1.3 技术方案及原理1.3.1 自主访问控制概述
自主访问控制是指客体的所有者可以自主的将自己对客体的访问权限部分或全部的授予其navicatpremium16注册机拒绝访问他主体navicatpremium16注册机拒绝访问,并且可以在任何时候收回相应授权。在自主访问控制中navicatpremium16注册机拒绝访问,所有权限相关的操作都是客体的所有者进行的。对于DAC,它是采用访问控制矩阵实现的,在访问控制矩阵中,矩阵的行代表主体,矩阵的列代表客体,矩阵的元素代表主体对客体的访问权限。当主体对客体进行访问时,就会检查相应的访问控制矩阵,如果矩阵元素存在,主体就可以访问相应的客体;反之,则拒绝访问。由于存储整个矩阵效率比较低,为navicatpremium16注册机拒绝访问了提高效率,所以通常采用基于行或基于列的自主访问控制。
1.3.1.1 基于行的自主访问控制
基于行的自主访问控制是指在每个主体上都附加一个主体可以访问的客体的列表。根据表中的内容,可以将其分为以下三种[1-2]:
1. 权能表(Capabilities List) 所谓权能表是指表中存放了主体可以访问的客体以及主体对客体的访问权限。权能表即访问权限表。
2. 前缀表(Progiles) 前缀表是指表中列出了该用户拥有访问权限的所有文件
3. 口令(Password) 口令是指对每个客体的访问都对应一个口令,用户只有知道口令才能进行访问。
1.3.1.2 基于列的自主访问控制
基于列的自主访问控制机制是指对每个客体都附加一个可访问自己的主体的明细表。它有两种形式:
1. 保护位(protection Bits)保护位是对访问控制矩阵信息的一种不完全的表达方式,它将不同的“bit”与不同的主体项对应。
2. 访问控制列表(Access Control List)访问控制列表是指客体所有者可以针对任意用户或任意用户组进行权限的设置,从而实现更细粒度的权限管理,为了满足系统安全性的要求,大多数Linux操作系统都支持ACL。
1.3.2 Linux中ACL机制概述
在Linux中,访问权限分为两种:普通权限和ACL权限[3],其中ACL权限就是通过ACL来实现的。对某一文件具有访问权限的所有用户及用户对该文件的访问权限一起构成了该文件的ACL属性,ACL属性由访问控制表项组成,每个访问控制表项记录了可以访问该对象的用户和其具有的访问权限。当某个用户要访问某一文件时,首先根据请求中指定的文件在该文件对应的ACL属性中查找有无该请求包含的用户,如果有,再在此用户的ACL权限集中检查有无相应的访问权限,若有,则该请求是合法的,用户可以访问该文件;反之,请求被拒绝。那么,在Linux中,ACL是如何实现的呢navicatpremium16注册机拒绝访问?
事实上,作为文件系统的一个属性,在Linux中,ACL是由VFS和具体文件系统共同实现的。它依据具体文件系统的数据结构将文件的ACL信息存储在文件的索引节点中,并在底层的文件系统操作函数中添加相应的权限检测函数来对用户的访问操作进行权限的检查,从而判断用户能否访问文件。由于现在的Linux大多使用ext4文件系统,所以本文主要针对VFS和ext4文件系统对访问控制列表机制进行分析。
赞赏
人赞赏
