access control and processes
play

Access Control and Processes Por$ons courtesy Ellen Liu - PowerPoint PPT Presentation

Dec 03, 2022 •167 likes •385 views

CSE/ISE 311: Systems Administra5on Access Control and Processes Por$ons courtesy Ellen Liu CSE/ISE 311: Systems Administra5on Outline Access control

  1. CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ Access ¡Control ¡and ¡Processes ¡ Por$ons ¡courtesy ¡Ellen ¡Liu ¡

  2. CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ Outline ¡ • Access ¡control ¡ • Tradi$onal ¡UNIX ¡access ¡control ¡ – File ¡system ¡access ¡control; ¡File ¡permissions, ¡Some ¡ commands; ¡The ¡root ¡account ¡ – Modern ¡access ¡control ¡ • Controlling ¡processes ¡(1) ¡ – Components ¡of ¡a ¡process; ¡life ¡cycle ¡of ¡a ¡process ¡ 8-­‑2 ¡

  3. CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ Access ¡Control ¡ • “The ¡preven$on ¡of ¡unauthorized ¡use ¡of ¡a ¡resource, ¡ including ¡the ¡preven$on ¡of ¡a ¡use ¡in ¡an ¡unauthorized ¡ manner” ¡ • OOen ¡decomposed ¡into: ¡ – Authen$ca$on: ¡Who ¡are ¡you? ¡ ¡ – Authoriza$on: ¡Can ¡you ¡take ¡ac$on ¡X ¡on ¡resource ¡Y? ¡ ¡ 8-­‑3 ¡

  4. CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ Context ¡of ¡Access ¡Control ¡ 8-­‑4 ¡

  5. CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ Access ¡control ¡elements ¡ • Subject ¡-­‑ ¡en$ty ¡that ¡can ¡access ¡objects ¡ – Mainly ¡a ¡process ¡represen$ng ¡user/applica$on ¡ – 3 ¡common ¡classes ¡of ¡subject ¡in ¡basic ¡access ¡control ¡ systems: ¡owner, ¡group, ¡world ¡ • Object ¡-­‑ ¡access ¡controlled ¡resource ¡ – e.g. ¡files, ¡directories, ¡records, ¡programs, ¡etc. ¡ – number/type ¡depend ¡on ¡environment ¡ • Access ¡right ¡ -­‑ ¡way ¡in ¡which ¡a ¡subject ¡accesses ¡an ¡ object ¡ – e.g., ¡read, ¡write, ¡execute, ¡delete, ¡create, ¡search ¡ 8-­‑5 ¡

  6. CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ Three ¡classes ¡of ¡objects ¡ Owner: ¡ may ¡be ¡the ¡creator ¡of ¡a ¡resource ¡such ¡as ¡a ¡file. ¡For ¡ system ¡resources, ¡ownership ¡may ¡belong ¡to ¡a ¡system ¡ administrator. ¡For ¡project ¡resources, ¡a ¡project ¡administrator ¡or ¡ leader ¡my ¡be ¡assigned ¡ownership ¡ ¡ Group: ¡ In ¡addi$on ¡to ¡the ¡privileges ¡assigned ¡to ¡an ¡owner, ¡a ¡ named ¡group ¡of ¡users ¡may ¡also ¡be ¡granted ¡access ¡rights, ¡such ¡ that ¡membership ¡in ¡the ¡group ¡is ¡sufficient ¡to ¡exercise ¡these ¡ access ¡rights ¡ World: ¡ The ¡least ¡amount ¡of ¡access ¡is ¡granted ¡to ¡users ¡who ¡are ¡ able ¡to ¡access ¡the ¡system ¡but ¡are ¡not ¡included ¡in ¡the ¡categories ¡ owner ¡and ¡group ¡for ¡this ¡resource ¡ 8-­‑6 ¡

  7. CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ Tradi5onal ¡UNIX ¡access ¡control ¡ • Objects ¡have ¡owners ¡ • Owners ¡have ¡broad ¡control ¡over ¡their ¡objects ¡ • You ¡own ¡new ¡objects ¡that ¡you ¡create ¡ • The ¡special ¡user ¡account ¡“root” ¡can ¡act ¡as ¡the ¡ owner ¡of ¡any ¡object ¡ • Only ¡root ¡can ¡perform ¡certain ¡sensi$ve ¡ administra$on ¡opera$ons ¡ ¡ 8-­‑7 ¡

