access control

access control — управление доступом. Обычно даже обычным пользователям, не говоря об администраторах, предоставляются чрезмерные полномочия. Например, зачем пользователю, который целыми днями работает с текстовым процессором (например, секретарю) возможность компиляции программ или доступа к Интернет). Этим может воспользоваться злоумышленник. На уровне операционной

системы можно ограничить доступ этого пользователя только к файлам, в Unix можно еще ограничить некоторые системные ресурсы (например, задать дисковые квоты, максимальное чисто процессов и др.). Система контроля доступа позволяет определить для конкретного пользователя то, какие операции он может выполнять (какие программы может запускать) в системе, а какие — нет. Различают:

mandatory access control (MAC) — принудительное управление доступом. Обычно доступ к объекту (например, к файлу) контролирует владелец объекта (пользователь, создавший объект), а в этой системе доступ к объекту контролирует не его владелец, а администратор системы.

discretionary access control (DAC) — дискреционное управление доступом. DAC — это формальное имя стандартной системы пользователей и прав доступа, которая известна всем Unix-пользователям. В этой системе доступ к объекту (например, к файлу) контролируется владельцем этого объекта с помощью прав доступа. Владелец может контролировать не только тех пользователей, которым положен доступ к объекту, но и режимы доступа (например, чтение, запись, выполнение).