17.6. El módulo MAC bsdextended

Nombre de módulo: mac_bsdextended.ko

Línea de configuración de Kernel: options MAC_BSDEXTENDED

Opción de arranque: mac_bsdextended_load="YES"

El módulo mac_bsdextended(4) impone el fireall del sistema de archivos. La política de este módulo brinda una extensión al modelo estándar de permisos del sistema de archivos, permitiendo a un administrador un conjunto de reglas tipo firewall para proteger archivos, utilidades y directorios en la jerarquía del sistema de archivos.

La política puede ser creada mediante una utilidad, ugidfw(8), que tiene una sintaxis similar a la de ipfw(8). Se pueden escribir más herramientas utilizando las funciones en la librería libugidfw(3).

Se debe tener extrema precaución al trabajar con este módulo, el uso incorrecto puede bloquear el acceso a ciertas partes del sistema de archivos.

17.6.1. Ejemplos

Despues de que el módulo mac_bsdextended(4) ha sido cargado, el siguiente comando puede ser usado para listar la regla de configuración actual:

# ugidfw list
0 slots, 0 rules

Como se esperaba, no existen reglas definidad. Esto significa que todo es completamente accesible. Para crear una regla que bloqueará todos los accesos de usuarios pero dejará inafectado a root simplemente ejecute el siguiente comando:

# ugidfw add subject not uid root new object not uid root mode n

Nota: En releases previas a FreeBSD 5.3, el parámetro add no existía. En esos casos set deberí ser utilizado en su lugar. Vea abajo para un ejemplo de comando.

Esta es una muy mala idea ya que bloqueará a todos los usuarios de utilizar incluso los comandos más simples, como ls. Una lista más patriotica de reglas puede ser:

# ugidfw set 2 subject uid user1 object uid user2 mode n
# ugidfw set 3 subject uid user1 object gid user2 mode n

Esto bloqueará todos los accesos, incluyendo listado de directorios, al directorio home de user2 desde el nombre de usuario user1.

En lugar de user1, se puede pasar not uid user2. Esto impondrá las mismas restricciones de acceso de arriba para todos los usuarios en lugar de solo uno.

Nota: El usuario root no será afectado por estos cambios.

Esto debe proporcionar una idea general de como se puede utilizar el módulo mac_bsdextended(4) para ayudar a fortificar un sistema de archivos. Para mayor información, vea las páginas de manual mac_bsdextended(4) y ugidfw(8).

Éste y otros documentos pueden obtenerse en ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/.

Para preguntas acerca de FreeBSD, leer la documentación antes de contactar con la lista <questions@FreeBSD.org>.
Para preguntas acerca de esta documentación, e-mail a <doc@FreeBSD.org>.