FreeBSD MAC
55. sor: | 55. sor: | ||
ha a bootolas során szeretnénk bekapcsolni |
ha a bootolas során szeretnénk bekapcsolni |
||
A modul nem igényli a <tt>label</tt> -ek használatát és átlátszó módon képes működni más MAC modulokkal. Erre a későbbiekben lesz példa |
A modul nem igényli a <tt>label</tt> -ek használatát és átlátszó módon képes működni más MAC modulokkal. Erre a későbbiekben lesz példa |
||
− | * <tt>security.mac.seeotheruids.enabled</tt> will enable the module's features and use the default settings. These default settings will deny users the ability to view processes and sockets owned by other users. |
+ | * <tt>security.mac.seeotheruids.enabled</tt> bekapcsolja a modul funkcióit, ami alapértelmezésben megtiltja a felhasználóknak hogy mások processeit és socket-jeit lássák. |
− | * <tt>security.mac.seeotheruids.specificgid_enabled</tt> will allow a certain group to be exempt from this policy. To exempt specific groups from this policy, use the <tt>security.mac.seeotheruids.specificgid=XXX sysctl tunable. In the above example, the XXX should be replaced with the numeric group ID to be exempted. |
+ | * <tt>security.mac.seeotheruids.specificgid_enabled</tt> segítségével kivételt állíthatunk be egy csoportnak. A csoport gid-jét a <tt>security.mac.seeotheruids.specificgid=XXX</tt> sysctl változóba kell tenni. |
− | * <tt>security.mac.seeotheruids.primarygroup_enabled</tt> is used to exempt specific primary groups from this policy. When using this tunable, the <tt>security.mac.seeotheruids.specificgid_enabled</tt> may not be set. |
+ | * <tt>security.mac.seeotheruids.primarygroup_enabled</tt> használatával elsődleges csoportoknak adhatunkn kivételt. Fontos, hogy a <tt>security.mac.seeotheruids.specificgid_enabled</tt> ne legyen ekkor bekapcsolva |
A lap 2006. október 8., 14:46-kori változata
Tartalomjegyzék |
1 MAC implementáció a FreeBSD-ben
1.1 Bevezető
1.1.1 Mi az a MAC?
A Mandatory Access Control rövidítése. Olyan biztonsági modell ami a DAC kibővítésére, helyettesítésére szolgál. Egy DAC rendszerben a felhasználók maguk mondhatják meg, hogy az általuk birtokolt objektumoknak milyen jogai lehetnek. Ezzel szemben a MAC -ben a felhasználó nem adhat az objektumainak az adminisztrátor által beállíott jogoknál lazább jogokat.
1.1.2 MAC címkék
A rendszerünk minden egyes objektumát (felhasználók, fájlok, hálózati interfészek, képernyő) el kell látnunk úgynevezett címkékkel, ezek a címkék a használt biztonsági modultól függően sok mindent jelenthetnek. Pl a biba/high címke a Biba policy modulra vonatkozik és az értéke "high". A FreeBSD három előre definiált value van. A high a lehető legmagasabb, a low a legalacsonyabb, az equal pedig egy "dontcare" értéket állít be. Az object -ek mellett nem árt tisztázni a subject fogalmát, ami nem más mint az az entitás (esetek nagyrészében process) ami az objektumok közt áramoltat adatot. Ahhoz, hogy egy partíción más és más labelt adhassunk file-jainknak, engedélyezni kell minden partíción a multi labeling -et a
tune2fs -l enable /path/to/fs
paranccsal.
1.1.3 Telepítés
A FreeBSD-be az 5.0-ás verziótol került bele a TrustedBSD project részeként létrehozott MAC implementáció. A GENERIC kernelnek nem része a MAC, ha be szeretnénk kapcsolni tegyük az
options MAC
sort a kernelconfigunkba, majd fordítsuk újra a kernelt
make buildkernel KERNCONF=GENERIC && make installkernel KERNCONF=GENERIC
A MAC framework részét képzi még számos modul, amiket az /etc/loader.conf -ba írva a bootolási folyamat során betöltődnek. Természetesen van mód ezeket a kernelbe fordítani, de így nagyobb az esély, hogy kizárjuk magunkat kedvenc rendszerünkből egy rosszul sikerült konfiguráció során.
1.2 MAC
1.2.1 Címkék használata
Subjectekre(processzekre):
setpmac biba/high
Objectekre:
setfmac biba/high test.txt
Megadhatunk konkrét értékeket is:
setfmac biba/5(4-10)
Ahol a zárójel előtt az effektív, használatban levő érték van a zárójelekben pedig a legalacsonyabb és legmagasabb állítható érték) Hálózati interfészre:
ifconfig xl0 maclabel biba/equal
1.2.2 Modularitás
Alaphelyzetben, modulok nélkül is lehetőségünk van a MAC framework egyes részeit letiltani a sysctl parancs segítségével. Az alapértelmezett értékek mindegyiknél 1.
- security.mac.enforce_fs Fájlrendszer policyk
- security.mac.enforce_kld enforces MAC kernel linking policies on the dynamic kernel linker (see kld(4)).
- security.mac.enforce_network enforces MAC network policies.
- security.mac.enforce_pipe enforces MAC policies on pipes.
- security.mac.enforce_process enforces MAC policies on processes which utilize inter-process communication.
- security.mac.enforce_socket enforces MAC policies on sockets (see the socket(2) manual page).
- security.mac.enforce_system enforces MAC policies on system activities such as accounting and rebooting.
- security.mac.enforce_vm enforces MAC policies on the virtual memory system.
1.2.2.1 See no other uids
Modul betöltése:
kldload mac_seenootheruids.ko
vagy
echo mac_seeotheruids_load="YES" >> /etc/rc.conf
ha a bootolas során szeretnénk bekapcsolni A modul nem igényli a label -ek használatát és átlátszó módon képes működni más MAC modulokkal. Erre a későbbiekben lesz példa
- security.mac.seeotheruids.enabled bekapcsolja a modul funkcióit, ami alapértelmezésben megtiltja a felhasználóknak hogy mások processeit és socket-jeit lássák.
- security.mac.seeotheruids.specificgid_enabled segítségével kivételt állíthatunk be egy csoportnak. A csoport gid-jét a security.mac.seeotheruids.specificgid=XXX sysctl változóba kell tenni.
- security.mac.seeotheruids.primarygroup_enabled használatával elsődleges csoportoknak adhatunkn kivételt. Fontos, hogy a security.mac.seeotheruids.specificgid_enabled ne legyen ekkor bekapcsolva