MAC_BSDEXTENDED(4) | FreeBSD Kernel Interfaces Manual | MAC_BSDEXTENDED(4) |
名称
mac_bsdextended — file system firewall (ファイルシステムファイアウォール) ポリシ書式
利用者のカーネルに file system firewall ポリシをコンパイルするには、次の行をカーネル設定ファイルに入れます:
options MAC
options MAC_BSDEXTENDED
options MAC_BSDEXTENDED
代わりに、次の行を利用者のカーネル設定ファイルに入れて、ブート時に file system firewall モジュールをロードします:
options MAC
と loader.conf(5) 中に:
mac_bsdextended_load="YES"
解説
mac_bsdextended セキュリティポリシモジュールは、システム管理者がユーザに関する強制的規則といくつかのシステムオブジェクトを強要するためのインタフェースを提供します。内部的に格納され、特定のアクセス ( ugidfw(8) 参照) を許可するか拒絶するかを決定するために使用するモジュール (一般的に ugidfw(8) を使用するか、または libugidfw(3) を利用するある他のツール) で規則はアップロードされます。実装に関する注
伝統的な mac(9) エントリポイントは実装されていますが、ポリシラベルは使用されていません。代わりに、アクセス制御の判定は特定のアクセスを拒絶する規則が見つけられるか、リストの終わりに到達するまで、規則の内部リストを通して繰り返されることによって行われます。 mac_bsdextended ポリシは ipfw(8) または 最初のマッチセマンティック (first match semantic) を使用することによって同様に動作します。これは、first matched rule のみ、すべての規則が適用されないことを意味します。したがって、規則 A がアクセスでき、規則 B がアクセスをブロックするなら、規則 B は決して適用されません。
Sysctl
次の sysctl は mac_bsdextended の振る舞いを調整するために使用されます:- security.mac.bsdextended.enabled
- 0 か 1 に設定して、ポリシをオフかオンに切り換えます。
- security.mac.bsdextended.rule_count
- 定義された規則の数をリストし、最大の規則数は現在 256 に設定されています。
- security.mac.bsdextended.rule_slots
- 現在使用される規則スロットの数をリストします。
- security.mac.bsdextended.firstmatch_enabled
- 古いすべての規則マッチ機能と新しい最初の規則マッチ機能を切り替えます。これはデフォルトで有効にされています。
- security.mac.bsdextended.logging
- AUTHPRIV syslog(3) 機能を通してすべてのアクセス違反をログに記録します。
- security.mac.bsdextended.rules
- 現在、何もおもしろいことをしません。
関連項目
libugidfw(3), syslog(3), mac(4), mac_biba(4), mac_ifoff(4), mac_lomac(4), mac_mls(4), mac_none(4), mac_partition(4), mac_portacl(4), mac_seeotheruids(4), mac_test(4), ipfw(8), ugidfw(8), mac(9)歴史
mac_bsdextended ポリシモジュールは、 FreeBSD 5.0 ではじめて登場し、 TrustedBSD プロジェクトによって開発されました。"最初に一致するケース (match first case)"とログ記録機能は後で
<trhodes@FreeBSD.org>によって追加されました。作者
このソフトウェアは、 DARPA CHATS 研究プログラムの一環として、 DARPA/SPAWAR 契約 N66001-01-C-8035 (“CBOSS”) の下で NAI Lab, the Security Research Division of Network Associates Inc. によって FreeBSD プロジェクトに寄贈されました。May 21, 2005 | FreeBSD |