FreeBSD Handbook/Administração/MAC


FreeBSD Handbook
Anterior Capítulo 16. Mandatory Access Control Próxima


É necessário rever os termos e descrições após entender melhor o MAC

Capítulo 16. Mandatory Access Control

Índice

16.1 Sinopse
16.2 Termos Chave neste Capítulo
16.3 Explicação do MAC
16.4 Entendendo os Rótulos do MAC
16.5 Planejando a Configuração de Segurança
16.6 Configuração dos Módulos
16.7 O Módulo bsdextended do MAC
16.8 O Módulo ifoff do MAC
16.9 O Módulo portacl do MAC
16.10 O Módulo partition do MAC
16.11 O Módulo Multi-Level Security do MAC
16.12 O Módulo Biba do MAC
16.13 O Módulo LOMAC do MAC
16.14 Nagios num Jail MAC
16.15 Amarração de Usuários
16.16 Resolução de Problemas do Framework MAC

Escrito por Tom Rhodes.

16.1 Sinopse

O FreeBSD 5.X introduziu uma nova extensão de segurança vinda do TrustedBSD, baseada no padrão POSIX®.1e. Dois dos mecanismos de segurança mais significativos são as listas de controle de acesso ao sistema de arquivos (file system Access Control Lists (ACLs)) e o controle mandatório de acesso (Mandatory Access Control (MAC)). O MAC permite que novos módulos de controle de acesso sejam carregados, implementando novas políticas de segurança. Algumas fornecem proteções a uma parte restrita do sistema, aprimorando a segurança de um serviço em particular. Outras permitem uma clara segurança baseada em rótulos (labels) cruzando todos os sujeitos e objetos. A parte mandatória da definição vem do fato de que a imposição dos controles é feita pelos administradores e pelo sistema, não sendo deixada a cargo dos usuários, como é feita com a DAC (discretionary access control), que são as permissões padrão dos arquivos e System V IPC do FreeBSD.

Este capítulo abordará o framework do Mandatory Access Control (MAC Framework) e um conjunto de módulos de políticas de segurança conectáveis, habilitando diversos mecanismos de segurança.


Após a leitura deste capítulo, você saberá:

  • Que módulos de políticas de segurança do MAC estão incluídos atualmente no FreeBSD e seus mecanismos associados.
  • O que os módulos de políticas de segurança implementam e as diferenças entre uma política rotulada e não rotulada.
  • Como configurar eficientemente um sistema para usar o framework MAC.
  • Como configurar os diferentes módulos de políticas de segurança incluidos no framework MAC.
  • Como implementar um ambiente mais seguro usando o framework MAC e os exemplos mostrados.
  • Como testar uma configuração de MAC para assegurar que o framework foi corretamente implementado.


Antes de ler este capítulo, é recomendável:

  • Conhecer UNIX® e os conceitos básicos de FreeBSD (Capítulo 3).
  • Ter familiaridade com os conceitos básicos de configuração e compilação do kernel (Capítulo 8).
  • Ter algum conhecimento sobre segurança e como ela é no FreeBSD (Capítulo 14).

Aviso: O uso indevido da informação contida aqui pode causar perdas de acesso ao sistema, prejuízo aos usuários ou impossibilidade de acessar os recursos disponibilizados pelo X11. Mais importante: o MAC não deve ser utilizado como única forma de garantir a segurança de um sistema. O framework MAC apenas aumenta a segurança das políticas existentes. Sem práticas sólidas de segurança e verificações periódicas o sistema nunca estará completamente seguro.

Deve ser observado ainda que os exemplos contidos neste capítulo são apenas isso: exemplos. Não é recomendável que estas configurações particulares sejam colocadas em produção. Implementar os vários módulos de políticas de segurança exige uma boa dose de elaboração e testes. Aqueles que não compreenderem completamente como tudo funciona exatamente, podem se ver voltando por todo o sistema reconfigurando muitos arquivos e diretórios.

16.1.1 O Que Não Será Tratado

Este capítulo abrange uma série de assuntos de segurança relacionados ao framework MAC. O desenvolvimento de novos módulos de políticas de segurança do MAC não será tratado. Diversos módulos de políticas de segurança incluídos no framework MAC têm características específicas para a realização de testes e desenvolvimento de novos módulos. Isso inclui os módulos mac_test(4), mac_stub(4) e mac_none(4). Para mais informações sobre estes módulos e os vários mecanismos que eles fornecem, por favor consulte as páginas de manual.



Anterior Índice Próxima
Capítulo 15 - Jails - Ajuste Fino e Administração Topo Termos Chave neste Capítulo
Última edição desta página: 24/01/2011 (20110124215006)