UNIX に保護が必要な理由

多くのオペレーティング システムには、さまざまな技術を使用したアクセス制御機能が組み込まれています。定評のあるメインフレーム オペレーティング システムである IBM の z/OS には、SAF (System Authorization Facility、システム許可機能)が組み込まれています。SAF は、ユーザの権限を確認するためにオペレーティング システム自体が発行する一連のコールです。
cminderpim14jp
多くのオペレーティング システムには、さまざまな技術を使用したアクセス制御機能が組み込まれています。定評のあるメインフレーム オペレーティング システムである IBM の z/OS には、SAF (System Authorization Facility、システム許可機能)が組み込まれています。SAF は、ユーザの権限を確認するためにオペレーティング システム自体が発行する一連のコールです。
z/OS 環境では、アクセス制御ソフトウェアによって SAF コールのリターン コードが設定されます。z/OS はこのコードに従ってアクセスを許可または拒否します。設定されるリターン コードは、セキュリティ管理者がセキュリティ データベースに定義したアクセス ルールおよびアクセス ポリシーに基づいて決定されます。
OS/2 などの他のオペレーティング システムでも、アクセス制御のために同様の技術が使用されています。OS/2 の SES(Security Enabling Services)というアクセス制御モジュールは、z/OS の SAF と同じ概念に基づいています。
しかし、残念ながら、UNIX ベースのオペレーティング システムはこのように設計されていません。許可の決定は、主にファイル アクセスに対して行われ、ファイルの
i-node
エントリの 9 ビット(rwx-rwx-rwx)を使用して、オペレーティング システム自体によって決定されます。SAF とは異なり、イベント インターセプトの exit ポイントは用意されていません。したがって、メインフレーム タイプのセキュリティ パッケージの機能より複雑なセキュリティ機能を実行するには、さらに高度なセキュリティが必要です。