Control de acceso obligatorio (MAC)

También conocido como: MAC, Control de acceso no discrecional

Modelo de control de acceso en el que una política central —no el propietario del recurso— impone decisiones a partir de clasificaciones y habilitaciones asignadas a sujetos y objetos.

El control de acceso obligatorio es un modelo no discrecional en el que el sistema operativo o el núcleo impone una política a escala de sistema que los usuarios no pueden anular. Cada sujeto (proceso) y objeto (fichero, puerto de red) se etiqueta con una marca de seguridad —nivel de clasificación (Top Secret, Secret, Confidencial) o categoría— y el acceso solo se permite si las etiquetas satisfacen la política (por ejemplo, "no leer hacia arriba, no escribir hacia abajo" de Bell-LaPadula). MAC es obligatorio porque ni el propietario del archivo puede relajar sus permisos. Se implementa en SELinux, AppArmor, Smack o FreeBSD MAC, y nació en entornos militares y de alta garantía. Su coste es la rigidez, el etiquetado complejo y una curva operativa pronunciada.

Ejemplos

SELinux impide que un proceso de servidor web lea /etc/shadow aunque corra como root.
Un sistema clasificado evita que un usuario Secreto escriba en un directorio No Clasificado.

Control de acceso obligatorio (MAC)

Ejemplos

Términos relacionados

Control de acceso discrecional (DAC)

Control de acceso basado en roles (RBAC)

Control de acceso basado en atributos (ABAC)

Principio de mínimo privilegio

Autorización

Hardening (endurecimiento de sistemas)

Definición

Ejemplos

Términos relacionados

Control de acceso discrecional (DAC)

Control de acceso basado en roles (RBAC)

Control de acceso basado en atributos (ABAC)

Principio de mínimo privilegio

Autorización

Hardening (endurecimiento de sistemas)