Всем привет. Сегодня хочу немного раскрыть свой путь вхождения в кибербез и заодно пройтись по одной базовой, но очень важной теме моделям контроля доступа.

Вообще мой путь в ИБ начался не с “хакерских тулзов”, а с фундамента. И здесь мне очень близка мысль, которую я когда-то прочитал в ответ на вопрос “что посмотреть по багхантингу?” — смотреть надо в книги.

━━━━━━━━━━ С чего у меня всё началось ━━━━━━━━━━

Первым большим этапом для меня стали Linux-системы.

Одна из книг, которую я до сих пор точно советую новичкам, — «Командная строка Linux» Уильяма Шоттса. Для меня она стала отличной точкой входа: после неё я уже чувствовал себя юзером в Linux и в итоге полностью пересел на Дебиан как на основную систему.

После этого я читал «Библию Linux», но честно скажу: лично для меня она не стала чем-то обязательным. Упомянуть её хочу скорее как часть своего пути, чем как мастхэв.

А вот следующим реально важным этапом был уже Таненбаум и компьютерные сети. Как бы банально это ни звучало, но именно такие книги очень хорошо собирают в голове базу: OSI, TCP/IP, протоколы, взаимодействие узлов, сама логика сети. Как говорится не читал Таненбаума не называйся айтишником)

После этой базы я уже пошёл в практику: • лабы PortSwigger • изучение Burp Suite • несколько основных скриптовых тулзов и реп на гитхаба для упрощения работы

Ну и документировал всё, что прохожу. И привычка всё фиксировать оказалась для меня очень полезной. Я вёл заметки в Обсидиан, а после выложил себе на гитхаб ➥ https://github.com/eZer-Net/My-Notes

Сразу уточню: это не учебник и не “идеальный курс”, а именно мои заметки под моё мышление. Но по ним можно понять, какой объём тем я проходил, чтобы в итоге зайти на тех собес и попасть в AppSec по хардам.

━━━━━━━━━━ Что такое модели контроля доступа ━━━━━━━━━━

Данную тему я изучил познавая линукс. Если совсем просто, модель контроля доступа — это набор правил, который определяет: • кто • к какому ресурсу • и с какими правами имеет доступ.

Для себя я обычно выделяю 4 базовые модели (их может быть больше): • DAC • MAC • RBAC • ABAC

━━━━━━━━━━ DAC ━━━━━━━━━━

DAC — дискреционная модель доступа. Здесь владелец ресурса сам решает, кому и какие права выдавать.

Именно эту логику можно видеть в классическом Linux-мире: • владелец файла • группа • права rwx • ACL

То есть доступ в первую очередь крутится вокруг владельца объекта и его решений.

Основные команды это: • chmod — меняет права доступа • chown — меняет владельца файла

Числа в chmod — это сумма битов: • 0 — нет прав • 1 — execute (x) • 2 — write (w) • 3 — write + execute (wx) • 4 — read (r) • 5 — read + execute (rx) • 6 — read + write (rw) • 7 — read + write + execute (rwx)

━━━━━━━━━━ MAC ━━━━━━━━━━

MAC — мандатная модель контроля доступа. Здесь правила задаёт уже не сам пользователь-владелец, а централизованная политика безопасности. То есть даже если тебе “хочется разрешить”, система может сказать: нет, политика запрещает.

Самые известные примеры в Linux-мире: • SELinux • AppArmor

Именно здесь появляется более жёсткий контроль: какие процессы, файлы и действия вообще допустимы.

━━━━━━━━━━ RBAC ━━━━━━━━━━

RBAC — ролевая модель. Это самая понятная для большинства модель: права выдаются не напрямую пользователю, а через роль.

Например: • Разработчики • Тестировщики • Бухгалтера • Кибербез

У каждой роли свой набор доступов. Сильная сторона RBAC — простота и понятность. А главная проблема со временем роли начинают разрастаться, пересекаться и терять прозрачность.

━━━━━━━━━━ ABAC ━━━━━━━━━━

ABAC — атрибутивная модель. Здесь решение о доступе принимается уже по совокупности атрибутов.

Например: • должность • отдел • время суток • IP-адрес • геолокация • тип устройства • чувствительность ресурса

То есть доступ может быть не просто “ты админ — значит можно”, а условным: “ты из нужного отдела, работаешь из корпоративной сети, сейчас рабочее время и ресурс тебе вообще положен по политике”. Это гибче, но и сложнее в сопровождении.

#AppSec #Мойпуть #Работа #IT #Linux #DAC #MAC #RBAC #ABAC #CyberSecurity