Eng kam imtiyoz printsipi - Principle of least privilege

Yilda axborot xavfsizligi, Kompyuter fanlari va boshqa maydonlar eng kam imtiyoz printsipi (PoLP) deb nomlanuvchi minimal imtiyoz printsipi yoki eng kam hokimiyat printsipi, ma'lum bir narsani talab qiladi mavhumlik qatlami hisoblash muhitining har bir moduli (masalan jarayon, a foydalanuvchi yoki a dastur, mavzuga qarab) faqat ma'lumotga ega bo'lishi kerak va resurslar uning qonuniy maqsadi uchun zarur bo'lgan.^[1]^[2]

Tafsilotlar

Ushbu tamoyil a berishni anglatadi foydalanuvchi qayd yozuvi yoki faqat uning vazifasini bajarish uchun zarur bo'lgan imtiyozlarni qayta ishlash. Masalan, zaxira nusxalarini yaratish uchun foydalanuvchi hisob qaydnomasi dasturiy ta'minotni o'rnatishi shart emas: shuning uchun u faqat zaxira va zaxira bilan bog'liq dasturlarni boshqarish huquqiga ega. Boshqa dasturiy ta'minotni o'rnatish kabi boshqa har qanday imtiyozlar bloklanadi. Ushbu printsip odatda oddiy foydalanuvchi hisobida ishlaydigan va imtiyozli, parol bilan himoyalangan hisobni ochadigan shaxsiy kompyuter foydalanuvchisiga ham tegishli (ya'ni, superuser ) faqat vaziyat mutlaqo talab qilganda.

Qo'llanilganda foydalanuvchilar, shartlar eng kam foydalanuvchi uchun kirish yoki eng kam imtiyozli foydalanuvchi hisob qaydnomasi (LUA) hammasi degan tushunchaga ishora qilib, ishlatiladi foydalanuvchi hisoblari har doim ham ozi bilan ishlash kerak imtiyozlar iloji boricha, shuningdek ishga tushirish ilovalar iloji boricha kamroq imtiyozlar bilan.

Eng kam imtiyoz printsipi ma'lumotlar va funktsional imkoniyatlarni nosozliklardan himoya qilishni kuchaytirishda muhim dizayn jihati sifatida keng tan olingan (xatolarga bardoshlik ) va zararli xatti-harakatlar (kompyuter xavfsizligi ).

Printsipning afzalliklari quyidagilarni o'z ichiga oladi:

Tizimning barqarorligi yaxshiroq. Agar kod tizimga kiritilishi mumkin bo'lgan o'zgarishlar doirasi cheklangan bo'lsa, uning mumkin bo'lgan harakatlari va boshqa dasturlar bilan o'zaro ta'sirini sinash osonroq bo'ladi. Masalan, amalda cheklangan huquqlar bilan ishlaydigan dasturlar mashinani ishdan chiqarishi yoki bir xil tizimda ishlaydigan boshqa dasturlarga salbiy ta'sir ko'rsatishi mumkin bo'lgan operatsiyalarni bajarishga kirish huquqiga ega bo'lmaydi.
Tizim xavfsizligi yaxshiroq. Kod amalga oshirishi mumkin bo'lgan tizim miqyosidagi harakatlarda cheklangan bo'lsa, bitta dasturdagi zaifliklardan mashinaning qolgan qismidan foydalanish uchun foydalanib bo'lmaydi. Masalan, Microsoft "standart foydalanuvchi rejimida ishlash mijozlarga tizim darajasidagi noaniq zararlardan yuqori darajada himoya qilish imkonini beradi" deb ta'kidlaydi.zararli hujumlar "va zararli dastur, kabi ildiz to'plamlari, josuslarga qarshi dastur va aniqlanmaydi viruslar ”.^[3]
Joylashtirish qulayligi. Umuman olganda, dastur qancha kam imtiyozlarni talab qilsa, shunchalik katta muhitda joylashtirish osonroq bo'ladi. Bu, odatda, dastlabki ikkita foydadan kelib chiqadi, qurilma drayverlarini o'rnatadigan yoki yuqori darajadagi xavfsizlik imtiyozlarini talab qiladigan ilovalar, odatda ularni joylashtirish bilan bog'liq qo'shimcha qadamlarga ega. Masalan, Windows-da no bilan echim qurilma drayverlari to'g'ridan-to'g'ri o'rnatilmasdan ishga tushirilishi mumkin, haydovchilarga yuqori darajadagi imtiyozlar berish uchun qurilmalar drayverlari Windows o'rnatuvchisi xizmati yordamida alohida o'rnatilishi kerak.^[4]

