FreeBSD Handbook/Administração/MAC/Módulo Biba

16.12 O Módulo Biba do MAC

Nome do módulo: mac_biba.ko

Linha para configuração do kernel: options MAC_BIBA

Opção para carga no boot: mac_biba_load="YES"

O módulo mac_biba(4) carrega a política Biba. Esta trabalha de maneira semelhante à MLS, com exceção de que as regras para o fluxo de informações são relativamente inversas. Diz-se que isso é feito para prevenir o fluxo de informações confidenciais de cima para baixo, enquanto o MLS previne o fluxo inverso, portanto muito desta seção se aplica a ambas as políticas.

Nos ambientes com Biba é definido um rótulo de “integridade” a cada sujeito ou objeto. Estes rótulos são feitos de graus hierárquicos e componentes não hierárquicos. A medida que o grau de um objeto ou sujeito aumenta, assim o faz sua integridade.

Os rótulos suportados são biba/low, biba/equal e biba/high, como explicado abaixo:

• O rótulo biba/low é considerado o de menor integridade que um objeto ou sujeito pode ter. Configurá-lo num objeto ou sujeito irá bloquear seus acessos de escrita a objetos ou sujeitos configurados em níveis mais altos. Eles ainda terão, porém, acesso de leitura.

• O rótulo biba/equal deve ser colocado apenas em objetos considerados excluídos desta política.

• O rótulo biba/high permitirá escrita em objetos definidos em rótulos mais baixos, mas não permitirá leitura. É recomendável que este rótulo seja usado em objetos que afetem a integridade do sistema como um todo.

O módulo Biba oferece:

• Níveis de integridade hierárquica com um conjunto de categorias de integridade não hierárquicas.

• Regras fixas: sem escrita acima, sem leitura abaixo (em oposição ao MLS). Um sujeito pode ter acesso de escrita a objetos em seu próprio nível ou abaixo, mas não acima. Da mesma forma, um sujeito pode ter acesso de leitura a objetos em seu nível ou acima, mas não abaixo.

• Integridade (prevenindo modificações inapropriadas de dados).

• Níveis de integridade (ao invés de níveis de sensibilidade do MLS).

Os seguintes ajustes de sysctl podem ser usados para manipular a política Biba:

• security.mac.biba.enabled pode ser usado para habilitar ou desabilitar a política Biba numa máquina.

• security.mac.biba.ptys_equal pode ser usado para desabilitar a política Biba em dispositivos pty(4).

• security.mac.biba.revocation_enabled revogará o acesso a objetos se o rótulo for mudado para dominar o sujeito.

Para acessar as configurações do Biba em objetos do sistema use os comandos setfmac e getfmac:

 # setfmac biba/low test
 # getfmac test
 test: biba/low

16.12.1 Planejando a Integridade do Mecanismo

Integridade, diferentemente da sensibilidade, garante que a informação nunca será manipulada por pessoas não autorizadas. Isso inclui informação passada entre sujeitos e objetos. Isso assegura que usuários só poderão modificar e em alguns casos acessar as informações que eles explicitamente precisam.

O módulo de política de segurança mac_biba(4) permite que o administrador defina que arquivos e programas um usuário ou usuários podem ver e utilizar enquanto garante que os programas e arquivos estão livres de ameaças e são confiáveis para o sistema para aquele usuário ou grupo de usuários.

Durante a fase inicial de planejamento, o administrador deve estar preparado para dividir os usuários em escalas, níveis e áreas. Usuários terão acesso bloqueado não apenas a dados, mas a programas e utilitários tanto antes quanto depois de iniciados. O sistema terá como padrão um rótulo de alto nível quando esta política for ligada e é responsabilidade do administrador configurar as diferentes escalas e níveis para usuários. Ao invés de usar abstrações como descrito acima, um bom método de planejamento seria o uso de tópicos. Por exemplo, permitir modificação no repositório de códigos fonte apenas aos desenvolvedores, bem como ao compilador e outras ferramentas de desenvolvimento. Enquanto isso outros usuários seriam agrupados nas suas categorias, como testadores, designers ou apenas usuários ordinários e teriam apenas acesso de leitura.

Com seu controle natural de segurança, um sujeito com baixa integridade não tem acesso de escrita a um sujeito de integridade mais alta. Um sujeito de integridade maior não pode ver ou ler um objeto de menor integridade. Definir um rótulo na escala mais baixa possível pode torná-lo inacessível a sujeitos. Alguns ambientes indicados para o uso deste módulo seriam um servidor web confinado, uma máquina de desenvolvimento e teste e repositórios de código fonte. Uma implementação menos indicada seria um micro computador pessoal, uma máquina usada como roteador ou um firewall de rede.