Tilgangskontrollister (ACL) kontrollerer prosessers og brukeres tilgang til enkelte områder på en datamaskin, for eksempel filer eller registre. På denne måten sikrer de at kun autoriserte brukere får tilgang til bestemte ressurser.

Hva er en tilgangskontrolliste?

Tilgangskontrollister, akkurat som obligatorisk tilgangskontroll eller rollebasert tilgangskontroll, er en form for tilgangskontroll. I utgangspunktet er ACL-er et sett med regler som brukes av operativsystemer eller applikasjoner for å administrere tilgang til bestemte programdeler eller ressurser. En tilgangskontrolliste er altså en måte å administrere fil- eller andre ressursrettigheter på en datamaskin.

Du kan derfor forestille deg tilgangskontrollister som en type tabell som inneholder brukerne og hvilken type tilgang de har. De vanligste tilgangsrettighetene er:

  • retten til å lese en fil
  • retten til å skrive en fil (skrive)
  • retten til å kjøre en fil

Oppføringene i en tilgangskontrolliste kalles også tilgangskontrollenheter (ACE).

Tilgangskontrollister fungerer etter et veldig enkelt prinsipp, nemlig at hvis en bestemt bruker ønsker tilgang til en ressurs, vil ACL sjekke om vedkommende har tilgang. Med andre ord, om det finnes en ACE for brukeren. Hvis dette er tilfelle, vil tilgang bli gitt, hvis ikke, vil den bli nektet.

Typer av tilgangskontrollister og bruksområder

Det finnes forskjellige typer tilgangskontrollister, noe som betyr at ACL-er har et bredt spekter av bruksområder. Generelt sett finnes det to hovedtyper av tilgangskontrollister: ACL-er for nettverk og filsystemer.

Nettverks-ACL-er

Nettverkstilgangskontrollister er tabelllister som fungerer som en slags brannmur for innkommende datatrafikk, for eksempel i rutere. En slik nettverks-ACL bestemmer hvilke pakker som kan komme inn i nettverket og hvilke som ikke kan det. Dette betyr at ved å bruke en nettverks-ACL kan tilgangen til nettverket kontrolleres.

Innenfor nettverks-ACL-er er det også verdt å merke seg at det er en forskjell mellom normale og utvidede tilgangskontrollister. Normale ACL-er tar kun hensyn til kilde-IP-adressen og skiller ikke mellom ulike nettverksprotokoller som TCP, UDP eller http. De brukes til å enten tillate eller nekte tilgang til hele nettverket. Utvidede ACL-er tar derimot også hensyn til mål-IP-adressen og filtrerer pakker på en vesentlig annen måte, for eksempel på grunnlag av nettverksprotokollen eller kilde- og målportene til en pakke.

Fil-system ACL-er

I motsetning til dette styrer ACL-er i filsystemet tilgangen til filer og ressurser i operativsystemet. Listene brukes i operativsystemer, for eksempel til å kontrollere og administrere tilgangsrettighetene til enkeltbrukere til bestemte filer.

Opprette tilgangskontrollister

Hver tilgangskontrolliste består i hovedsak av flere tilgangskontrollenheter. Disse oppføringene utgjør tilgangskontrollistens regelsett og består igjen av individuelle komponenter. Nøyaktig hvilke komponenter avhenger av den spesifikke typen ACL. Selv om alle ACE-er har en ID samt informasjon om tilgangsrettigheter, er de svært forskjellige fra hverandre. Mens nettverks-ACL-er også inneholder informasjon om IP-adresser, informasjon om protokollen eller portnumre, inneholder filsystem-ACL-er informasjon om brukergrupper.

ACL-implementering

Det er også en forskjell i hvordan tilgangskontrollister implementeres, avhengig av om de brukes som en nettverks-ACL eller en filsystem-ACL. Mens sistnevnte kan konfigureres enkelt ved hjelp av terminalkommandoer, implementeres nettverks-ACL-er i nettverkskomponenter som rutere.

Note

Den nøyaktige implementeringen av en tilgangskontrolliste avhenger ikke bare av typen (nettverk eller filsystem), men også av operativsystemet og den nøyaktige brukssituasjonen.

Fordeler

Tilgangskontrollister gir en rekke fordeler. Spesielt filsystem-ACL-er gjør det mulig for brukere å konfigurere datamaskinen sin slik at bare autoriserte brukere har tilgang til bestemte ressurser. Tilgangskontrollister utvider derfor integrert rettighetsadministrasjon i Linux med mer detaljert tilgangsbeskyttelse og forbedrer systemsikkerheten.

Nettverks-ACL-er er et forholdsmessig ukomplisert alternativ til en brannmur. De lar deg også kontrollere datatrafikken mellom nettverk. Dette forbedrer ikke bare ytelsen, men øker også sikkerheten.

Go to Main Menu