FreeBSD Handbook/Administração/MAC/Módulo LOMAC

Nome do módulo: mac_lomac.ko

Linha para configuração do kernel: options MAC_LOMAC

Opção para carga no boot: mac_lomac_load="YES"

Ao contrário da política Biba do MAC, a política mac_lomac(4) permite acesso a objetos de menor integridade apenas depois que o nível de integridade é abaixado, de modo a não quebrar nenhuma regra de integridade.

A versão do MAC da política de integridade Low-watermark (algo como marcador de baixo nível), que não se deve confundir com a antiga implementação do lomac(4), funciona praticamente igual ao Biba, mas com a exceção do uso de rótulos flutuantes para dar suporte ao rebaixamento de sujeitos através de um compartimento de classe auxiliar. Este compartimento secundário toma uma forma assim [auxgrade]. A definição de uma política lomac com uma classe auxiliar deve se parecer com: lomac/10[2] onde o número (2) é a classe auxiliar.

A política LOMAC do MAC se baseia no rotulamento onipresente de todos os objetos do sistema com rótulos de integridade, permitindo que os sujeitos leiam de objetos com integridade baixa e em seguida rebaixando o rótulo dos sujeitos para prevenir futuras escritas a objetos de integridade mais alta. Isso é a opção [auxgrade] discutida antes e com isso a política fornece maior compatibilidade e requer menos configurações iniciais que a Biba.

Assim como as políticas Biba e MLS, os comandos setfmac e setpmac podem ser usados para colocar os rótulos nos objetos do sistema:

 # setfmac /usr/home/trhodes lomac/high[low]
 # getfmac /usr/home/trhodes lomac/high[low]

Note que a classe auxiliar aqui é "low" e esta é uma funcionalidade existente apenas na política LOMAC do MAC.