<?xml version="1.0"?>
<feed xmlns="http://www.w3.org/2005/Atom" xml:lang="ru">
	<id>https://camokathomelab.servebeer.com/mediawiki/index.php?action=history&amp;feed=atom&amp;title=ACL</id>
	<title>ACL - История изменений</title>
	<link rel="self" type="application/atom+xml" href="https://camokathomelab.servebeer.com/mediawiki/index.php?action=history&amp;feed=atom&amp;title=ACL"/>
	<link rel="alternate" type="text/html" href="https://camokathomelab.servebeer.com/mediawiki/index.php?title=ACL&amp;action=history"/>
	<updated>2026-07-16T05:22:00Z</updated>
	<subtitle>История изменений этой страницы в вики</subtitle>
	<generator>MediaWiki 1.45.3</generator>
	<entry>
		<id>https://camokathomelab.servebeer.com/mediawiki/index.php?title=ACL&amp;diff=16385&amp;oldid=prev</id>
		<title>178.51.203.3: викификация, стилевые правки</title>
		<link rel="alternate" type="text/html" href="https://camokathomelab.servebeer.com/mediawiki/index.php?title=ACL&amp;diff=16385&amp;oldid=prev"/>
		<updated>2024-06-18T13:28:06Z</updated>

		<summary type="html">&lt;p&gt;викификация, стилевые правки&lt;/p&gt;
&lt;p&gt;&lt;b&gt;Новая страница&lt;/b&gt;&lt;/p&gt;&lt;div&gt;&amp;#039;&amp;#039;&amp;#039;Access Control List&amp;#039;&amp;#039;&amp;#039; (с [[Английский язык|англ.]] &amp;#039;&amp;#039;список управления доступом&amp;#039;&amp;#039;) — специальный [[Список (структура данных)|список]], который определяет, кто или что может получать доступ к объекту (программе, процессу или файлу), и какие именно операции разрешено или запрещено выполнять субъекту (пользователю, группе пользователей).&lt;br /&gt;
&lt;br /&gt;
Списки контроля доступа являются основой систем с [[избирательное управление доступом|избирательным управлением доступа (DAC)]].&lt;br /&gt;
&lt;br /&gt;
Впервые введены в ОС [[Multics]] в 1965 году, с тех пор получили широкое распространение и множественные реализации практически во всех типах программ с распределяемым доступом.&lt;br /&gt;
&lt;br /&gt;
== Введение ==&lt;br /&gt;
В типичных ACL каждая запись определяет субъект воздействия и операцию: например, запись &amp;#039;&amp;#039;(Vasya, delete)&amp;#039;&amp;#039; в ACL для [[файл]]а &amp;#039;&amp;#039;XYZ&amp;#039;&amp;#039; даёт возможность [[пользователь|пользователю]] &amp;#039;&amp;#039;Vasya&amp;#039;&amp;#039; удалить файл &amp;#039;&amp;#039;XYZ&amp;#039;&amp;#039;.&lt;br /&gt;
&lt;br /&gt;
В системе с моделью безопасности, основанной на ACL, когда субъект запрашивает выполнение операции над объектом, система сначала проверяет список разрешённых для этого субъекта операций, и только после этого даёт (или не даёт) доступ к запрошенному действию.&lt;br /&gt;
&lt;br /&gt;
Использующие ACL системы могут быть разделены на две категории: дискреционные ({{lang-en|discretionary}}) и мандатные ({{lang-en|mandatory}}). Систему можно назвать построенной на [[Дискреционное управление доступом|дискреционном контроле доступа]], если создатель или владелец объекта может полностью управлять доступом к объекту, включая и список тех, кому разрешено изменять права доступа к объекту. Систему можно назвать обладающей [[Мандатное управление доступом|мандатным контролем доступа]], если заданные пользователем ACL перекрываются системными ограничениями.&lt;br /&gt;
&lt;br /&gt;
При централизованном хранении списков контроля доступа можно говорить о &amp;#039;&amp;#039;матрице доступа&amp;#039;&amp;#039;, в которой по осям размещены объекты и субъекты, а в ячейках — соответствующие права. Однако в большом количестве систем списки контроля доступа к объектам хранятся отдельно для каждого объекта, зачастую — непосредственно с самим объектом.&lt;br /&gt;
&lt;br /&gt;