Amalda, haqiqiy eng kam imtiyozning bir nechta raqobatdosh ta'riflari mavjud. Sifatida dasturning murakkabligi haddan tashqari tezlikda o'sadi,^{[iqtibos kerak ]} bashoratli yondashuvni amaliy bo'lmagan holda, yuzaga kelishi mumkin bo'lgan muammolar soni. Masalan, unga ishlov berilishi mumkin bo'lgan o'zgaruvchilarning qiymatlari, ularga kerak bo'ladigan manzillar yoki aniq vaqt talab etiladi. Ob'ekt qobiliyati tizimlari, masalan, foydalaniladigan vaqtgacha bir martalik imtiyoz berishni keyinga qoldirishga imkon beradi. Hozirgi vaqtda qo'lda keraksiz deb baholanadigan imtiyozlarni yo'q qilish eng yaqin amaliy yondashuvdir. Olingan imtiyozlar to'plami odatda jarayon uchun zarur bo'lgan minimal minimal imtiyozlardan oshib ketadi.

Yana bir cheklash - bu operatsion muhit individual jarayon uchun imtiyozlarga ega bo'lgan nazoratning donadorligi.^[5] Amalda, jarayonning xotiraga kirishini, ishlov berish vaqtini, kiritish-chiqarish moslamalari manzillarini yoki rejimlarini faqat jarayon talab qiladigan aniq imtiyozlar to'plamini engillashtirish uchun zarur bo'lgan aniqlik bilan boshqarish kamdan-kam hollarda mumkin.

Tarix

Asl formulalar Jerom Saltzer:^[6]

Tizimning har qanday dasturi va har bir imtiyozli foydalanuvchisi ishni bajarish uchun zarur bo'lgan eng kam imtiyozlardan foydalangan holda ishlashi kerak.
— Jerom Saltzer, ACM aloqalari

Piter J. Denning, o'zining "Xatolarga chidamli operatsion tizimlar" maqolasida, uni xatolarga bardoshlikning to'rtta asosiy tamoyillari orasida kengroq nuqtai nazardan belgilab berdi.

Imtiyozlarning dinamik tayinlanishi oldinroq muhokama qilingan Rojer Nidxem 1972 yilda.^[7]^[8]

Tarixiy jihatdan eng kam imtiyozning eng qadimgi misoli, ehtimol manba kodidir login.cbilan bajarishni boshlaydi super foydalanuvchi ruxsatnomalar va ular kerak bo'lmaydigan bir lahzada ularni bekor qiladi setuid () da ko'rsatilgandek nolga teng bo'lmagan argument bilan 6-versiya Unix manba kodi.

Amalga oshirish

The yadro har doim maksimal imtiyozlar bilan ishlaydi, chunki u operatsion tizim yadro va qo'shimcha qurilmalarga kirish huquqiga ega. Operatsion tizimning, xususan, ko'p foydalanuvchili operatsion tizimning asosiy vazifalaridan biri bu apparatning mavjudligini boshqarish va unga ruxsat berishni so'rash. jarayonlar. Yadro qulab tushganda, uni ushlab turish mexanizmlari davlat ham muvaffaqiyatsiz. Shuning uchun, uchun yo'l bo'lsa ham Markaziy protsessor a. holda tiklanmoq qattiq tiklash, xavfsizlik qo'llanilishi davom etmoqda, ammo operatsion tizim muvaffaqiyatsizlikka to'g'ri javob bera olmaydi, chunki bu nosozlikni aniqlashning imkoni bo'lmadi. Buning sababi yadroning bajarilishi to'xtatilgan yoki dastur hisoblagichi biron bir joydan qatl etishni abadiy va odatda ishlamaydigan joyda davom ettirdi pastadir.^{[iqtibos kerak ]} Bu ham boshdan kechirishga o'xshaydi amneziya (yadroning bajarilmasligi) yoki har doim boshlang'ich nuqtaga qaytadigan yopiq labirintga tushib qolish (yopiq ko'chadan).

