ACLs - DACLs/SACLs/ACEs

Tumia Trickest kujenga na kutumia mifumo ya kiotomatiki inayotumia zana za jamii za juu kabisa duniani. Pata Ufikiaji Leo:

Jifunze kuhusu kudukua AWS kutoka mwanzo hadi mtaalamu na htARTE (Mtaalamu wa Timu Nyekundu ya AWS ya HackTricks)!

Njia nyingine za kusaidia HackTricks:

Ikiwa unataka kuona kampuni yako ikitangazwa kwenye HackTricks au kupakua HackTricks kwa PDF Angalia MIPANGO YA KUJIUNGA!
Pata bidhaa rasmi za PEASS & HackTricks
Gundua Familia ya PEASS, mkusanyiko wetu wa NFTs ya kipekee
Jiunge na 💬 Kikundi cha Discord au kikundi cha telegram au tufuate kwenye Twitter 🐦 @carlospolopm.
Shiriki mbinu zako za kudukua kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud github repos.

Orodha ya Kudhibiti Ufikiaji (ACL)

Orodha ya Kudhibiti Ufikiaji (ACL) inajumuisha seti iliyopangwa ya Vitambulisho vya Kudhibiti Ufikiaji (ACEs) ambavyo vinadhibiti ulinzi wa kitu na mali zake. Kimsingi, ACL inaamua ni vitendo vipi vinavyoruhusiwa au kupigwa marufuku kwa kitu kilichopo.

Kuna aina mbili za ACLs:

Orodha ya Kudhibiti Ufikiaji wa Hiari (DACL): Inabainisha ni watumiaji na vikundi vipi vinavyo au havina ufikiaji wa kitu.
Orodha ya Kudhibiti Ufikiaji wa Mfumo (SACL): Inasimamia ukaguzi wa jaribio la ufikiaji wa kitu.

Mchakato wa kupata faili unahusisha mfumo kuangalia maelezo ya usalama ya kitu dhidi ya tokeni ya ufikiaji wa mtumiaji ili kubaini ikiwa ufikiaji unapaswa kuruhusiwa na kiwango cha ufikiaji huo, kulingana na ACEs.

Vipengele Muhimu

DACL: Ina ACEs ambazo hutoa au kukataa ruhusa za ufikiaji kwa watumiaji na vikundi kwa kitu. Kimsingi ni ACL kuu inayodhibiti haki za ufikiaji.
SACL: Hutumika kwa ukaguzi wa ufikiaji wa vitu, ambapo ACEs hufafanua aina za ufikiaji zinazopaswa kurekodiwa kwenye Kumbukumbu ya Tukio la Usalama. Hii inaweza kuwa muhimu kwa kugundua jaribio la ufikiaji usioruhusiwa au kutatua matatizo ya ufikiaji.

Mwingiliano wa Mfumo na ACLs

Kila kikao cha mtumiaji kinaambatishwa na tokeni ya ufikiaji ambayo ina habari ya usalama inayohusiana na kikao hicho, ikiwa ni pamoja na mtumiaji, vitambulisho vya vikundi, na mamlaka. Tokeni hii pia inajumuisha SID ya kuingia ambayo inatambulisha kikao hicho kwa kipekee.

Mamlaka ya Usalama ya Ndani (LSASS) huprocess maombi ya ufikiaji wa vitu kwa kuchunguza DACL kwa ACEs ambazo zinafaa kwa mamlaka ya usalama inayojaribu ufikiaji. Ufikiaji unaruhusiwa mara moja ikiwa hakuna ACEs zinazofaa zinapatikana. Vinginevyo, LSASS inalinganisha ACEs dhidi ya SID ya mamlaka ya usalama katika tokeni ya ufikiaji ili kubaini uhalali wa ufikiaji.

Mchakato Uliohusishwa

ACLs: Hufafanua ruhusa za ufikiaji kupitia DACLs na sheria za ukaguzi kupitia SACLs.
Tokeni ya Ufikiaji: Ina habari za mtumiaji, kikundi, na mamlaka kwa kikao.
Uamuzi wa Ufikiaji: Hufanywa kwa kulinganisha ACEs za DACL na tokeni ya ufikiaji; SACLs hutumika kwa ukaguzi.

ACEs

Kuna aina tatu kuu za Vitambulisho vya Kudhibiti Ufikiaji (ACEs):

ACE ya Kukataa Ufikiaji: ACE hii inakataza wazi ufikiaji wa kitu kwa watumiaji au vikundi vilivyoorodheshwa (katika DACL).
ACE ya Kuruhusu Ufikiaji: ACE hii inaruhusu wazi ufikiaji wa kitu kwa watumiaji au vikundi vilivyoorodheshwa (katika DACL).
ACE ya Ukaguzi wa Mfumo: Iliyowekwa ndani ya Orodha ya Kudhibiti Ufikiaji wa Mfumo (SACL), ACE hii inahusika na kuzalisha magogo ya ukaguzi wakati wa jaribio la ufikiaji wa kitu na watumiaji au vikundi. Inaandika ikiwa ufikiaji uliruhusiwa au kukataliwa na asili ya ufikiaji.

