Pää­sy­oi­keus­luet­te­lot (ACL) hal­lit­se­vat pro­ses­sien ja käyt­tä­jien pääsyä tie­to­ko­neen yk­sit­täi­siin alueisiin, kuten tie­dos­toi­hin tai re­kis­te­rei­hin. Näin ne var­mis­ta­vat, että vain val­tuu­te­tut käyttäjät pääsevät tiet­tyi­hin re­surs­sei­hin.

Mikä on pää­sy­oi­keus­luet­te­lo?

Pää­syn­val­von­ta­lis­tat ovat pa­kol­li­sen pää­syn­val­von­nan tai roo­li­poh­jai­sen pää­syn­val­von­nan tavoin erään­lai­nen pää­syn­val­von­nan muoto. Pe­ri­aat­tees­sa ACL:t ovat joukko sääntöjä, joita käyt­tö­jär­jes­tel­mät tai so­vel­luk­set käyttävät hal­li­tak­seen pääsyä tiet­tyi­hin ohjelman osiin tai re­surs­sei­hin. Pää­syn­val­von­ta­lis­ta on siis tapa hallita tie­dos­to­jen tai muiden re­surs­sien käyt­tö­oi­keuk­sia tie­to­ko­neel­la.

Voit siis kuvitella pää­sy­oi­keus­luet­te­lot erään­lai­sik­si tau­lu­koik­si, jotka si­säl­tä­vät käyttäjät ja heidän pää­sy­oi­keu­ten­sa. Ylei­sim­mät pää­sy­oi­keu­det ovat:

  • oikeus lukea tiedosto
  • oikeus kir­joit­taa tiedostoa (kir­joit­taa)
  • oikeus suorittaa tiedosto

Pää­syn­val­von­ta­lis­tan merkinnät tunnetaan myös nimellä pää­syn­val­von­taen­ti­tee­tit (ACE).

Pää­syn­val­von­ta­lis­tat toimivat hyvin yk­sin­ker­tai­sen pe­ri­aat­teen mu­kai­ses­ti: jos tietty käyttäjä haluaa käyttää resurssia, ACL tarkistaa, onko hänellä siihen pää­sy­oi­keus. Toisin sanoen, onko käyt­tä­jäl­le mää­ri­tet­ty ACE. Jos näin on, pääsy sallitaan, jos ei, se evätään.

Pää­syn­val­von­ta­lis­to­jen tyypit ja käyt­tö­tar­koi­tuk­set

On olemassa erilaisia pää­syn­val­von­ta­lis­to­ja, mikä tar­koit­taa, että ACL:ien käyt­tö­tar­koi­tuk­set ovat mo­ni­nai­set. Yleisesti ottaen on olemassa kaksi pää­tyyp­piä pää­syn­val­von­ta­lis­to­ja: verkko- ja tie­dos­to­jär­jes­tel­män ACL:t.

Verkon ACL-säännöt

Verkon pää­syn­val­von­ta­lis­tat ovat tau­luk­ko­muo­toi­sia luet­te­loi­ta, jotka toimivat erään­lai­se­na pa­lo­muu­ri­na saa­pu­val­le da­ta­lii­ken­teel­le, esi­mer­kik­si rei­tit­ti­mis­sä. Tällainen verkon ACL määrittää, mitkä paketit pääsevät verkkoon ja mitkä eivät. Tämä tar­koit­taa, että verkon ACL:ää käyt­tä­mäl­lä voidaan hallita pääsyä verkkoon.

Verkon ACL-luet­te­lois­sa on myös syytä huomata, että ta­val­li­sil­la ja laa­jen­ne­tuil­la pää­syn­val­von­ta­lis­toil­la on ero. Ta­val­li­set ACL-luettelot ottavat huomioon vain lähde-IP-osoitteen eivätkä erottele eri verk­kopro­to­kol­lia, kuten TCP, UDP tai http. Niitä käytetään joko koko verkon pääsyn sal­li­mi­seen tai es­tä­mi­seen. Laa­jen­ne­tut ACL:t puo­les­taan ottavat huomioon myös kohde-IP-osoitteen ja suo­dat­ta­vat paketteja olen­nai­ses­ti eri tavalla, esi­mer­kik­si verk­kopro­to­kol­lan tai paketin lähde- ja koh­de­port­tien pe­rus­teel­la.