  8. CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ Filesystem ¡access ¡control ¡ • Every ¡file ¡has ¡an ¡owner ¡and ¡a ¡owner ¡group ¡ ¡ • The ¡owner ¡can ¡set ¡the ¡permissions ¡of ¡a ¡file ¡ • A ¡owner ¡group ¡allows ¡a ¡file ¡to ¡be ¡shared ¡among ¡ members ¡of ¡the ¡same ¡project ¡ – Groups ¡are ¡tradi$onally ¡defined ¡in ¡/etc/group, ¡now ¡in ¡an ¡ NIS ¡or ¡LDAP ¡server ¡on ¡the ¡network ¡ – The ¡file ¡owner ¡specifies ¡what ¡the ¡members ¡of ¡the ¡group ¡ can ¡do ¡with ¡the ¡file ¡ ¡ 8-­‑8 ¡

  9. CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ Determining ¡file ¡ownerships ¡ $ls –l filename -rw------- 1 yliu csstaff 4529 Jul 15 2010 todo • the ¡file ¡todo ¡is ¡owned ¡by ¡the ¡user ¡yliu ¡and ¡the ¡group ¡ csstaff ¡ • Leeers ¡and ¡dashes ¡in ¡the ¡first ¡column ¡symbolize ¡file ¡ permissions ¡ – There ¡are ¡9 ¡permission ¡bits ¡ – Control ¡who ¡can ¡read, ¡write, ¡and ¡execute ¡the ¡file ¡content ¡ – Also ¡3 ¡other ¡bits ¡for ¡executable ¡programs ¡(ignored ¡for ¡now) ¡ ¡ 8-­‑9 ¡

  10. CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ The ¡permission ¡bits ¡ • The ¡12 ¡bits ¡are ¡called ¡“mode ¡bits”. ¡Can ¡be ¡changed ¡ using ¡“chmod” ¡command ¡ • 3 ¡sets ¡of ¡permissions ¡ – Owner ¡of ¡the ¡file ¡ – Group ¡owners ¡of ¡the ¡file ¡ – Everyone ¡else ¡ • Each ¡set ¡has ¡three ¡bits: ¡ – A ¡read ¡bit, ¡a ¡write ¡bit, ¡and ¡an ¡execute ¡bit ¡ ¡ A ¡good ¡reference ¡on ¡permissions: ¡hep://www.perlfect.com/ar$cles/chmod.shtml ¡ 8-­‑10 ¡

  11. CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ The ¡permission ¡bits ¡(cont’d) ¡ • Each ¡user ¡fits ¡into ¡only ¡one ¡permission ¡set ¡ – Owner, ¡group ¡owner, ¡or ¡other, ¡the ¡most ¡specific ¡one ¡ • Permissions ¡for ¡a ¡file ¡ – Read: ¡allow ¡file ¡open ¡and ¡read ¡ – Write: ¡allow ¡file ¡content ¡modifica$on/trunca$on ¡ – Execute: ¡allow ¡file ¡to ¡be ¡executed ¡ • Permission ¡for ¡a ¡directory ¡ – Read: ¡allow ¡content ¡lis$ng ¡ – Write: ¡allow ¡file ¡crea$on, ¡dele$on, ¡renaming ¡ – Execute: ¡allow ¡to ¡enter ¡the ¡directory ¡but ¡not ¡lis$ng ¡ ¡ 8-­‑11 ¡ ¡

  12. CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ Another ¡example ¡ $ls –l /bin/gzip -rwxr-xr-x 3 root root 57136 Jun 15 2004 / bin/gzip • the ¡first ¡character ¡is ¡a ¡dash, ¡means ¡a ¡regular ¡file ¡ • Owner ¡has ¡all ¡permissions, ¡everyone ¡else ¡has ¡only ¡read ¡ and ¡execute ¡permissions ¡ • Other ¡content: ¡link ¡count ¡for ¡the ¡file; ¡owner, ¡and ¡group ¡ owner; ¡file ¡size ¡in ¡bytes, ¡date ¡of ¡last ¡modifica$on, ¡file ¡ name ¡ ¡ 8-­‑12 ¡

