Sistemas de control de acceso: DAC y MAC
Se entiende por DAC al Control de Acceso Discrecional, el cual es es una forma de acceso a recursos basada en los propietarios y grupos a los que pertenece un objeto. Se dice que es discrecional en el sentido de que un sujeto puede transmitir sus permisos a otro sujeto. La mayoría de sistemas Linux ahora mismo usan este tipo de acceso, estando los permisos orquestados por grupos y usuarios, pudiendo un usuario normal cambiar los permisos de los archios que posee con el comando chmod. !orr ot !o otra ra parte parte el Control de Acceso Obligatorio (MAC) se basa en un conjunto de reglas de autori"aci#n $políticas% las cuales determinan si una operaci#n sobre un objeto reali"ada por un sujeto est& o no permitida bas&ndose en los atributos de ambos. 'n este caso, el (andatory refleja el hecho de que las políticas est&n centrali"adas y no pueden ser sobrescritas por un sujeto.
La difere diferenc ncia ia entre entre estos estos co contr ntrole oles s de acceso acceso radica radica en lo siguie siguiente nte)) 'n DAC DAC el acceso acceso es est& t& descentrali"ado, siendo el propietario de cada objeto el encargado de asignar los permisos de los diersos sujetos $grupos en el caso de *nix% que acceder&n a ellas. 'n cambio con el (AC los objetos y los sujetos tan solo tienen atributos, atributos, pero son las políticas las que se encargan de autori"ar o denegar una acci#n.
Lo habitual en +*-Linux suele ser el sistema de control de acceso DAC, pero hay excepciones. Desde el punto de ista de la seguridad, (AC es m&s completo que DAC. (AC es un sistema centrali"ado, en el cual las decisiones de seguridad no recaen en el propietario de un objeto y es el sistema el que fuer"a el cumplimiento de las políticas por encima de las decisiones de los sujetos, adem&s de permitir una granularidad y control mayores. Superintendencia de Servicios de Certificación Electrónica, SUSCERTE A. Andrs /ello, /ello, 'dif. /anco /anco 0ondo Com1n $/0C%, $/0C%, piso 23. Carac Caracas, as, 4ene"uela http)--555.suscerte.gob.e
!ero, si es m&s completo, 6por qu no es el sistema m&s usado7 !ues se podrían alegar muchas ra"ones, pero el hecho de que es algo relatiamente nueo en la inform&tica, junto con que es m&s complicado de configurar y mantener hace que a1n no sea el sistema por defecto en todos los sistemas +*-Linux, aunque ya se ha comentado que tanto Suse como 8ed 9at ya lo incluyen por defecto y muchas otras $+entoo, Debian, *buntu% lo soportan de alg1n modo. 'n el :lado opuesto; 2>->3-sist fo.com.ar-=>2>->3-sistemas@de@control@de@acceso@mac@ emas@de@control@de@acceso@mac@
[email protected] [email protected] 0uente) http)--blog.segu@in
Superintendencia de Servicios de Certificación Electrónica, SUSCERTE A. Andrs /ello, /ello, 'dif. /anco /anco 0ondo Com1n $/0C%, $/0C%, piso 23. Carac Caracas, as, 4ene"uela http)--555.suscerte.gob.e
