Идентификация и доступ
Обязательный контроль доступа (MAC)
Также известно как: MAC, Недискреционный контроль доступа
Определение
Модель контроля доступа, при которой централизованная политика — а не владелец ресурса — принимает решения на основе классификаций и допусков субъектов и объектов.
Примеры
- SELinux запрещает процессу веб-сервера читать /etc/shadow, даже когда он работает от root.
- Засекреченная система не даёт пользователю уровня «Секретно» записывать в каталог «Несекретно».
Связанные термины
Дискреционный контроль доступа (DAC)
Модель контроля доступа, в которой владелец ресурса сам решает, кто может к нему обращаться и какие операции выполнять.
Ролевая модель доступа (RBAC)
Модель авторизации, в которой права назначаются ролям, а не напрямую пользователям; пользователи получают доступ через назначение в соответствующую роль.
Атрибутная модель доступа (ABAC)
Модель авторизации, которая принимает решение по запросу на основе политик над атрибутами субъекта, ресурса, действия и среды.
Принцип наименьших привилегий
Принцип безопасности, согласно которому каждому пользователю, процессу или сервису выдаётся только тот минимум прав, который строго необходим для его задач.
Авторизация
Процесс определения того, что разрешено уже аутентифицированной идентичности: к каким ресурсам, действиям и при каких условиях.
Усиление систем (hardening)
Сокращение поверхности атаки системы за счёт удаления лишних возможностей, ужесточения настроек и применения безопасных значений по умолчанию.