Seznami nadzora dostopa (ACL) nad­zo­ru­je­jo dostop procesov in upo­rab­ni­kov do po­sa­me­znih področij ra­ču­nal­ni­ka, kot so datoteke ali registri. S tem za­go­ta­vlja­jo, da imajo dostop do določenih virov samo po­o­bla­šče­ni upo­rab­ni­ki.

Kaj je seznam nadzora dostopa?

Seznami nadzora dostopa, tako kot obvezen nadzor dostopa ali nadzor dostopa na podlagi vlog, so oblika nadzora dostopa. ACL-ji so v bistvu niz pravil, ki jih ope­ra­cij­ski sistemi ali apli­ka­ci­je upo­ra­blja­jo za upra­vlja­nje dostopa do določenih delov programa ali virov. Seznam nadzora dostopa je torej način za upra­vlja­nje pravic do datotek ali drugih virov na ra­ču­nal­ni­ku.

Sezname nadzora dostopa si lahko pred­sta­vlja­te kot vrsto tabele, ki vsebuje upo­rab­ni­ke in vrsto dostopa, ki ga imajo. Naj­po­go­stej­še pravice dostopa so:

  • pravica do branja datoteke
  • pravica do pisanja datoteke (pisanje)
  • pravica do izvajanja datoteke

Vnosi v seznamu nadzora dostopa so znani tudi kot entitete nadzora dostopa (ACE).

Seznami nadzora dostopa delujejo na zelo pre­pro­stem principu, in sicer, če določen uporabnik želi dostopati do vira, ACL preveri, ali ima do­vo­lje­nje za dostop. Z drugimi besedami, ali obstaja ACE za upo­rab­ni­ka. Če je tako, bo dostop dovoljen, če ne, bo zavrnjen.

Vrste seznamov nadzora dostopa in njihova uporaba

Obstajajo različne vrste seznamov za nadzor dostopa, kar pomeni, da je uporaba ACL-jev zelo raznolika. Na splošno obstajata dve osnovni vrsti seznamov za nadzor dostopa: ACL-ji za omrežje in ACL-ji za datotečni sistem.

Omrežni ACL-ji

Seznami za nadzor dostopa do omrežja so seznami v obliki tabel, ki delujejo kot nekakšen požarni zid za vhodni promet podatkov, na primer v usmer­je­val­ni­kih. Takšen omrežni ACL določa, kateri paketi lahko vstopijo v omrežje in kateri ne. To pomeni, da je z uporabo omrežnega ACL mogoče nad­zo­ro­va­ti dostop do omrežja.

V okviru omrežnih ACL-jev je treba omeniti tudi razliko med obi­čaj­ni­mi in raz­šir­je­ni­mi seznami za nadzor dostopa. Običajni ACL-ji upo­šte­va­jo le izvorni IP-naslov in ne raz­li­ku­je­jo med raz­lič­ni­mi omrežnimi protokoli, kot so TCP, UDP ali http. Upo­ra­blja­jo se za do­vo­lje­va­nje ali za­vra­ča­nje dostopa do celotnega omrežja. Raz­šir­je­ni ACL-ji pa upo­šte­va­jo tudi ciljni IP-naslov in fil­tri­ra­jo pakete na bistveno drugačen način, na primer na podlagi omrežnega protokola ali izhodnih in ciljnih vrat paketa.

ACL-ji da­to­teč­ne­ga sistema

Nasprotno pa ACL-ji da­to­teč­ne­ga sistema upra­vlja­jo dostop do datotek in virov v ope­ra­cij­skem sistemu. Seznami se upo­ra­blja­jo v ope­ra­cij­skih sistemih, na primer za nadzor in upra­vlja­nje dostopnih pravic po­sa­me­znih upo­rab­ni­kov do določenih datotek.

Izdelava seznamov za nadzor dostopa

Vsak seznam nadzora dostopa je v bistvu se­sta­vljen iz več entitet nadzora dostopa. Ti vnosi tvorijo niz pravil seznama nadzora dostopa in so prav tako se­sta­vlje­ni iz po­sa­me­znih komponent. Kateri kom­po­nen­ti točno so, je odvisno od kon­kre­tne­ga tipa ACL. Čeprav imajo vsi ACE iden­ti­fi­ka­cij­sko številko in in­for­ma­ci­je o pravicah dostopa, se med seboj močno raz­li­ku­je­jo. Medtem ko omrežni ACL vsebujejo tudi in­for­ma­ci­je o IP naslovih, in­for­ma­ci­je o protokolu ali številkah vrat, datotečni sistem ACL vsebuje in­for­ma­ci­je o skupinah upo­rab­ni­kov.

Izvajanje ACL

Obstaja tudi razlika v načinu izvajanja seznamov za nadzor dostopa, odvisno od tega, ali se upo­ra­blja­jo kot ACL omrežja ali ACL da­to­teč­ne­ga sistema. Medtem ko je slednje mogoče kon­fi­gu­ri­ra­ti preprosto z uporabo ter­mi­nal­skih ukazov, se ACL omrežja izvajajo v omrežnih kom­po­nen­tah, kot so usmer­je­val­ni­ki.

Note

Natančna im­ple­men­ta­ci­ja seznama nadzora dostopa ni odvisna samo od vrste (omrežje ali datotečni sistem), ampak tudi od ope­ra­cij­ske­ga sistema in na­tanč­ne­ga primera uporabe.

Prednosti

Seznami za nadzor dostopa ponujajo vrsto prednosti. Zlasti ACL-ji da­to­teč­ne­ga sistema omogočajo upo­rab­ni­kom, da kon­fi­gu­ri­ra­jo svoj ra­ču­nal­nik tako, da imajo dostop do določenih virov samo po­o­bla­šče­ni upo­rab­ni­ki. Seznami za nadzor dostopa tako raz­šir­ja­jo in­te­gri­ra­no upra­vlja­nje pravic v Linuxu z bolj podrobno zaščito dostopa in iz­bolj­šu­je­jo varnost sistema.

Omrežni ACL-ji so so­raz­mer­na in ne­za­ple­te­na al­ter­na­ti­va požarnemu zidu. Omogočajo vam tudi nadzor nad prometom podatkov med omrežji. To ne le izboljša zmo­glji­vost, ampak tudi poveča varnost.

Go to Main Menu