FreeBSD Handbook/Administração/MAC/Módulo LOMAC: diferenças entre revisões
[edição não verificada] | [edição verificada] |
Nova página: __NOEDITSECTION__ __NOTOC__ {| summary="Header navigation table" width="100%" border="0" cellpadding="0" cellspacing="0" ! colspan="3" align="center" | FreeBSD Handbook |- | width="... |
Trocando categorização manual por AutoCat (o indexador da categoria estava incorreto) [ usando AWB ] |
||
Linha 50: | Linha 50: | ||
| align="right"| <font color=grey size="-1"><tt>Última edição desta página: {{REVISIONDAY2}}/{{REVISIONMONTH}}/{{REVISIONYEAR}} ({{REVISIONTIMESTAMP}})</tt></font> |
| align="right"| <font color=grey size="-1"><tt>Última edição desta página: {{REVISIONDAY2}}/{{REVISIONMONTH}}/{{REVISIONYEAR}} ({{REVISIONTIMESTAMP}})</tt></font> |
||
|} |
|} |
||
{{AutoCat}} |
|||
[[Categoria:FreeBSD|E]] |
Edição atual desde as 12h44min de 31 de agosto de 2010
FreeBSD Handbook | ||
---|---|---|
Anterior | Capítulo 16. Mandatory Access Control | Próxima |
16.13 O Módulo LOMAC do MAC
Nome do módulo: mac_lomac.ko
Linha para configuração do kernel: options MAC_LOMAC
Opção para carga no boot: mac_lomac_load="YES"
Ao contrário da política Biba do MAC, a política mac_lomac(4) permite acesso a objetos de menor integridade apenas depois que o nível de integridade é abaixado, de modo a não quebrar nenhuma regra de integridade.
A versão do MAC da política de integridade Low-watermark (algo como marcador de baixo nível), que não se deve confundir com a antiga implementação do lomac(4), funciona praticamente igual ao Biba, mas com a exceção do uso de rótulos flutuantes para dar suporte ao rebaixamento de sujeitos através de um compartimento de classe auxiliar. Este compartimento secundário toma uma forma assim [auxgrade]. A definição de uma política lomac com uma classe auxiliar deve se parecer com: lomac/10[2] onde o número (2) é a classe auxiliar.
A política LOMAC do MAC se baseia no rotulamento onipresente de todos os objetos do sistema com rótulos de integridade, permitindo que os sujeitos leiam de objetos com integridade baixa e em seguida rebaixando o rótulo dos sujeitos para prevenir futuras escritas a objetos de integridade mais alta. Isso é a opção [auxgrade] discutida antes e com isso a política fornece maior compatibilidade e requer menos configurações iniciais que a Biba.
16.13.1 Exemplos
Assim como as políticas Biba e MLS, os comandos setfmac e setpmac podem ser usados para colocar os rótulos nos objetos do sistema:
# setfmac /usr/home/trhodes lomac/high[low] # getfmac /usr/home/trhodes lomac/high[low]
Note que a classe auxiliar aqui é "low" e esta é uma funcionalidade existente apenas na política LOMAC do MAC.
Anterior | Índice | Próxima | |
O Módulo Biba do MAC | Topo | Nagios num jail MAC
|