Имя модуля: mac_biba.ko
Строка конфигурации ядра: options MAC_BIBA
Параметр загрузки: mac_biba_load="YES"
Модуль mac_biba(4) загружает MAC политику Biba. Эта политика работает в основном так же, как и MLS, за исключением того, что правила потока информации изменены на противоположные. Они предназначены для предотвращения передачи потока секретной информации вверх, в то время как политика MLS предотвращает передачу потока секретной информации вниз; таким образом, большая часть этого раздела применима к обеим политикам.
В среде Biba, каждому субъекту или объекту присваивается метка ''целостности''. Эти метки состоят из иерархических уровней и не-иерархических компонентов. При возрастании уровня объекта или субъекта это повышает его целостность.
Поддерживаемые метки biba/low, biba/equal, и biba/high; описаны ниже:
Метка biba/low обеспечивает наименьшую целостность объекта или субъекта. Установка ее на объект или субъект заблокирует их доступ к объектам или субъектам, имеющим более высокую метку. Тем не менее, у них остается доступ на чтение.
Метка biba/equal должна помещаться только на объекты, исключающиеся из политики.
Метка biba/high разрешит запись в объекты с более низкой меткой, но не разрешит чтение из этих объектов. Рекомендуется помещать такую метку на объекты, влияющие на целостность всей системы.
Biba представляет собой:
Иерархические уровни целостности с набором не иерархических категорий;
Фиксированные правила: нет записи наверх, нет чтения снизу (обратно MLS). Субъект может иметь доступ на запись к объектам своего уровня или ниже, но не выше. Аналогично, субъект может иметь доступ на чтение к объектам своего уровня или выше, но не ниже;
Целостность (предотвращение неавторизованного изменения данных);
Уровни целостности (вместо уровней секретности MLS).
Для управления политикой Biba могут быть использованы следующие переменные sysctl:
security.mac.biba.enabled может использоваться для включения/выключения политики Biba.
security.mac.biba.ptys_equal может использоваться для отключения политики Biba на устройствах pty(4).
security.mac.biba.revocation_enabled включит отмену доступа к объектам, если метка изменена на более высокую, чем у субъекта.
Для выполнения настроек политики Biba на системных объектах, применяются команды setfmac и getfmac:
# setfmac biba/low test # getfmac test test: biba/low
Итоги: субъект с низким уровнем целостности не может писать в субъект с высоким уровнем целостности; субъект с высоким уровнем целостности не может читать из субъекта с низким уровнем целостности.
Пред. | Начало | След. |
Модуль многоуровневой безопасности MAC (MLS) | Уровень выше | Модуль MAC LOMAC |
Этот, и другие документы, могут быть скачаны с ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/.