Lista de control de acceso (ACL): una lista de control de acceso que determina quién o qué puede acceder a un objeto (programa, proceso o archivo), y qué operaciones se permiten o se prohíben realizar por parte del sujeto (usuario, grupo de usuarios).
Las listas de control de acceso son la columna vertebral de los sistemas de control de acceso selectivo (DAC) .
Introducido por primera vez en OS Multics en 1965, desde entonces, las implementaciones múltiples se han generalizado en casi todos los tipos de programas con acceso distribuido.
En las ACL típicas, cada entrada define un tema y una operación: por ejemplo, la entrada (Vasya, eliminar) en la ACL para el archivo XYZ permite al usuario Vasya eliminar el archivo XYZ .
En un sistema con un modelo de seguridad basado en ACL, cuando un sujeto solicita una operación en un objeto, el sistema primero verifica la lista de operaciones permitidas para ese sujeto y solo luego otorga (o no otorga) acceso a la acción solicitada.
Los sistemas que utilizan ACL se pueden dividir en dos categorías: discrecionales ( inglés discrecional ) y obligatorios ( inglés mandatorio ). Se puede decir que un sistema se basa en el control de acceso discrecional si el creador o propietario de un objeto tiene control total sobre el acceso al objeto, incluida la lista de personas a las que se les permite cambiar los derechos de acceso al objeto. Se puede decir que un sistema tiene control de acceso obligatorio si las ACL definidas por el usuario son anuladas por restricciones del sistema.
Con el almacenamiento centralizado de listas de control de acceso, podemos hablar de una matriz de acceso , en la que los objetos y sujetos se colocan a lo largo de los ejes, y los derechos correspondientes están en las celdas. Sin embargo, en una gran cantidad de sistemas, las listas de control de acceso a objetos se almacenan por separado para cada objeto, a menudo directamente con el objeto mismo.
Los sistemas ACL tradicionales asignan derechos a usuarios individuales y, con el tiempo y la cantidad de usuarios en el sistema, las listas de acceso pueden volverse difíciles de manejar. Una solución a este problema es asignar derechos a grupos de usuarios, y no individualmente. Otra solución a este problema es el " control de acceso basado en roles ", donde los subconjuntos funcionales de derechos a una serie de objetos se combinan en "roles" y estos roles se asignan a los usuarios. Sin embargo, en la primera variante, los grupos de usuarios también suelen denominarse roles .
Los sistemas de archivos utilizan el ID de usuario del proceso ( UID en términos POSIX ) para implementar las ACL .
Una lista de acceso es una estructura de datos (generalmente una tabla) que contiene entradas que definen los derechos de un usuario o grupo individual a objetos especiales del sistema, como programas , procesos o archivos. Estas entradas también se conocen como ACE ( Entradas de control de acceso ) en los sistemas operativos Microsoft Windows y OpenVMS . En Linux y Mac OS X , la mayoría de los sistemas de archivos tienen atributos extendidos que actúan como ACL. Cada objeto del sistema contiene un puntero a su propia ACL. Los privilegios (o poderes) definen derechos de acceso especiales que permiten a un usuario leer ( ing. leer ), escribir ( ing. escribir ) o ejecutar ( ing. ejecutar ) un objeto. En algunas implementaciones, las ACE (Entradas de control de acceso) pueden definir el derecho de un usuario o grupo para cambiar la ACL de un objeto.
Los conceptos de ACL difieren entre los sistemas operativos, a pesar del "estándar" POSIX existente. (Los borradores de seguridad POSIX, .1e y .2c, se retiraron cuando quedó claro que cubrían demasiado alcance y el trabajo no se podía completar, pero las partes bien definidas que definen las ACL se implementaron ampliamente y se conocen como "POSIX ACL ". )
En las redes, las ACL son una lista de reglas que definen los puertos de servicio o los nombres de dominio disponibles en un host u otro dispositivo OSI de capa 3 , cada uno con una lista de hosts y/o redes que pueden acceder al servicio. Las ACL de red se pueden configurar tanto en un servidor normal como en un enrutador , y pueden controlar tanto el tráfico entrante como el saliente , como un firewall .