第4章後半 UNIX OS
- PAM
- Pluggable Authentication Module
- 構成定義ファイルで認証モジュールを複数指定できる機能。
- 何となく認証に関する機能だとは知っていたものの、ちゃんと調べたことありませんでした。
- sudo
- ISO/IEC 15408 Common Criteria
- TCSEC (Trusted Computer Systems Evaluation Criteria) U.S. 1986
- ITSEC (Information Technology Security Evaluation Criteria) UK, FR, ドイツ、オランダ 1991
- ICSEC + ITSECで二つのEvaluation Criteriaを足して割ったから、Common Criteriaというようだ。
- 基準やドキュメントが異様に複雑なのは、この所為なのだろう、きっと。
- MAC
- Mandatory Access Control
- Subjectによるリソースへのアクセスをkernelが制限する。
- アクセス制限を迂回されるとまずいので、シンプルな実装が必要。故にkernelレイヤーでの実装。
- DAC
- Discretionary Access Control
- リソースへのアクセスを、所有者が定義する方式。普通はこっち。
- MACの例
- Bell-PaPadula model
- Biba Protection model
- Role-Based Access Control model
- 階層的な機密区分ではなく、Roleによるアクセス制御を実装した物。