Zřejmě myslíte skupiny uživatelů – ty jenom umožňují používat příslušná zařízení v /dev. MAC ale umožňují nastavit práva pro akce, které vůbec nemusí souviset se souborovým systémem. Taková práva normálně Linux rozlišuje pouze na dvě skupiny – něco může udělat jenom root, ostatní může dělat kdokoli. MAC přináší jemné dělení i pro tyhle činnosti. Např. můžete povolit web serveru, který běží pod běžným uživatelem, aby naslouchal na portu 80 (to „normálně“ v Linuxu neuděláte, musíte daný program spustit s právy roota). Nebo povolíte mplayeru spouštění dynamicky sestaveného kódu (aby mohl používat kodeky optimalizované pro váš procesor), ale všem ostatním programům to zakážete (protože pokud se pokouší třeba webový server spustit nějaký kód, který nepochází ze spustitelného souboru nebo knihovny na disku, znamená to, že je v něm nejspíš chyba buffer overflow).

Takže jestli to dobře chápu tak jsou to skupiny jako web video atp.

Jo, tohle se zdá být jako pravdivé tvrzení

To je myslím trochu něco jiného, ten proces se vzdá té schopnosti dobrovolně. U povinného řízení přístupu mu nic jiného nezbývá Ale cílová skupina obou přístupů bude podobná.

no mac je spis o tom (pochybuju ze motivace vyvojaru byla zabezpecit os lokalne), ze kdyz vam nekdo exploitne nejakou sluzbu (treba jiz vyse zmineneho apache)... tak ziska pristup se stejnymi pravy jako proces ktery exploitnul (a utocnik s neprivilegovanym uctem ma pred sebou o dost vic prace nez ten s rootem) a prave mac vam pomuze k detailnejsimu nastavovani prav a tim padem i spousteni sluzeb pod neprivilegovanym uzivatelem...

pro rejpaly: prd tomu rozumim a jeste jsem se to snazil zjednodusit (viz. post na ktery reaguji)...

Ani nechci vědět, co tam dělá. Jednou mi vyprávěl, jak se na holky musí. Celé how-to spočívalo v tom, že holce, a teď dámy prominou, "šáhneš na švába a je to". Asi jsem staromilec, ale já zatím pořád sázím na romantiku.