Primitives for Isolation and Mediation

Question 1

Tässä on tiivistettynä tekstin alussa oleva luettelo käyttöjärjestelmien perustavanlaatuisista turvamenettelyistä. Poimi niistä kolme kaikkein perustavinta eristysmenettelyä.

käyttäjien todennus

pääsynvalvonta

tiedon pyyhkiminen

muistin suojaus

suojakehät

lokitus

hallinnointi

Question 2

Tilannekohtaisten root-oikeuksien antaminen muille kuin ylläpitäjälle tapahtuu Linux-järjestelmässä

sgid-bitillä.

sudo-komennolla.

.admin-tiedostolla.

ACL-listalla.

Question 3

Linux-järjestelmissä tiedostojen ACL- eli pääsynvalvontalista

on uusimmissa versioissa korvannut tiedoston moodi-bitit.

täytyy toteuttaa rooliperustaisen pääsynvalvonnan avulla, jos tiedoston moodi-bitit toimijoille user, group ja others eivät riitä.

asetetaan chown-komennolla.

on mahdollinen, mutta samaa toimijaa koskevien eri ehtojen yhteisvaikutus on syytä tuntea.

on monipuolisempi kuin MS-Windows -järjestelmän vastaava.

Question 1

Teoreettinen perusmalli pääsynvalvonnalla on, että kaikkien toimijoiden oikeudet kaikkiin kohteisiin luetellaan matriisissa, jossa on rivi kutakin toimijaa ja sarake kutakin kohdetta varten. Tämä on teoriassa täydellinen menetelmä, mutta ei kovin käytännöllinen, jos olioita erotellaan vähänkään hienojakoisesti. Suurin osa valtavasta matriisista jäisi tyhjäksi ja toisaalta monet rivit ja sarakkeet olisivat suurelta osalta toistensa kopioita. Matriisista on helppo oivaltaa, että

ACL tarkoittaa yhtä riviä ja toimijan pääsykyvyt yhtä saraketta.

ACL tarkoittaa yhtä saraketta ja toimijan pääsykyvyt yhtä riviä.

kumpikaan edellä oleva vaihtoehto ei anna oikeaa kuvaa ACL-käsitteestä ja toimijoiden kyvyistä.

kussakin solussa pystytään esittämään tieto vain yhdenlaisesta pääsylajista (siis luku, kirjoitus jne.)

toimijana voi olla myös jokin rooli tai ryhmä.

Question 2

Pääsynvalvonnan harkinnanvaraisuus SELinuxissa tarkoittaa, että

järjestelmän asentajat päättävät, otetaanko roolit käyttöön.

roolit on jätetty ottamatta käyttöön.

käyttäjät voivat säätää pääsyoikeudet omistamiinsa tiedostoihin.

tiettyihin rooleihin kuuluvat käyttäjät voivat asettaa ACL:t mutta muut eivät.

Question 1

Tämän luvun alussa esitettiin alla tiivistetty luettelo tarkasteltavista asioista. Minkä näistä mainittiin tässä viimeisessä alaluvussa yleensä jäävän pois, jos kyseessä ovat sulautetut järjestelmät?

käyttäjien todennus.

pääsynvalvonta.

tietojen pyyhkiminen.

muistin suojaus, ohjelmallisesti ja laitteiston avustamana.

suojakehät.

kirjanpito.

hallinnointi.

Authentication and Identification

Access control lists

Capabilities

Physical access and secure deletion

Memory protection and address spaces

Modern hardware extensions for memory protection

Protection rings

One ring to rule them all. And another. And another

Low-end devices and the IoT

Posting submission...