名称

mac_partition — プロセスパーティションポリシ

書式

利用者のカーネルにプロセスパーティションポリシをコンパイルするには、次の行をカーネル設定ファイルに入れます:

代わりに、次の行を利用者のカーネル設定ファイルに入れて、ブート時にプロセスパーティションモジュールをロードします:

と loader.conf(5) 中に:

mac_partition_load="YES"

解説

mac_partition ポリシモジュールは管理者が (プロセスの MAC ラベルで指定される) それらの数値プロセスパーティションに基づく、“partition”に実行プロセスを置くことができる、プロセスパーティションポリシを実装します。指定されたパーティションがあるプロセスは同じパーティション中のプロセスのみ見ることができます。プロセスがパーティションを指定しないなら、それはシステム中の (このマニュアルページで定義されなかった他の MAC ポリシ制限を前提として) 他のすべてのプロセスを見ることができます。プロセスを複数のパーティションに置く規定はありません。

関連項目

mac(4), mac_biba(4), mac_bsdextended(4), mac_ifoff(4), mac_lomac(4), mac_mls(4), mac_none(4), mac_portacl(4), mac_seeotheruids(4), mac_test(4), maclabel(7), mac(9)

歴史

mac_partition ポリシモジュールは、 FreeBSD 5.0 ではじめて登場し、 TrustedBSD プロジェクトによって開発されました。

作者

このソフトウェアは、 DARPA CHATS 研究プログラムの一環として、 DARPA/SPAWAR 契約 N66001-01-C-8035 (“CBOSS”) の下で Network Associates Labs, the Security Research Division of Network Associates Inc. によって FreeBSD プロジェクトに寄贈されました。

バグ

製品使用のための適切性に関しては、 mac(9) を参照してください。 TrustedBSD MAC フレームワークは FreeBSD では実験的扱いとみなされます。

MAC フレームワークデザインはルートユーザの封じ込めをサポートすることを目的としていますが、現在すべての攻撃チャネルがエントリポイントチェックで保護されるわけではありません。悪意がある特権ユーザから防御するために、分離して MAC フレームポリシをそのようなものとして信頼するべきではありません。