Information Security

Eine logische Einheit, die für jeden Zugriff eines Subjektes auf ein Objekt anhand von Regeln entscheide, ob der Zugriff erlaubt wird.

• Subjekte können nicht direkt, sondern nur durch den Referenzmonitor auf Objekte zugreifen
• Referenzmonitor selbst ist vor Manipulation geschützt. Dies schliess die Sekundärdaten (Definition der Regelns) ein.
• Referenmonitor besitzt eine wohldefinierte Schnittstelle
• Verhalten des Referenmonitors ist eindeutig spezifieziert und setzt die Regeln korrekt um. Die Impelentierung ist korrekt.

(der Referenzmonitor entscheidet für jeden Zugriff eines Subjektes (also eines Akteurs wie Benutzers oder Prozesses) auf ein Objekt (Daten beliebiger Art) anhand von Regeln, ob der Zugriff erlaubt wird.)

Ein ACL ist mit einem Objekt verbunden (die zu schützende Ressource)

• Eine Access Control List (ACL), zu Deutsch Zugriffskontrollliste, ist eine Tabelle. Sie teilt einem Computer-Betriebssystem mit, welche Zugriffsrechte jeder Anwender auf bestimmte Systemobjekte hat.
• besteht aus 0 oder mehr Einträgen
• Ein Eintrag benennt ein Subjekt (Benutzer oder Benutzergruppe) und eine Menge von Rechten. 
• Rechte, die nicht aufgeführt sind, verbieten diese Art des Zugriffs
• Bsp. (gkarjoth, rwx)
• Das ACL für script.doc ist [(gkarjoth, rwx) (hslu, rx)] ->r=read, w=write, X= execute)
•  

In Unix gibt es drei Klassen von Subjekten: owner, group, world

• Nur der Owner und Benutzer mit Root-Rechten können das ACL verändern (Weitergabe/Löschen vonr Rechten)
• Der Dateityp bestimmt die Interpretation der Rechte
• Sonderrechte
  • sticky-Bits: nur noch der Eigentümer einer Datei darf diese löschen oder umbenennen, obwohl alle Rechte da sind
  • Suid-Bits und Guid-Bits (s anstelle von x): Programm wird mit den Rechten des Programmbesitzers, z.b. root, ausgeführt. 
• Entscheidungsverfahren
• Kommandos
  • chmod -> Change Mode
  • chgrp -> Change Group

Hier nicht nur einen Owner sondern mehrere. 

• Berechtigungen, die nicht in der Maske vorhanden sind, können nicht erlangt werden
• neue Daeien und Verzeichnisse erben ACL Informationen vom übergeordneten Verzeichnis, falls dieses Standard-Einträge hat. -> kann überschrieben werden

• Jedem Betiebsstystemobjekt (Datei, Prozess,..) ist ein Zugriffskontrolldeskriptor zugeordnet, der eine ACL enthalten kann.
• Eine ACL besteht aus einem Header und maximal 1820 Access Contoll Entries (ACE)
• Ein ACE enthält jeweils die Information, ob einem Benutzer oder einer Benutzergruppe eine bestimmte Zugriffsart erlaubt oder verweigert werden soll
• statische oder dynamische Vererbung

Capability= Objektverweis + Rechte -> wobei der Objektverweis fälschungssicher ist. Jedem Subjekt ist Berechtigungsliste (capability list) zugeordnet.

Vorteil:

• restriktive Rechtevergabe: Subjekt hat nur die Rechte, die ihm bei seiner Erzeugung übergeben werden bzw. die er später von anderen Subjekten erhält
• einfache, natürliche Weitergabe von Rechten
• kontrollierete Rechte-Modifikation
• -> Sicherheitsprinzipien: need-to-know,attenuation of privilege, controlled amplification

Nachteil: Entzug von Berechtigungen ist nicht möglich - oder schwierig zu realisieren

Proliferation von Berechtigungen schwer zu kontrollieren