15.9. Политики MAC, использующие метки

В следующих нескольких разделах будут обсуждаться политики MAC, использующие метки.

С этого момента обсуждение будет сфокусировано на возможностях mac_biba(4), mac_lomac(4), mac_partition(4), и mac_mls(4).

Замечание: Это лишь примерные настройки, они не должны использоваться непосредственно в реальных задачах. Цель изложения в том, чтобы документировать и показать синтаксис, а также примеры реализации и тестирования.

Для правильной работы этих политик необходимо выполнить некоторые приготовления.

15.9.1. Приготовления к использованию политик с метками

В файл login.conf необходимо внести следующие изменения:

  • Должен быть добавлен класс insecure, или другой подобный класс. Наличие класса insecure не обязательно, он приводится здесь в качестве примера; другие конфигурации могут использовать другое имя класса.

  • Класс insecure должен использовать приведенные ниже настройки и определения. Некоторые из них могут быть изменены, но строка, определяющая метку по умолчанию, необходима и должна быть оставлена.

    insecure:
     :copyright=/etc/COPYRIGHT:
     :welcome=/etc/motd:
     :setenv=MAIL=/var/mail/$,BLOCKSIZE=K:
     :path=~/bin:/sbin:/bin:/usr/sbin:/usr/bin:/usr/local/sbin:/usr/local/bin:
     :manpath=/usr/share/man /usr/local/man:
     :nologin=/usr/sbin/nologin:
     :cputime=1h30m:
     :datasize=8M:
     :vmemoryuse=100M:
     :stacksize=2M:
     :memorylocked=4M:
     :memoryuse=8M:
     :filesize=8M:
     :coredumpsize=8M:
     :openfiles=24:
     :maxproc=32:
     :priority=0:
     :requirehome:
     :passwordtime=91d:
     :umask=022:
     :ignoretime@:
     :label=partition/13,mls/5,biba/low:
    

    Перед тем, как переключать пользователей на новый класс, необходимо запустить команду cap_mkdb(1) на login.conf(5).

    Пользователю root также необходимо присвоить класс; иначе, почти любой команде, выполняемой от root, потребуется использование setpmac.

  • Убедитесь, что все разделы, на которых будут установлены метки MAC, поддерживают параметр multilabel. Нам необходимо сделать это, поскольку многие из примеров здесь содержат различные метки в целях тестирования. Просмотрите вывод команды mount в качестве необходимой предосторожности.

  • Переключите всех пользователей, которые будут использовать новые механизмы безопасности, на этот класс. Информация по этой процедуре находится в pw(8) или vipw(8).

Этот, и другие документы, могут быть скачаны с ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/.

По вопросам, связанным с FreeBSD, прочитайте документацию прежде чем писать в <questions@FreeBSD.org>.
По вопросам, связанным с этой документацией, пишите <doc@FreeBSD.org>.
По вопросам, связанным с русским переводом документации, пишите в рассылку <frdp@FreeBSD.org.ua>.
Информация по подписке на эту рассылку находится на сайте проекта перевода.

Обновлено: 12.03.2015