options MAС

Сама система MAC состоит из набора модулей, выполняющих различные функции, из них можно выделить как и те, что реализуют политику разграничения доступа (mac_biba, mac_mls, mac_lomac) так и те, что выполняют разнообразные служебные функции. Для ознакомления с модулями системы MAC я направляю читателя к FreeBSD Handbook, так как там все описано достаточно подробно и нет смысла приводить здесь кучу материала, который уже есть в разжеванном виде. Далее я просто хочу немного поделиться впечатлениями от использования данной системы. Итак, я скомпилировал ядро с поддержкой всех MAC-модулей и поправил /boot/defaults/loader.conf для загрузки модулей при старте системы (дело в том, что многие модули не могут быть загружены во время работы системы и, в первую очередь, это модули, выполняющие разграничение уровней безопасности). Больше всего меня привлек модуль mac_bsdextended, позволяющий создавать правила для доступа к файловым объектам в стиле ipfw, но, к моему сожалению, команда:

# ugidfw set 1 subject uid 1002 gid 1002 object uid 1 gid 1 mode arsw

которая должна разрешить чтение, запись, смену атрибутов и административные полномочия (параметр mode arsw) для пользователя (subject) 1002:1002 над файловыми объектами, принадлежащими (object) пользователю и группе daemon, почему-то не сработала должным образом. Далее я проверил работу модуля блокировки интерфейсов mac_ifoff, который блокирует сетевые интерфейсы до их явного включения посредством sysctl. Этот модуль действительно работает так, как сказано в man 4 mac_ifoff – модуль предотвращает «забивание» очереди интерфейса на этапе загрузки системы простым путем – не давая проходить пакетам до явного использования команды:

# sysctl security.mac.ifoff.other_enabled=1

Из политик, предусматривающих установку меток безопасности я отметил некоторую их громоздкость, хотя идея мне понравилась. Например, хотим сделать так, чтобы пользователи не имели доступа к процессам login-группы bind, а также отделить группу user. Идем в файл login.conf (просмотрев предварительно man 7 maclabel) и пишем что-нибудь подобное, выполняя разграничение классов:

default:

---cutted---

:label=partition/1

bind:

:label=partition/2