  13. CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ The ¡ chmod ¡command ¡ • Used ¡to ¡change ¡the ¡permissions ¡on ¡a ¡file ¡ • Only ¡owner ¡of ¡the ¡file ¡and ¡superuser ¡can ¡run ¡it ¡ Examples ¡ ¡ ¡ • chmod u+w todo ¡ ¡ ¡Adds ¡write ¡for ¡the ¡owner ¡of ¡file ¡ • ug=rw,o=r Gives ¡r/w ¡to ¡owner ¡& ¡group, ¡read ¡to ¡others ¡ Removes ¡execute ¡for ¡all ¡categories ¡ • a-x Makes ¡the ¡group ¡permissions ¡the ¡same ¡as ¡owner ¡ • g=u u ¡ ¡the ¡owner ¡user ¡ ¡ ¡ g ¡ ¡the ¡owner ¡group ¡ ¡ o ¡ ¡others ¡(neither ¡u, ¡nor ¡g) ¡ a ¡ ¡all ¡users ¡ ¡ 8-­‑13 ¡

  14. CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ The ¡ chown ¡command ¡ • Change ¡a ¡file’s ¡ownership ¡and ¡group ¡ownership ¡ – For ¡ownership: ¡must ¡be ¡superuser ¡ – For ¡group ¡ownership: ¡must ¡be ¡superuser, ¡or ¡both ¡file ¡ owner ¡and ¡belong ¡to ¡target ¡group ¡ • Example: ¡ ¡ chown matt:staff myfile change ¡myfile’s ¡owner ¡to ¡mae, ¡owner ¡group ¡to ¡staff ¡ • There ¡is ¡also ¡a ¡ chgrp command ¡to ¡change ¡the ¡ group ¡owner ¡of ¡a ¡file ¡only ¡ ¡ ¡ 8-­‑14 ¡

  15. CSE/ISE ¡311: ¡Systems ¡Administra5on ¡ The ¡root ¡account ¡ • UNIX’s ¡omnipotent ¡administra$ve ¡user ¡(UID ¡0) ¡ • Also ¡known ¡as ¡the ¡superuser ¡account, ¡actual ¡ username ¡is ¡“root” ¡ • Tradi$onal ¡UNIX ¡allows ¡the ¡superuser ¡(or ¡any ¡ process ¡whose ¡effec$ve ¡UID ¡is ¡0) ¡to ¡perform ¡any ¡ valid ¡opera$on ¡on ¡any ¡file ¡or ¡process ¡ • Restricted ¡opera$ons ¡(only ¡root ¡can ¡perform): ¡ sekng ¡hostname, ¡system ¡clock, ¡configuring ¡network, ¡ shukng ¡down ¡system, ¡crea$ng ¡device ¡files, ¡change ¡own ¡ process’ ¡UID ¡and ¡GID ¡(e.g., ¡login) ¡ 8-­‑15 ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

1 General Access Control General Access Control Control of access to memory relatively easy:

1 General Access Control General Access Control Control of access to memory relatively easy:

Role of Access Control Before closing back doors we need to close front doors Access control: determines access to files & processes in OS Fall 2008 We will return to these themes throughout the course Fall 2008 CS

512 views • 6 slides
Access Control Access Control 1 Access Control Access control : ensures that all direct

Access Control Access Control 1 Access Control Access control : ensures that all direct

Access Control Access Control 1 Access Control Access control : ensures that all direct accesses to object are authorized a scheme for mapping users to allowed actions Protection objects : system resources for which protection is

576 views • 21 slides
Access Control and Protection Overview Access control: What and Why Abstract Models of

Access Control and Protection Overview Access control: What and Why Abstract Models of

Access Control and Protection Overview Access control: What and Why Abstract Models of Access Control Discretionary acces control Mandatory access control Real systems: Unix Access Control Model Access control Access

817 views • 47 slides
Access Control Jackson Argo Rackspace MO After-hours April 28, 2016 What is Access Control?

Access Control Jackson Argo Rackspace MO After-hours April 28, 2016 What is Access Control?

Access Control Jackson Argo Rackspace MO After-hours April 28, 2016 What is Access Control? How Is Access Determined? Who Determines Access? Forms of Access Control SELinux Booleans iptables File Access Control Lists Apache Access Control

711 views • 36 slides
CS 4803 Computer and Network Security Alexandra (Sasha) Boldyreva OS security. Access control.

CS 4803 Computer and Network Security Alexandra (Sasha) Boldyreva OS security. Access control.