Kila ACE ina vipengele vinne muhimu:

Kitambulisho cha Usalama (SID) cha mtumiaji au kikundi (au jina lao la msingi katika uwakilishi wa kielelezo).
Mwongozo unaotambua aina ya ACE (kukataa ufikiaji, kuruhusu, au ukaguzi wa mfumo).
Vielelezo vya urithi vinavyoamua ikiwa vitu vya watoto vinaweza kurithi ACE kutoka kwa mzazi wao.
Mwambaa wa ufikiaji, thamani ya biti 32 inayobainisha haki zilizopewa kitu.

Uamuzi wa ufikiaji unafanywa kwa kuchunguza kila ACE kwa mpangilio hadi:

ACE ya Kukataa Ufikiaji inakataza wazi haki zilizoombwa kwa mdhamini aliyeorodheshwa katika tokeni ya ufikiaji.
ACE za Kuruhusu Ufikiaji zinaruhusu wazi haki zote zilizoombwa kwa mdhamini katika tokeni ya ufikiaji.
Baada ya kuangalia ACE zote, ikiwa haki yoyote iliyotakiwa haijatolewa wazi, ufikiaji unakataliwa kwa upande wa msingi.

Mpangilio wa ACEs

Namna ACEs (sheria zinazosema ni nani anaweza au hawezi kupata kitu) zinavyowekwa kwenye orodha inayoitwa DACL ni muhimu sana. Hii ni kwa sababu mara mfumo unapotoa au kukataa ufikiaji kulingana na sheria hizi, hauendelei kutazama zaidi.

Kuna njia bora ya kuandaa ACEs hizi, na inaitwa "mpangilio wa kanoni." Mbinu hii husaidia kuhakikisha kila kitu kinatendeka kwa urahisi na kwa haki. Hapa kuna jinsi inavyofanya kazi kwa mifumo kama Windows 2000 na Windows Server 2003:

Kwanza, weka sheria zote zilizofanywa mahsusi kwa kipengee hiki kabla ya zile zinazotoka mahali pengine, kama folda ya mzazi.
Katika sheria hizo maalum, weka zile zinazosema "hapana" (kukataa) kabla ya zile zinazosema "ndiyo" (kuruhusu).
Kwa sheria zinazotoka mahali pengine, anza na zile kutoka kwa chanzo kilicho karibu, kama mzazi, na kisha endelea kutoka hapo. Tena, weka "hapana" kabla ya "ndiyo."

Hii inasaidia kwa njia mbili kuu:

Inahakikisha kwamba ikiwa kuna "hapana" maalum, inaheshimiwa, bila kujali sheria zingine za "ndiyo" zilizopo.
Inamruhusu mmiliki wa kitu kuwa na maamuzi ya mwisho kuhusu ni nani anaweza kuingia, kabla ya sheria kutoka kwa folda za wazazi au nyuma yake kuanza kufanya kazi.

Kwa kufanya mambo kwa njia hii, mmiliki wa faili au folda anaweza kuwa makini sana kuhusu ni nani anapata ufikiaji, kuhakikisha watu sahihi wanaweza kuingia na wale wasio sahihi hawawezi.

Kwa hivyo, hii "mpangilio wa kanoni" ni kuhusu kuhakikisha sheria za ufikiaji zinaeleweka na kufanya kazi vizuri, kuweka sheria maalum kwanza na kuandaa kila kitu kwa njia yenye akili.

Tumia Trickest kujenga na kutumia mifumo ya kiotomatiki inayotumia zana za jamii za juu kabisa duniani. Pata Ufikiaji Leo:

Workflow-powered solution for Bug Bounty, Pentesting, SecOps | TrickestTrickest

Mfano wa GUI

Mfano kutoka hapa

Hii ni kichupo cha usalama cha kawaida cha folda kinachoonyesha ACL, DACL na ACEs:

Tukibonyeza kitufe cha Kitaalam tutapata chaguo zaidi kama urithi:

Na ukiongeza au kuhariri Mkuu wa Usalama:

Na mwisho tuna SACL katika kichupo cha Ukaguzi:

Kuelezea Kudhibiti Upatikanaji kwa Njia Rahisi

Tunapodhibiti upatikanaji wa rasilimali, kama folda, tunatumia orodha na sheria inayoitwa Orodha za Kudhibiti Upatikanaji (ACLs) na Vitambulisho vya Kudhibiti Upatikanaji (ACEs). Hizi hufafanua ni nani anaweza au hawezi kupata data fulani.

