自主访问控制(DAC)

Q: 自主访问控制(DAC) 是什么?

由资源拥有者自行决定谁可以访问以及执行何种操作的访问控制模型。 它属于网络安全的 身份与访问 分类。

Q: 如何防御 自主访问控制(DAC)?

针对 自主访问控制(DAC) 的防御通常结合技术控制与运营实践,详见上方完整定义。

审核人Florian AmetteCybersecurity entrepreneur & security researcher

自主访问控制(DAC) 是什么?

自主访问控制(DAC)由资源拥有者自行决定谁可以访问以及执行何种操作的访问控制模型。

自主访问控制是大多数通用操作系统的默认模型:文件或对象的拥有者通常通过 ACL 或 POSIX 的读/写/执行位,把权限授予或收回给其他用户和组。由于信任来自拥有者,权限可以自由传播,对终端用户而言方便,但也使系统容易受到以用户身份运行的恶意软件、混淆代理(confused deputy)以及特洛伊木马类攻击的影响。DAC 适合协作环境和个人数据,但在高度机密信息场景中被认为不够,通常需要叠加 MAC 或严格的 RBAC/ABAC。

● 示例

01
Linux 用户执行 chmod 644 file.txt 授予全员可读权限。
02
Windows 文件所有者把同事加入 ACL 并赋予修改权限。

● 常见问题

自主访问控制(DAC) 是什么?

由资源拥有者自行决定谁可以访问以及执行何种操作的访问控制模型。它属于网络安全的身份与访问分类。

自主访问控制(DAC) 是什么意思?

由资源拥有者自行决定谁可以访问以及执行何种操作的访问控制模型。

如何防御自主访问控制(DAC)?

针对自主访问控制(DAC) 的防御通常结合技术控制与运营实践,详见上方完整定义。

自主访问控制(DAC) 还有哪些其他名称?

常见的别称包括: DAC, 所有者控制访问。

自主访问控制(DAC) 是什么?

● 示例

● 常见问题

● 相关术语