Access control Access control determines access to files and processes in OS Old area of security, but not well understood CS 4803 Computer and Network Security Alexandra (Sasha) Boldyreva OS security. Access control. 1 2 System

889 views • 5 slides
SYSTEM DIAGRAMS Door Entry & Access Control ACCESS CONTROL ACCESS CONTROL Allowing

SYSTEM DIAGRAMS Door Entry & Access Control ACCESS CONTROL ACCESS CONTROL Allowing

SYSTEM DIAGRAMS Door Entry & Access Control ACCESS CONTROL ACCESS CONTROL Allowing residents / staff access to site areas Main entrance Vehicle entrances Pedestrian entrances Gate / Barrier entrance Bin / Bike / Refuge

336 views • 14 slides
Overview Basic Principles Access Control Methodologies Controls Access Control Designs

Overview Basic Principles Access Control Methodologies Controls Access Control Designs

Overview Basic Principles Access Control Methodologies Controls Access Control Designs Access Control Administration Accountability Chapter 2 Access Control Models Identification and Authentication Methods Lecturer:

708 views • 9 slides
virtual machines 1 last time access control lists user and group IDs in processes set-user-ID

virtual machines 1 last time access control lists user and group IDs in processes set-user-ID

virtual machines 1 last time access control lists user and group IDs in processes set-user-ID programs briefmy: time-of-check-to-time-of-use errors capabilities: token to address = permission token might allow getting other tokens can pass

1.24k views • 105 slides
Outline Unix-style access control, contd CSci 5271 Multilevel and mandatory access control

Outline Unix-style access control, contd CSci 5271 Multilevel and mandatory access control

Outline Unix-style access control, contd CSci 5271 Multilevel and mandatory access control Introduction to Computer Security Access control, contd Announcements intermission Stephen McCamant Capability-based access control University

380 views • 7 slides
D2: Access Control #2: Access cess Contr trol ol Similar to OWASP Top 10 Insufficient

D2: Access Control #2: Access cess Contr trol ol Similar to OWASP Top 10 Insufficient

D2: Access Control #2: Access cess Contr trol ol Similar to OWASP Top 10 Insufficient access control and authentication checks Insecure access control methods Private, internal functions and data are accessible through a

547 views • 11 slides
Smart.Net-IP NETWORKED ACCESS CONTROL Smart.Net-IP NETWORKED ACCESS CONTROL Smart.Net-IP is a

Smart.Net-IP NETWORKED ACCESS CONTROL Smart.Net-IP NETWORKED ACCESS CONTROL Smart.Net-IP is a

Smart.Net-IP NETWORKED ACCESS CONTROL Smart.Net-IP NETWORKED ACCESS CONTROL Smart.Net-IP is a simple, modular approach to networked access control with scalability in mind. Easy management from a central location PC from anywhere with an

196 views • 9 slides
Access Control Chester Rebeiro Indian Institute of Technology Madras Access Control (the tao of

Access Control Chester Rebeiro Indian Institute of Technology Madras Access Control (the tao of

Access Control Chester Rebeiro Indian Institute of Technology Madras Access Control (the tao of achieving confiden5ality and integrity) Who can access What Objects : Subjects : Files/ Programs/ Sockets/ User/ process/ applica5on Hardware/

985 views • 46 slides
Outline Basics of access control Unix-style access control CSci 5271 Introduction to Computer

Outline Basics of access control Unix-style access control CSci 5271 Introduction to Computer

Outline Basics of access control Unix-style access control CSci 5271 Introduction to Computer Security Announcements intermission Day 10: OS security: access control Multilevel and mandatory access control Stephen McCamant University of

324 views • 10 slides
Access Control Chester Rebeiro Indian Institute of Technology Madras Access Control (the tao of

Access Control Chester Rebeiro Indian Institute of Technology Madras Access Control (the tao of

Access Control Chester Rebeiro Indian Institute of Technology Madras Access Control (the tao of achieving confidentiality and integrity) Who can access What Objects : Subjects : Files/ Programs/ Sockets/ User/ process/ application

1.31k views • 50 slides
Access Control Mechanisms Week 6 1 CEN-5079: 7.March.2019 Why Access Control Following

Access Control Mechanisms Week 6 1 CEN-5079: 7.March.2019 Why Access Control Following