Kukataa Upatikanaji kwa Kikundi Maalum

Fikiria una folda inayoitwa Gharama, na unataka kila mtu kuipata isipokuwa timu ya masoko. Kwa kuweka sheria sawa, tunaweza kuhakikisha kuwa timu ya masoko inakataliwa wazi kabla ya kuruhusu wengine wote. Hii hufanywa kwa kuweka sheria ya kukataa upatikanaji kwa timu ya masoko kabla ya sheria inayoruhusu upatikanaji kwa kila mtu mwingine.

Kuruhusu Upatikanaji kwa Mwanachama Maalum wa Kikundi Kilichokataliwa

Sema Bob, mkurugenzi wa masoko, anahitaji kupata folda ya Gharama, ingawa kwa ujumla timu ya masoko haipaswi kupata. Tunaweza kuongeza sheria maalum (ACE) kwa Bob ambayo inamruhusu kupata, na kuweka kabla ya sheria inayokataza upatikanaji kwa timu ya masoko. Kwa njia hii, Bob anapata upatikanaji licha ya kizuizi cha jumla kwa timu yake.

Kuelewa Vitambulisho vya Kudhibiti Upatikanaji

ACEs ni sheria binafsi katika ACL. Hizi hufafanua watumiaji au vikundi, hufafanua ni upatikanaji upi unaruhusiwa au kukataliwa, na kubainisha jinsi sheria hizi zinavyotumika kwa vitu vya chini (urithi). Kuna aina mbili kuu za ACEs:

ACEs Jenariki: Hizi zinafaa kwa ujumla, zikiathiri vitu vyote au kutofautisha tu kati ya vyombo (kama folda) na visivyo vyombo (kama faili). Kwa mfano, sheria inayoruhusu watumiaji kuona yaliyomo kwenye folda lakini sio kufikia faili zilizomo.
ACEs Maalum kwa Vitu: Hizi hutoa udhibiti sahihi zaidi, kuruhusu sheria kuwekwa kwa aina maalum za vitu au hata mali binafsi ndani ya kipengele. Kwa mfano, katika saraka ya watumiaji, sheria inaweza kuruhusu mtumiaji kusasisha nambari yake ya simu lakini sio masaa ya kuingia.

Kila ACE ina habari muhimu kama sheria inatumika kwa nani (kwa kutumia Kitambulisho cha Usalama au SID), ni upatikanaji upi unaruhusiwa au kukataliwa (kwa kutumia kifuniko cha upatikanaji), na jinsi inavyorithiwa na vitu vingine.

Tofauti Kuu Kati ya Aina za ACE

ACEs Jenariki zinafaa kwa hali rahisi za kudhibiti upatikanaji, ambapo sheria sawa inatumika kwa vipengele vyote vya kipengele au kwa vitu vyote ndani ya chombo.
ACEs Maalum kwa Vitu hutumiwa kwa hali zenye utata zaidi, hasa katika mazingira kama Active Directory, ambapo unaweza kuhitaji kudhibiti upatikanaji kwa mali maalum za kipengele tofauti.

Kwa muhtasari, ACLs na ACEs husaidia kufafanua udhibiti sahihi wa upatikanaji, kuhakikisha kuwa watu au vikundi sahihi tu wanapata habari au rasilimali nyeti, na uwezo wa kubadilisha haki za upatikanaji hadi kwenye kiwango cha mali binafsi au aina za vitu.

Mpangilio wa Kuingiza Kipengele cha Kudhibiti Upatikanaji

Uga wa ACE

Maelezo

Mpangilio wa Kifuniko cha Upatikanaji

Biti (Mbalimbali)

Maana

Maelezo/Mfano

Marejeo

Jifunze kuhusu kuvamia AWS kutoka sifuri hadi shujaa na htARTE (HackTricks AWS Red Team Expert)!

Njia nyingine za kusaidia HackTricks:

Ikiwa unataka kuona kampuni yako ikitangazwa kwenye HackTricks au kupakua HackTricks kwa PDF Angalia MIPANGO YA KUJIUNGA!
Pata bidhaa rasmi za PEASS & HackTricks
Gundua Familia ya PEASS, mkusanyiko wetu wa NFTs ya kipekee
Jiunge na 💬 Kikundi cha Discord au kikundi cha telegram au fuata sisi kwenye Twitter 🐦 @carlospolopm.
Shiriki mbinu zako za kuvamia kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud github repos.

Tumia Trickest kujenga na kutumia taratibu za kiotomatiki zilizowezeshwa na zana za jamii za juu zaidi ulimwenguni. Pata Upatikanaji Leo:

PreviousAccess Tokens NextAppendData/AddSubdirectory permission over service registry

Last updated 3 days ago