MAC_IFOFF(4) | FreeBSD Kernel Interfaces Manual | MAC_IFOFF(4) |
名称
mac_ifoff — interface silencing (インタフェース沈黙) ポリシ書式
利用者のカーネルに interface silencing ポリシをコンパイルするには、次の行をカーネル設定ファイルに入れます:
options MAC
options MAC_IFOFF
options MAC_IFOFF
代わりに、次の行を利用者のカーネル設定ファイルに入れて、ブート時に interface silencing モジュールをロードします:
options MAC
と loader.conf(5) 中に:
mac_ifoff_load="YES"
解説
mac_ifoff interface silencing モジュールは sysctl(8) インタフェースを通してシステムネットワークインタフェースで着信と発信データフローを管理者が有効にしたり無効にできるようにします。ループバック ( lo(4)) インタフェース上のネットワークトラフィックを無効にするためには、 sysctl(8) OID security.mac.ifoff.lo_enabled を 0 (デフォルトは 1) に設定します。
他のインタフェース上のネットワークトラフィックを有効にするためには、 sysctl(8) OID security.mac.ifoff.other_enabled を 1 (デフォルトは 0) に設定します。
BPF トラフィックを受信できるようにするためには、他のトラフィックは無効であっても、 sysctl(8) OID security.mac.ifoff.bpfrecv_enabled を 1 (デフォルトは 0) に設定します。
ラベル形式
ラベルは定義されていません。関連項目
mac(4), mac_bsdextended(4), mac_lomac(4), mac_mls(4), mac_none(4), mac_partition(4), mac_portacl(4), mac_seeotheruids(4), mac_test(4), mac(9)歴史
mac_ifoff ポリシモジュールは、 FreeBSD 5.0 ではじめて登場し、 TrustedBSD プロジェクトによって開発されました。作者
このソフトウェアは、 DARPA CHATS 研究プログラムの一環として、 DARPA/SPAWAR 契約 N66001-01-C-8035 (“CBOSS”) の下で Network Associates Labs, the Security Research Division of Network Associates Inc. によって FreeBSD プロジェクトに寄贈されました。バグ
製品使用のための適切性に関しては mac(9) を参照してください。 TrustedBSD MAC フレームワークは、 FreeBSD では実験的扱いとみなされます。MAC フレームワークデザインはルートユーザの封じ込めをサポートすることを目的としていますが、現在すべての攻撃チャネルがエントリポイントチェックで保護されるわけではありません。悪意がある特権ユーザから防御するために、分離して MAC フレームポリシをそのようなものとして信頼するべきではありません。
December 10, 2002 | FreeBSD |