Daftar akses-kontrol ( ACL ), berkenaan dengan sistem file komputer , adalah daftar izin yang melekat pada objek .
ACL menentukan pengguna atau proses sistem mana yang diberikan akses ke
objek, serta operasi apa yang diizinkan pada objek yang diberikan. [1] Setiap entri dalam ACL tipikal menentukan subjek dan operasi. Misalnya, jika objek file memiliki ACL yang berisi (Alice: baca, tulis; Bob: baca) , ini akan memberikan izin kepada Alice untuk membaca dan menulis file dan Bob hanya membacanya.
Contents
Implementasi
Banyak jenis sistem operasi menerapkan ACL, atau memiliki implementasi historis.
Kelompok kerja POSIX 1003.1e / 1003.2c berupaya untuk membuat standar ACL, [3] dan draft 17 ACL POSIX 1003.1e telah tersedia sejak Linux kernel versi 2.5.46 pada bulan November 2002.
Sebagian besar sistem operasi Unix dan Unix-like (misalnya Linux , [4] BSD , atau Solaris ) mendukung POSIX.1e ACL, berdasarkan konsep POSIX awal yang ditarik pada tahun 1997. Banyak dari mereka, misalnya AIX , FreeBSD , [5] Mac OS X dimulai dengan versi 10.4 (" Tiger "), atau Solaris dengan sistem file ZFS , [6] mendukung NFSv4 ACL, yang merupakan bagian dari standar NFSv4. Ada dua implementasi eksperimental NFSv4 ACL untuk Linux: dukungan NFSv4 ACL untuk sistem file Ext3 [7] dan Richacl yang lebih baru, [8] yang membawa dukungan NFSv4 ACL untuk sistem file Ext4 .
RedHat Enterprise Linux memperkenalkan Atribut yang Diperpanjang pada sistem file ext2 / ext3 setidaknya sejak RHEL 4 pada 2005 [9] .
PRIMOS menampilkan ACL setidaknya sejak tahun 1984. [10]
Pada 1990-an model ACL dan RBAC diuji secara ekstensif [ oleh siapa? ] dan digunakan untuk mengelola izin file.
Filesystem ACL
Sistem file ACL adalah struktur data (biasanya sebuah tabel) yang berisi entri yang menentukan hak pengguna atau grup individu untuk objek sistem tertentu seperti program, proses, atau file. Entri-entri ini dikenal sebagai entri kontrol akses (ACE) dalam Microsoft Windows NT , [2] OpenVMS , seperti Unix , dan sistem operasi Mac OS X. Setiap objek yang dapat diakses berisi pengidentifikasi untuk ACL-nya. Hak istimewa atau izin menentukan hak akses khusus, seperti apakah pengguna dapat membaca, menulis, atau mengeksekusi objek. Dalam beberapa implementasi, ACE dapat mengontrol apakah pengguna, atau sekelompok pengguna, dapat mengubah ACL pada suatu objek.Kelompok kerja POSIX 1003.1e / 1003.2c berupaya untuk membuat standar ACL, [3] dan draft 17 ACL POSIX 1003.1e telah tersedia sejak Linux kernel versi 2.5.46 pada bulan November 2002.
Sebagian besar sistem operasi Unix dan Unix-like (misalnya Linux , [4] BSD , atau Solaris ) mendukung POSIX.1e ACL, berdasarkan konsep POSIX awal yang ditarik pada tahun 1997. Banyak dari mereka, misalnya AIX , FreeBSD , [5] Mac OS X dimulai dengan versi 10.4 (" Tiger "), atau Solaris dengan sistem file ZFS , [6] mendukung NFSv4 ACL, yang merupakan bagian dari standar NFSv4. Ada dua implementasi eksperimental NFSv4 ACL untuk Linux: dukungan NFSv4 ACL untuk sistem file Ext3 [7] dan Richacl yang lebih baru, [8] yang membawa dukungan NFSv4 ACL untuk sistem file Ext4 .
RedHat Enterprise Linux memperkenalkan Atribut yang Diperpanjang pada sistem file ext2 / ext3 setidaknya sejak RHEL 4 pada 2005 [9] .
PRIMOS menampilkan ACL setidaknya sejak tahun 1984. [10]
Pada 1990-an model ACL dan RBAC diuji secara ekstensif [ oleh siapa? ] dan digunakan untuk mengelola izin file.
Jaringan ACL
Pada beberapa jenis komputer-perangkat keras berpemilik (khususnya router dan switch ), daftar kontrol akses memberikan aturan yang diterapkan pada nomor port atau alamat IP yang tersedia pada host atau layer 3 lainnya , masing-masing dengan daftar host dan / atau jaringan diizinkan untuk menggunakan layanan ini. Meskipun dimungkinkan untuk mengkonfigurasi daftar kontrol-akses berdasarkan pada nama domain jaringan, ini adalah ide yang dipertanyakan karena masing-masing header TCP , UDP , dan ICMP tidak mengandung nama domain. Akibatnya, perangkat yang menegakkan daftar kontrol akses harus secara terpisah menyelesaikan nama ke alamat numerik. Ini menyajikan permukaan serangan tambahan untuk penyerang yang berusaha untuk mengkompromikan keamanan sistem yang dilindungi daftar kontrol akses. Baik server individual maupun router dapat memiliki ACL jaringan. Daftar akses-kontrol umumnya dapat dikonfigurasi untuk mengontrol lalu lintas masuk dan keluar, dan dalam konteks ini mirip dengan firewall . Seperti halnya firewall, ACL dapat tunduk pada regulasi dan standar keamanan seperti PCI DSS .Implementasi SQL,
Algoritma ACL telah porting ke SQL dan ke sistem database relasional . Banyak "modern" (2000-an dan 2010-an) sistem berbasis SQL , seperti perencanaan sumber daya perusahaan dan sistem manajemen konten , telah menggunakan model ACL dalam modul administrasi mereka.Membandingkan dengan RBAC
Alternatif utama untuk model ACL adalah model kontrol akses berbasis peran (RBAC). "Model RBAC minimal", RBACm , dapat dibandingkan dengan mekanisme ACL, ACLg , di mana hanya grup yang diizinkan sebagai entri dalam ACL. Barkley (1997) [11] menunjukkan bahwa RBACm dan ACLg adalah setara.
Dalam implementasi SQL modern, ACL juga mengelola grup dan pewarisan dalam hierarki grup. Jadi "ACL modern" dapat mengekspresikan semua yang diungkapkan RBAC, dan sangat kuat (dibandingkan dengan "ACL lama") dalam kemampuan mereka untuk mengekspresikan kebijakan kontrol akses dalam hal cara administrator memandang organisasi.
Untuk pertukaran data, dan untuk "perbandingan tingkat tinggi", data ACL dapat diterjemahkan ke XACML . [12]
Dalam implementasi SQL modern, ACL juga mengelola grup dan pewarisan dalam hierarki grup. Jadi "ACL modern" dapat mengekspresikan semua yang diungkapkan RBAC, dan sangat kuat (dibandingkan dengan "ACL lama") dalam kemampuan mereka untuk mengekspresikan kebijakan kontrol akses dalam hal cara administrator memandang organisasi.
Untuk pertukaran data, dan untuk "perbandingan tingkat tinggi", data ACL dapat diterjemahkan ke XACML . [12]
No comments:
Post a Comment