FreeBSD Handbook/Administração/MAC/Amarração de Usuários
FreeBSD Handbook | ||
---|---|---|
Anterior | Capítulo 16. Mandatory Access Control | Próxima |
16.15 Amarração de Usuários
Este exemplo considera um sistema para armazenamento relativamente pequeno, com menos de cinqüenta usuários. Os usuários teriam direitos de login e teriam permissão não apenas de armazenar dados, mas de acessar recursos também.
Para este cenário o mac_bsdextended(4) em conjunto com o mac_seeotheruids(4) poderia coexistir e bloquear acesso não apenas a objetos do sistema mas também esconder processos de usuários.
Comece adicionando as seguintes linhas ao /boot/loader.conf:
mac_seeotheruids_enabled="YES"
O módulo de política de segurança mac_bsdextended(4) pode ser ativado através do uso da seguinte variável no arquivo rc.conf:
ugidfw_enable="YES"
Regras padrão definidas em /etc/rc.bsdextended serão carregadas durante a inicialização do sistema, contudo, as definições padrão podem precisar ser modificadas. Como esta máquina deverá apenas servir a usuários, tudo pode ser deixado comentado, exceto as duas últimas configurações. Estas forçarão por padrão a carga de objetos do sistema de propriedade de usuários.
Adicione os usuários necessários à máquina e reinicie o sistema. Para propósitos de teste, tente se logar com usuários diferentes em duas consoles. Execute o comando ps aux para ver se os processos do outro usuário estão visíveis. Tente executar um ls(1) no diretório pessoal do outro usuário, isso deve falhar.
Não tente testar com o usuário root, a não ser que opções de sysctl específicas tenham sido modificadas para bloquear o acesso do super usuário.
Nota: Quando um novo usuário é adicionado, sua regra de mac_bsdextended(4) não estará na lista de regras. Para atualizar rapidamente a lista de regras, simplesmente desative e reative o módulo de política de segurança novamente com os utilitários kldunload(8) e kldload(8).
Anterior | Índice | Próxima |
Nagios num Jail MAC | Topo | Resolução de Problemas do Framework MAC |