Felhasználói fiókok kezelése¶
A számítógépes és szoftveres rendszerek biztonságával kapcsolatban két fontos témát fogunk ebben az anyagrészben érinteni. Ezek a felhasználó azonosítása és a különböző jogosultságok hozzárendelése az egyes felhasználókhoz.
Jogosultság kezelési stratégiák¶
Ki kezeli a jogosultságot?
A jogosultságok kezelése során megkülönböztetünk ún. köztelező (MAC) és saját belátás (DAC) alapú modelleket. Kötelező modellek esetében az jogok hozzárendelését és kezelését egy a jogsulttól eltérő entitás végzi. Saját belátás esetén a jogosultra van bízva, hogy kinek és milyen szintű hozzáférést adnak. Ez sokkal kisebb erőfeszítésbe kerül a rendszer létrehozója oldaláról, de nagyobb felelősséget ró a használókra.
MAC
Tipikus példa a különböző kormányhivatalok, nagyvállalatok és a katonaság, ahol a szervezet, vezetőség vagy cég határozza meg, hogy ki milyen joggal rendelkezik.
DAC
Jó példa erre az otthoni számítógép kezelése, ahol az egyes dokumentumokra saját magunk dönthetjük el, hogy milyen védelmet veszünk igénybe és esetleg kinek adjuk meg a hozzáféréshez szükséges engedélyeket.
Mihez kapcsolva tároljuk a jogosultsággal kapcsolatos adatokat?
A jogosultságokat meghatározó információkat egyfajta meta-adatnak nevezzük (adatok az adatokról). Ezeket hozzá kapcsolhatjuk hozzá a jogosult személyekhez vagy magához az erőforrásokhoz.
Fájlrendszer
Például egy fájlrendszer esetében a fájlok írás jogát az adott fálj tulajdonságaként tárolja a rendszer, vagyis ha a fájlt átmozgatjuk egy másik helyre (kompatibilis fájlrendszer esetén) a jogosultságok együtt mozognak a fájllal.
Igazolványok
Ezzel szemben a különböző igazolványok és felhatalmazások (kormányszervek) a személyhez vannak kötve (a jogosult magával viszi az engedélyeket igazoló papírokat).
Milyen módon írjuk le a jogosultságokat?
A jogosultságokat leíró meta-adatok szerkezete szintén eltérő lehet a különböző modellek esetében. Tárolhatunk egyszerű listákat a különböző felhasználókról és a hozzájuk kapcsolódó jogokról, de bekitathatunk köztes entitásokat, például csoportokat, melyek engedélyekhez rendelik a felhasználókat.
Jogosultság-kezelő listák (ACL)¶
A hozzáférési jogosultság ellenőrzése különböző eljárásokkal valósítható meg. A legismertebb eljárás a hozzáférés-jogosultsági lista (access control lists, ACL) használata. Ez nem más, mint egy lista, ami tartalmazza, hogy egy-egy konkrét objektum eléréséhez kinek, vagy minek van joga. A hozzáférési jogosultsági lista nem csak az objektum elérésére jogosultakat sorolja fel, hanem azt is, hogy a listán szereplők mit tehetnek az adott objektummal. Tipikus hozzáférési jogok az olvasás, írás, és futtatás.
Fájl és mappa jogosultságok Windows alatt
POSIX Access Control Lista Linux alatt¶
A Linux rendszerekben elterjedt hagyományos fájlrendszer jogosultságok a következő szerepeket különböztetik meg az egyes fájlok és mappák esetében.
- tulajdonos
- csoport
- mindenki más
Ezeket a szerepeket minden elem esetén beállíthatjuk. Vagyis megadhatjuk, hogy a fájl vagy mappa kinek a tulajdona és melyik csoport férhet hozzá. Az egyes szerepek jogait ki és bekapcsolhatjuk. A következő engedélyeket adhatjuk meg.
- olvasás
- írás
- végrehajtás (mappáknál listázás)
Hogyan ellenőrizzük a jogokat Linux alatt?
Hogyan állíthatjuk át a jogokat Linux alatt?
Állítsuk át egy fájl jogait Linux alatt!
- Hozzunk létre egy példa fájlt tetszőleges módszerrel.
- Változtassuk meg a jogsultságokat a fájlon parancssor segítségével.
- Ellenőrizzük, hogy tényleg nincs jogunk elvégezni a műveletet. Pl.: próbáljuk meg írni vagy olvasni a fájlt tetszőleges módszerrel.
A POSIX ACL (hozzáférés-vezérlési listák) a hagyományos unixos fájlrendszer-jogosultságrendszer kiterjesztése. Olyan jogosultság-konstrukciók is leírhatók a segítségével, amelyek a hagyományos jogosultságrendszerrel nem: pl. hogy egy adott fájlt egy csoport tagjai írhassák és olvashassák, egy másik csoport tagjai csak olvashassák, a többiek pedig se ne írhassák, se ne olvashassák.
