Пользователи в KOS

[NastyaPy]

KOS является однопользовательский системой и понятия пользователя нет, я правильно понимаю? То есть если есть файл (или файлы) в файловой системе, то для контроля доступа можно использовать только политики. Ничего похожего на права доступа rwx, которые есть в Linux нет?

[Vladimir Malygin]

В KasperskyOS изначально не предполагается понятий пользователей и групп. Эти понятия не требовались для большинства применений, на которые ориентировалась система.

В большинстве существующих применений, где важно разделять доступ к файлам с разным уровнем конфиденциальности, мы применяем подход похожий на современные мобильные платформы: процессы запускаются в "песочнице" и видят только подмножество всей доступной файловой системы. Это достигается за счет запуска нескольких копий VFS и правильного построения связей между сущностями в системе.

Прорабатывается возможность добавления в систему пользователей и сессий, с привязанными к ним контекстами безопасности. Это позволит распределять права доступа к объектам в провайдерах ресурсов (например VFS), используя произвольные политики, основанные на DAC, MAC, RBAC и т.д.

Такую возможность легко добавить в систему, используя уже реализованные механизмы: security interfaces и OCAP.

В VFS сейчас присутствует ограниченная поддержка ACL, но только для того, чтобы сформировать нужные права для Linux при кросс-монтировании.