Руководство FreeBSD


Модуль многоуровневой безопасности MAC (MLS) - часть 2


  • security.mac.mls.enabled используется для включения/отключения политики MLS.

  • security.mac.mls.ptys_equal пометит все устройства pty(4) как mls/equal во время создания.

  • security.mac.mls.revocation_enabled используется для запрета доступа к объектам после того, как их метка изменится в меньшую сторону.

  • security.mac.mls.max_compartments используется для установки максимального количества уровней отделов на объекты; обычно это максимальное количество отделов, разрешенных в системе.

Для управления метками MLS существует команда setfmac(8). Для присвоения метки объекту, выполните следующую команду:

# setfmac mls/5 test

Для получения метки MLS файла test, выполните следующую команду:

# getfmac test

Выше представлен краткий обзор возможностей политики MLS. Существует метод, связанный с созданием основного файла политики в каталоге /etc, где будет определена необходимая для политики MLS информация, которая будет передана команде setfmac. Этот метод будет описан после рассмотрения всех политик.

Итоги: объект с низким уровнем доступа не может прочесть данные объекта с высоким уровнем доступа. Базовая политика должна устанавливать mls/high на всем, что не должно быть прочитано, даже если туда необходимо записывать. На всем, куда нельзя писать, должна быть установлена метка mls/low, даже если это необходимо читать. Наконец, на всем остальном установите mls/equal. Все пользователи, помеченные как insecure, должны иметь метку mls/low.




Начало  Назад  Вперед



Книжный магазин