액세스 컨트롤 리스트

Access-control list

컴퓨터 보안에서 ACL(Access-Control List)은 시스템 리소스(개체)와 관련된 권한 목록입니다.ACL은 개체에 대한 액세스가 허용된 사용자 또는 시스템 프로세스와 특정 개체에 대해 [1]허용되는 작업을 지정합니다.표준 ACL의 각 엔트리는 제목과 동작을 지정합니다.예를 들어, 파일 객체에 를 포함하는 ACL이 있는 경우, 이것은 Alice에게 파일 읽기 및 쓰기 권한을 부여하고 Bob에게 파일 읽기 권한만 부여합니다.

실장

많은 종류의 운영체제시스템이 ACL을 실장하거나 과거 실장하고 있습니다.[2]ACL의 첫 실장은 1965년에 Multics파일시스템에 있었습니다.

파일 시스템 ACL

파일 시스템 ACL은 프로그램, 프로세스 또는 파일 등의 특정 시스템개체에 대한 개별 사용자 또는 그룹 권한을 지정하는 엔트리를 포함하는 데이터 구조(일반적으로 테이블)입니다.이러한 엔트리는 Microsoft Windows NT,[3] OpenVMS 및 Linux, macOS, Solaris 의 Unix 유사 운영체제시스템에서는 Access-Control Entry(ACE; 접근컨트롤 엔트리)라고 불립니다.액세스 가능한 각 오브젝트에는 ACL에 대한 ID가 포함됩니다.권한 또는 권한은 사용자가 개체의 읽기, 쓰기 또는 실행 가능 여부 등 특정 액세스 권한을 결정합니다.실장에 따라서는 사용자 또는 사용자 그룹이 오브젝트의 ACL을 변경할 수 있는지 여부를 ACE에 의해 제어할 수 있습니다.

파일 시스템 ACL을 최초로 제공한 운영 체제 중 하나는 Multics였습니다.PRIMOS는 적어도 [4]1984년에 ACL을 도입했습니다.

1990년대에 ACL 및 RBAC 모델은 광범위하게[by whom?] 테스트되어 파일 권한 관리에 사용되었습니다.

POSIX ACL

POSIX 1003.1e/1003.2c 워킹그룹은 ACL을 표준화하려고 노력했고, 그 결과 현재는 'POSIX.1e ACL' 또는 단순히 'POSIX ACL'[5]로 불리고 있습니다.POSIX.1e/POSIX.2c 초안은 참가자들이 프로젝트 자금 조달에 대한 관심을 잃고 NFSv4 [6]ACL과 같은 보다 강력한 대안으로 눈을 돌리기 때문에 1997년에 철회되었습니다.2019년 12월 현재, 초안의 실제 출처는 인터넷에서 찾을 수 없지만,[7] 여전히 인터넷 아카이브에서 찾을 수 있다.

대부분의 Unix 및 Unix 유사 운영체제시스템(예를 들어 2002년 [8]11월 또는 2.5.46 이후 Linux, BSD 또는 Solaris)은 POSIX.1e ACL을 지원합니다(드래프트 17은 아닙니다).ACL 은, 통상은 이러한 시스템상의 파일의 확장 어트리뷰트에 격납됩니다.

NFSv4 ACL

NFSv4 ACL은 POSIX 드래프트 ACL보다 훨씬 강력합니다.초안 POSIX ACL과 달리 NFSv4 ACL은 네트워크 파일시스템의 일부로서 실제로 공개된 표준에 의해 정의됩니다.

NFSv4 ACL은 많은 Unix 및 Unix 유사 운영 체제에서 지원됩니다.를 들어 AIX, FreeBSD,[9] Mac OS X 버전 10.4("Tiger") 또는 ZFS 파일 [10]시스템을 사용하는 Solaris는 NFSv4 ACL을 지원하며 NFSv4 표준의 일부입니다.Linux용 NFSv4 ACL에는 Ext3 파일[11] 시스템을 지원하는 NFSv4 ACL과 Ext4 파일 [12]시스템을 지원하는 최신 Richacls의 두 가지 실험적인 구현이 있습니다.POSIX ACL 와 같이, NFSv4 ACL 는 통상, Unix 와 같은 시스템에 확장 어트리뷰트로 보존됩니다.

NFSv4 ACL은 [13]NTFS에서 사용되는 Windows NT ACL과 거의 동일하게 구성됩니다.NFSv4.1 ACL은 NT ACL과 POSIX 드래프트 ACL의 [14]양쪽 모두 슈퍼셋입니다.Samba는 다양한 방법으로 SMB 공유 파일의 NT ACL 저장을 지원합니다. 중 하나는 NFSv4 인코딩 ACL입니다.[15]

Active Directory ACL

마이크로소프트Active Directory 서비스는 도메인의 사용자 [16]및 컴퓨터에 대한 구성 정보를 저장하고 배포하는 LDAP 서버를 구현합니다.Active Directory는 Windows NT가 NTFS 파일 시스템에 사용하는 것과 동일한 유형의 액세스 제어 목록 메커니즘을 추가하여 LDAP 사양을 확장합니다.그 후 Windows 2000에서는 액세스컨트롤 엔트리의 구문이 확장되어 LDAP 오브젝트 전체뿐만 아니라 이들 [17]오브젝트 내의 개별 Atribute에 대한 액세스 허가 또는 거부도 할 수 있게 되었습니다.

