Saltar para o conteúdo

FreeBSD Handbook/Administração/MAC/Amarração de Usuários

Origem: Wikilivros, livros abertos por um mundo aberto.


FreeBSD Handbook
Anterior Capítulo 16. Mandatory Access Control Próxima


16.15 Amarração de Usuários

Este exemplo considera um sistema para armazenamento relativamente pequeno, com menos de cinqüenta usuários. Os usuários teriam direitos de login e teriam permissão não apenas de armazenar dados, mas de acessar recursos também.

Para este cenário o mac_bsdextended(4) em conjunto com o mac_seeotheruids(4) poderia coexistir e bloquear acesso não apenas a objetos do sistema mas também esconder processos de usuários.

Comece adicionando as seguintes linhas ao /boot/loader.conf:

 mac_seeotheruids_enabled="YES"

O módulo de política de segurança mac_bsdextended(4) pode ser ativado através do uso da seguinte variável no arquivo rc.conf:

 ugidfw_enable="YES"

Regras padrão definidas em /etc/rc.bsdextended serão carregadas durante a inicialização do sistema, contudo, as definições padrão podem precisar ser modificadas. Como esta máquina deverá apenas servir a usuários, tudo pode ser deixado comentado, exceto as duas últimas configurações. Estas forçarão por padrão a carga de objetos do sistema de propriedade de usuários.

Adicione os usuários necessários à máquina e reinicie o sistema. Para propósitos de teste, tente se logar com usuários diferentes em duas consoles. Execute o comando ps aux para ver se os processos do outro usuário estão visíveis. Tente executar um ls(1) no diretório pessoal do outro usuário, isso deve falhar.

Não tente testar com o usuário root, a não ser que opções de sysctl específicas tenham sido modificadas para bloquear o acesso do super usuário.

Nota: Quando um novo usuário é adicionado, sua regra de mac_bsdextended(4) não estará na lista de regras. Para atualizar rapidamente a lista de regras, simplesmente desative e reative o módulo de política de segurança novamente com os utilitários kldunload(8) e kldload(8).



Anterior Índice Próxima
Nagios num Jail MAC Topo Resolução de Problemas do Framework MAC