Sistemas Operacionais

Aula 21: Proteo Referncias: Captulo 19

Objetivos da Proteo
Manter a integridade do SO; Proteger de usurios bizantinos; Proteger de usurios incompetentes; Aumenta confiabilidade detectando erros de interface.

Srgio Campos

Domnios de Proteo

Domnios de Proteo

Computador: uma coleo de objetos. e.g. CPU, arquivo, impressora, semforos, etc. Cada objeto tem um tipo de acesso diferente: tipo abstrato de dados. Processo devem ter acesso somente aos objetos que precisa na hora em que for preciso. Um domnio de proteo especifica quais objetos um processo pode acessar: uma coleo de pares ordenados <objeto, permisso>

Podem ter sobreposio; Podem ser atribuidos Estaticamente Dinamicamente. Diferenas ? Vantagens ? Tipos de domnios: Usurio: e.g. diretrio, impressora, etc. Processo: e.g. espao de endereamento Procedimento: e.g. variveis locais.

Exemplo: <arquivo_A, rw>

Srgio Campos

Srgio Campos

Exemplos de Domnios de Proteo

Exemplos de Domnios de Proteo

Unix: Domnio por usurio; Quando necessrio acessar objetos com permisses diferentes, troca-se o usurio: SETUID. Problema! Mas se no puder trocar o usurio o sistema fica restritivo demais.

Multics: Anis de proteo: cada anel um domnio de proteo Anis vo de 0 a 7, 0 tem maior acesso Anis maiores so contidos em anis menores. Modelo simplificado: dois anis, 0: modo superusurio; 1: modo usurio. Sistema segmentado: cada segmento pertence a um anel. Alm disto, cada segmento tem 3 bits rwx. Troca de domnio acontece quando um processo executando em um anel chama outro em um anel diferente.

Srgio Campos

Srgio Campos

Exemplos de Domnios de Proteo

Matriz de Acesso

Multics: Para garantir proteo o segmento inclui: Acess bracket: [b1, b2], Limite: b3 Lista de portas de acesso limitado. Se um processo no anel i chama outro no anel j: Se i < b1, a chamada permitida (i tem mais prioridade), mas parmetros que se referem ao anel i so copiados. A chamada permitida se b1 i b2. Anel permanece i. Se b2 < i b3, a chamada permitida se for feita a uma das portas de acesso limitado. Seno a chamada recusada. Desvantagem: complexo, proteo esttica.
Srgio Campos

Especifica quem pode acessar o que: Arq1 r Arq2 Arq3 r x rw Impr. u r rw

D1 D2 D3 D4

Troca de domnios pode ser implementada acrescentando-se domnios tabela: ... ... ... ... ... D1 D2 switch D3 switch switch D4 switch

D1 D2 D3 D4

Srgio Campos

Matriz de Acesso

Matriz de Acesso

Permisses podem ter bits adicionais: Cpia: Permite ao domnio copiar sua permisso para o objeto em outros domnios. Transferncia: Permite ao domnio dar sua permisso. Cpia limitada: Permite ao domnio copiar sua transferncia, mas o domnio destino no ter permisso de cpia. Dono: Permite ao domnio acrescentar e remover permisses para o objeto em outros domnios.

Implementao pode ser: Tabela global: Simples, difcil de procurar, matriz vazia. Lista de acesso por objeto. Lista de permisses por domnio.

Srgio Campos

Srgio Campos

10

Remoo de Permisses

Questes Principais de Proteo

Identificao dos domnios: por usurio ? anis ? processos ?

Questes sobre remoo de permisses: Imediata ou atrasada ? Como saber quando a permisso foi retirada ? Seletiva ou geral ? Remoo afeta todos usurios ? Parcial ou total ? Todas os tipos de permisso so removidos ao mesmo tempo ? Temporria ou permanente ?

Permisses sero estticas ou dinmicas ? Dinmicas permitem uma proteo melhor, mas so mais complexas. Permisses tem ser on a need to know basis. Como dar e tirar permisses de forma segura e eficiente ? Trocas de domnios:

Remoo: Tabela global, lista de acessos: simples Lista de permisses por domnio: difcil, implica em busca em todos os domnios.

Importante, mas compromete segurana Implementao: Tabelas globais so simples e ineficientes. Outros mtodos so mais eficientes, mas tm problemas com remoo.
11
Srgio Campos

Srgio Campos

12

Srgio Campos

13