名称

mac_seeotheruids — ユーザが他のユーザを見るかどうかを制御するシンプルポリシ

書式

利用者のカーネルにポリシをコンパイルするには、次の行をカーネル設定ファイルに入れます:

代わりに、次の行を利用者のカーネル設定ファイルに入れて、ブート時にモジュールをロードします:

と loader.conf(5) 中に:

mac_seeotheruids_load="YES"

解説

mac_seeotheruids ポリシモジュールは、有効にされるとき、ユーザが他のユーザによって所有されているプロセスかソケットを見ることを拒否します。

mac_seeotheruids を有効にするには、 sysctl OID security.mac.seeotheruids.enabled を 1 に設定します。特権の効果によって他の資格証明のスーパユーザ認識を可能にするためには、 sysctl OID security.mac.seeotheruids.suser_privileged を 1 に設定します。

ユーザが同じプライマリグループによって所有されているプロセスとソケットを見ることを許するためには、 sysctl OID security.mac.seeotheruids.primarygroup_enabled を 1 に設定します。

特定のグループ ID でプロセスがポリシから免除されていることを許するためには、 sysctl OID security.mac.seeotheruids.specificgid_enabled を 1 に、 security.mac.seeotheruids.specificgid を免除されているグループ ID に設定します。

関連項目

mac(4), mac_biba(4), mac_bsdextended(4), mac_ifoff(4), mac_lomac(4), mac_mls(4), mac_none(4), mac_partition(4), mac_portacl(4), mac_test(4), mac(9)

歴史

mac_seeotheruids ポリシモジュールは、 FreeBSD 5.0 ではじめて登場し、 TrustedBSD プロジェクトによって開発されました。

作者

このソフトウェアは、 DARPA CHATS 研究プログラムの一環として、 DARPA/SPAWAR 契約 N66001-01-C-8035 (“CBOSS”) の下で Network Associates Labs, the Security Research Division of Network Associates Inc. によって FreeBSD プロジェクトに寄贈されました。

バグ

製品使用のための適切性に関しては、 mac(9) を参照してください。 TrustedBSD MAC フレームワークは FreeBSD では実験的扱いとみなされます。

MAC フレームワークデザインはルートユーザの封じ込めをサポートすることを目的としていますが、現在すべての攻撃チャネルがエントリポイントチェックで保護されるわけではありません。悪意がある特権ユーザから防御するために、分離して MAC フレームポリシをそのようなものとして信頼するべきではありません。