Лого Институт РОПКИП
Институт "РОПКиП"
Институт развития образования, повышения
квалификации и переподготовки
Публикации Поддержка ролевой модели доступа к системе управления в ОС Альт

Всероссийский сборник статей и публикаций института развития образования, повышения квалификации и переподготовки.


Скачать публикацию
Язык издания: русский
Периодичность: ежедневно
Вид издания: сборник
Версия издания: электронное сетевое
Публикация: Поддержка ролевой модели доступа к системе управления в ОС Альт
Автор: Копанев Олег Олегович

Поддержка ролевой модели доступа к системе управления в ОС АльтВведениеВ современных информационных системах безопасность и управление доступом играют ключевую роль. Один из эффективных методов управления доступом – это ролевая модель, или Role-Based Access Control (RBAC). В ОС Альт, как и в других операционных системах, использование RBAC позволяет централизованно управлять доступом пользователей к ресурсам системы, обеспечивая простоту администрирования и высокий уровень безопасности.Обзор литературыОбзор существующей литературы позволяет более глубоко понять текущие подходы и методы, применяемые для реализации ролевой модели доступа в операционных системах. Один из таких подходов представлен в работе [1]. В данной работе рассматривается математическая модель, позволяющая выявлять и оценивать угрозы безопасности в контексте использования приложений, работающих под Wine. Информация про ядро и системные вызовы в контексте управления доступом подробно представлена в работе [2]. В ней изучаются особенности реализации и применения ролевой модели в операционной системе GNU/Linux.Сравнение политик разграничений доступа рассматривалось в работе [3]. В ней автор рассмотрел принципиальные сходства и различия основных известных политик разграничения доступа, а также способы их реализации.Общая информация об анализе технологии ACL и ее методах описывается в работе [4]. В ней подробно описывается применение данной технологии в системе сетевой безопасности.В работе [5] описывается один из подходов к контролю доступа RBAC. В ней рассказывается принцип работы, где применяется данный подход, а также проведено несколько экспериментов, показывающих эффективность данной системы. Математическое описание RBACДля глубокого понимания механизмов работы RBAC в ОС Альт необходимо рассмотреть его математическую модель. Основные компоненты модели включают:
  • S = Субъект = Человек или автоматизированный агент (множество пользователей);
  • R = Роль = Рабочая функция или название, которое определяется на уровне авторизации (множество ролей);
  • P = Разрешения = Утверждения режима доступа к ресурсу (множество прав доступа на объекты системы);
  • SE = Сессия = Соответствие между S, R и/или P
  • SA = Назначение субъекта
    • Основные отношения и функции:
  • Отношение, определяющее, какие роли назначены каждому пользователю.
  • Отношение, определяющее, какие разрешения связаны с каждой ролью.
  • Функция, возвращающая для каждой роли множество всех назначенных ей разрешений.
  • Отношение, определяющее иерархию ролей.
  • Функция назначения сессий пользователям.
  • Функция назначения ролей сессиям.
  • Функция получения разрешений для роли с учетом иерархии.
  • Функция проверки наличия разрешения у пользователя в сессии.
    • Данные функции и отношения предоставляют формальную основу для реализации RBAC в ОС Альт, позволяя точно описать и проверить политики безопасности, реализуемые на уровне ядра и системных вызовов.Технологическая основа RBAC в ОС Альт Ролевая модель доступа основывается на назначении прав доступа не отдельным пользователям, а их ролям. Пользователи, в свою очередь, получают доступ к ресурсам в зависимости от их роли в системе.Стоит затронуть технологии, на основе которых работает ролевая модель доступа.Ядро операционной системы ОС Альт управляет доступом к оперативной памяти, сети, дисковым пространствам и другим внешним устройствам. Оно инициирует и отслеживает процессы, управляет распределением времени между ними, устанавливает разграничение прав и формирует политику безопасности, которую невозможно обойти без обращения к нему. Ядро работает в режиме "супервизора", это означает, что именно оно предоставляет доступ ко всей оперативной памяти и аппаратной таблице задач. Процессы же работают в "пользовательском режиме". Ядро привязывает их к записям в таблице задач с указанием доступной оперативной памяти. Ядро постоянно находится в памяти, обрабатывая системные вызовы от процессов.ОС Альт использует модифицированное ядро Linux, которое включает расширенные возможности управления доступом. В частности, ядро поддерживает механизмы LSM (Linux Security Modules), позволяющие реализовать различные модели безопасности, включая RBAC.