Le contrôle de l'accès aux données est un sujet crucial de la sécurité informatique. Avec SD-UX, les propriétaires de fichiers et superutilisateurs autorisent ou empêchent l’accès aux fichiers selon un processus d’identification. Pour ce faire, les bits de droit d’accès au fichier sont configurés ou manipulés pour accorder ou restreindre l’accès en fonction du propriétaire, du groupe ou autres utilisateurs. Par exemple, le liste de fichier suivant :
-rwxr-xr 1 doug admin 738 Mar 26 12:25 exemple
indique que :
Le propriétaire du fichier est l'utilisateur doug.
Le groupe du fichier est admin.
Le nom du fichier est exemple.
Les droits de propriétaire sont read, write et execute (rwx).
Les droits de groupe sont read et execute (r-x).
Les autres droits sont read seulement (r-).
Les commandes SD-UX sont dans leur principe des gestionnaires d'objets qui utilisent le système de fichiers SD-UX pour les stocker. Il n'est pas nécessaire d'obtenir l'accès aux objets par le système de fichiers. Le principe de protection du système de fichiers est basé sur le blocage de l'accès aux répertoires contenant ces objets.
Outre les objets SD-UX, il existe différents fichiers de type administratif (fichiers de consignation, de configuration et de session) susceptibles d'être utilisés ou gérés par SD-UX. Ces fichiers ne sont pas des objets SD-UX véritables et peuvent être traités par des commandes classiques, par exemple les éditeurs et utilitaires d'impression. Ces fichiers sont protégés à l'aide des modes de protection de système de fichiers classiques.
De nombreuses fonctions assurées par les agents SD-UX disposent de privilèges. Certaines opérations, par exemple l'installation de fichiers dans des répertoires système (par exemple, dans les répertoires /etc et /dev ) et la personnalisation des systèmes de fichiers à l'aide de scripts de contrôle nécessitent des privilèges de superutilisateur. C'est la raison pour laquelle les agents SD-UX doivent toujours être exécutés en mode superutilisateur.
Un utilisateur système est susceptible d'exécuter le contrôleur SD-UX ; il n'est pas réservé à l'usage seul du superutilisateur. En général, le contrôleur fonctionne en adressant des appels RPC aux systèmes hôtes cibles. Il nécessite en revanche des droits spécifiques et ponctuels pour l'accès aux fichiers de consignation critiques, de configuration et de protection des sessions. Les contrôleurs sont des programmes set-uid root exécutés avec des droits de superutilisateur ponctuels pour assurer certaines opérations critiques avant de revenir à l'uid réel de l'utilisateur.
La suite résume le principe de protection du système de fichiers SD-UX :
L'accès aux fichiers SD-UX est réservé au superutilisateur en positionnant le groupe et les autres droits des modes d'accès aux répertoires à 0.
Seuls les agents et démons exécutés sur le système hôte local accèdent directement aux fichiers SD-UX. Tous les autres modules (contrôleurs, utilitaires, etc.) passent par les agents à l'aide des appels RPC pour accéder indirectement aux fichiers. Les agents ou démons procèdent à l'authentification et aux vérifications des autorisations pour toutes ces opérations.
Il n'existe aucune liaison physique susceptible de contourner la hiérarchie de protection des répertoires SD-UX. Aucun lien symbolique ne peut compromettre la confidentialité du contenu de ces répertoires qui contiennent des objets susceptibles d'être affectés par des restrictions de liste. L'utilisation d'un chemin d'accès unique (canonique) vers les objets SD-UX permet d'éviter des problèmes éventuels de dénomination.
Ainsi, les fichiers SD-UX bénéficient d'une protection et d'un masquage complets pour les utilisateurs autres que les superutilisateurs.
Version imprimable 