Szerepkör alapú jogosultság kezelés¶
A szerepalapú (Role-Based Access Control) hozzáférésijogosultság-kezelés, mint az elnevezésből következik, a hozzáférés ellenőrzésére egy adott szerepkörhöz kapcsolt szabályrendszert használ. A szerepalapú hozzáférés-jogosultsági modellben ahelyett, hogy minden felhasználóhoz specifikus, az adott objektumhoz elérést biztosító vagy tiltó jogosultságokat kapcsolnánk, szerepeket határozunk meg. Minden felhasználóhoz szerepek különböző csoportja rendelhető. A szerepek meghatározzák, leírják, hogy adott szerepkörben milyen objektumon milyen műveletek végezhetők. Azaz az objektumok eléréséhez szükséges jogosultságok nem a felhasználóhoz kapcsoltak, hanem a szerepekhez. Egy-egy felhasználó több szerepet is elláthat. A felhasználó számára az objektumokhoz kapcsolt engedélyek az általa végzendő konkrét feladatokhoz és nem a egyes objektumok biztonsági besorolásához kapcsolódnak.
Integrált vállalatirányítási rendszer
Könnyű belátni, hogy egy integrált vállalatirányítási rendszerben mások a feladatai egy raktárosnak, egy könyvelőnek, esetleg egy kontrollernek. Ezek különböző szerepek, és a jogosultságok nem a személyekhez, hanem a vállalat életében játszott szerepek szerint kerülnek definiálásra.
Felhasználó csoportok
Több operációs rendszer alkalmazza a felhasználó csoportok fogalmát, mely jó példa a szerepkör alapú jogkezelésre. Itt a szerepköröket az egyes csoportok valósítják meg, mint például a Rendszergazdák csoportja Windows esetén.
Keressünk hétköznapi példákat!
Keressünk olyan nem számítástechnikai jogosultság rendszert ami szerepkörök alapján működik! Vizsgáljuk meg, hogy milyen egyéb tulajdonságai vannak még ennek a modellnek a korábbi leírások alapján!
Szabály alapú jogosultság kezelés¶
Szabály alapú jogosultság kezelés során az engedélyek megléte bizonyos feltételek teljesülésétől függ. Ezek a feltételek vonatkozhatnak a jogosultra, az erőforrásra, de akár külső körülményeket is leírhatnak. A szabályalapú hozzáférés-ellenőrzés leggyakrabban a fentebb ismertetett hozzáférés-jogosultsági listát (ACL) használja. Ilyenkor az ACL különböző kiegészítő szabályokat is tartalmaz, és ezek a szabályok határozzák meg, hogy a felhasználó megkapja-e az objektum eléréséhez, használatához az engedélyt vagy nem. A szabályalapú hozzáférés-ellenőrzés önállóan nem fordul elő, csak a fent ismertetett hozzáférési modellek kiegészítésére, finomítására alkalmazzák.
Wikipedia szerkesztés
Ilyen példa lehet, hogy a Wikipédia nem szerkeszthető egy letiltott IP-címról.
Időzár
Banki rendszerek esetén előfordul, hogy a széfeket csak adott időszakban és adott időközönként tudják kinyitni a személyek.
Tulajdonság alapú jogosultság kezelés¶
A tulajdonság alpú jogosultság kezelés során az adott erőforrás bármilyen jellemzője figyelembe vehető az engedélyek megadása során. Ezzel egy nagyon komplex, de egyben rugalmas modell alakítható ki.
Fájl tartalom ellenőrzése
Az ilyen jellegű rendszerek figyelembe vehetik, hogy az adott fájl tartalmaz-e érzékeny információkat más személyekre, vagy sem. Vizsgálhatjuk az információ rögzítésének idejét, pl. egy új hardver technikai részletei csak a hivatalos eladások után érhetőek el a vásárlók számára.
Autentikáció¶
Az autentikáció, más néven partner hitelesítés vagy biztonságos azonosítás azt jelenti hogy, valamilyen biztonságos módon, jellemzően kódolási, kriptográfiai módszerek segítségével - megbizonyosodunk róla, hogy azzal kommunikálunk-e, akivel szeretnénk.
Többfaktoros autentikáció¶
A többfaktoros autentikáció, ahogyan a név is mutatja, több személyazonosság-forrást kombinál a hozzáférés eszközeként. Ideális esetben ezek a források különböző típusúak. Ilyen forrás lehet valami, amit csak mi tudunk, például egy PIN kód; valami, amit birtoklunk, például egy kulcskártya vagy egy token; illetve valami, ami a mi saját egyedi azonosítónk, például az ujjlenyomatunk, retinánk vagy a hangunk. Ha két vagy három ilyen forrást használ egy vállalat, azzal jelentősen csökkenti az illetéktelen behatolás kockázatát.
Mit tudok?
Valamilyen olyan információ amit csak te tudsz, pl. jelszó.
Mi van nálam?
Valamilyen olyan fizikai tárgy aminek csak te vagy a birtokába, pl. bankkártya.
Mi vagyok?
Valamilyen olyan jellemződ ami egyedi rád nézve. Ez legtöbb esetben az ujjlenyomat vagy az írisz. Ezeket biometrikus azonosításnál használjuk.
