Prieigos kontrolės sąrašai (ACL) kont­ro­liuo­ja procesų ir vartotojų prieigą prie atskirų kom­piu­te­rio sričių, pvz., failų ar registrų. Taip už­tik­ri­na­ma, kad prie tam tikrų išteklių galėtų prieiti tik įgalioti var­to­to­jai.

Kas yra prieigos kontrolės sąrašas?

Prieigos kontrolės sąrašai, kaip ir privaloma prieigos kontrolė ar vaid­me­ni­mis pagrįsta prieigos kontrolė, yra prieigos kontrolės forma. Iš esmės ACL yra taisyklių rinkinys, kurį ope­ra­ci­nės sistemos ar programos naudoja prieigai prie konkrečių programos dalių ar išteklių valdyti. Taigi prieigos kontrolės sąrašas yra būdas valdyti failų ar kitų išteklių teises kom­piu­te­ry­je.

Todėl prieigos kontrolės sąrašus galima įsi­vaiz­duo­ti kaip lentelę, kurioje nurodyti var­to­to­jai ir jiems suteiktos prieigos teisės. Daž­niau­siai su­tei­kia­mos šios prieigos teisės:

  • teisė skaityti failą
  • teisė rašyti failą (rašyti)
  • teisė vykdyti failą

Prieigos kontrolės sąrašo įrašai taip pat vadinami prieigos kontrolės vienetais (ACE).

Prieigos kontrolės sąrašai veikia pagal labai paprastą principą: jei tam tikras var­to­to­jas nori gauti prieigą prie išteklių, ACL patikrina, ar jam leidžiama prieiga. Kitaip tariant, ar var­to­to­jui yra skirtas ACE. Jei taip, prieiga bus leidžiama, jei ne – bus at­si­sa­ky­ta.

Prieigos kontrolės sąrašų tipai ir nau­do­ji­mas

Yra įvairių tipų prieigos kontrolės sąrašų, o tai reiškia, kad ACL gali būti naudojami įvairiais būdais. Apskritai yra du pag­rin­di­niai prieigos kontrolės sąrašų tipai: tinklo ir failų sistemos ACL.

Tinklo ACL

Tinklo prieigos kontrolės sąrašai yra lentelės tipo sąrašai, kurie veikia kaip tam tikros rūšies ug­nia­sie­nė įei­nan­čiam duomenų srautui, pa­vyz­džiui, marš­ru­ti­za­to­riuo­se. Toks tinklo ACL nustato, kurie paketai gali patekti į tinklą, o kurie ne. Tai reiškia, kad naudojant tinklo ACL galima kont­ro­liuo­ti prieigą prie tinklo.

Tinklo ACL sąrašuose taip pat verta atkreipti dėmesį į skirtumą tarp įprastų ir iš­plės­ti­nių prieigos kontrolės sąrašų. Įprasti ACL sąrašai at­si­žvel­gia tik į šaltinio IP adresą ir neskiria skirtingų tinklo protokolų, pvz., TCP, UDP ar http. Jie naudojami norint leisti arba uždrausti prieigą prie viso tinklo. Kita vertus, iš­plės­ti­niai ACL taip pat at­si­žvel­gia į pa­skir­ties IP adresą ir filtruoja paketus iš esmės kitaip, pa­vyz­džiui, pagal tinklo protokolą arba paketo šaltinio ir pa­skir­ties prievadus.

Failų sistemos ACL

Prie­šin­gai, failų sistemos ACL valdo prieigą prie failų ir išteklių ope­ra­ci­nė­je sistemoje. Sąrašai naudojami ope­ra­ci­nė­se sistemose, pa­vyz­džiui, siekiant kont­ro­liuo­ti ir valdyti atskirų vartotojų prieigos teises prie tam tikrų failų.

Prieigos kontrolės sąrašų kūrimas

Kiekvieną prieigos kontrolės sąrašą iš esmės sudaro keli prieigos kontrolės elementai. Šie įrašai sudaro prieigos kontrolės sąrašo taisyklių rinkinį ir taip pat yra sudaryti iš atskirų kom­po­nen­tų. Kokie tiksliai kom­po­nen­tai, priklauso nuo konk­re­taus ACL tipo. Nors visi ACE turi ID ir in­for­ma­ci­ją apie prieigos teises, jie labai skiriasi vienas nuo kito. Tinklo ACL taip pat turi in­for­ma­ci­ją apie IP adresus, protokolą ar prievadų numerius, o failų sistemos ACL turi in­for­ma­ci­ją apie vartotojų grupes.

ACL įgy­ven­di­ni­mas

Taip pat yra skirtumas, kaip įgy­ven­di­na­mi prieigos kontrolės sąrašai, pri­klau­so­mai nuo to, ar jie naudojami kaip tinklo ACL, ar kaip failų sistemos ACL. Pa­sta­rie­ji gali būti kon­fi­gū­ruo­ja­mi paprastai naudojant terminalo komandas, o tinklo ACL įgy­ven­di­na­mi tinklo kom­po­nen­tuo­se, pvz., marš­ru­ti­za­to­riuo­se.

Note

Tiksli prieigos kontrolės sąrašo įgy­ven­di­ni­mo tvarka priklauso ne tik nuo tipo (tinklo ar failų sistemos), bet ir nuo ope­ra­ci­nės sistemos bei konk­re­taus naudojimo atvejo.

Pri­va­lu­mai

Prieigos kontrolės sąrašai siūlo daugybę privalumų. Visų pirma, failų sistemos ACL leidžia var­to­to­jams kon­fi­gū­ruo­ti savo kom­piu­te­rį taip, kad tik įgalioti var­to­to­jai galėtų naudotis tam tikrais iš­tek­liais. Taigi, prieigos kontrolės sąrašai išplečia in­te­gruo­tą teisių valdymą Linux sistemoje, už­tik­ri­nant išsamesnę prieigos apsaugą ir pa­ge­rin­da­mi sistemos saugumą.

Tinklo ACL yra pro­por­cin­ga ir ne­su­dė­tin­ga al­ter­na­ty­va ug­nia­sie­nei. Jos taip pat leidžia kont­ro­liuo­ti duomenų srautą tarp tinklų. Tai ne tik pagerina našumą, bet ir padidina saugumą.

Go to Main Menu