Pääsuloend

Arvutiturbes tähendab pääsupiiramisloend (ACL, ehk Access Control List) objektidele kaasatavaid õiguste loendeid. Loendis määratletakse, kellel või millel on õigus objektidele ligi pääseda ning mida on sellega lubatud teha. Tavapärases pääsupiiramisloendis määratletakse igas kirjes isik ja toimetus: näiteks, kirje (Liisi, delete) faili XYZ pääsupiiramisloendis annab Liisile õiguse faili XYZ kustutamiseks.

Pääsupiiramisloenditel põhinevad turvamudelid

Kui pääsupiiramisloendil põhinevas turvamudelis saadetakse objektile päring mingisuguse toimingu läbiviimiseks, siis leitakse esmalt loendist vastavad kirjed, ning seejärel otsustatakse toimetuse jätkamise üle. Peamine küsimus pääsupiiramisloendil põhineva turvamudeli määratlemisel tekib loendite muutmisel – kellel on õigus seda teha ning millised muudatused on lubatud.

On kahte liiki pääsupiiramisloendeid kasutavaid süsteeme: valikulised (ingl.k. discretionary) ja kohustuslikud (ingl.k. mandatory). Kui süsteemil on valikuline pääsupiirang, siis on selle tekitajal või omanikul õigus täielikult piirata ligipääsu sellele objektile, muuhulgas niiviisi, et ligipääs lubatakse kõikidele teistele. Süsteemil on kohustuslik pääsupiirang siis, kui see allub üle terve süsteemi kehtivatele piirangutele, mis on pääsupiiramisloendis määratletud õigustest tähtsamad.

Harilikud pääsupiiramisloendite süsteemid määravad õiguseid üksikutele kasutajatele, mis võib suure kasutajahulga puhul tülikaks osutuda. Uuemas, rollidel põhinevas pääsupiirangus, antakse õiguseid rollidele, ning rolle jaotatakse omakorda kasutajatele.

Failisüsteemide pääsupiiramisloendid

Failisüsteemides on peamiseks piiramise vahendiks kasutajatunnus (POSIX-is jõus olev UID).

Loend on andmestruktuur, harilikult tabel, mis sisaldab kirjeid üksikute kasutajate või rühmade õigustest kindlatele süsteemiobjektidele, nagu programmid, protsessid, või failid. Linux-is, Mac OS X-is, OpenVS-is, ning Windows-is nimetatakse neid kirjeid pääsupiiramiskirjeteks (ingl.k. Access Control Entries). Igal ligipääsetaval objektil on selle pääsupiiramisloendile suunav tunnus. Kindlaid ligipääsuõiguseid määravad õigused: näiteks kas kasutajal on lubatud objektist lugeda, sinna kirjutada, ning seda käivitada. Mõningad pääsupiiramisloendid on võimelised piirama seda, kas kasutajal või nende rühmal on lubatud objekti pääsupiiramisloendit muuta.

Pääsupiiramisloendite ideed on mitmetes erinevates operatsioonisüsteemides erinevalt teostatud, kuigi on olemas ka POSIX-i "standard". (POSIXi turvavisandid .1e ja .2c võeti tagasi, kui selgus, et need kujuneksid liiga laiahaardeliseks, tööd ei saadud valmis, kuid rohkem väljakujundatud pääsupiiramisloendeid määratlevasid osasid on laialt teostatud, ning neid tuntakse POSIX pääsuloenditena.)