Традиционные ACL системы назначают права индивидуальным пользователям, и со временем и ростом числа пользователей в системе списки доступа могут стать громоздкими. Вариантом решения этой проблемы является назначение прав группам пользователей, а не персонально. Другим вариантом решения этой проблемы является «[[Управление доступом на основе ролей]]», где функциональные подмножества прав к ряду объектов объединяются в «роли», и эти роли назначаются пользователям. Однако, в первом варианте группы пользователей также часто называются [[Роль (безопасность)|ролями]].&lt;br /&gt;
&lt;br /&gt;
== Файловые системы с ACL ==&lt;br /&gt;
В [[Файловая система|файловых системах]] для реализации ACL используется идентификатор пользователя [[Процесс (информатика)|процесса]] ([[Идентификатор пользователя|UID]] в терминах [[POSIX]]).&lt;br /&gt;
&lt;br /&gt;
Список доступа представляет собой структуру данных (обычно таблицу), содержащую записи, определяющие права индивидуального пользователя или группы на специальные системные объекты, такие как [[Компьютерная программа|программы]], процессы или файлы. Эти записи также известны как ACE ({{lang-en|Access Control Entries}}) в [[Операционная система|операционных системах]] [[Microsoft Windows]] и [[OpenVMS]]. В операционной системе [[Linux]] и [[Mac OS X]] большинство файловых систем имеет расширенные атрибуты, выполняющие роль ACL. Каждый объект в системе содержит указатель на свой ACL. Привилегии (или полномочия) определяют специальные права доступа, разрешающие пользователю &amp;#039;&amp;#039;&amp;#039;читать&amp;#039;&amp;#039;&amp;#039; из ({{lang-en|read}}), &amp;#039;&amp;#039;&amp;#039;писать&amp;#039;&amp;#039;&amp;#039; в ({{lang-en|write}}) или &amp;#039;&amp;#039;&amp;#039;исполнять&amp;#039;&amp;#039;&amp;#039; ({{lang-en|execute}}) объект. В некоторых реализациях ACE (Access Control Entries) могут определять право пользователя или группы на изменение ACL объекта.&lt;br /&gt;
&lt;br /&gt;
Концепции ACL в разных операционных системах различаются, несмотря на существующий «стандарт» POSIX (проекты безопасности POSIX, .1e и .2c, были отозваны, когда стало ясно, что они затрагивают слишком обширную область и работа не может быть завершена, но хорошо проработанные части, определяющие ACL, были широко реализованы и известны как «POSIX ACLs»).&lt;br /&gt;
&lt;br /&gt;
== Сетевые ACL ==&lt;br /&gt;
В [[Компьютерная сеть|сетях]] &amp;#039;&amp;#039;&amp;#039;ACL&amp;#039;&amp;#039;&amp;#039; представляют список правил, определяющих [[Порт (TCP/UDP)|порты]] служб или имена доменов, доступных на [[Сервер (аппаратное обеспечение)|узле]] или другом устройстве [[Сетевая модель OSI#Сетевой уровень (Network layer)|третьего уровня OSI]], каждый со списком узлов и/или сетей, которым разрешен доступ к сервису. Сетевые ACL могут быть настроены как на обычном сервере, так и на [[маршрутизатор]]е и могут управлять как входящим, так и исходящим [[Сетевой трафик|трафиком]], в качестве [[Межсетевой экран|межсетевого экрана]].&lt;br /&gt;
&lt;br /&gt;
== Сравнение с RBAC ==&lt;br /&gt;
Основной альтернативой модели ACL является [[Управление доступом на основе ролей|модель управления доступом на основе ролей (RBAC)]]. «Минимальную модель RBAC», &amp;#039;&amp;#039;RBACm&amp;#039;&amp;#039;, можно сравнить с механизмом ACL, &amp;#039;&amp;#039;ACLg&amp;#039;&amp;#039; , где в качестве записей в ACL разрешены только группы. Barkley показал, что &amp;#039;&amp;#039;RBACm&amp;#039;&amp;#039; и &amp;#039;&amp;#039;ACLg&amp;#039;&amp;#039; эквивалентны&amp;lt;ref&amp;gt;{{Статья|ссылка=http://dx.doi.org/10.1145/266741.266769|автор=John Barkley|заглавие=Comparing simple role based access control models and access control lists|год=1997|место=New York, New York, USA|издание=Proceedings of the second ACM workshop on Role-based access control  - RBAC &amp;#039;97|издательство=ACM Press|doi=10.1145/266741.266769}}&amp;lt;/ref&amp;gt;.&lt;br /&gt;
