linux user group brescia

>  si chiama MAC mandatory acces control     

Il fine del MAC e' essenzialmente quello di ridurre la possibilita' che
 informazioni `sensibili' possano essere trasferite da un utente all'altro...
in questo senso il controllo di accesso e' obbligato e non -come nel caso
 di unix standard- discrezionale. [i.e. posso dare la permission di leggere
 i miei files a chi voglio].

Nel caso specifico, le implementazioni di MAC prevedono di poter distinguere
 fra i ruoli di amministratore (root) e security officier (che si occupa
 di dettare le politiche di accesso ai files), cosa importante qualora si
 voglia che le RESPONSABILITA' siano separate (l'amministratore non vuole
 essere ritenuto responsabile per informazioni confidenziali che sono state
 divulgate!!). 
 In realta' il framework di cui si parlava e' leggermente piu' generale e
 rientra nell'ambito del RSBAC (Rule Set Based Access Control: controllo
 di accesso basato su regole) e -specificamente- puo' rendere la vita MOLTO
 difficile per un intruso.
[nota a margine: se un intruso ha accesso alla macchina come amministratore,
 allora potrebbe ricompilare un kernel SENZA MAC o RSBAC e cercare di
 modificare i files in questo ambiente... a questo livello si puo' usare
 un misto di crittografia e validazione su hash per evitare che un kernel
 `non autorizzato' possa avere accesso ad informazioni sensibili... ]

Ciao,
 lg