FreeBSD Handbook/Administração/MAC/Configuração

Origem: Wikilivros, livros abertos por um mundo aberto.
Saltar para a navegação Saltar para a pesquisa


FreeBSD Handbook
Anterior Capítulo 16. Mandatory Access Control Próxima


16.6 Configuração de Módulos

Todos os módulos incluídos no framework MAC podem ser tanto compilados no kernel, como mencionado anteriormente, como carregados como um módulo em tempo de execução. O método recomendável é adicionar o nome do módulo ao arquivo /boot/loader.conf de modo que ele seja carregado na inicialização do sistema.

As seções seguintes discutirão os vários módulos do MAC e suas características. Também será considerado neste capítulo a implementação deles em ambientes específicos. Alguns módulos suportam o uso de rótulos, o que significa controlar acesso forçando um rótulo do tipo “isso é permitido e isso não”. Um arquivo de configuração de rótulos pode controlar como arquivos devem ser acessados, como uma comunicação de rede pode ser trocada e outras coisas mais. A seção anterior mostrou como o atributo multilabel pode ser definido em sistemas de arquivo para habilitar o controle de acesso por arquivo ou por partição.

Uma configuração de rótulo único (single label) forçaria apenas um rótulo através de todo o sistema, por isso a opção do tunefs é chamada multilabel.

16.6.1 O Módulo seeotheruids do MAC

Nome do módulo: mac_seeotheruids.ko

Linha para configuração do kernel: options MAC_SEEOTHERUIDS

Opção para carga no boot: mac_seeotheruids_load="YES"

O módulo mac_seeotheruids(4) copia e estende as opções security.bsd.see_other_uids e security.bsd.see_other_gids do sysctl. Esta opção não requer configuração prévia de rótulos e pode operar transparentemente com outros módulos.

Depois de carregar o módulo, as seguintes opções de sysctl devem ser usadas para controlar suas funcionalidades:

  • security.mac.seeotheruids.enabled habilitará as funcionalidades do módulos e usará as configurações padrão. Estes padrões não permitirão que os usuários vejam processos e sockets pertencentes a outros usuários.
  • security.mac.seeotheruids.specificgid_enabled permitirá que certos grupos sejam excluídos desta política. Para excluir grupos específicos use a opção security.mac.seeotheruids.specificgid=XXX do sysctl. Neste exemplo o XXX deve ser trocado pelo número de identificação do grupo a ser excluído.
  • security.mac.seeotheruids.primarygroup_enabled é usado para excluir grupos primários específicos desta política. Quando usamos esta opção não devemos usar a security.mac.seeotheruids.specificgid_enabled.



Anterior Índice Próxima
Planejando a Configuração de Segurança Topo O Módulo bsdextended do MAC
Última edição desta página: 31/08/2010 (20100831124411)