MAC_PARTITION(4) | FreeBSD Kernel Interfaces Manual | MAC_PARTITION(4) |
名称
mac_partition — プロセスパーティションポリシ書式
利用者のカーネルにプロセスパーティションポリシをコンパイルするには、次の行をカーネル設定ファイルに入れます:
options MAC
options MAC_PARTITION
options MAC_PARTITION
代わりに、次の行を利用者のカーネル設定ファイルに入れて、ブート時にプロセスパーティションモジュールをロードします:
options MAC
と loader.conf(5) 中に:
mac_partition_load="YES"
解説
mac_partition ポリシモジュールは管理者が (プロセスの MAC ラベルで指定される) それらの数値プロセスパーティションに基づく、“partition”に実行プロセスを置くことができる、プロセスパーティションポリシを実装します。指定されたパーティションがあるプロセスは同じパーティション中のプロセスのみ見ることができます。プロセスがパーティションを指定しないなら、それはシステム中の (このマニュアルページで定義されなかった他の MAC ポリシ制限を前提として) 他のすべてのプロセスを見ることができます。プロセスを複数のパーティションに置く規定はありません。ラベル形式
パーティションラベルは次の形式を持ちます:
partition/
value
ここで value は任意の整数値か“ none
”を指定できます。例えば:
partition/1 partition/20 partition/none
関連項目
mac(4), mac_biba(4), mac_bsdextended(4), mac_ifoff(4), mac_lomac(4), mac_mls(4), mac_none(4), mac_portacl(4), mac_seeotheruids(4), mac_test(4), maclabel(7), mac(9)歴史
mac_partition ポリシモジュールは、 FreeBSD 5.0 ではじめて登場し、 TrustedBSD プロジェクトによって開発されました。作者
このソフトウェアは、 DARPA CHATS 研究プログラムの一環として、 DARPA/SPAWAR 契約 N66001-01-C-8035 (“CBOSS”) の下で Network Associates Labs, the Security Research Division of Network Associates Inc. によって FreeBSD プロジェクトに寄贈されました。バグ
製品使用のための適切性に関しては、 mac(9) を参照してください。 TrustedBSD MAC フレームワークは FreeBSD では実験的扱いとみなされます。MAC フレームワークデザインはルートユーザの封じ込めをサポートすることを目的としていますが、現在すべての攻撃チャネルがエントリポイントチェックで保護されるわけではありません。悪意がある特権ユーザから防御するために、分離して MAC フレームポリシをそのようなものとして信頼するべきではありません。
December 9, 2002 | FreeBSD |