Имя модуля: mac_biba.ko
Строка конфигурации ядра: options MAC_BIBA
Параметр загрузки: mac_biba_load="YES"
Модуль mac_biba(4) загружает MAC политику Biba. Эта политика работает в основном так же, как и MLS, за исключением того, что правила потока информации изменены на противоположные. Они предназначены для предотвращения передачи потока секретной информации вверх, в то время как политика MLS предотвращает передачу потока секретной информации вниз; таким образом, большая часть этого раздела применима к обеим политикам.
В среде Biba, каждому субъекту или объекту присваивается метка <<целостности>>. Эти метки состоят из иерархических уровней и не-иерархических компонентов. При возрастании уровня объекта или субъекта это повышает его целостность.
Поддерживаемые метки biba/low,
biba/equal, и biba/high;
описаны ниже:
Метка biba/low обеспечивает наименьшую
целостность объекта или субъекта. Установка ее на объект
или субъект заблокирует их доступ к объектам или субъектам,
имеющим более высокую метку. Тем не менее, у них остается
доступ на чтение.
Метка biba/equal должна помещаться только
на объекты, исключающиеся из политики.
Метка biba/high разрешит запись в объекты
с более низкой меткой, но не разрешит чтение из этих
объектов. Рекомендуется помещать такую метку на объекты,
влияющие на целостность всей системы.
Biba представляет собой:
Иерархические уровни целостности с набором не иерархических категорий;
Фиксированные правила: нет записи наверх, нет чтения снизу (обратно MLS). Субъект может иметь доступ на запись к объектам своего уровня или ниже, но не выше. Аналогично, субъект может иметь доступ на чтение к объектам своего уровня или выше, но не ниже;
Целостность (предотвращение неавторизованного изменения данных);
Уровни целостности (вместо уровней секретности MLS).
Для управления политикой Biba могут быть использованы
следующие переменные sysctl:
security.mac.biba.enabled
может использоваться для включения/выключения политики
Biba.
security.mac.biba.ptys_equal
может использоваться для отключения политики Biba
на устройствах pty(4).
security.mac.biba.revocation_enabled
включит отмену доступа к объектам, если метка изменена
на более высокую, чем у субъекта.
Для выполнения настроек политики Biba на системных
объектах, применяются команды setfmac и
getfmac:
#setfmac biba/low test#getfmac testtest: biba/low
Итоги: субъект с низким уровнем целостности не может писать в субъект с высоким уровнем целостности; субъект с высоким уровнем целостности не может читать из субъекта с низким уровнем целостности.
Этот, и другие документы, могут быть скачаны с https://download.freebsd.org/ftp/doc/.
По вопросам, связанным с FreeBSD, прочитайте
документацию прежде чем писать в
<questions@FreeBSD.org>.
По вопросам, связанным с этой документацией, пишите в рассылку
<doc@FreeBSD.org>.