MAC хаяг/шошго нь системийн турш нэлэнхүйд нь субьектууд болон обьектуудад өгч болох аюулгүй байдлын шинж чанар юм.
Хаяг/шошгыг тохируулах үед хэрэглэгч үүнийг яг юу болох, юу хийгдэхийг ойлгож чадаж байх ёстой. Обьект дээр байдаг шинж чанарууд нь бодлогын модуль дуудагдсан болон бодлогын модулиуд тэдгээрийн шинж чанаруудыг өөр аргаар ойлгуулдгаас хамаарна. Дутуу ойлгосноос эсвэл утга санаануудыг нь ойлгох чадваргүй байдлаас болоод буруу тохируулсан бол үр дүн нь тааж болшгүй байх бөгөөд магадгүй системийн хүсээгүй ажиллагаанд хүргэж болох юм.
Обьект дээрх аюулгүй байдлын хаяг/шошго нь бодлогын гаргах аюулгүй байдлын хандалтын хяналтын шийдвэрийн хэсэг болон хэрэглэгддэг. Зарим бодлогуудад хаяг/шошго нь өөрөө шийдвэр гаргахад шаардлагатай бүх мэдээллийг агуулдаг; бусад загваруудад хаяг/шошгонууд нь илүү том дүрмийн олонлогийн хэсэг болон процесс хийгдэж болох юм. Гэх мэт олныг дурдаж болно.
Жишээ нь файл дээр biba/low гэж хаяг/шошгыг тохируулах нь Biba аюулгүй байдлын бодлогын модулиар хангагдаж байдаг хаяг/шошгыг “low” гэсэн утгатайгаар илэрхийлж байна гэсэн үг юм.
FreeBSD-д хаяглалтын боломжийг дэмждэг цөөн бодлогын модулиуд нь урьдчилан тодорхойлсон тусгай гурван хаяг/шошгыг санал болгодог. Эдгээр нь low буюу доод, high буюу өндөр болон equal буюу тэнцүү гэсэн хаяг/шошгууд юм. Тэдгээр нь хандалтын хяналтыг бодлогын модуль бүртэй өөр өөрөөр хийдэг боловч low хаяг/шошго нь хамгийн доод тохиргоо болох ба equal хаяг/шошго нь субьект эсвэл обьектийг хаах эсвэл хамаарахгүй гэж тохируулах бөгөөд high хаяг/шошго нь Biba болон MLS бодлогын модулиудад байх хамгийн дээд тохиргоог хийх болно.
Ганц хаяг/шошго бүхий файлын системийн орчинд
обьектууд дээр зөвхөн нэг хаяг/шошго
хэрэглэгдэх болно. Энэ нь хандалтын
зөвшөөрлүүдийн нэг олонлогийг бүхэл бүтэн
системийн дагуу ашиглах бөгөөд олон орчны
хувьд энэ нь хангалттай байж болох юм. Файлын
систем дэх обьектууд эсвэл субьектууд дээр
олон хаяг/шошгонууд тавих цөөн тохиолдлууд
байдаг. Ийм тохиолдолд multilabel
тохируулгыг tunefs(8) уруу
дамжуулж өгч болох юм.
Biba болон MLS-ийн хувьд тоон хаяг/шошгыг шаталсан хяналтын тодорхой түвшинг заахын тулд тохируулж болно. Энэ тоон түвшин нь мэдээллийг ангиллын өөр өөр бүлгүүдэд хуваах буюу эрэмбэлж тэр бүлэг эсвэл илүү өндөр бүлгийн түвшинд хандах хандалтыг зөвхөн зөвшөөрөхөд хэрэглэгддэг.
Ихэнх тохиолдлуудад администратор нь файлын системийн дагуу хэрэглэхийн тулд зөвхөн ганц хаяг/шошгыг тохируулдаг.
Хөөе хүлээгээрэй, энэ нь DAC-тай адил юм байна! MAC нь хяналтыг зөвхөн администраторт өгдөг гэж бодсон. Энэ өгүүлбэр нь зарим талаараа үнэн хэвээр байгаа, учир нь root хэрэглэгчид хяналт байгаа бөгөөд тэрээр хэрэглэгчдийг тохирох зэрэглэл/хандалтын түвшингүүдэд байрлуулахаар бодлогуудыг тохируулдаг. Харамсалтай нь бодлогын олон модулиуд нь root хэрэглэгчийг бас хязгаарлаж чадна. Обьектууд дээрх үндсэн хяналт нь тэгээд бүлэгт суллагдах боловч root нь тохиргоонуудыг ямар ч үед буцааж эсвэл өөрчилж болох юм. Энэ нь Biba болон MLS зэрэг бодлогуудын хамардаг шаталсан/цэвэрлэгээ загвар юм.
Хаяг/шошгоны бодлогын модулийн тохиргооны бараг л бүх зүйлсийг үндсэн системийн хэрэгслүүдийг ашиглан гүйцэтгэдэг. Эдгээр тушаалууд нь обьект эсвэл субьектийн тохиргоо эсвэл тохиргооны удирдлага болон шалгалтын хувьд энгийн интерфэйсээр хангадаг.
