Каждый модуль, включенный в инфраструктуру MAC,
может быть или встроен в ядро, как упоминалось выше, или загружен в виде модуля ядра.
Рекомендуется добавление имени модуля в файл /boot/loader.conf,
этот модуль будет активирован в самом начале загрузки.
В последующих разделах будут обсуждаться различные модули MAC и их возможности. Реализация этих возможностей в
определенных ситуациях также будет обсуждаться в этой главе. Некоторые модули
поддерживают использование меток, которые контролируют доступ путем применения правил
вида ``это разрешено, а это нет''. Настройка меток может контролировать доступ к файлам,
сетевым коммуникациям и т.д. В предыдущем разделе было показано как флаг multilabel может быть установлен на файловые системы для включения
контроля доступа по файлам или по разделам.
Конфигурация с одной меткой не допускает применение нескольких меток в системе,
поэтому параметр tunefs называется multilabel.
Имя модуля: mac_seeotheruids.ko
Строка в конфигурации ядра: options MAC_SEEOTHERUIDS
Параметр загрузки: mac_seeotheruids_load="YES"
Модуль mac_seeotheruids(4)
копирует и расширяет переменные sysctl security.bsd.see_other_uids и security.bsd.see_other_gids. Он не требует установки меток и может
прозрачно работать с другими модулями.
После загрузки модуля, для управления им могут быть использованы следующие переменные
sysctl:
-
security.mac.seeotheruids.enabled включит модуль с
настройками по умолчанию. Эти настройки запрещают пользователям просмотр процессов и
сокетов, принадлежащих другим пользователям.
-
security.mac.seeotheruids.specificgid_enabled позволит
исключить определенные группы из этой политики. Для исключения определенной группы,
используйте переменную sysctl security.mac.seeotheruids.specificgid=XXX. В примере выше необходимо заменить XXX на числовой ID группы.
-
security.mac.seeotheruids.primarygroup_enabled используется
для исключения определенной основной группы из этой политики. При использовании этой
переменной security.mac.seeotheruids.specificgid_enabled может
быть не установлена.
Необходимо отметить, что пользователь root не является
исключением из этой политики. Это одно из самых существенных различий между MAC версией и обычными переменными, существующими по умолчанию:
security.bsd.seeotheruids.
Виртуальные VPS серверы в РФ и ЕС
