Las siguientes secciones discutirán políticas MAC que utilizan etiquetas.
De aquí en adelante este capítulo se enfocará en las propiedades de mac_biba(4), mac_lomac(4), mac_partition(4), y mac_mls(4).
Nota: Este es solamente un ejemplo de configuración y no debe ser considerado para una implementación en producción. El objetivo es documentar y mostrar la sintaxis así como los ejemplos para la implementación y prueba.
Para que estas políticas funcionen correctamente se deben hacer varias preparaciones.
Los siguientes cambios son requeridos en el archivo login.conf:
Una clase insecure, u otra clase de tipo similar, debe ser agregada. La clase de login insecure no es requerida y solo es utilizada aquícomo un ejemplo; configuraciones diferentes pueden utilizar otro nombre de clase.
La clase insecure debe tener las siguientes propiedades y definiciones. Varias de estas pueden ser alteradas pero la línea que define la etiqueta por omisión es un requerimiento y debe permanecer.
insecure:\
:copyright=/etc/COPYRIGHT:\
:welcome=/etc/motd:\
:setenv=MAIL=/var/mail/$,BLOCKSIZE=K:\
:path=~/bin:/sbin:/bin:/usr/sbin:/usr/bin:/usr/local/sbin:/usr/local/bin:\
:manpath=/usr/share/man /usr/local/man:\
:nologin=/usr/sbin/nologin:\
:cputime=1h30m:\
:datasize=8M:\
:vmemoryuse=100M:\
:stacksize=2M:\
:memorylocked=4M:\
:memoryuse=8M:\
:filesize=8M:\
:coredumpsize=8M:\
:openfiles=24:\
:maxproc=32:\
:priority=0:\
:requirehome:\
:passwordtime=91d:\
:umask=022:\
:ignoretime@:\
:label=partition/13,mls/5,biba/low:
El comando cap_mkdb(1) necesita ser ejecutado en login.conf(5) antes de que cualquiera de los usuarios puede ser cambiado a la nueva clase.
El usuario root debe también ser colocado en un clase de login; de otra manera, casi cualquier comando ejecutado por root requerirá el uso de setpmac.
AvisoLa reconstrucción de la base de datos de login.conf puede causar algunos errores posteriores con la clase daemon. Simplemente descomentando la cuenta daemon y reconstruyendo la base de datos debería aliviar estos síntomas.
Asegurarse que todas las particiones en las que el etiquetamiento MAC será implementado soporten multilabel. Debemos hacer esto porque muchos de los ejemplos
aquí mostrados contienen diferentes etiquetas para propósitos de prueba.
Revise la salida del comando mount como medida precautoria.
Cambie cualquier usuario que tendrá los más altos mecanismos de seguridad impuestos a la nueva clase de usuario. Una ejecución rápida de pw(8) o vipw(8) debe hacer el truco.
Puede descargar éste y muchos otros documentos desde ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/.
Si tiene dudas sobre FreeBSD consulte la documentación antes de escribir a la lista
<questions@FreeBSD.org>.
Envíe sus preguntas sobre la documentación a <doc@FreeBSD.org>.