面试题答案
一键面试常见访问控制机制
- 访问控制列表(ACL)
- 原理:以列表形式记录不同用户或用户组对特定设备的访问权限。每个设备都关联一个ACL,其中包含一系列访问控制条目(ACE),每个ACE指定一个用户或用户组以及相应的访问权限,如读、写、执行等。
- 作用:可以精确地为不同用户或进程分配对设备的不同访问级别,灵活控制访问权限。
- 基于角色的访问控制(RBAC)
- 原理:将权限与角色相关联,用户通过成为适当角色的成员而获得这些角色的权限。例如,系统中可能定义“管理员”“普通用户”等角色,“管理员”角色对设备有完全控制权限,“普通用户”角色只有有限的只读权限。
- 作用:简化权限管理,当用户的工作职能发生变化时,只需更改其角色成员关系,而无需逐个调整权限。
- 自主访问控制(DAC)
- 原理:由设备的所有者决定哪些用户或进程可以访问该设备以及具有何种访问权限。所有者可以根据自己的意愿授予或撤销其他主体对设备的访问权。
- 作用:给予设备所有者较大的控制权,但也可能因为所有者的误操作或恶意行为导致安全风险。
- 强制访问控制(MAC)
- 原理:系统根据主体和客体的安全属性(如安全级别、敏感标签等)来决定是否允许访问。例如,将设备标记为“机密”级别,只有具有“机密”或更高安全级别的用户或进程才能访问。
- 作用:提供更高级别的安全性,常用于对安全性要求极高的环境,如军事、政府等领域。
在主流操作系统中的实现方式
- Windows操作系统
- ACL实现:Windows广泛使用ACL来控制对设备和文件等资源的访问。在设备管理器中,可以为每个设备设置安全属性,其中包含ACL。通过图形界面或命令行工具(如icacls),管理员可以添加、修改或删除ACE,从而精确控制不同用户或组对设备的访问权限。
- RBAC实现:Windows通过内置的用户组来实现类似RBAC的功能。例如,“Administrators”组具有对系统设备的完全控制权限,“Users”组只有基本的访问权限。用户通过加入相应的组来获得该组对应的权限。
- Linux操作系统
- ACL实现:自内核2.6.12起,Linux支持扩展ACL。通过setfacl和getfacl命令可以设置和查看文件及设备的ACL。例如,要为某个用户设置对特定设备文件的读权限,可以使用“setfacl -m u:username:r /dev/devicefile”命令。
- DAC实现:Linux基于文件权限的机制本质上是DAC的一种实现。设备通常以文件形式存在于“/dev”目录下,文件所有者可以通过chmod命令设置文件的权限,从而控制其他用户对设备的访问。例如,“chmod 600 /dev/sda”表示只有文件所有者有读写权限,其他用户无任何权限。
- MAC实现:SELinux(Security - Enhanced Linux)是Linux系统中实现MAC的典型机制。SELinux为系统中的每个进程和文件(包括设备文件)都分配安全上下文,通过策略规则来强制实施访问控制。例如,通过定义策略可以限制某个特定类型的进程只能访问特定安全级别的设备。