Каждый модуль, включенный в инфраструктуру MAC, может быть или встроен в ядро, как упоминалось выше, или загружен в виде модуля ядра. Рекомендуется добавление имени модуля в файл /boot/loader.conf, этот модуль будет активирован в самом начале загрузки.
В последующих разделах будут обсуждаться различные модули MAC и их возможности. Реализация этих возможностей в
определенных ситуациях также будет обсуждаться в этой главе. Некоторые модули
поддерживают использование меток, которые контролируют доступ путем применения правил
вида ''это разрешено, а это нет''. Настройка меток может контролировать доступ к файлам,
сетевым коммуникациям и т.д. В предыдущем разделе было показано как флаг multilabel
может быть установлен на файловые системы для включения
контроля доступа по файлам или по разделам.
Конфигурация с одной меткой не допускает применение нескольких меток в системе,
поэтому параметр tunefs называется multilabel
.
Имя модуля: mac_seeotheruids.ko
Строка в конфигурации ядра: options MAC_SEEOTHERUIDS
Параметр загрузки: mac_seeotheruids_load="YES"
Модуль mac_seeotheruids(4) копирует и расширяет переменные sysctl security.bsd.see_other_uids и security.bsd.see_other_gids. Он не требует установки меток и может прозрачно работать с другими модулями.
После загрузки модуля, для управления им могут быть использованы следующие переменные sysctl:
security.mac.seeotheruids.enabled включит модуль с настройками по умолчанию. Эти настройки запрещают пользователям просмотр процессов и сокетов, принадлежащих другим пользователям.
security.mac.seeotheruids.specificgid_enabled позволит исключить определенные группы из этой политики. Для исключения определенной группы, используйте переменную sysctl security.mac.seeotheruids.specificgid=XXX. В примере выше необходимо заменить XXX на числовой ID группы.
security.mac.seeotheruids.primarygroup_enabled используется для исключения определенной основной группы из этой политики. При использовании этой переменной security.mac.seeotheruids.specificgid_enabled может быть не установлена.
Необходимо отметить, что пользователь root не является исключением из этой политики. Это одно из самых существенных различий между MAC версией и обычными переменными, существующими по умолчанию: security.bsd.seeotheruids.
Пред. | Начало | След. |
Метки MAC | Уровень выше | Модуль MAC bsdextended |
Этот, и другие документы, могут быть скачаны с ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/.