Как работает мандатная система управления доступом в Linux?

Мандатная система управления доступом (MAC, Mandatory Access Control) в Linux предназначена для обеспечения большего уровня безопасности и контроля над доступом к ресурсам системы. itcloud-edu.ru

Принцип работы: для ресурсов (файлов, каталогов и других объектов) устанавливают метки доступа, которые определяют уровень конфиденциальности. habr.com Например, можно назначить уровни безопасности «Ограниченный», «Конфиденциальный», «Секретный» или «Совершенно секретный». habr.com Также ресурсам присваивают категорию безопасности, например «Отдел разработки» или «Проект внедрения». habr.com Вместе уровень защиты и категория защищённости составляют защитный знак или метку. habr.com

Каждому авторизованному пользователю назначают уровень конфиденциальности, чтобы определить, к какому ресурсу он может получить доступ. habr.com Уровень конфиденциальности указывают или присваивают при входе пользователя в систему. habr.com

После применения меток и завершения политики MAC пользователи могут получить доступ только к тем ресурсам (или к информации в рамках ресурсов), к которым у них есть право доступа. habr.com

Например: пользователь А может иметь право на доступ к информации, содержащейся в ресурсе с пометкой «Доступ для отдела разработки ограничен», но пользователь B может не иметь таких прав. habr.com Аналогичным образом, пользователь B может иметь право на доступ к ресурсу с пометкой «Конфиденциальный проект X», но пользователь А может быть не уполномочен на это. habr.com

Критерии MAC определяются системным администратором, строго соблюдаются операционной системой или наложенным ядром безопасности и не могут быть изменены конечными пользователями. habr.com