17.10. El módulo MAC partition

Nombre de módulo: mac_partition.ko

Línea de configuración de Kernel: options MAC_PARTITION

Opción de arranque: mac_partition_load="YES"

La política mac_partition(4) dejará caer procesos en “particiones” específicas basandose en su etiqueta MAC. Piense en ello como un tipo especial de jail(8), aunque eso es dificilmente una comparación meritoria.

Este es un módulo que debe ser agregado al archivo loader.conf(5) para que cargue y habilite la política durante el proceso de arranque.

La mayoría de configuraciones para esta política son realizadas usando la utilidad setpmac(8) que será explicada abajo. El siguiente sintonizable de sysctl está disponible para esta política:

Cuando esta política está habilitada, los usuarios solo tendán permitido ver sus procesos pero no tendán permitida la posibilidad de trabajar con ciertas utilidades. Por ejemplo, un usuario en la clase insecure de arriba no tendá permitido accesar el comando top así como muchos otros comandos que necesitan engendrar un proceso.

Para activar o tirar utilidades dentro de una etiqueta de partición, use la utilidad setpmac:

# setpmac partition/13 top

Esto agregará el comando top a la etiqueta activada en usuarios en la clase insecure. Note que todos los procesos engendrados por usuarios en la clase insecure permanecerán en la etiqueta partition/13.

17.10.1. Ejemplos

El siguiente comando le mostrará la etiqueta de partición y la lista de procesos:

# ps Zax

El siguiente comando permitirá la visualización de etiqueta de partición de procesos de otro usuario y que usuario está ejecutando procesos actualmente:

# ps -ZU trhodes

Nota: Los usuarios pueden ver procesos en la etiqueta de root a menos que la política mac_seeotheruids(4) está cargada.

Una implementación realmente engañosa podría tener todos los servicios deshabilitados en /etc/rc.conf e iniciados por un script que inicie con la configuración adecuada de etiquetamiento.

Nota: Las siguientes políticas soportan configuraciones de enteros en lugar de las tres etiquetas ofrecidas por omisión. Estas opciones, incluyendo sus limitaciones, son mejor explicadas en las páginas de manual del módulo.

Éste y otros documentos pueden obtenerse en ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/.

Para preguntas acerca de FreeBSD, leer la documentación antes de contactar con la lista <questions@FreeBSD.org>.
Para preguntas acerca de esta documentación, e-mail a <doc@FreeBSD.org>.