Capítulo 17. Mandatory Access Control

Tabla de contenidos
17.1. Sinopsis
17.2. Términos clave en este capítulo
17.3. Explicación de MAC
17.4. Entendiendo etiquetas MAC
17.5. Configuración de módulo
17.6. El módulo MAC bsdextended
17.7. El módulo MAC ifoff
17.8. El módulo MAC portacl
17.9. Políticas MAC con propiedades de etiquetamiento
17.10. El módulo MAC partition
17.11. El módulo de seguridad multinivel MAC
17.12. El módulo MAC Biba
17.13. El módulo MAC LOMAC
17.14. Implementando un ambiente seguro con MAC
17.15. Otro ejemplo: Utilizando MAC para confinar un servidor web
17.16. Determinando errores en la estructura MAC
Escrito por Tom Rhodes.

17.1. Sinopsis

FreeBSD 5.X introdujo nuevas extensiones de seguridad del proyecto TrustedBSD basado en el escrito POSIX®.1e. Dos de los mecanismos de seguridad más significativos son las facilidades de Listas de control de acceso del sistema de archivos (Access Control Lists,ACLs) y control de acceso obligatorio (Mandatory Access Control, MAC). El control de acceso obligatorio permite que nuevos módulos de control de acceso sean cargados, implementando nuevas políticas de seguridad. Algunas brindan protecciones de un angosto subconjunto del sistema, endureciendo un servicio en particular, mientras otros proveen seguridad etiquetada comprensible a traveés de todos las áreas y objetos. La parte obligatoria de la definición proviene del hecho que la imposición de los controles es realizada por administradores y el sistema, y no es dejada a la discreción de los usuarios como se hace con el control de acceso discrecional (discretionary access control, DAC, los permisos de archivo y System V IPC estándares en FreeBSD).

Este capítulo se enfocará en la estructura del control de acceso obligatorio (MAC Framework), y un conjunto de módulos enchufables de políticas de seguridad habilitando varios mecanismos de seguridad.

Despues de leer este capítulo, usted sabrá:

Antes de leer este capítulo, usted debería:

AvisoEl uso inadecuado de la información en este capítulo puede provocar pérdida de acceso al sistema, irritación de los usuarios, o inhabilidad para accesar las características que brinda X11. Aún más importante, MAC no debe confiarse para asegurar un sistema completamente. La estructura MAC solo aumenta las políticas de seguridad existentes; sin prácticas de seguridad sonadas y revisiones de seguridad constantes el sistema nunca será completamente seguro.

También debe notarse que los ejemplos contenidos dentro de este capítulo son solo eso, ejemplos. No se recomienda que estas configuraciones en particular sean desplegadas en un sistema en producción. Implementar los varios módulos de políticas de seguridad toma un buen de pensamiento. Alguien que no entiende completamente como funciona todo puede encontrarse en la situación de regresar a configurar muchos archivos y directorios a través de todo el sistema.

17.1.1. Que es lo que no se cubrirá

Este capitulo cubre un amplio rango de temas de seguridad relacionados a la estructura MAC; sin embargo, el desarrollo de nuevos módulos de políticas de seguridad MAC no serán cubiertos. Un número de módulos de políticas de seguridad incluidos con la estructura MAC tienen características específicas las cuales son provistas tanto para prueba como para desarrollo de nuevos módulos. Estos incluyen mac_test(4), mac_stub(4) y mac_none(4). Para más información sobre estos módulos de políticas de seguridad y los varios mecanismos que brindan, por favor revise las páginas de manual.

Éste y otros documentos pueden obtenerse en ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/.

Para preguntas acerca de FreeBSD, leer la documentación antes de contactar con la lista <questions@FreeBSD.org>.
Para preguntas acerca de esta documentación, e-mail a <doc@FreeBSD.org>.