Ad­gangs­kon­tro­li­ster (ACL’er) styrer pro­ces­sers og brugeres adgang til in­di­vi­du­el­le områder på en computer, såsom filer eller registre. Dermed sikrer de, at kun au­to­ri­se­re­de brugere kan få adgang til bestemte res­sour­cer.

Hvad er en ad­gangs­kon­tro­li­ste?

Ad­gangs­kon­tro­li­ster er, ligesom ob­liga­to­risk ad­gangs­kon­trol eller rol­le­ba­se­ret ad­gangs­kon­trol, en form for ad­gangs­kon­trol. Grund­læg­gen­de er ACL’er et sæt regler, der bruges af ope­ra­tiv­sy­ste­mer eller ap­pli­ka­tio­ner til at ad­mi­ni­stre­re adgangen til bestemte pro­gram­de­le eller res­sour­cer. En ad­gangs­kon­tro­li­ste er altså en måde at ad­mi­ni­stre­re fil- eller andre res­sour­ce­ret­tig­he­der på en computer.

Du kan derfor fo­re­stil­le dig ad­gangs­kon­tro­li­ster som en slags tabel, der in­de­hol­der brugerne og den type adgang, de har. De mest al­min­de­li­ge ad­gangs­ret­tig­he­der er:

  • retten til at læse en fil
  • retten til at skrive en fil (skrive)
  • retten til at udføre en fil

Ind­gan­ge­ne i en ad­gangs­kon­tro­li­ste kaldes også ad­gangs­kon­tro­len­he­der (ACE).

Ad­gangs­kon­tro­li­ster fungerer efter et meget simpelt princip, nemlig at hvis en bestemt bruger ønsker at få adgang til en ressource, vil ACL kon­trol­le­re, om ved­kom­men­de har ad­gangstil­la­del­se. Med andre ord, om der findes en ACE for brugeren. Hvis dette er tilfældet, vil adgangen blive tilladt, hvis ikke, vil den blive nægtet.

Typer af ad­gangs­kon­tro­li­ster og an­ven­del­ser

Der findes for­skel­li­ge typer ad­gangs­kon­tro­li­ster, hvilket betyder, at der er en lang række an­ven­del­ses­mu­lig­he­der for ACL’er. Generelt er der to primære for­skel­li­ge ad­gangs­kon­tro­li­ster: Netværks- og filsystem-ACL’er.

Netværks-ACL’er

Net­værks­ad­gangs­kon­trol lister er ta­bel­for­me­de lister, der fungerer som en slags firewall for indgående da­ta­tra­fik, for eksempel inden for routere. En netværks-ACL som denne bestemmer, hvilke pakker der kan komme ind i et netværk, og hvilke der ikke kan. Det betyder, at man ved hjælp af en netværks-ACL kan kon­trol­le­re adgangen til netværket.

Inden for netværks-ACL’er er det også værd at bemærke, at der er en forskel mellem normale og udvidede ad­gangs­kon­tro­li­ster. Normale ACL’er tager kun højde for kilde-IP-adressen og skelner ikke mellem for­skel­li­ge net­værks­pro­tokol­ler såsom TCP, UDP eller http. De bruges til enten at tillade eller nægte adgang til hele netværket. Udvidede ACL’er tager derimod også højde for mål-IP-adressen og filtrerer pakker på en væsentlig an­der­le­des måde, f.eks. på basis af net­værks­pro­tokol­len eller pakkens kilde- og målporte.

Filsystem-ACL’er

I mod­sæt­ning hertil styrer filsystem-ACL’er adgangen til filer og res­sour­cer i ope­ra­tiv­sy­ste­met. Listerne bruges i ope­ra­tiv­sy­ste­mer til ek­sem­pel­vis at kon­trol­le­re og styre in­di­vi­du­el­le brugeres ad­gangs­ret­tig­he­der til bestemte filer.

Opbygning af ad­gangs­kon­tro­li­ster

Hver ad­gangs­kon­tro­li­ste består i det væ­sent­li­ge af flere ad­gangs­kon­tro­len­he­der. Disse poster udgør ad­gangs­kon­tro­li­stens sæt regler og består igen af in­di­vi­du­el­le kom­po­nen­ter. Hvilke kom­po­nen­ter det drejer sig om, afhænger af den spe­ci­fik­ke type ACL. Selvom alle ACE’er har et ID samt op­lys­nin­ger om ad­gangs­ret­tig­he­der, er de meget for­skel­li­ge fra hinanden. Mens netværks-ACL’er også in­de­hol­der op­lys­nin­ger om IP-adresser, op­lys­nin­ger om pro­tokol­len eller portnumre, in­de­hol­der filsystem-ACL’er op­lys­nin­ger om bru­ger­grup­per.

ACL-im­ple­men­te­ring

Der er også en forskel i, hvordan ad­gangs­kon­tro­li­ster im­ple­men­te­res, afhængigt af om de bruges som en netværks-ACL eller en filsystem-ACL. Mens sidst­nævn­te kan kon­fi­gu­re­res ved hjælp af ter­mi­nal­kom­man­do­er, im­ple­men­te­res netværks-ACL’er i net­værks­kom­po­nen­ter såsom routere.

Note

Den nøjagtige im­ple­men­te­ring af en ad­gangs­kon­tro­li­ste afhænger ikke kun af typen (netværk eller filsystem), men også af ope­ra­tiv­sy­ste­met og den nøjagtige an­ven­del­ses­si­tu­a­tion.

Fordele

Ad­gangs­kon­tro­li­ster tilbyder en række fordele. Især filsystem-ACL’er giver brugerne mulighed for at kon­fi­gu­re­re deres computer, så kun au­to­ri­se­re­de brugere kan få adgang til bestemte res­sour­cer. Ad­gangs­kon­tro­li­ster udvider derfor den in­te­gre­re­de ret­tig­heds­sty­ring i Linux med mere de­tal­je­ret ad­gangs­be­skyt­tel­se og forbedrer sy­stem­sik­ker­he­den.

Netværks-ACL’er er et for­holds­vis ukom­pli­ce­ret al­ter­na­tiv til en firewall. De giver dig også mulighed for at kon­trol­le­re da­ta­tra­fik­ken mellem netværk. Dette forbedrer ikke kun ydeevnen, men øger også sik­ker­he­den.

Gå til ho­ved­me­nu­en