네트워킹 ACL

일부 유형의 컴퓨터 하드웨어(특히 라우터스위치)에서는 액세스컨트롤 리스트는 호스트 또는 다른 레이어3에서 사용 가능포트 번호 또는 IP 주소에 적용되는 규칙을 제공합니다.이러한 규칙에는 각각 서비스를 사용할 수 있는 호스트 또는 네트워크 목록이 포함됩니다.네트워크 도메인명에 근거해 액세스컨트롤 리스트를 설정할 수도 있습니다만, 개개의 TCP, UDP, ICMP 헤더에는 도메인명이 포함되어 있지 않기 때문에, 이것은 의심스러운 생각입니다.따라서 접근컨트롤 목록을 적용하는 디바이스는 이름을 수치 주소로 개별적으로 해결해야 합니다.이로 인해 접근컨트롤 리스트가 보호하고 있는 시스템의 보안을 침해하려고 하는 공격자에 대한 추가 공격 표면이 나타납니다.개별 서버와 라우터 모두 네트워크 ACL을 가질 수 있습니다.액세스 컨트롤 리스트는, 통상은 착신 트래픽과 발신 트래픽의 양쪽 모두를 제어하도록 설정할 수 있습니다.이러한 컨텍스트에서는 방화벽과 비슷합니다.ACL은 방화벽과 마찬가지로 보안 규정 및 PCI DSS 의 표준이 적용되는 경우가 있습니다.

SQL 구현

ACL 알고리즘은 SQL 및 릴레이셔널 데이터베이스 시스템으로 이식되었습니다.엔터프라이즈 리소스 계획 및 콘텐츠 관리 시스템과 같은 많은 "현대" SQL 기반 시스템(2000년대 및 2010년대)은 관리 모듈에서 ACL 모델을 사용해 왔습니다.

RBAC와의 비교

ACL 모델의 주된 대체 방법은 Role-Based Access-Control(RBAC; 롤베이스 액세스컨트롤) 모델입니다.「최소 RBAC 모델」인 RBACm은 ACL 메커니즘인ACLg와 비교할 수 있습니다.ACL에서는 그룹만이 ACL 내의 엔트리로 허용됩니다.Barkley(1997)[18]RBACmACLg가 동등하다는 것을 보여주었다.

최신 SQL 구현에서는 ACL이 그룹 계층에서 그룹 및 상속도 관리합니다.따라서 "현대 ACL"은 RBAC가 표현하는 모든 것을 표현할 수 있으며 관리자가 조직을 보는 방식에서 접근컨트롤 정책을 표현하는 능력에 있어서 매우 강력합니다(「구 ACL」과 비교).

데이터 교환 및 "개요 비교"를 위해 ACL 데이터를 XACML[19]변환할 수 있습니다.

「 」를 참조해 주세요.

레퍼런스

  1. ^ RFC 4949
  2. ^ 리처드 E의 Elementary Information Security.스미스, 150페이지
  3. ^ "Managing Authorization and Access Control". Microsoft Technet. 2005-11-03. Retrieved 2013-04-08.
  4. ^ "P.S.I. Pacer Software, Inc. Gnet-II revision 3.0". Communications. Computerworld. Vol. 18, no. 21. 1984-05-21. p. 54. ISSN 0010-4841. Retrieved 2017-06-30. The new version of Gnet-II (revision 3.0) has added a line-security mechanism which is implemented under the Primos ACL subsystem.
  5. ^ Grünbacher, Andreas. "POSIX Access Control Lists on Linux". Usenix. Retrieved 12 December 2019.
  6. ^ wurtzkurdle. "Why was POSIX.1e withdrawn?". Unix StackExchange. Retrieved 12 December 2019.
  7. ^ Trümper, Winfried (February 28, 1999). "Summary about Posix.1e". Archived from the original on 2008-07-23.
  8. ^ "Red Hat Enterprise Linux AS 3 Release Notes (x86 Edition)". Red Hat. 2003. Retrieved 2013-04-08. EA (Extended Attributes) and ACL (Access Control Lists) functionality is now available for ext3 file systems. In addition, ACL functionality is available for NFS.
  9. ^ "NFSv4 ACLs". FreeBSD. 2011-09-12. Retrieved 2013-04-08.
  10. ^ "Chapter 8 Using ACLs and Attributes to Protect ZFS Files". Oracle Corporation. 2009-10-01. Retrieved 2013-04-08.
  11. ^ Grünbacher, Andreas (May 2008). "Native NFSv4 ACLs on Linux". SUSE. Archived from the original on 2013-06-20. Retrieved 2013-04-08.
  12. ^ Grünbacher, Andreas (July–September 2010). "Richacls – Native NFSv4 ACLs on Linux". bestbits.at. Archived from the original on 2013-03-20. Retrieved 2013-04-08.
  13. ^ "ACLs". Linux NFS.
  14. ^ "Mapping Between NFSv4 and Posix Draft ACLs".
  15. ^ "vfs_nfs4acl_xattr(8)". Samba Manual.
  16. ^ "[MS-ADTS]: Active Directory Technical Specification".
  17. ^ Swift, Michael M. (November 2002). "Improving the granularity of access control for Windows 2000". ACM Transactions on Information and System Security. 5 (4): 398–437. doi:10.1145/581271.581273. S2CID 10702162.
  18. ^ J. Barkley(1997) "간단한 역할 기반 접근 제어 모델과 접근 제어 목록 비교", "역할 기반 접근 제어에 관한 제2차 ACM 워크숍 진행" (127-132페이지)
  19. ^ G. Karjoth, A.셰이드와 E.Van Herrewegen(2008) "XACML에서의 ACL 기반 정책 구현", "2008년 연례 컴퓨터 보안 애플리케이션 컨퍼런스"

추가 정보