Académique Documents
Professionnel Documents
Culture Documents
Objetivos da Proteo
Manter a integridade do SO; Proteger de usurios bizantinos; Proteger de usurios incompetentes; Aumenta confiabilidade detectando erros de interface.
Srgio Campos
Domnios de Proteo
Domnios de Proteo
Computador: uma coleo de objetos. e.g. CPU, arquivo, impressora, semforos, etc. Cada objeto tem um tipo de acesso diferente: tipo abstrato de dados. Processo devem ter acesso somente aos objetos que precisa na hora em que for preciso. Um domnio de proteo especifica quais objetos um processo pode acessar: uma coleo de pares ordenados <objeto, permisso>
Podem ter sobreposio; Podem ser atribuidos Estaticamente Dinamicamente. Diferenas ? Vantagens ? Tipos de domnios: Usurio: e.g. diretrio, impressora, etc. Processo: e.g. espao de endereamento Procedimento: e.g. variveis locais.
Srgio Campos
Srgio Campos
Unix: Domnio por usurio; Quando necessrio acessar objetos com permisses diferentes, troca-se o usurio: SETUID. Problema! Mas se no puder trocar o usurio o sistema fica restritivo demais.
Multics: Anis de proteo: cada anel um domnio de proteo Anis vo de 0 a 7, 0 tem maior acesso Anis maiores so contidos em anis menores. Modelo simplificado: dois anis, 0: modo superusurio; 1: modo usurio. Sistema segmentado: cada segmento pertence a um anel. Alm disto, cada segmento tem 3 bits rwx. Troca de domnio acontece quando um processo executando em um anel chama outro em um anel diferente.
Srgio Campos
Srgio Campos
Matriz de Acesso
Multics: Para garantir proteo o segmento inclui: Acess bracket: [b1, b2], Limite: b3 Lista de portas de acesso limitado. Se um processo no anel i chama outro no anel j: Se i < b1, a chamada permitida (i tem mais prioridade), mas parmetros que se referem ao anel i so copiados. A chamada permitida se b1 i b2. Anel permanece i. Se b2 < i b3, a chamada permitida se for feita a uma das portas de acesso limitado. Seno a chamada recusada. Desvantagem: complexo, proteo esttica.
Srgio Campos
D1 D2 D3 D4
Troca de domnios pode ser implementada acrescentando-se domnios tabela: ... ... ... ... ... D1 D2 switch D3 switch switch D4 switch
D1 D2 D3 D4
Srgio Campos
Matriz de Acesso
Matriz de Acesso
Permisses podem ter bits adicionais: Cpia: Permite ao domnio copiar sua permisso para o objeto em outros domnios. Transferncia: Permite ao domnio dar sua permisso. Cpia limitada: Permite ao domnio copiar sua transferncia, mas o domnio destino no ter permisso de cpia. Dono: Permite ao domnio acrescentar e remover permisses para o objeto em outros domnios.
Implementao pode ser: Tabela global: Simples, difcil de procurar, matriz vazia. Lista de acesso por objeto. Lista de permisses por domnio.
Srgio Campos
Srgio Campos
10
Remoo de Permisses
Questes sobre remoo de permisses: Imediata ou atrasada ? Como saber quando a permisso foi retirada ? Seletiva ou geral ? Remoo afeta todos usurios ? Parcial ou total ? Todas os tipos de permisso so removidos ao mesmo tempo ? Temporria ou permanente ?
Permisses sero estticas ou dinmicas ? Dinmicas permitem uma proteo melhor, mas so mais complexas. Permisses tem ser on a need to know basis. Como dar e tirar permisses de forma segura e eficiente ? Trocas de domnios:
Remoo: Tabela global, lista de acessos: simples Lista de permisses por domnio: difcil, implica em busca em todos os domnios.
Importante, mas compromete segurana Implementao: Tabelas globais so simples e ineficientes. Outros mtodos so mais eficientes, mas tm problemas com remoo.
11
Srgio Campos
Srgio Campos
12
Srgio Campos
13