Cada módulo incluido con la estructura MAC puede ser ya sea compilado en el kernel como se notó arriba o cargado como un módulo ejecutable del kernel. El método recomendado es agregar el nombre del módulo al archivo /boot/loader.conf para que se cargue durante la operación inicial de arranque.
Las siguientes secciones discutirán los varios módulos MAC y cubrirán sus propiedades. Implementarlos en un
ambiente específico también será una consideración de este
capítulo. Algunos módulos soportan el uso de etiquetamiento, el cual
controla accesos mediante la imposición de una etiqueta como “esto es
permitido y esto no”. Un archivo de configuración de etiqueta puede
controlar como se pueden accesar archivos, se dan las comunicaciones de red y más.
La sección previa mostró como la bandera multilabel podía activarse en sistemas de archivos para
habilitar control de acceso por archivo o por partición.
Una configuración de etiqueta única impondría solamente una
etiqueta a través del sistema, es por eso que la opción tunefs es llamada multilabel.
Nombre de módulo: mac_seeotheruids.ko
Línea de configuración de Kernel: options MAC_SEEOTHERUIDS
Opción de arranque: mac_seeotheruids_load="YES"
El módulo mac_seeotheruids(4) imita los sintonizables de sysctl security.bsd.see_other_uids y security.bsd.see_other_gids. Esta opción no requiere activar ninguna etiqueta antes de la configuración y puede operar de manera transparente con los otros módulos.
Despues de cargar el módulo, los siguientes sintonizables de sysctl pueden utilizarse para controlar las opciones:
security.mac.seeotheruids.enabled habilitará las opciones del módulo, con las opciones por omisión. Estas opciones por omisión le negarán a los usuarios la habilidad de ver procesos y sockets propiedad de otros usuarios.
security.mac.seeotheruids.specificgid_enabled permitirá a un cierto grupo ser exentados de esta política. Para exentar grupos específicos de esta política, utilice el sintonizable de sysctl security.mac.seeotheruids.specificgid=XXX. En el ejemplo de arriba, XXX debería ser reemplazado con el ID numérico a ser exentado.
security.mac.seeotheruids.primarygroup_enabled es usado para exentar grupos primarios específicos de esta política. Cuando utilice este sintonizable no se debe activar security.mac.seeotheruids.specificgid_enabled.
Puede descargar éste y muchos otros documentos desde ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/.
Si tiene dudas sobre FreeBSD consulte la documentación antes de escribir a la lista
<questions@FreeBSD.org>.
Envíe sus preguntas sobre la documentación a <doc@FreeBSD.org>.