Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

--- acl [2026/01/02 17:25] – vytvořeno admin
+++ acl [2026/01/02 17:40] (aktuální) – vytvořeno admin
@@ Řádek 1: / Řádek 1: @@
-====== Access Control List (ACL) ======
+====== ACL – Access Control List ======
-===== Co je Access Control List =====
+**ACL** (Seznam řízení přístupu) je tabulka nebo seznam pravidel, který určuje, jaká práva mají konkrétní uživatelé, systémy nebo síťové entity k určitému objektu či službě. Je to základní stavební kámen kybernetické bezpečnosti a správy identit.
-Access Control List (ACL) je mechanismus řízení přístupu, který určuje kdo (uživatel nebo skupina) může co (jakou akci) provádět nad jakým zdrojem (soubor, stránka, adresář, služba).
-ACL se používá v:
-operačních systémech (Linux, Windows)
+===== 1. Typy ACL podle oblasti využití =====
-souborových systémech
+ACL se implementují v různých vrstvách IT infrastruktury, přičemž každá má svá specifika:
-síťových prvcích (routery, firewally)
+==== A. Síťové ACL (Network ACLs) ====
+Používají se na routerech, switchích a firewallech k filtrování příchozího a odchozího provozu.
+  * **Standardní ACL:** Filtrují provoz pouze na základě zdrojové IP adresy.
+  * **Rozšířené ACL (Extended):** Dokáží filtrovat podle zdroje, cíle, čísla portu (např. 80 pro HTTP) a typu protokolu (TCP/UDP).
+  * **Význam:** Jsou klíčové pro segmentaci sítě a ochranu před neautorizovaným přístupem.
-webových aplikacích
+==== B. Souborové ACL (Filesystem ACLs) ====
+Rozšiřují základní model oprávnění (jako je např. Linuxové **rwx** – read, write, execute).
+  * Umožňují přiřadit různá práva více uživatelům nebo skupinám k jednomu souboru či složce.
+  * **Příklad:** V systému Windows (NTFS) nebo v Linuxu (přes příkaz ''setfacl'') můžete nastavit, že uživatel „Honza“ může soubor číst, ale uživatelka „Jana“ jej může i upravovat.
-wiki systémech (např. DokuWiki)
+---
-databázích
+===== 2. Struktura pravidla ACL =====
-cloudových službách
+Každý záznam v ACL (označovaný jako **ACE** – Access Control Entry) obvykle obsahuje tyto složky:
+  * **Identifikátor (Subject):** Kdo chce přistupovat (uživatelské jméno, IP adresa, ID skupiny).
+  * **Objekt:** K čemu se přistupuje (soubor, síťové rozhraní, databázová tabulka).
+  * **Operace:** Co chce subjekt dělat (čtení, zápis, mazání, spuštění).
+  * **Povolení/Zákaz:** Výsledek pravidla (Allow / Deny).
-Základní princip je vždy stejný:
+---
-Subjekt → Akce → Objekt
+===== 3. Princip "Implicit Deny" =====
-===== Základní pojmy ACL =====
+Jedním z nejdůležitějších bezpečnostních pravidel v ACL je **Implicit Deny** (Implicitní zákaz). To znamená, že pokud požadavek neodpovídá žádnému pravidlu v seznamu, je automaticky zamítnut.
+> V konfiguraci síťových prvků se toto pravidlo často nachází na konci seznamu jako neviditelné "deny all".
-==== Subjekt ====
+---
-Subjekt je entita, které jsou přidělována oprávnění.
-Může to být:
+===== 4. ACL vs. RBAC =====
-konkrétní uživatel
+Je důležité nezaměňovat ACL s **RBAC** (Role-Based Access Control):
+  * **ACL** se zaměřuje na **objekt** (seznam u souboru říká, kdo k němu může).
+  * **RBAC** se zaměřuje na **subjekt** (uživatel má roli „Manažer“, která mu dává přístup k celé sadě prostředků).
+  * V moderních systémech se oba přístupy často kombinují.
-skupina uživatelů
+---
-anonymní uživatel
+===== 5. Výhody a správa =====
-systémový účet
+^ Výhody ^ Výzvy ^
+| **Granularita:** Velmi detailní nastavení práv pro jednotlivce. | **Složitost:** U velkých systémů může být seznam nepřehledný. |
+| **Bezpečnost:** Rychlá implementace blokování útočníků (např. podle IP). | **Výkon:** Příliš dlouhé síťové ACL mohou zpomalit směrování paketů. |
+| **Audit:** Snadnější sledování toho, kdo má kam přístup. | **Chyby v konfiguraci:** Stačí jedno špatné pravidlo a služba je nedostupná. |
-==== Objekt ====
+----
-Objekt je zdroj, ke kterému se přistupuje.
+//Související články://
+  * [[it:sec:waf_security|WAF a síťová bezpečnost]]
+  * [[it:sec:firewalls|Firewally a jejich typy]]
+  * [[it:net:osi_model|Model OSI a síťové vrstvy]]
-Příklady:
+//Tagy: {{tag>security network acl access-control permissions administration}}//
-soubor
-adresář
-wiki stránka
-jmenný prostor (namespace)
-databázová tabulka
-API endpoint
-==== Akce (oprávnění) ====
-Akce určuje, co může subjekt s objektem dělat.
-Typické akce:
-čtení
-zápis
-mazání
-vytváření
-administrace
-===== Typy ACL =====
-==== Discretionary Access Control (DAC) ====
-vlastník objektu určuje přístupová práva
-běžné v Unix/Linux systémech
-flexibilní, ale méně bezpečné
-==== Mandatory Access Control (MAC) ====
-centrálně řízená bezpečnostní politika
-uživatel nemůže měnit oprávnění
-příklady: SELinux, AppArmor
-==== Role-Based Access Control (RBAC) ====
-oprávnění se přidělují rolím
-uživatel získává oprávnění podle role
-přehledné a škálovatelné
-==== ACL (rozšířený model) ====
-ke každému objektu existuje seznam pravidel
-velmi jemné řízení přístupu
-složitější správa
-===== ACL v DokuWiki =====
-==== Základní princip ACL v DokuWiki ====
-DokuWiki používá hierarchický ACL systém, kde:
-oprávnění se dědí
-konkrétnější pravidla mají přednost
-pravidla se aplikují shora dolů
-ACL lze nastavit:
-přes administrátorské rozhraní
-ručně v souboru conf/acl.auth.php
-==== Úrovně oprávnění v DokuWiki ====
-^ Hodnota ^ Název ^ Význam ^
-| 0 | NONE | žádný přístup |
-| 1 | READ | čtení stránky |
-| 2 | EDIT | úprava stránky |
-| 4 | CREATE | vytváření nových stránek |
-| 8 | UPLOAD | nahrávání souborů |
-| 16 | DELETE | mazání |
-| 255 | ADMIN | plná práva |