queste voci sono note come voci di controllo di accesso (ACEs) nei sistemi operativi Microsoft Windows NT, OpenVMS e Unix-like come Linux, macOS e Solaris., Ogni oggetto accessibile contiene un identificatore per il suo ACL. I privilegi o le autorizzazioni determinano diritti di accesso specifici, ad esempio se un utente può leggere, scrivere o eseguire un oggetto. In alcune implementazioni, un ACE può controllare se un utente, o un gruppo di utenti, può alterare l’ACL su un oggetto.

Uno dei primi sistemi operativi a fornire ACL di filesystem è stato Multics. PRIMOS ha caratterizzato ACL almeno fin dal 1984.

Nel 1990 i modelli ACL e RBAC sono stati ampiamente testati e utilizzati per amministrare i permessi dei file.

POSIX ACLEdit

POSIX 1003.,1e / 1003.2 c gruppo di lavoro ha fatto uno sforzo per standardizzare ACL, con conseguente quello che ora è noto come ” POSIX.1e ACL “o semplicemente ” POSIX ACL”. Il POSIX.1e / POSIX.i progetti 2c sono stati ritirati nel 1997 a causa del fatto che i partecipanti hanno perso interesse per il finanziamento del progetto e si sono rivolti a alternative più potenti come NFSv4 ACL. A dicembre 2019, non è stato possibile trovare fonti in tempo reale del progetto su Internet, ma può ancora essere trovato nell’Archivio Internet.

La maggior parte dei sistemi operativi Unix e Unix-like (ad esempio Linux dal 2.5.46 o novembre 2002, BSD o Solaris) supporta POSIX.,1e ACL (non necessariamente bozza 17). Gli ACL sono solitamente memorizzati negli attributi estesi di un file su questi sistemi.

NFSV4 ACLEdit

Gli ACL NFSv4 sono molto più potenti degli ACL POSIX draft. A differenza degli ACL POSIX draft, gli ACL NFSv4 sono definiti da uno standard effettivamente pubblicato, come parte del file system di rete.

Gli ACL NFSv4 sono supportati da molti sistemi operativi Unix e Unix-like. Gli esempi includono AIX, FreeBSD, Mac OS X a partire dalla versione 10.4 (“Tiger”), o Solaris con il filesystem ZFS, supportano gli ACL NFSv4, che fanno parte dello standard NFSv4., Esistono due implementazioni sperimentali di ACL NFSv4 per Linux: il supporto di ACL NFSv4 per il filesystem Ext3 e il più recente Richacls che porta il supporto di ACL NFSv4 per il filesystem Ext4. Come per gli ACL POSIX, gli ACL NFSv4 sono solitamente memorizzati come attributi estesi su sistemi simili a Unix.

Gli ACL NFSv4 sono organizzati in modo quasi identico agli ACL di Windows NT utilizzati in NTFS. Gli ACL NFSv4.1 sono un superset di ACL NT e ACL POSIX draft. Samba supporta il salvataggio degli ACL NT dei file condivisi da SMB in molti modi, uno dei quali è come ACL codificati NFSv4.,

Active Directory ACLsEdit

Il servizio di directory Active Directory di Microsoft implementa un server LDAP che memorizza e diffonde informazioni di configurazione su utenti e computer in un dominio. Active Directory estende la specifica LDAP aggiungendo lo stesso tipo di meccanismo di elenco di controllo degli accessi utilizzato da Windows NT per il filesystem NTFS. Windows 2000 ha quindi esteso la sintassi per le voci di controllo degli accessi in modo tale che non solo potessero concedere o negare l’accesso a interi oggetti LDAP, ma anche a singoli attributi all’interno di questi oggetti.,

Rete ACLsEdit

Su alcuni tipi di hardware proprietario (in particolare router e switch), un elenco di controllo degli accessi fornisce regole applicate ai numeri di porta o agli indirizzi IP disponibili su un host o altro livello 3, ciascuno con un elenco di host e / o reti autorizzati a utilizzare il servizio. Sebbene sia inoltre possibile configurare elenchi di controllo degli accessi basati su nomi di dominio di rete, questa è un’idea discutibile perché le singole intestazioni TCP, UDP e ICMP non contengono nomi di dominio., Di conseguenza, il dispositivo che applica l’elenco di controllo degli accessi deve risolvere separatamente i nomi in indirizzi numerici. Questo presenta una superficie di attacco aggiuntiva per un utente malintenzionato che sta cercando di compromettere la sicurezza del sistema che l’elenco di controllo degli accessi sta proteggendo. Sia i singoli server che i router possono avere ACL di rete. Gli elenchi di controllo degli accessi possono generalmente essere configurati per controllare il traffico sia in entrata che in uscita e in questo contesto sono simili ai firewall. Come i firewall, gli ACL potrebbero essere soggetti a norme e standard di sicurezza come PCI DSS.,

implementazionimodifica


Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *