User Tools
модули_mac
Differences
This shows you the differences between two versions of the page.
| Both sides previous revision Previous revision Next revision | Previous revision Last revision Both sides next revision | ||
|
модули_mac [2013/05/22 13:50] 127.0.0.1 внешнее изменение |
модули_mac [2018/02/06 13:14] val [Вариант использования как AppArmor] |
||
|---|---|---|---|
| Line 1: | Line 1: | ||
| ====== Модули MAC ====== | ====== Модули MAC ====== | ||
| - | [[http://www.freebsd.org/doc/ru/books/handbook/mac.html]] | + | * [[https://www.freebsd.org/doc/ru/books/handbook/mac.html|Принудительный контроль доступа (MAC)]] |
| + | * [[https://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/mac.html|Mandatory Access Control]] | ||
| + | * [[http://www.lissyara.su/?id=2215|Повышение уровня безопасности apache с использованием МАС]] | ||
| + | * [[https://en.wikipedia.org/wiki/Biba_Model|Biba Model]] | ||
| + | * [[https://en.wikipedia.org/wiki/Multilevel_security|Multilevel security]] | ||
| - | [[http://www.lissyara.su/?id=2215]] | + | ===== Вариант использования пользователями ===== |
| + | <code> | ||
| + | # cat /etc/login.conf | ||
| + | ... | ||
| + | russian|Russian Users Accounts:\ | ||
| + | :charset=UTF-8:\ | ||
| + | :lang=ru_RU.UTF-8:\ | ||
| + | :tc=default:\ | ||
| + | :label=mls/5,biba/5: | ||
| + | ... | ||
| + | |||
| + | # cap_mkdb /etc/login.conf | ||
| + | |||
| + | # pw usermod user1 -L russian | ||
| + | |||
| + | # mkdir ~user1/doc | ||
| + | |||
| + | # chown user1:user1 ~user1/doc | ||
| + | |||
| + | # setfmac 'biba/5,mls/5' ~user1/doc | ||
| + | |||
| + | # ls ~user1/doc | ||
| + | |||
| + | # setfmac 'biba/high,mls/low' ~user1/doc | ||
| + | |||
| + | # setpmac 'biba/5,mls/5' setfmac 'biba/high,mls/low' ~user1/doc | ||
| + | </code> | ||
| ===== Вариант использования как AppArmor ===== | ===== Вариант использования как AppArmor ===== | ||
| Line 9: | Line 39: | ||
| ==== Выбор приложения ==== | ==== Выбор приложения ==== | ||
| - | [[Средства программирования shell#Web свервер на shell]] | + | * [[Средства программирования shell#Web сервер на shell]] |
| + | * [[Сервис INETD]] | ||
| - | [[Сервис INETD]] | ||
| ==== Тестирование ==== | ==== Тестирование ==== | ||
| Line 21: | Line 51: | ||
| ==== Патчинг модулей biba и mls ==== | ==== Патчинг модулей biba и mls ==== | ||
| + | |||
| + | Идея: все процессы будут работать с меткой equal по умолчанию | ||
| + | |||
| + | * [[Управление ядром и модулями в FreeBSD#Установка исходных текстов ядра]] | ||
| + | |||
| <code> | <code> | ||
| # rcsdiff /usr/src/sys/security/mac_mls/mac_mls.c | # rcsdiff /usr/src/sys/security/mac_mls/mac_mls.c | ||
| Line 37: | Line 72: | ||
| </code> | </code> | ||
| - | [[Сборка ядра]] | + | * [[Управление ядром и модулями в FreeBSD#Компиляция и инсталяция ядра]] |
| ==== Включение модулей при загрузке ==== | ==== Включение модулей при загрузке ==== | ||
| Line 46: | Line 81: | ||
| mac_mls_load="YES" | mac_mls_load="YES" | ||
| mac_biba_load="YES" | mac_biba_load="YES" | ||
| + | </code><code> | ||
| + | # init 6 | ||
| + | |||
| + | # ps axZ | ||
| </code> | </code> | ||
| ==== Включение множественных меток на файловой системе ==== | ==== Включение множественных меток на файловой системе ==== | ||
| - | [[http://www.freebsd.org/doc/ru/books/handbook/mac-troubleshoot.html]] | + | * [[https://www.freebsd.org/doc/ru/books/handbook/mac-troubleshoot.html|Решение проблем с инфраструктурой MAC]] |
| - | + | * В однопользовательский режим выполняем: | |
| - | <code> | + | |
| - | # cat /etc/fstab | + | |
| - | </code><code> | + | |
| - | ... | + | |
| - | /dev/ad0s1a / ufs ro 1 | + | |
| - | ... | + | |
| - | </code> | + | |
| - | + | ||
| - | Reboot in single mode (4) | + | |
| <code> | <code> | ||
| Line 68: | Line 98: | ||
| </code> | </code> | ||
| - | Reboot in multiuser mode (Не обращаем внимания на ругательства при запуске системы с корневым разделом смонтированным только на чтение) | + | * Проверки: |
| - | + | ||
| - | <code> | + | |
| - | # mount -urw / | + | |
| - | + | ||
| - | # cat /etc/fstab | + | |
| - | </code><code> | + | |
| - | ... | + | |
| - | /dev/ad0s1a / ufs rw 1 | + | |
| - | ... | + | |
| - | </code><code> | + | |
| - | # init 6 | + | |
| - | </code> | + | |
| - | + | ||
| - | Reboot in multiuser mode | + | |
| <code> | <code> | ||
| Line 90: | Line 106: | ||
| ... | ... | ||
| </code><code> | </code><code> | ||
| - | # ps axZ | ||
| - | |||
| # getfmac /etc/passwd | # getfmac /etc/passwd | ||
| - | # setfmac 'biba/high,mls/high' /etc/passwd | + | # ls -Zl /etc/passwd |
| </code> | </code> | ||
| ==== Установка меток на файловую систему ==== | ==== Установка меток на файловую систему ==== | ||
| - | !!! Процесс занимает 15-20 минут !!! | + | !!! Процесс занимает 2-5 минут !!! |
| <code> | <code> | ||
| + | # setfmac 'biba/high,mls/high' /etc/passwd | ||
| + | |||
| + | # ldd /bin/sh | ||
| + | # ldd /bin/cat | ||
| + | # ldd /usr/bin/file | ||
| + | |||
| + | # man file | ||
| + | |||
| # cat /etc/policy.contexts | # cat /etc/policy.contexts | ||
| </code><code> | </code><code> | ||
| Line 117: | Line 139: | ||
| /lib biba/equal,mls/equal | /lib biba/equal,mls/equal | ||
| /lib/libedit.so.7 biba/equal,mls/equal | /lib/libedit.so.7 biba/equal,mls/equal | ||
| - | /lib/libncurses.so.8 biba/equal,mls/equal | + | /lib/libncursesw.so.8 biba/equal,mls/equal |
| /lib/libc.so.7 biba/equal,mls/equal | /lib/libc.so.7 biba/equal,mls/equal | ||
| /usr biba/equal,mls/equal | /usr biba/equal,mls/equal | ||
| /usr/bin biba/equal,mls/equal | /usr/bin biba/equal,mls/equal | ||
| /usr/bin/file biba/equal,mls/equal | /usr/bin/file biba/equal,mls/equal | ||
| - | /lib/libz.so.5 biba/equal,mls/equal | + | /lib/libz.so.6 biba/equal,mls/equal |
| /usr/lib biba/equal,mls/equal | /usr/lib biba/equal,mls/equal | ||
| /usr/lib/libmagic.so.4 biba/equal,mls/equal | /usr/lib/libmagic.so.4 biba/equal,mls/equal | ||
модули_mac.txt · Last modified: 2018/02/08 14:44 by val
Page Tools
Except where otherwise noted, content on this wiki is licensed under the following license: CC Attribution-Share Alike 4.0 International
