RuleSet Based Access Control (RSBAC)

RSBAC wird seit 1996 von Amon Ott entwickelt. Ursprünglich begann RSBAC als Diplomarbeit im Fachbereich Informatik an der Universität Hamburg. Die erste Veröffentlichung als Version 0.9 für den Linux Kernel 2.0.30 erfolgte im Januar 1998.

RSBAC geht einen anderen Weg, in dem es zunächst nur ein Framework darstellt. Innerhalb dieses Frameworks werden die Zugriffsanfragen bearbeitet. Dabei können die unterschiedlichsten Zugriffsmodelle realisiert werden. Es können auch mehrere Modelle gleichzeitig geladen und aktiv sein. Aktuell unterstützt RSBAC die folgenden Modelle:

• MAC Mandatory Access Control Modell nach Bell-LaPadula
• RC Role Compatibility Modell. Jeder Benutzer erhält eine Rolle, die alle von ihm gestarteten Prozesse erben. Dieses Modell hat eine gewisse Ähnlichkeit mit der Type-Enforcement von SELinux.
• FC Ein einfaches funktionales Rollenmodell, welches zugunsten von RC aufgegeben wurde.
• AUTH Dieses Modul überwacht die Benutzer und regelt, welcher Prozess welchen Benutzerwechsel durchführen darf.
• UM Dieses User Management-Modul im Kernel ergänzt oder ersetzt die Benutzerverwaltung unter Linux.
• ACL Mit den Access Control Lists prüft RSBAC, ob ein Subjekt (Benutzer, Rolle, ACL Gruppe) auf ein Objekt zugreifen darf.
• PAX Dies ist der PaX(PageExec)-Patch, der auch Bestandteil von grsecurity ist. Hiermit werden Schwächen in der Speicherverwaltung vermieden.
• DAZ Das Dazuko-Modul erlaubt ein On-Access-Scan von Dateien mit einem Virenscanner.
• CAP Erlaubt die Definition von maximalen Capabilities für einzelne Prozesse.
• JAIL Dieses Modul härtet das Chroot.
• RES Mit diesem Modul können für einzelne Prozesse Resource-Limits gesetzt werden.
• FF Das File Flags-Modul erlaubt das Setzen von Attributen auf Dateien, wie read only, append only, write only oder execute only. Diese können auch von root nicht modifiziert werden.
• PM Das Privacy-Model implementiert den Schutz der persönlichen Daten. Hierbei lehnt es sich an dem deutschen Gesetz zum Datenschutz an.

Da RSBAC derartig viele Funktionen aufweist, ist es hier nicht sinnvoll auch nur ansatzweise deren Administration aufzuzeigen. RSBAC bietet selbst genug Material für ein Buch. Bei Interesse bitte ich den Leser die Homepage http://www.rsbac.org aufzusuchen.