¿Puede alguien explicarme RBAC?

4

Desde enlace

En contraste con el modelo DAC, que está orientado alrededor de los objetos, el modelo AzMan RBAC intenta orientar la experiencia administrativa común alrededor de los roles de los usuarios. En lugar de asignar permisos a los objetos, un marco AzMan RBAC permite a las aplicaciones presentar a los administradores una experiencia de gestión más alineada con la estructura organizativa de una empresa. AzMan RBAC proporciona un objeto central, un rol, que se asigna a un usuario para realizar un trabajo en particular o una función de aplicación. Idealmente, una aplicación RBAC está diseñada para que el administrador requiera menos conocimiento de la estructura de almacenamiento de objetos. Este enfoque se puede utilizar si la aplicación RBAC proporciona una abstracción simplificada en colecciones de recursos a las que se hace referencia como ámbitos.

¿Puede alguien explicarme cómo es esto diferente de las ACL de usuario / grupo?

por ejemplo

Diga que quiero que los administradores tengan acceso de lectura a / mnt / network_performance_reports, que los administradores de sistemas tengan acceso completo de lectura / escritura y que todos los demás no tengan acceso.

Pienso que (en Linux con POSIX ACLs, no conozco realmente Windows) podría

  • establezca una ACL predeterminada en / mnt para que todo lo que está debajo sea efectivamente chmod 0700 (directorios) o 0600 (archivos).
  • cree un grupo de administradores de sistemas y configure una ACL predeterminada de lectura / escritura para administradores de sistemas
  • cree un grupo de administradores y configure una ACL predeterminada de solo lectura para los administradores

Eso no es exactamente fácil de manejar (¡no centralizado, blech!) pero hace lo mismo, ¿no es así? No creo que entienda muy bien el concepto.

Cuando las personas hablan sobre RBAC en sistemas operativos, ¿están hablando efectivamente sobre una capa de abstracción sobre los sistemas MAC / DAC para facilitar la gestión de los mismos para grandes organizaciones? ¿O están hablando de algo que es diferente internamente ; es decir, ¿está asociado con métodos y estructuras de datos completamente diferentes en el núcleo del sistema operativo?

    
pregunta DanL4096 18.07.2014 - 15:37
fuente

5 respuestas

2

Primero, creo que deberíamos aclarar el vocabulario. DAC significa control de acceso discrecional, lo que significa que alguien (por definir) puede decidir quién accede a qué acceso dentro del sistema, cuando MAC, el control de acceso obligatorio, tiende a relacionarse con sistemas donde el acceso no se puede dar dentro del sistema. En mi opinión, ni DAC ni MAC implican una implementación específica.

Con respecto a RBAC en el mundo UNIX, IBM tiene una buena explicación sobre por qué esto es importante: enlace . La implementación de AIX RBAC implementa una partición del conjunto de todos los accesos raíz y permite que los roles específicos tengan acceso de administrador específico (en la red, en las contraseñas, etc.)

Su ejemplo con administradores de sistemas y administradores es bueno, aunque se limita al espacio de usuario y al acceso a archivos.

Entonces, con respecto a su última pregunta sobre el lugar de una implementación RBAC UNIX (capa o diferentes elementos internos), parece que depende en gran medida de qué acceso estamos hablando.

  • Si se trata de acceso a archivos, RBAC puede implementarse con funciones existentes, aunque los recursos a los que puede acceder una función no se administran de manera centralizada como mencionó. Una capa de abstracción podría lidiar con eso.
  • si los accesos raíz se dividen en muchos accesos (la implementación de AIX RBAC), entonces creo que se necesita un trabajo interno con nuevos métodos y estructuras de datos en el núcleo del sistema operativo.

Espero que esto ayude, Saludos,

    
respondido por el François J. 30.07.2014 - 22:37
fuente
0

Respondido por los comentarios de @woliveirajr arriba. En teoría, no hay diferencia entre el RBAC "mínimo" implementado en los permisos del sistema de archivos y las ACL que aplican los permisos solo a los grupos. Así que voy a adivinar que la implementación de Windows es una capa de abstracción en las ACL de Windows, en lugar de un sistema de permisos independiente que usa su propio controlador o algo similar.

    
respondido por el DanL4096 18.07.2014 - 16:56
fuente
0

Debería consultar la fuente autorizada para RBAC, a saber, NIST. Tienen un sitio web completo dedicado a RBAC.

respondido por el David Brossard 19.07.2014 - 03:15
fuente
0

Después de investigar un poco sobre su pregunta, he leído que tanto el MAC como el DAC se pueden implementar con RBAC.

Obviamente, hay una conexión clara entre RBAC y DAC cuando se trata simplemente de mantener las ACL. RBAC parece ser solo un nivel más alto, un estilo de organización menos granular. RBAC es más apropiado para manejar cuestiones como la separación de tareas, además de controlar el acceso a los objetos de datos.

    
respondido por el Lysimachas 19.07.2014 - 10:19
fuente
0

RBAC utiliza un conjunto de políticas y conjuntos de reglas para limitar las acciones de varios usuarios, incluyendo root, por lo que esencialmente, hace que las explotaciones locales de root no sean útiles. El RBAC de Grsecurity es mi favorito, limita la salida de dmesg () y netstat () por lo que el atacante no puede encontrar ninguna información útil para atacar el sistema.

    
respondido por el Hae0 24.07.2014 - 02:57
fuente

Lea otras preguntas en las etiquetas