¿Cuál es la razón por la que los permisos de acceso similares a UNIX (tanto los usuarios tradicionales como los grupos de usuarios extendidos y las ACL extendidas) se clasifican como una forma de sistema DAC (control de acceso discrecional) y no MAC (CA obligatoria)? / p >
¿Qué se requeriría para que se les considere como un sistema MAC?
Con los permisos de archivos UNIX, el control de acceso es a discreción del propietario del archivo. El propietario puede optar por no tener control sobre el archivo (por ejemplo, 0777). Esto es distinto de los sistemas obligatorios, donde el control de acceso no depende simplemente del propietario del objeto.
Para entender realmente cómo es un sistema MAC, primero necesita algunas definiciones:
El "problema" real con las ACL de Unix es que el "asunto" solo se aplica a los usuarios. En un sistema de control de acceso obligatorio, los procesos mismos también son sujetos por derecho propio. Por lo tanto, la razón por la cual las ACL de Unix son discrecionales es que los diversos sujetos del sistema pueden heredar / asumir los permisos que tiene el usuario o grupo.
Los sistemas MAC no funcionan así. En un sistema MAC, un proceso recibe sus propias reglas y puede extenderse más allá del poder del usuario, o puede ser más restringido que el usuario, según la política.
Para convertir este sistema en un sistema MAC completo, es probable que tengas que rediseñarlo. En su estado actual, simplemente no tiene la capacidad para admitir MAC.
En el Unix, el creador del archivo o directorio decide quién puede acceder a él. Unix distingue los derechos en tres categorías diferentes: leer, escribir, ejecutar y tener diferentes grupos de usuarios, grupos de propietarios y otros.
En un sistema que utiliza MAC, hay una política central sobre a qué archivos pueden acceder los usuarios.
Lea otras preguntas en las etiquetas access-control