Access Control Mechanisms Week 6 1 CEN-5079: 7.March.2019 Why Access Control Following authentication, we need to decide what the subject can access 1 Read F 1 OK 2 Bob Write to F Alice 2 F NO ! 3 Execute G G 3 OK

596 views • 56 slides
Implementing Processes Implementing Processes Review: Threads vs vs. Processes . Processes

Implementing Processes Implementing Processes Review: Threads vs vs. Processes . Processes

Implementing Processes Implementing Processes Review: Threads vs vs. Processes . Processes Review: Threads 1. The process is a kernel abstraction for an independent executing program. includes at least one thread of control data also

415 views • 12 slides
Access Control CSE497b - Spring 2007 Introduction Computer and Network Security Professor Jaeger

Access Control CSE497b - Spring 2007 Introduction Computer and Network Security Professor Jaeger

Access Control CSE497b - Spring 2007 Introduction Computer and Network Security Professor Jaeger www.cse.psu.edu/~tjaeger/cse497b-s07/ CSE497b Introduction to Computer and Network Security - Spring 2007 - Professor Jaeger Access Control

592 views • 23 slides
Lecture 15 Access Control Stephen Checkoway University of Illinois at Chicago CS 487

Lecture 15 Access Control Stephen Checkoway University of Illinois at Chicago CS 487

Lecture 15 Access Control Stephen Checkoway University of Illinois at Chicago CS 487 Fall 2017 Slides based on Baileys ECE 422 Authentication vs Authorization Authentication Who goes there? Restrictions on who (or what)

348 views • 21 slides
Getting Started with DUNE's Software and Computing Thomas R. Junk Young Dune September 16, 2016

Getting Started with DUNE's Software and Computing Thomas R. Junk Young Dune September 16, 2016

Getting Started with DUNE's Software and Computing Thomas R. Junk Young Dune September 16, 2016 Web Documentation I set my web browser's home page to the DUNE at Work page: https://web.fnal.gov/collaboration/DUNE/SitePages/home.aspx It is

543 views • 30 slides
Attack Graphs Systems and Internet Infrastructure Security (SIIS) Laboratory Page 1 Outline Attack

Attack Graphs Systems and Internet Infrastructure Security (SIIS) Laboratory Page 1 Outline Attack

Systems and Internet Infrastructure Security Network and Security Research Center Department of Computer Science and Engineering Pennsylvania State University, University Park PA Attack Graphs Systems and Internet Infrastructure Security (SIIS)

1.06k views • 60 slides
NETCONF Access Control draft-bierman-netconf-access-control-01 IETF 77, March 2010 Andy Bierman

NETCONF Access Control draft-bierman-netconf-access-control-01 IETF 77, March 2010 Andy Bierman

NETCONF Access Control draft-bierman-netconf-access-control-01 IETF 77, March 2010 Andy Bierman andyb@iwl.com Agenda Why does NETCONF need a standard access control model (ACM)? What are the functional requirements for a standard ACM

842 views • 26 slides
http://xkcd.com/932/ Homework 2 Review CS 166: Information Security Authorization: Part 1 Prof.

http://xkcd.com/932/ Homework 2 Review CS 166: Information Security Authorization: Part 1 Prof.

http://xkcd.com/932/ Homework 2 Review CS 166: Information Security Authorization: Part 1 Prof. Tom Austin San Jos State University Authentication vs Authorization Authentication Are you who you say you are? Restrictions on who

1.14k views • 79 slides
Insecure Direct Object Reference IDOR ( Broken Access Control ) IDOR ( Broken Access Control ) ~#

Insecure Direct Object Reference IDOR ( Broken Access Control ) IDOR ( Broken Access Control ) ~#

Insecure Direct Object Reference IDOR ( Broken Access Control ) IDOR ( Broken Access Control ) ~# whoami Eric Biako Bsc. IT, CEH v9 Information security officer @ E-connecta Moderator @ https://legalhackmen.com IDOR ( Broken Access Control )

517 views • 12 slides
Risk-Aware Role-Based Access Control Liang Chen Jason Crampton Information Security Group, Royal

Risk-Aware Role-Based Access Control Liang Chen Jason Crampton Information Security Group, Royal

Risk-Aware Role-Based Access Control Liang Chen Jason Crampton Information Security Group, Royal Holloway, University of London 7th International Workshop on Security and Trust Management Risk-Aware RBAC Introduction Introduction

604 views • 16 slides

More recommend