Mutasd a tüdőd!
Az ember tüdejében lévő légutak és hólyagok hálózata sokkal kisebb eséllyel egyezik meg más emberekével mint az ujjlenyomat. Azonban "viszonylag" nehéz készpénz felvételnél bemutatni a tüdődet.
Ismert módszer új alkalmazása
Rengeteg ember használ többfaktoros autentikációt napi szinten. Például a bankkártyás készpénzfelvételnél szükség van a kártyára, amit birtoklunk, illetve a PIN kódra, amit csak mi tudunk. Sőt, az is többfaktoros autentikációnak tekinthető, amikor egy hitelkártyás tranzakcióhoz fényképes igazolványt kell felmutatnunk (amin a saját egyedi azonosítónk, azaz a fényképünk látható). A koncepció tehát nem új, csak az alkalmazási területét kell kiterjeszteni a vállalatokra, hogy azok biztonságosabbá tehessék azonosítási folyamataikat.
Használjuk.
Ma már egyre több operációs rendszer és egyéb online szolgáltatás támogatja ezt a fajta autentikációs módszert. Mindenképp javasolt a használata, mivel nagyban növeli a biztonságot.
Miben segít még?
Nyilvánvalóan a többfaktoros autentikáció segít meggátolni, hogy illetéktelenek hozzáférjenek az adatainkhoz, vagy eljárjanak a nevünkben. De milyen előnye van még? Gondolkodjunk, ötleteljünk!
Windows Hello¶
A Windows Hello egy funkció gyüjtemény neve, melyet Windows 10-ben vezettek be. A Windows Hello egy személyesebb, biztonságosabb módja annak, hogy azonnali hozzáférést szerezzen az Windows 10-es eszközökhöz az ujjlenyomat-leolvasó vagy az arcfelismerési funkció segítségével. A legtöbb ujjlenyomat-leolvasóval rendelkező PC már együttműködik a Windows Hello szolgáltatással, így könnyebben és biztonságosabban jelentkezhet be a PC-jébe. Ezenkívül a Windows Hello lehetőséget biztosít gép specifikus PIN kód megadására is, mely semmilyen módon se hagyhatja el a számítógépet (gépenként egyedi) így ha illetéktelen is tudomást szerez róla, akkor azzal csak az adott géphez férhet hozzá. Ez nagyban csökkenti a vállalatok biztonsági rizikóját, ahol egy adott felhasználói identitás több erőforráshoz is jogosultságot biztosít.
Autentikációs beállítások Windows 10 alatt
Biometrikus azonosítás Android alatt¶
Biometrikus azonosítás
Olyan biológiai jegy, amely nagy mértékben egyedi (minden emberre vonatkozóan más-és más) és alkalmas arra, hogy megfelelő berendezések könnyen gyorsan felismerjék, így egy adott informatikai rendszerben a személyek - felhasználók személyi azonosítását lehetővé tegye. Ilyen lehet az ujjlenyomat, az írisz (szivárványhártya) mintázata, de akár az arckép vagy a hang is. Mivel a teljesen pontos egyedi azonosítás ilyen jegyek segítségével költséges és lassú lehet, sokszor kombinálva használják egyéb technikai azonosítóval (jelszó, PIN kód, azonosító kártya, stb.)
Azonosítás harmadik fél segítségével¶
Webes egyszeri bejelentkezési módszer
A Single Sign-On (SSO) – Webes egyszeri bejelentkezési módszer, amely olyan speciális formája a szoftveres azonosításnak, ami lehetővé teszi a felhasználó számára, hogy egy adott rendszerbe való belépéskor mindössze csak egyszer azonosítsa magát és ezután a rendszer minden erőforrásához és szolgáltatásához további autentikáció nélkül hozzáfér.
Windows és Goolge központi felhasználói profil
Föderatív azonosság (föderatív identitás)
Az információtechnológiában a föderatív azonosság (föderatív identitás) két általános jelentéssel bír.
- Egy személy felhasználói információinak tárolása több eltérő identitásmenedzselő rendszeren. Az adatok egy közös elemmel vannak összekötve, mely általában a felhasználónév.
- A felhasználó-autentikálási folyamat mely átível több IT rendszert, akár céget is.
Utazó üzletember
Például, egy utazó lehet repülőgép utasa és hotel vendége is. Ha a légitársaság és a hotel föderatív identitás kezelőt használt, akkor ez azt jelenti, hogy megbíznak egymás felhasználó autentikációjában. Ekkor az utazónak elegendő egyszer belépnie, mint vásárló, ahhoz, hogy vegyen egy repülőjegyet, majd ez az azonosítás felhasználható arra is, hogy kivegyen egy hotel szobát.
Bejelentkezés Facebook-kal és Google fiókkal
Bejelentkezés szociális hálózatokon keresztül
Jogosultság kezeléssel és biztonsággal kapcsolatos további ismeretek
A biztonság és jogosultságok kérdése külön szakterület. A kurzus anyagán túl ha valaki még érdeklődik ezzel kapcsolatban egy jó kindulási pont lehet Professor Messer videói.