Lista de control al accesului (ACL) - o listă de control al accesului care determină cine sau ce poate accesa un obiect (program, proces sau fișier) și ce operațiuni sunt permise sau interzise să fie efectuate de subiect (utilizator, grup de utilizatori).
Listele de control al accesului sunt coloana vertebrală a sistemelor de control selectiv al accesului (DAC) .
Introdus pentru prima dată în OS Multics în 1965, de atunci, implementările multiple au devenit larg răspândite în aproape toate tipurile de programe cu acces distribuit.
În ACL-urile tipice, fiecare intrare definește un subiect și o operație: de exemplu, intrarea (Vasya, ștergere) din ACL pentru fișierul XYZ permite utilizatorului Vasya să șterge fișierul XYZ .
Într-un sistem cu un model de securitate bazat pe ACL, atunci când un subiect solicită o operație asupra unui obiect, sistemul verifică mai întâi lista de operațiuni permise pentru acel subiect și abia apoi acordă (sau nu acordă) acces la acțiunea solicitată.
Sistemele care utilizează ACL-uri pot fi împărțite în două categorii: discreționare ( engleză discreționară ) și obligatorie ( engleză obligatorie ). Se poate spune că un sistem este construit pe controlul discreționar al accesului dacă creatorul sau proprietarul unui obiect deține control deplin asupra accesului la obiect, inclusiv lista celor cărora li se permite să modifice drepturile de acces la obiect. Se poate spune că un sistem are control de acces obligatoriu dacă ACL-urile definite de utilizator sunt înlocuite de restricțiile de sistem.
Cu stocarea centralizată a listelor de control al accesului, putem vorbi despre o matrice de acces , în care obiectele și subiectele sunt plasate de-a lungul axelor, iar drepturile corespunzătoare sunt în celule. Cu toate acestea, într-un număr mare de sisteme, listele de control al accesului la obiecte sunt stocate separat pentru fiecare obiect, adesea direct cu obiectul însuși.
Sistemele ACL tradiționale atribuie drepturi utilizatorilor individuali și, odată cu timpul și numărul de utilizatori din sistem, listele de acces pot deveni greoaie. O soluție la această problemă este atribuirea drepturilor unor grupuri de utilizatori, și nu individual. O altă soluție la această problemă este „ controlul accesului bazat pe roluri ”, în care subseturile funcționale de drepturi asupra unui număr de obiecte sunt combinate în „roluri” și aceste roluri sunt atribuite utilizatorilor. Cu toate acestea, în prima variantă, grupurile de utilizatori sunt adesea denumite și roluri .
Sistemele de fișiere folosesc ID-ul utilizatorului de proces ( UID în termeni POSIX ) pentru a implementa ACL-uri .
O listă de acces este o structură de date (de obicei un tabel) care conține intrări care definesc drepturile unui utilizator individual sau ale unui grup asupra obiectelor speciale ale sistemului, cum ar fi programe , procese sau fișiere. Aceste intrări sunt cunoscute și ca ACE ( Acces Control Entries ) în sistemele de operare Microsoft Windows și OpenVMS . Pe Linux și Mac OS X , majoritatea sistemelor de fișiere au atribute extinse care acționează ca ACL-uri. Fiecare obiect din sistem conține un pointer către propriul său ACL. Privilegiile (sau puterile) definesc drepturi speciale de acces care permit unui utilizator să citească de la ( eng. read ), să scrie în ( eng. write ) sau să execute ( eng. execute ) un obiect. În unele implementări, ACE-urile (Access Control Entries) pot defini dreptul unui utilizator sau al unui grup de a schimba ACL-ul unui obiect.
Conceptele ACL diferă între sistemele de operare, în ciuda „standardului” existent POSIX. (Proiectele de securitate POSIX, .1e și .2c, au fost retrase când a devenit clar că acoperau prea mult domeniu de aplicare și munca nu a putut fi finalizată, dar părțile bine definite care definesc ACL-urile au fost implementate pe scară largă și sunt cunoscute sub numele de „ACL-uri POSIX ". )
În rețele, ACL -urile sunt o listă de reguli care definesc porturile de servicii sau numele de domenii disponibile pe o gazdă sau pe alt dispozitiv OSI de nivel 3 , fiecare cu o listă de gazde și/sau rețele cărora li se permite să acceseze serviciul. ACL-urile de rețea pot fi configurate atât pe un server normal, cât și pe un router și pot controla atât traficul de intrare, cât și de ieșire , ca un firewall .