Rollenberechtigungen

Die per RSBAC erstellten Rollen beinhalten eine Reihe von Rechten, welche die Zugriffe der ausge­führten Programme auf andere Ressourcen (wie Dateien, Netzwerk-Ports und Devices) beschränken oder ermöglichen. Hintergrund: In einem Linux-Betriebssystem mit RSBAC-Erweiterung können neben dem konventionellen Zugriffsrechtemodell noch weitere Modelle geladen und die Rechte miteinander kombiniert werden. Dabei versteht man unter Rechten auch Beschränkungen. Bei TightGate-Pro ist insbesondere das Role Compatibility Model (RC-Modell) zu nennen. Das RC-Modell erlaubt eine wesentlich feinere Rechtevergabe als das Standard-Zugriffsrechtemodell unter Linux.

Jede Rolle hat einen eigenen Satz an Rechten, unabhängig von allen anderen Rollen. Ruft ein Benut­zer zum Beispiel den Webbrowser auf, der mit den Rechten der Rolle Webbrowser startet, so hat der Webbrowser die RC-Rechte für genau die Aktionen, die mit dem Webbrowser ausgeführt werden sol­len. Zusätzlich bleiben die Rechtebeschränkungen aus den anderen Sicherheitsmodellen erhalten, der Browser eines Benutzers kann den Browser eines anderen nicht gefährden.

Hinweis: Bislang war zumeist von einem Administrator die Rede, wenn ein systemseitig angelegter Benutzer­ac­count mit den Berechtigungen einer bestimmten Rolle gemeint war. Im Folgenden werden Rollen in Großbuchstaben geschrieben, während Administratorkonten in Kleinbuchstaben referenziert werden. Eine Rolle beschreibt einen Berechtigungskontext, den ein Benutzer- bzw. Administratorenkonto, aber auch ein Programm innehaben kann. Für zentrale Rollen gibt es in TightGate-Pro jeweils nur ein einziges Administratorenkonto, das ebenso benannt ist wie die Rolle selbst.

Auch Programme werden einem Rollenkontext gestartet. Dies dient der Kapselung dieser Programme und verhindert sicherheitstechnisch relevante "Übergriffe" untereinander oder auf das zugrunde liegende Betriebssystem.

Funktion
Berechtigung
Rollenbezeichnung
BENUTZER CONFIG MAINT UPDATE BACKUP REVISION TRANSFER SECURITY ROOT ROOT-WARTUNG
Auf Menüfunktionalität beschränktes Ändern von Netzwerkeinstellungen - + - - - - - - - -
Neustart des Systems - + + + - - - - + +
Individuelles Ändern von Konfigurationsdateien - - - - - - - - - +
eingeschränkt
Vergabe von Rollenberechtigungen - - - - - - - + - -
Shell-Zugriff + - - - - + - + + +
Grafische Oberfläche + - - - - + - - - -
Auf Menüfunktionalität beschränkte Benutzerverwaltung - - + - - - - - - -
Neustart einzelner Dienste - + + + - - - - + +
Zeitbeschränkte Zulassung von Administratoranmeldungen per SSH - - + - - - - +(*) - -
Zulassung von Anmeldungen per SSH über Netzwerk von außerhalb des vorgesehenen Klientennetzwerks - + - - - - - - +(*) +(*)
Öffnen des Fernwartungszugangs für die m-privacy GmbH - - + - - - - - - -
Über Menüfunktionalität beschränkte Aktualisierung der installierten Programmpakete - - - + - - - - - -
Zugriff auf /home-Verzeichnisse +
nur eigenes Verzeichnis
- - - - +
nur lesend
- +
nur lesend
- +
Sichern und Zurückspielen der RSBAC-Konfiguration - - - + Restore - - - + - -
RSBAC-Konfiguration ändern - - - - - - - + - -
Voller Zugriff mittels Interpreter auf Abbilder gewählter Benutzerverzeichnisse - - - - - + - - - -
Nur-Lesezugriff auf Systemprotokolle (Logs) - - - - - + - + + +
Schreibzugriff auf Systemprotokolle - - - - - - - - - -
Netzwerkzugriff + - - eingeschränkt eingeschränkt - - eingeschränkt eingeschränkt eingeschränkt
Nur-Lesezugriff auf Benutzerdaten - - - - - + - + - -
Editieren der Konfiguration von ungeschützten Systemdiensten - - - - - - - - - +
Nutzung von Test-Tools (z. B. netstat) - - - - - - - - + +
Aufruf von "rsbac_menu" - - - - - - - + +
(nur lesend)
+
(nur lesend)

Legende:

(*) Option ist nur manuell über die Konsole einstellbar, nicht über eine Menüoption.