Nombre de módulo: mac_biba.ko
Línea de configuración de Kernel: options MAC_BIBA
Opción de arranque: mac_biba_load="YES"
El módulo mac_biba(4) carga la política MAC Biba. Esta política funciona muy parecido a la política MLS con la excepción que las reglas para flujo de información están ligeramente invertidas. Esto es dicho para prevenir el flujo hacia abajo de información sensitiva mientras que la política MLS previene el flujo hacia arriba de información sensitiva; así mucha de esta sección puede aplicar a ambas políticas.
En ambientes Biba, una etiqueta de “integridad” es activada en cada objeto o sujeto. Estas etiquetas son hechas de grados jerárquicos, y de componentes no jerárquicos. Cuando el grado de un objeto o sujeto asciende también lo hace su integridad.
Las etiquetas soportadas son biba/low, biba/equal, ybiba/high; como se explica abajo:
La etiqueta biba/low es considerada la integridad más baja que un objeto o sujeto puede tener. Activando esto es objetos o sujetos bloqueará sus accesos de escritura a objetos o sujetos marcados como high. Aunque aún tendrán acceso de lectura.
La etiqueta biba/equal solo debe ser colocada en objetos considerados exentos de la política.
La etiqueta biba/high permitirá la escritura a objetos puestos a una etiqueta de nivel inferior, pero no permitirá leer ese objeto. Se recomienda que esta etiqueta sea colocada en objetos que afecten la integridad del sistema entero.
Biba brinda:
Nivel de integridad jerárquico con un conjunto de categorías de integridad no jerárquica.
Reglas fijas: no escrituras hacia arriba, no lecturas hacia abajo (lo opuesto a MLS). Un sujeto puede tener acceso de escritura a objetos en su propio nivel o inferior, pero no superior. Similarmente, un sujeto puede tener acceso de lectura a objetos en su propio nivel o superior, pero no inferior.
Integridad (previniendo modificaciones inapropiadas de datos).
Niveles de integridad (en lugar de niveles de sensitividad MLS).
Los siguientes sintonizables de sysctl pueden utilizarse para manipular la política Biba.
security.mac.biba.enabled puede usarse para habilitar/deshabilitar la imposición de la política Biba en la máquina destino.
security.mac.biba.ptys_equal puede usarse para deshabilitar la política Biba en dispositivos pty(4).
security.mac.biba.revocation_enabled forzará la revocación de acceso a objetos si la etiqueta es cambiada a dominar el sujeto.
Para accesar la configuración de la política biba en objetos del sistema, use los comandos setfmac y getfmac:
# setfmac biba/low test # getfmac test test: biba/low
Observaciones: un sujeto con integridad inferior es incapaz de escribir a un sujeto con integridad más elevada; un sujeto con integridad más elevada no puede observar o leer a un objeto con integridad inferior.
Puede descargar éste y muchos otros documentos desde ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/.
Si tiene dudas sobre FreeBSD consulte la documentación antes de escribir a la lista
<questions@FreeBSD.org>.
Envíe sus preguntas sobre la documentación a <doc@FreeBSD.org>.