Imtiyozlar tomonidan namoyish etilgan eng kam imtiyoz printsipi Intel x86

Agar avtohalokatdan keyin yuklash va ishga tushirish orqali ijro etilsa troyan kodi, troyan kodining muallifi barcha jarayonlarni boshqarishni o'zlashtirishi mumkin. Eng kam imtiyoz printsipi kodni eng past imtiyoz / ruxsat darajasi bilan ishlashga majbur qiladi. Bu shuni anglatadiki, kod bajarilishini davom ettiradigan kod - xoh troyan bo'lsin, xoh kodni kutilmagan joydan olish - zararli yoki kiruvchi jarayonlarni amalga oshirishga qodir emas. Buni amalga oshirish uchun foydalaniladigan usullardan biri mikroprotsessor apparat. Masalan, Intel x86 me'morchiligini ishlab chiqaruvchisi to'rtta (halqa 0 dan ring 3gacha) ishlaydigan "rejimlarni" ishlab chiqardi, ular kirish darajalariga o'xshash darajalarga ega xavfsizlikni tozalash mudofaa va razvedka idoralaridagi tizimlar.^{[iqtibos kerak ]}

Ba'zi operatsion tizimlarda amalga oshirilgandek, jarayonlar a bilan bajariladi potentsial imtiyoz o'rnatilgan va an faol imtiyozlar to'plami.^{[iqtibos kerak ]} Bunday imtiyozlar to'plamlari ota-onadan semantikasi bilan belgilanadigan meros bo'lib olinadi vilka (). An bajariladigan fayl imtiyozli funktsiyani bajaradigan va shu bilan texnik jihatdan TCB va bir vaqtning o'zida ishonchli dastur yoki ishonchli jarayon deb nomlangan imtiyozlar to'plami bilan ham belgilanishi mumkin. Bu tushunchalarning mantiqiy kengaytmasi foydalanuvchi identifikatorini o'rnating va guruh identifikatorini o'rnating.^{[iqtibos kerak ]} Ning merosi fayl imtiyozlari jarayoni bilan semantikasi bilan belgilanadi exec () oilasi tizim qo'ng'iroqlari. Jarayonning potentsial imtiyozlari, haqiqiy jarayon imtiyozlari va fayl imtiyozlarining o'zaro ta'sirini aniq uslubi murakkablashishi mumkin. Amalda, eng kam imtiyoz jarayonni faqat topshiriq talab qilgan imtiyozlar bilan ishlashga majbur qilish orqali amalga oshiriladi. Ushbu modelga rioya qilish juda murakkab va xatolarga yo'l qo'ymaydi.

Shunga o'xshash printsiplar

The Ishonchli kompyuter tizimini baholash mezonlari (TCSEC) kontseptsiyasi ishonchli hisoblash bazasi (TCB) minimallashtirish - bu faqat funktsional jihatdan eng kuchli ishonch sinflariga taalluqli bo'lgan yanada qat'iy talab, ya'ni., B3 va A1 (ular aniq har xil lekin funktsional bir xil).

Eng kam imtiyoz ko'pincha bog'liqdir imtiyozni parantezlash: ya'ni zarur bo'lgan so'nggi imtiyozlarni qabul qilish va ularni kerak bo'lmaydigan vaqtdanoq ishdan bo'shatish, shuning uchun go'yoki noto'g'ri qilingan koddan tushishni kamaytirish, loyiqroq bo'lganidan ko'ra ko'proq imtiyozlardan foydalanadi. Eng kam imtiyoz, shuningdek tarqatish kontekstida talqin qilingan erkin foydalanishni boshqarish (DAC) ruxsatnomalari, masalan, U foydalanuvchisiga F faylini o'qish / yozish huquqini berish, agar u faqat o'qish ruxsati bilan o'z vakolatli vazifalarini bajara oladigan bo'lsa, eng kam imtiyozni buzadi deb tasdiqlash.

