FreeBSD Handbook/Administração/MAC/Configuração
| FreeBSD Handbook | ||
|---|---|---|
| Anterior | Capítulo 16. Mandatory Access Control | Próxima |
16.6 Configuração de Módulos
Todos os módulos incluídos no framework MAC podem ser tanto compilados no kernel, como mencionado anteriormente, como carregados como um módulo em tempo de execução. O método recomendável é adicionar o nome do módulo ao arquivo /boot/loader.conf de modo que ele seja carregado na inicialização do sistema.
As seções seguintes discutirão os vários módulos do MAC e suas características. Também será considerado neste capítulo a implementação deles em ambientes específicos. Alguns módulos suportam o uso de rótulos, o que significa controlar acesso forçando um rótulo do tipo “isso é permitido e isso não”. Um arquivo de configuração de rótulos pode controlar como arquivos devem ser acessados, como uma comunicação de rede pode ser trocada e outras coisas mais. A seção anterior mostrou como o atributo multilabel pode ser definido em sistemas de arquivo para habilitar o controle de acesso por arquivo ou por partição.
Uma configuração de rótulo único (single label) forçaria apenas um rótulo através de todo o sistema, por isso a opção do tunefs é chamada multilabel.
16.6.1 O Módulo seeotheruids do MAC
Nome do módulo: mac_seeotheruids.ko
Linha para configuração do kernel: options MAC_SEEOTHERUIDS
Opção para carga no boot: mac_seeotheruids_load="YES"
O módulo mac_seeotheruids(4) copia e estende as opções security.bsd.see_other_uids e security.bsd.see_other_gids do sysctl. Esta opção não requer configuração prévia de rótulos e pode operar transparentemente com outros módulos.
Depois de carregar o módulo, as seguintes opções de sysctl devem ser usadas para controlar suas funcionalidades:
- security.mac.seeotheruids.enabled habilitará as funcionalidades do módulos e usará as configurações padrão. Estes padrões não permitirão que os usuários vejam processos e sockets pertencentes a outros usuários.
- security.mac.seeotheruids.specificgid_enabled permitirá que certos grupos sejam excluídos desta política. Para excluir grupos específicos use a opção security.mac.seeotheruids.specificgid=XXX do sysctl. Neste exemplo o XXX deve ser trocado pelo número de identificação do grupo a ser excluído.
- security.mac.seeotheruids.primarygroup_enabled é usado para excluir grupos primários específicos desta política. Quando usamos esta opção não devemos usar a security.mac.seeotheruids.specificgid_enabled.
| Anterior | Índice | Próxima | |
| Planejando a Configuração de Segurança | Topo | O Módulo bsdextended do MAC
|