Для реализации доступа субъектов (пользователей или процессов/приложений) к объектам в GNU/Linux необходимо использовать системные вызовы на уровне ядра. Они предоставляют файлам доступ (на чтение, запись или выполнение), проводят операции с файлами (создание, переименование или удаление файлов и каталогов), управляют символьными и жесткими ссылками, а также многое другое. Системные вызовы являются единственным способом получить доступ к ресурсам операционной системы из непривилегированного режима. Кроме того, существуют специализированные системные вызовы для операций ввода/вывода, управления устройствами (например, ioctl), управления файловыми системами (mount, umount, pivot_root, chroot), синхронизации данных на диске, управления временем системы, управления памятью, создания и завершения процессов, загрузки модулей ядра и других аспектов системы.Так же, существуют специализированные системные вызовы, которые позволяют ядру взаимодействовать с пользовательским пространством. В контексте RBAC ключевыми являются системные вызовы, которые связаны с проверкой прав доступа и управлением привилегиями, такие как capget(), capset(), prctl().ACLМодель RBAC предполагает доступ к ресурсам на основе ролей, а роли, в свою очередь, имеют наборы разрешений. В подобном контексте разрешения, присваиваемые ролям, могут быть определены с использованием так называемых списков контроля доступа – ACL (Access Control List).ACL представляет собой набор правил, которые определяют, каким пользователям или системным процессам предоставлен доступ к объектам и какие операции они могут выполнять с этими объектами. Каждый объект в системе имеет связанный с ним атрибут безопасности, который содержит список записей контроля доступа. Эти записи включают в себя разрешения, предоставленные конкретным пользователям или группам пользователей.Например, для файла можно определить ACL, который предоставляет пользователю "user1" права на чтение (r) и запись (w), а группе "admins" — полный доступ (rwx). Такой подход позволяет гибко настраивать доступ к объектам на уровне отдельных пользователей и операций.Рассмотрим некоторые типы ACL, реализованные в ОС Альт, – они приведены в таблице 1Таблица 1ЗаключениеВ данной статье проведено исследование ролевой модели доступа (RBAC) в операционной системе Альт. Был рассмотрен теоретический аспект модели, включая математическое описание основных компонентов и функций, а также технологическая реализация RBAC в ОС Альт на уровне ядра и системных вызовов. Исследование показало, что применение RBAC в ОС Альт обеспечивает централизованное управление доступом, упрощает администрирование и повышает уровень безопасности системы. Внедрение и настройка RBAC с использованием технологий, таких как ACL, Capabilities и Control позволяет эффективно контролировать доступ к ресурсам системы и минимизировать риски, связанные с чрезмерными привилегиями.Список использованных источников
  • Уймин, А. Г. Оценка безопасности Wine с использованием методологии STRIDE: математическая модель / А. Г. Уймин, И. М. Морозов // Современная наука: актуальные проблемы теории и практики. Серия: Естественные и технические науки. – 2023. – № 6-2. – С. 164-170. – DOI 10.37882/2223-2982.2023.6-2.40. – EDN HYCKNP;
  • Диссертация Каннера А.М. «Модель и алгоритмы обеспечения безопасности управления доступом в операционных системах семейства Linux»;
  • Статья Марочкина А.А. «Анализ современных способов разграничения доступа»;
  • Статья Azmi, F., Kalsum, T. U., Alamsyah, H. «Analysis and Application of Access Control List (ACL) Methods on Computer Networks»
  • Статья K. Rajesh Rao «Role recommender-RBAC: Optimizing user-role assignments in RBAC».
  • Альт Рабочая Станция. Документация. Руководство пользователя // Редакция – март, 2024 // [Электронный ресурс]:
    • Герб РФ
    16+ Регистрационный номер СМИ: СМИ ЭЛ № ФС 77 - 76928.
    Герб РФ
    Лицензия на осуществление образовательной деятельности:
    №Л035-01237-19/00257259 от 01.02.2021 г.
    Свидетельство о регистрации в Национальном центре ISSN
    Свидетельство о регистрации в Национальном центре ISSN (присвоен Международный стандартный номер сериального издания: № 2686-9985 от 7.11.2019)

    Все материалы, размещенные на сайте, созданы авторами сайта либо размещены пользователями сайта и представлены на сайте исключительно для ознакомления. Авторские права на материалы принадлежат их законным авторам. Частичное или полное копирование материалов сайта без письменного разрешения администрации сайта запрещено! Мнение редакции может не совпадать с точкой зрения авторов.

    Ответственность за разрешение любых спорных моментов, касающихся самих материалов и их содержания, берут на себя пользователи, разместившие материал на сайте. Однако редакция сайта готова оказать всяческую поддержку в решении любых вопросов связанных с работой и содержанием сайта. Если Вы заметили, что на данном сайте незаконно используются материалы, сообщите об этом администрации сайта по электронной почте. Проводим обучение на курсах повышения квалификации и профессиональной переподготовки,участие в конкурсах и олимпиадах. Пишите на info@ropkip.ru.

    -