Tie­dos­to­jär­jes­tel­män ACL:t

Sen sijaan tie­dos­to­jär­jes­tel­män ACL:t hal­lit­se­vat tie­dos­to­jen ja re­surs­sien käyt­tö­oi­keuk­sia käyt­tö­jär­jes­tel­mäs­sä. Luet­te­loi­ta käytetään käyt­tö­jär­jes­tel­mis­sä esi­mer­kik­si yk­sit­täis­ten käyt­tä­jien käyt­tö­oi­keuk­sien hal­lin­taan ja hal­lin­noin­tiin tiet­tyi­hin tie­dos­toi­hin.

Ra­ken­nus­ten ku­lun­val­von­ta­lis­to­jen laa­ti­mi­nen

Jokainen pää­syn­val­von­ta­lis­ta koostuu olen­nai­ses­ti useista pää­syn­val­von­taen­ti­tee­teis­tä. Nämä merkinnät muo­dos­ta­vat pää­syn­val­von­ta­lis­tan sään­nös­tön ja koostuvat puo­les­taan yk­sit­täi­sis­tä kom­po­nen­teis­ta. Kom­po­nent­tien tarkka koostumus riippuu ACL:n tyypistä. Vaikka kaikilla ACE:illä on tunnus ja tiedot käyt­tö­oi­keuk­sis­ta, ne eroavat toi­sis­taan huo­mat­ta­vas­ti. Verkon ACL:t si­säl­tä­vät myös tietoja IP-osoit­teis­ta, pro­to­kol­las­ta tai port­ti­nu­me­rois­ta, kun taas tie­dos­to­jär­jes­tel­män ACL:t si­säl­tä­vät tietoja käyt­tä­jä­ryh­mis­tä.

ACL:n käyt­töön­ot­to

Myös pää­syn­val­von­ta­lis­to­jen to­teu­tus­ta­pa eroaa sen mukaan, käy­te­tään­kö niitä verkko-ACL:nä vai tie­dos­to­jär­jes­tel­män ACL:nä. Jäl­kim­mäi­nen voidaan määrittää yk­sin­ker­tai­ses­ti ter­mi­naa­li­ko­men­noil­la, mutta verkko-ACL:t to­teu­te­taan verk­ko­kom­po­nen­teis­sa, kuten rei­tit­ti­mis­sä.

Huomio

Pää­sy­oi­keuk­sien hal­lin­ta­luet­te­lon tarkka toteutus riippuu paitsi tyypistä (verkko tai tie­dos­to­jär­jes­tel­mä) myös käyt­tö­jär­jes­tel­mäs­tä ja tarkasta käyt­tö­tar­koi­tuk­ses­ta.

Edut

Pää­syn­val­von­ta­lis­tat tarjoavat monia etuja. Eri­tyi­ses­ti tie­dos­to­jär­jes­tel­män ACL-listojen avulla käyttäjät voivat määrittää tie­to­ko­neen­sa asetukset siten, että vain val­tuu­te­tut käyttäjät pääsevät käyt­tä­mään tiettyjä re­surs­se­ja. Pää­syn­val­von­ta­lis­tat laa­jen­ta­vat siten Linuxin in­tegroi­tua oi­keuk­sien hallintaa entistä tar­kem­mal­la pää­syn­suo­jauk­sel­la ja pa­ran­ta­vat jär­jes­tel­män tie­to­tur­vaa.

Verkon ACL-säännöt ovat pa­lo­muu­rin suh­teel­li­sen yk­sin­ker­tai­nen vaih­toeh­to. Niiden avulla voit myös hallita verk­ko­lii­ken­net­tä verkkojen välillä. Tämä parantaa paitsi suo­ri­tus­ky­kyä myös tur­val­li­suut­ta.

Siirry pää­va­lik­koon