Каждый модуль, включенный в инфраструктуру MAC,
может быть или встроен в ядро, как упоминалось выше, или загружен
в виде модуля ядра. Рекомендуется добавление имени модуля в
файл /boot/loader.conf, этот модуль будет
активирован в самом начале загрузки.
В последующих разделах будут обсуждаться различные модули
MAC и их возможности. Реализация этих
возможностей в определенных ситуациях также будет обсуждаться
в этой главе. Некоторые модули поддерживают использование
меток, которые контролируют доступ путем применения правил
вида <<это разрешено, а это нет>>. Настройка меток может
контролировать доступ к файлам, сетевым коммуникациям и т.д.
В предыдущем разделе было показано как флаг multilabel
может быть установлен на файловые системы для включения контроля
доступа по файлам или по разделам.
Конфигурация с одной меткой не допускает применение нескольких
меток в системе, поэтому параметр tunefs
называется multilabel.
Имя модуля: mac_seeotheruids.ko
Строка в конфигурации ядра:
options MAC_SEEOTHERUIDS
Параметр загрузки:
mac_seeotheruids_load="YES"
Модуль mac_seeotheruids(4) копирует и расширяет
переменные sysctl
security.bsd.see_other_uids и
security.bsd.see_other_gids. Он
не требует установки меток и может прозрачно работать с
другими модулями.
После загрузки модуля, для управления им могут быть
использованы следующие переменные sysctl:
security.mac.seeotheruids.enabled
включит модуль с настройками по умолчанию. Эти настройки
запрещают пользователям просмотр процессов и сокетов,
принадлежащих другим пользователям.
security.mac.seeotheruids.specificgid_enabled
позволит исключить определенные группы из этой политики.
Для исключения определенной группы, используйте переменную
sysctl
security.mac.seeotheruids.specificgid=.
В примере выше необходимо заменить XXXXXX
на числовой ID группы.
security.mac.seeotheruids.primarygroup_enabled
используется для исключения определенной основной группы
из этой политики. При использовании этой переменной
security.mac.seeotheruids.specificgid_enabled
может быть не установлена.
Необходимо отметить, что пользователь root
не является исключением из этой политики. Это одно из самых
существенных различий между MAC версией
и обычными переменными, существующими по умолчанию:
security.bsd.seeotheruids.
Этот, и другие документы, могут быть скачаны с https://download.freebsd.org/ftp/doc/.
По вопросам, связанным с FreeBSD, прочитайте
документацию прежде чем писать в
<questions@FreeBSD.org>.
По вопросам, связанным с этой документацией, пишите в рассылку
<doc@FreeBSD.org>.