17.11. El módulo de seguridad multinivel MAC

Nombre de módulo: mac_mls.ko

Línea de configuración de Kernel: options MAC_MLS

Opción de arranque: mac_mls_load="YES"

La política mac_mls(4) controla accesos entre sujetos y objetos en el sistema imponiendo una política estricta de flujo de información.

En ambientes MLS, un nivel de “aclaramiento” es activado en cada etiqueta de objeto o sujeto, junto con compartimientos. Debido a que este aclaramiento o niveles de sensibilidad pueden alcanzar números mayores a seis mil; podría ser una tarea intimidante para cualquier administrador de sistema configurar cada objeto o sujeto. Afortunadamente, tres etiquetas “instantaneas” esán ya incluidas en esta política.

Estas etiquetas son mls/low, mls/equal y mls/high. Ya que estas etiquetas son descritas en profundidad en la página de manual, solo tendrán una descripción breve aquí:

MLS brinda:

Los siguientes sintonizables de sysctl están disponibles para la configuración de servicios especiales e interfaces:

Para manipular las etiquetas MLS, se ha provisto el comando setfmac(8). Para asignar una etiqueta a un objeto, ejecute el siguiente comando:

# setfmac mls/5 test

Para obtener la etiqueta MLS para el archivo test ponga el siguiente comando:

# getfmac test

Este es un resumen de las propiedades de la política MLS. Otro enfoque es crear un archivo de políticas maestro en /etc que especifique la información de la política MLS y alimentar con ese archivo el comando setfmac. Este método será explicado despues de cubrir todas las políticas.

Observaciones: un objeto con aclaramiento inferior es incapaz de observar procesos con aclaramiento más elevado. Una política básica podría ser imponer mls/high en todo lo que no va a ser leído, incluso si necesita escribirse. Imponga mls/low en todo lo que no va a ser escrito, incluso si necesita ser leído. Y finalmente imponga mls/equal en el resto. Todos los usuarios marcados insecure deben configurarse a mls/low.

Éste y otros documentos pueden obtenerse en ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/.

Para preguntas acerca de FreeBSD, leer la documentación antes de contactar con la lista <questions@FreeBSD.org>.
Para preguntas acerca de esta documentación, e-mail a <doc@FreeBSD.org>.