名称

mac_test — MAC フレームワークテストポリシ

書式

利用者のカーネルに testing ポリシをコンパイルするには、次の行をカーネル設定ファイルに入れます:

代わりに、次の行を利用者のカーネル設定ファイルに入れて、ブート時に testing モジュールをロードします:

と loader.conf(5) 中に:

mac_test_load="YES"

解説

mac_test ポリシモジュールは MAC フレームワークのためのテスト機能を実装します。特に、 mac_test はシステムが破壊するのを試みている不正なラベルを捕獲して、デバッガに落します。さらに、様々な MAC フレームワークのエントリポイントが呼ばれた回数に関する 1 組の統計値は security.mac.test sysctl(8) ツリーに格納されます。

関連項目

mac(4), mac_biba(4), mac_bsdextended(4), mac_ifoff(4), mac_lomac(4), mac_mls(4), mac_none(4), mac_partition(4), mac_portacl(4), mac_seeotheruids(4), mac(9)

歴史

mac_test ポリシモジュールは、 FreeBSD 5.0 ではじめて登場し、 TrustedBSD プロジェクトによって開発されました。

作者

このソフトウェアは、 DARPA CHATS 研究プログラムの一環として、 DARPA/SPAWAR 契約 N66001-01-C-8035 (“CBOSS”) の下で Network Associates Labs, the Security Research Division of Network Associates Inc. によって FreeBSD プロジェクトに寄贈されました。

バグ

製品使用のための適切性に関しては、 mac(9) を参照してください。 TrustedBSD MAC フレームワークは、 FreeBSD では実験的扱いとみなされます。

MAC フレームワークデザインはルートユーザの封じ込めをサポートすることを目的としていますが、現在すべての攻撃チャネルがエントリポイントチェックで保護されるわけではありません。悪意がある特権ユーザから防御するために、分離して MAC フレームポリシをそのようなものとして信頼するべきではありません。