什么是强制访问控制,为什么它比自主访问控制好?
基本上,用户可以根据自己的判断来覆盖访问控制。 在基于MAC的系统中,策略不能被用户覆盖,以允许权限较低的用户访问资源。 MAC是强制性的 。
在某些情况下,可能有必要产生这种行为。 通常情况下,我听说过高度安全的操作系统中使用的MAC,用于军事和高度安全的政府安装。 直到最近,没有“商业级”或“消费级”操作系统才真正支持MAC。 Windows Vista(具有“完整性级别”function)和SELinux都是MAC的forms。
强制访问控制 :访问控制系统只允许已经获得许可级别的用户访问他们打算的资源。 但他们如何授予访问权限? 这是关卡生效的地方。 在进一步的讨论中,用户将作为主题处理,资源将作为对象处理。 该域中的每个对象和主题都被赋予一个“安全级别”。
时间举个例子 : – 假设有三个安全级别。 A,B,C。 A的安全级别最高。 B的安全等级低于A。 C的安全性比B低。 A> B> C。 现在具有级别A的主题将只能访问安全级别小于A的对象。 现在具有级别B的主题将只能访问安全级别小于B的对象。 现在具有C级的主题将只能访问安全级别小于C的对象 。假设Natasha具有安全级别B. 现在假定/ var下的文件具有A级,而/ etc /下的文件具有C级。 根据我提到的规则,娜塔莎只能访问等级低于她的等级的文件。
自主访问控制是非常简单的。 在创build文件时,您是该文件的所有者。 而在自主访问控制中,文件的所有者有自己的“自由裁量权”来select访问者可以给予和不给予的用户。
PS。 超级用户可以更改文件的所有权。 所以你是文件的所有者,除非超级用户没有把所有权改变为其他人
并回答你的第二个问题 。 MAC在大公司中更安全 ,因为如果公司实施DAC,公司的整个安全就在文件所有者手中 。 如果所有者决定授予访问权限,那么该怎么办呢? 所以在MAC的情况下,这个决定是在build筑师手中,他们确保文件到右手。
在自由访问控制权限通常由资源所有者设置。 在强制访问控制权限的基础上,由固定的规则设置,不能被用户覆盖。
虽然强制性被认为是更安全的,并被用于需要高度安全性的地方,但configuration和维护起来更困难,而且您可能没有足够的资源来完成这项工作。
除此之外,几个操作系统都包含强制访问控制,以进一步加强系统。