Shuningdek qarang

Adabiyotlar

^ Saltzer va Shreder 75
^ Denning 76
^ Jonatan, Klark; DABCC Inc. "Virtuallashtirish guruhi yozadi" foydalanuvchi rejimi yaxshi narsadir - xavfsizlikni oshirmasdan blokirovka qilingan hisoblarga joylashtirish."". Olingan 15 mart 2013.
^ Aaron Margosis (2006 yil avgust). "Imtiyoz muammolari: LUA xatolarini toping va tuzating". Microsoft.
^ Mett Bishop, Kompyuter xavfsizligi: San'at va fan, Boston, MA: Addison-Uesli, 2003. 343-344-betlar Barnum & Gegick 2005 tomonidan keltirilgan.
^ Saltzer, Jerom H. (1974). "Multics-da axborot almashishni himoya qilish va boshqarish". ACM aloqalari. 17 (7): 388–402. CiteSeerX 10.1.1.226.3939. doi:10.1145/361011.361067. ISSN 0001-0782.
^ Needham, R. M. (1972). "Himoya tizimlari va himoya dasturlari". 1972 yil 5-7 dekabr kunlari bo'lib o'tgan AFIPS '72 Kuzgi qo'shma kompyuter konferentsiyasi materiallari, I qism. 571-578 betlar. doi:10.1145/1479992.1480073.
^ Fred B. Shnayder. "Eng kam imtiyoz va boshqa narsalar" (PDF).

Bibliografiya

Ben Mankin, Himoya tizimlarini rasmiylashtirish, Doktorlik dissertatsiyasi, Bath universiteti, 2004 y
P. J. Denning (1976 yil dekabr). "Xatolarga chidamli operatsion tizimlar". ACM hisoblash tadqiqotlari. 8 (4): 359–389. doi:10.1145/356678.356680.
Jerri X.Saltzer, Mayk D. Shreder (1975 yil sentyabr). "Kompyuter tizimlarida axborotni himoya qilish". IEEE ish yuritish. 63 (9): 1278–1308. CiteSeerX 10.1.1.126.9257. doi:10.1109 / PROC.1975.9939.
Deitel, Harvey M. (1990). Operatsion tizimlarga kirish (birinchi tahrir qayta ko'rib chiqilgan). Addison-Uesli. p.673. ISBN 978-0-201-14502-1. sahifa 31.
Shon Martin (2012 yil aprel). "Xavfsizlik asoslari bulut va mobil qopqog'i ostida yo'qoladimi?". SC jurnali.
SANS instituti (2013 yil may). "Xavfsizlikning 20 ta muhim nazorati" (PDF). SANS instituti. Arxivlandi asl nusxasi (PDF) 2013-11-01 kunlari.

Tashqi havolalar

[1] Saltzer va Shreder 75

[2] Denning 76

[3] Jonatan, Klark; DABCC Inc. "Virtuallashtirish guruhi yozadi" foydalanuvchi rejimi yaxshi narsadir - xavfsizlikni oshirmasdan blokirovka qilingan hisoblarga joylashtirish."". Olingan 15 mart 2013.

[4] Aaron Margosis (2006 yil avgust). "Imtiyoz muammolari: LUA xatolarini toping va tuzating". Microsoft.

[5] Mett Bishop, Kompyuter xavfsizligi: San'at va fan, Boston, MA: Addison-Uesli, 2003. 343-344-betlar Barnum & Gegick 2005 tomonidan keltirilgan.

[6] Saltzer, Jerom H. (1974). "Multics-da axborot almashishni himoya qilish va boshqarish". ACM aloqalari. 17 (7): 388–402. CiteSeerX 10.1.1.226.3939. doi:10.1145/361011.361067. ISSN 0001-0782.

[7] Needham, R. M. (1972). "Himoya tizimlari va himoya dasturlari". 1972 yil 5-7 dekabr kunlari bo'lib o'tgan AFIPS '72 Kuzgi qo'shma kompyuter konferentsiyasi materiallari, I qism. 571-578 betlar. doi:10.1145/1479992.1480073.

[8] Fred B. Shnayder. "Eng kam imtiyoz va boshqa narsalar" (PDF).

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

Ob'ekt qobiliyati xavfsizlik
Tushunchalar	Eng kam imtiyoz printsipi (PoLP) Chalkash deputat muammosi Atrof-muhit vakolati Fayl tavsiflovchi C-ro'yxat Ob'ekt qobiliyatining modeli Imkoniyatlarga asoslangan xavfsizlik Imkoniyatlarga asoslangan adreslash Zookoning uchburchagi Petnames
OS yadrolari	Gidra NLTSS KeyKOS EROS CapROS iMAX 432 Midori seL4 Genod Fuşya Kapsikum
Dasturlash tillari	Joule E Jo-E Kajita
Fayl tizimlari	Tahoe-LAFS
Ixtisoslashtirilgan apparat	Flex Plessey tizimi 250 Kembrij CAP IBM tizimi / 38 Intel iAPX 432 BiiN