Entry № 729
强制访问控制(MAC)
强制访问控制(MAC) 是什么?
强制访问控制(MAC)由中心策略而非资源拥有者强制执行的访问控制模型,基于赋予主体与客体的密级和许可级别做出决策。
强制访问控制是一种非自主模型,由操作系统或内核强制执行系统级策略,用户无法绕过。每个主体(进程)和客体(文件、网络端口)都带有安全标签,例如密级(绝密、机密、秘密)或类别,只有当标签满足策略(如 Bell-LaPadula 的 "上读下写禁止" 规则)时才允许访问。MAC 之所以是 "强制",是因为即便文件所有者也不能放宽权限。SELinux、AppArmor、Smack、FreeBSD MAC 等都实现了 MAC,最初源自军事和高保障场景。代价是规则刚性、标签复杂以及陡峭的运维学习曲线。
● 示例
- 01
SELinux 阻止以 root 身份运行的 Web 服务器进程读取 /etc/shadow。
- 02
分级系统禁止 "机密" 级用户写入 "非机密" 目录。
● 常见问题
强制访问控制(MAC) 是什么?
由中心策略而非资源拥有者强制执行的访问控制模型,基于赋予主体与客体的密级和许可级别做出决策。 它属于网络安全的 身份与访问 分类。
强制访问控制(MAC) 是什么意思?
由中心策略而非资源拥有者强制执行的访问控制模型,基于赋予主体与客体的密级和许可级别做出决策。
如何防御 强制访问控制(MAC)?
针对 强制访问控制(MAC) 的防御通常结合技术控制与运营实践,详见上方完整定义。
强制访问控制(MAC) 还有哪些其他名称?
常见的别称包括: MAC, 非自主访问控制。