logo
Otvety_na_bilety_po_vase_1

46. Защита сетевых ресурсов с помощью прав доступа.

В качестве сет. рес.: аппар. (процессор, сегменты памяти, диски, принтеры) или программ. обеспеч. (процессы, файлы, базы данных, семафоры).

У каждого объекта есть уникальное имя, по кот. к нему можно обращаться, и набор операций, кот. могут выполнять с объектом процессы.

Домен – мн-во пар (объект, права доступа). Каждая пара указывает объект и некот. подмн-во разрешенных операций.

В любой мом. времени процесс работает только в одном домене защиты. Во время выполнения процессы могут переключаться с одного домена на другой (напр., систем. вызов).

UNIX: домен процесса опред-ся комбинацией (UID,GID).

Важным вопросом явл-ся то, как сис-ма отслеживает, какой объект какому домену принадлежит. Матрица: ряды – домены, колонки – объекты, пересечение – права доступа для данного домена к данному объекту. Домены тоже могут выступать в качестве объектов.

На практике, матрица разрешения доступа хранятся по рядам (ACL, Access Control List – список управления доступом) и рядам (перечни возможностей). Причем хранятся только непустые ячейки. ACL – списки и перечни возм-тей обладают взаимодопол. св-вами. Если группы не поддерживаются системой, тогда, чтобы предоставить доступ чтения файлам всем пользователям системы, потребуется перечислить всех пользователей в ACL – списке. ACL – списки обеспечивают выборочное аннулирование разрешений, тогда как при испол. перечней возможностей это не реально. Наконец, если объект удаляется, а элемент пречня возмож. нет или наоборот, возникают проблемы, которых лишены ACL – списки.

Э. Таненбаум, Совр. опер. сис., Спб: Питер, 2004, стр. 707-716