FreeBSD Handbook/Administração/MAC/Módulo partition
FreeBSD Handbook | ||
---|---|---|
Anterior | Capítulo 16. Mandatory Access Control | Próxima |
16.10 O Módulo partition do MAC
Nome do módulo: mac_partition.ko
Linha para configuração do kernel: options MAC_PARTITION
Opção para carga no boot: mac_partition_load="YES"
A política mac_partition(4) colocará os processos em "partições" específicas de acordo com seus rótulos do MAC. Pense nisso como um tipo especial de jail(8), embora essa seja uma comparação ruim.
Este módulo precisa ser configurado no arquivo loader.conf(5) para ser carregado no boot, habilitando a política neste momento.
A maior parte da configuração para esta política é feita usando o comando setpmac(8), que será explicado abaixo. A seguinte opção de sysctl(8) está disponível para esta política:
- security.mac.partition.enabled irá habilitar as partições de processo do MAC
Quando esta política está habilitada, os usuários terão permissão para ver apenas seus processos e quaisquer outros em sua partição, mas não terão permissão para trabalhar com ferramentas fora do escopo desta partição. Por exemplo, um usuário na classe insecure acima não terá permissão para acessar o comando top bem como muitos outros que tem que disparar um processo.
Para colocar ou retirar utilitários do rótulo de uma partição use o comando setpmac:
# setpmac partition/13 top
Isso adicionará o comando top ao rótulo definido para usuários na classe insecure. Note que todos os processos disparados por usuários na classe insecure ficarão na partição de rótulo partition/13.
16.10.1 Exemplos
O comando a seguir mostrará os rótulos de partição (LABEL) e a lista de processos:
# ps Zax
O próximo comando permitirá visualizar um rótulo de partição de processo de outro usuário e os processos daquele usuário rodando atualmente:
# ps -ZU trhodes
Nota: Usuários podem ver os processos no rótulo do root, a não ser que a política mac_seeotheruids(4) esteja ativada.
Uma implementação audaciosa poderia ter todos os serviços desabilitados no /etc/rc.conf e chamados por um script que os iniciasse com as definições de rótulo apropriadas.
Nota: As políticas seguintes suportam definições numéricas de rótulo no lugar das três definições padrão oferecidas. Estas opções, incluindo suas limitações, são explicadas com mais detalhes nas páginas de manual dos módulos.
Anterior | Índice | Próxima | |
O Módulo portacl do MAC | Topo | O Módulo Multi-Level Security do MAC
|