RSBAC es un marco de control de acceso de código abierto para los kernels de Linux actuales , que se ha utilizado de forma estable en producción desde enero de 2000 (versión 1.0.9a).
Características
- Extensión de seguridad del kernel de Linux de la licencia pública general GNU ( GPL ) de código abierto gratuito
- Independiente de gobiernos y grandes empresas
- Varios modelos de seguridad nuevos y conocidos, por ejemplo, control de acceso obligatorio ( MAC ), lista de control de acceso ( ACL ) y compatibilidad de roles (RC)
- Escaneo de virus en acceso con interfaz Dazuko
- Control detallado sobre los accesos a la red de programas y usuarios individuales
- Totalmente acceso controlado gestión de usuarios a nivel de kernel
- Cualquier combinación de modelos de seguridad posible
- Fácilmente ampliable: escriba su propio modelo para el registro en tiempo de ejecución
- Soporte para los últimos kernels
- Estable para uso en producción
- Fácilmente portátil a otros sistemas operativos
La arquitectura del sistema RSBAC se ha derivado y ampliado del Marco Generalizado para el Control de Acceso ( GFAC ) de Marshall Abrams y Leonard La Padula.
RSBAC significa "control de acceso basado en un conjunto de reglas" y también es una solución de control de acceso basado en roles ( RBAC ). Los dos acrónimos pueden causar confusión.
En su ensayo "Modelado de conjuntos de reglas de un sistema informático confiable", Leonard LaPadula describe cómo el enfoque del Marco generalizado para el control de acceso (GFAC) podría implementarse en el sistema operativo UNIX System V. Introdujo la clara separación entre Access Enforcement Facility (AEF), Access Decision Facility (ADF) con Access Control Rules (ACR) e Access Control Information (ACI).
El AEF, como parte de la función de llamada al sistema, llama al ADF, que utiliza ACI y las reglas para devolver una decisión y un conjunto de nuevos valores de atributo ACI. Luego, la decisión es aplicada por la AEF, que también establece los nuevos valores de atributo y, en caso de acceso permitido, proporciona acceso de objeto al sujeto.
Esta estructura requiere que todas las llamadas al sistema relevantes para la seguridad se extiendan mediante la interceptación de AEF, y necesita una interfaz bien definida entre AEF y ADF. Para un mejor modelado, se utilizó un conjunto de tipos de solicitudes en las que se debían expresar todas las funcionalidades de llamadas al sistema. La estructura general del GFAC también se ha incluido en la norma ISO 10181-3 Marcos de seguridad para sistemas abiertos: marco de control de acceso y en la API de autorización estándar de Open Group (AZN).
El primer prototipo RSBAC siguió las sugerencias de La Padula e implementó algunas políticas de control de acceso que se describen brevemente allí, a saber, control de acceso obligatorio ( MAC ), control funcional (FC) [ aclaración necesaria ] y Modificación de la información de seguridad (SIM), así como el Modelo de privacidad de Simone Fischer-Hübner .
Muchos aspectos del sistema han cambiado mucho desde entonces, por ejemplo, el marco actual admite más tipos de objetos, incluye administración de listas genéricas y control de acceso a la red, contiene varios modelos de seguridad adicionales y admite el registro en tiempo de ejecución de módulos de decisión y llamadas al sistema para su administración.
RSBAC y otras soluciones
RSBAC está muy cerca de Security-Enhanced Linux ( SELinux ), ya que comparten mucho más en su diseño que otros controles de acceso [ cita requerida ] como AppArmor .
Sin embargo, RSBAC trae su propio código de enlace en lugar de depender del Módulo de seguridad de Linux ( LSM ). Debido a esto, RSBAC es técnicamente un reemplazo para el propio LSM e implementa módulos que son similares a SELinux, pero con funcionalidad adicional. [ cita requerida ]
El marco RSBAC incorpora el estado completo del objeto y tiene un conocimiento completo del estado del kernel al tomar decisiones, lo que lo hace más flexible y confiable. [ cita requerida ] Sin embargo, esto tiene el costo de una sobrecarga levemente más alta en el marco en sí. Aunque los sistemas habilitados para SELinux y RSBAC tienen un impacto similar en el rendimiento, el impacto de LSM por sí solo es insignificante en comparación con el marco RSBAC por sí solo. [ cita requerida ]
Por esta razón, [ cita requerida ] LSM ha sido seleccionado como mecanismo de enganche de seguridad único y predeterminado en el kernel de Linux, RSBAC viene solo como un parche separado.
Historia
RSBAC fue el primer parche de control de acceso basado en roles ( RBAC ) y control de acceso obligatorio ( MAC ) de Linux . [ cita requerida ]
Ver también
- Lista de control de acceso
- Control de acceso basado en atributos (ABAC)
- Control de acceso basado en contexto (CBAC)
- Control de acceso discrecional (DAC)
- Control de acceso basado en gráficos (GBAC)
- Control de acceso basado en celosía (LBAC)
- Control de acceso obligatorio (MAC)
- Control de acceso basado en organización (OrBAC)
- Control de acceso basado en roles (RBAC)
- Seguridad basada en capacidad
- Autenticación basada en la ubicación
- Autenticación basada en riesgos
- La seguridad informática
- Paz
- Linux con seguridad mejorada