Sistemas Operacionais

Aula 21: Proteção

Referências:

Capítulo 19

Objetivos da Proteção

Manter a integridade do SO;
Proteger de usuários bizantinos;
Proteger de usuários incompetentes;
Aumenta confiabilidade detectando erros de interface.

Domínios de Proteção

Computador: uma coleção de objetos. e.g. CPU, arquivo, impressora, semáforos, etc.

Cada objeto tem um tipo de acesso diferente: tipo abstrato de dados.

Processo devem ter acesso somente aos objetos que precisa na hora em que for preciso.

Um domínio de proteção especifica quais objetos um processo pode acessar:

É uma coleção de pares ordenados

<objeto, permissão>

Exemplo: <arquivo_A, rw>

Domínios de Proteção

Podem ter sobreposição;

Podem ser atribuidos

Estaticamente
Dinamicamente.

Diferenças ? Vantagens ?

Tipos de domínios:

Usuário: e.g. diretório, impressora, etc.
Processo: e.g. espaço de endereçamento
Procedimento: e.g. variáveis locais.

Exemplos de Domínios de Proteção

Domínio é por usuário;
Quando é necessário acessar objetos com permissões diferentes, troca-se o usuário: SETUID.
- Problema!
- Mas se não puder trocar o usuário o sistema fica restritivo demais.

Exemplos de Domínios de Proteção

Anéis de proteção:
Modelo simplificado: dois anéis, 0: modo superusuário; 1: modo usuário.
Sistema segmentado: cada segmento pertence a um anel.
Além disto, cada segmento tem 3 bits rwx.
Troca de domínio acontece quando um processo executando em um anel chama outro em um anel diferente.

Exemplos de Domínios de Proteção

Para garantir proteção o segmento inclui:
- Acess bracket: [b1, b2], Limite: b3
- Lista de portas de acesso limitado.
Se um processo no anel i chama outro no anel j:
Desvantagem: complexo, proteção estática.

Matriz de Acesso

Especifica quem pode acessar o que:

Troca de domínios pode ser implementada acrescentando-se domínios à tabela:

Matriz de Acesso

Permissões podem ter bits adicionais:

Cópia: Permite ao domínio copiar sua permissão para o objeto em outros domínios.
Transferência: Permite ao domínio dar sua permissão.
Cópia limitada: Permite ao domínio copiar sua transferência, mas o domínio destino não terá permissão de cópia.
Dono: Permite ao domínio acrescentar e remover permissões para o objeto em outros domínios.

Matriz de Acesso

Implementação pode ser:

Tabela global:
- Simples, difícil de procurar, matriz vazia.
Lista de acesso por objeto.
Lista de permissões por domínio.

Remoção de Permissões

Questões sobre remoção de permissões:

Imediata ou atrasada ? Como saber quando a permissão foi retirada ?
Seletiva ou geral ? Remoção afeta todos usuários ?
Parcial ou total ? Todas os tipos de permissão são removidos ao mesmo tempo ?
Temporária ou permanente ?

Tabela global, lista de acessos: simples
Lista de permissões por domínio: difícil, implica em busca em todos os domínios.

Questões Principais de Proteção

Identificação dos domínios:
- por usuário ? anéis ? processos ?
Permissões serão estáticas ou dinâmicas ?
- Dinâmicas permitem uma proteção melhor, mas são mais complexas.
Permissões tem ser ``on a need to know basis''.
- Como dar e tirar permissões de forma segura e eficiente ?
Trocas de domínios:
- Importante, mas compromete segurança
Implementação:
- Tabelas globais são simples e ineficientes.
- Outros métodos são mais eficientes, mas têm problemas com remoção.