&lt;br /&gt;
В современных реализациях SQL ACL также управляют группами и наследованием в иерархии групп. Таким образом, «современные списки ACL» могут выражать все то, что выражает RBAC, и являются особенно мощными (по сравнению со «старыми ACL») в своей способности выражать политику управления доступом с точки зрения того, как администраторы рассматривают организации&amp;lt;ref&amp;gt;{{Статья|ссылка=http://dx.doi.org/10.1109/infcom.2013.6567005|автор=James Daly, Alex X. Liu, Eric Torng|заглавие=A difference resolution approach to compressing Access Control Lists|год=2013-04|издание=2013 Proceedings IEEE INFOCOM|издательство=IEEE|doi=10.1109/infcom.2013.6567005}}&amp;lt;/ref&amp;gt;.&lt;br /&gt;
&lt;br /&gt;
Для обмена данными и для «высокоуровневых сравнений» данные ACL можно преобразовать в XACML&amp;lt;ref&amp;gt;{{Статья|ссылка=http://dx.doi.org/10.1109/acsac.2008.31|автор=Günter Karjoth, Andreas Schade|заглавие=Implementing ACL-Based Policies in XACML|год=2008-12|издание=2008 Annual Computer Security Applications Conference (ACSAC)|издательство=IEEE|doi=10.1109/acsac.2008.31}}&amp;lt;/ref&amp;gt;.&lt;br /&gt;
&lt;br /&gt;
== См. также ==&lt;br /&gt;
* [[Информационная безопасность]]&lt;br /&gt;
&lt;br /&gt;
== Примечания ==&lt;br /&gt;
{{примечания}}&lt;br /&gt;
&lt;br /&gt;
== Ссылки ==&lt;br /&gt;
* [http://www.rsbac.org/documentation/rsbac_handbook/security_models#access_control_lists_acl RSBAC Access Control Lists on Linux] {{Wayback|url=http://www.rsbac.org/documentation/rsbac_handbook/security_models#access_control_lists_acl |date=20070605062621 }}&lt;br /&gt;
* [http://phpgacl.sourceforge.net/ Generic Access Control Lists for PHP/Perl] {{Wayback|url=http://phpgacl.sourceforge.net/ |date=20130510120612 }}&lt;br /&gt;
* [http://www.c2.com/cgi/wiki?AccessControlList C2-Wiki Discussion and Relational Implementation] {{Wayback|url=http://www.c2.com/cgi/wiki?AccessControlList |date=20070703055207 }}&lt;br /&gt;
* [http://searchsecurity.techtarget.com/sDefinition/0,,sid14_gci213757,00.html Information Security Definitions: ACL] {{Wayback|url=http://searchsecurity.techtarget.com/sDefinition/0,,sid14_gci213757,00.html |date=20070426175913 }}&lt;br /&gt;
* [https://web.archive.org/web/20060818102129/http://wiki.kaspersandberg.com/doku.php?id=howtos:acl Easy and detailed ACL howto for linux]&lt;br /&gt;
* [https://web.archive.org/web/20070611220057/http://msdn.microsoft.com/msdnmag/issues/05/03/SecurityBriefs/default.aspx Security Briefs: Access Control List Editing in .NET]&lt;br /&gt;
* [http://msdn2.microsoft.com/en-us/library/ms229742.aspx MS Windows .NET ACL Technology] {{Wayback|url=http://msdn2.microsoft.com/en-us/library/ms229742.aspx |date=20070531223747 }}&lt;br /&gt;
* [https://web.archive.org/web/20060705205324/http://wt.xpilot.org/publications/posix.1e/download.html What could have been IEEE 1003.1e/2c]&lt;br /&gt;
* [https://web.archive.org/web/20051102080247/http://manuals.info.apple.com/en/File_Services_v10.4.pdf Apple Mac OS X Server version 10.4+ &amp;#039;&amp;#039;File Services Administration&amp;#039;&amp;#039; Manual (see pages 16-26)]&lt;br /&gt;
* [http://aclbit.sourceforge.net/ ACLbit — ACL Backup and Inspect Tool for Linux] {{Wayback|url=http://aclbit.sourceforge.net/ |date=20080506144211 }}&lt;br /&gt;
* [https://web.archive.org/web/20130423082821/http://www.u-networks.net/glavnaya/nastrojka-spiskov-dostupa-na-morshrutizatore-cisco/ Настройка и описание ACL на маршрутизаторе Cisco]&lt;br /&gt;
&lt;br /&gt;
[[Категория:Контроль доступа]]&lt;br /&gt;
[[Категория:Безопасность операционных систем]]&lt;/div&gt;</summary>
		<author><name>178.51.203.3</name></author>
	</entry>
</feed>