Бүх тохиргоог setfmac(8) болон setpmac(8) хэрэгслүүдийг ашиглан хийнэ. setfmac тушаал нь системийн обьектууд дээр MAC хаяг/шошгонуудыг тохируулахад хэрэглэгддэг бол setpmac тушаал нь системийн субьектууд дээр хаяг/шошгонуудыг тохируулахад хэрэглэгддэг. Дараах тушаалыг ажиглаарай:
# setfmac biba/high test
Дээрх тушаалыг ажиллуулсны дараа хэрэв ямар ч алдаа гараагүй бол хүлээх мөр буцаагдах болно. Эдгээр тушаалууд нь хөдөлгөөнгүй биш байх цорын ганц үе нь алдаа гарах үе юм; chmod(1) болон chown(8) тушаалуудтай адил юм. Зарим тохиолдолд энэ алдаа нь “Permission denied” гэсэн байж болох бөгөөд энэ нь ихэвчлэн хязгаарласан обьект дээр хаяг/шошгыг тохируулах буюу засах үед гардаг.[1] Системийн администратор үүнийг давж гарахын тулд дараах тушаалуудыг ашиглаж болно:
# setfmac biba/high test “Permission denied” # setpmac biba/low setfmac biba/high test # getfmac test test: biba/high
Дээрхээс харахад ажиллуулсан процессод өөр
хаяг/шошго зааж бодлогын модулийн
тохиргоонуудыг өөрчлөхөд setpmac
тушаалыг хэрэглэж болох юм байна. getpmac хэрэгсэл нь ихэвчлэн тухайн
үед ажиллаж байгаа sendmail зэрэг
процессуудад хэрэглэгддэг. Хэдийгээр энэ нь
тушаалын оронд процессийн ID-г авдаг боловч
логик нь туйлын төстэй юм. Хэрэв хэрэглэгчид
өөрийн хандалтад байхгүй файлыг удирдахыг
оролдвол дуудагдсан бодлогын модулиудын
дүрмүүдээс болоод “Operation not
permitted” алдаа mac_set_link
функцээр харуулагдах болно.
mac_biba(4), mac_mls(4) болон mac_lomac(4) бодлогын модулиудын хувьд энгийн хаяг/шошгонуудыг зааж өгөх боломж олгогдсон байдаг. Эдгээр нь high буюу өндөр/дээд, equal буюу тэнцүү болон low буюу доод гэсэн хэлбэрийг авах бөгөөд эдгээр хаяг/шошгонуудын юу хангадаг талаар товч тайлбарыг доор дурдав:
low хаяг/шошго нь обьект эсвэл субьектийн авч болох хамгийн доод хаяг/шошгоны тохиргоо гэгддэг. Үүнийг обьектууд эсвэл субьектууд дээр тохируулах нь өндөр гэж тэмдэглэгдсэн обьектууд эсвэл субьектууд уруу хандах тэдгээрийн хандалтыг хаах болно.
equal хаяг/шошго нь бодлогоос чөлөөлөгдөх обьектууд дээр зөвхөн тавигдах ёстой.
high хаяг/шошго нь обьект эсвэл субьектэд хамгийн их боломжит тохиргоог зөвшөөрдөг.
Бодлогын модуль бүрийн хувьд тэдгээр тохиргоо бүр өөр өөр мэдээллийн урсгалын зааврыг хийх болно. Тохирох гарын авлагын хуудаснуудыг унших нь эдгээр ерөнхий хаяг/шошгоны тохиргоонуудын төрх байдлыг цаашид тайлбарлах болно.
Тоон зэргээр илэрхийлсэн хаяг/шошгонууд нь comparison:compartment+compartment буюу харьцуулалт:тасалгаа+тасалгаа гэсэнд зориулагдаж хэрэглэгддэг, тиймээс дараах нь:
biba/10:2+3+6(5:2+3-20:2+3+4+5+6)
Ингэж тайлбарлагдаж болно:
“Biba Бодлогын Хаяг/Шошго”/“Зэрэг 10” :“Тасалгаанууд 2, 3 болон 6”: (“зэрэг 5 ...”)
Энэ жишээн дээр эхний зэрэг нь “эффектив тасалгаанууд”тай “эффектив зэрэг” гэж тооцогддог, хоёр дахь зэрэг нь доод зэрэг бөгөөд хамгийн сүүлийнх нь өндөр зэрэг юм. Ихэнх тохиргоонуудад эдгээр тохируулгуудыг ашигладаггүй, харин тэдгээрийг илүү нарийн тохиргоонд зориулж санал болгодог.
Системийн обьектуудад хамааруулахад тэдгээр нь системийн субьектуудтай харьцуулах юм бол зөвхөн тухайн үеийн зэрэг/тасалгаануудтай байдаг. Системийн субьектууд нь систем болон сүлжээний интерфэйсүүдэд байгаа эрхүүдийн хүрээг тусгадаг. Сүлжээний интерфэйсүүд дээр хандалтын хяналтын хувьд хаяг/шошгонууд нь ашиглагддаг.
Субьект болон обьект хослол дахь зэрэг болон тасалгаанууд нь “давамгайлал” гэгддэг харилцааг бүтээхэд хэрэглэгддэг. Энэ харилцаанд субьект нь обьектийг давамгайлдаг, эсвэл обьект нь субьектийг давамгайлдаг, эсвэл аль нэг нь нөгөөгөө давамгайлахгүй, эсвэл хоёулаа нэг нэгнийгээ давамгайлдаг. “хоёулаа давамгайлах” тохиолдол нь хоёр хаяг/шошго тэнцүү байхад тохиолддог. Biba-ийн мэдээллийн урсгалын мөн чанараас болоод төсөлд тохирох “мэдэх хэрэгтэй” тасалгаануудын олонлогийн эрхүүд танд байдаг. Гэхдээ обьектууд нь бас тасалгаануудын олонлогтой байна. Хэрэглэгчид нь өөрсдөө хязгаарлалтгүй байдаг тасалгаа дахь обьектуудад хандахын тулд su эсвэл setpmac тушаалуудыг ашиглан өөрсдийнхөө эрхүүдийг дэд эрхүүд болгож болох юм.
Хэрэглэгчдийн өөрсдийнх нь файлууд болон процессууд систем дээр тодорхойлсон аюулгүй байдлын бодлоготой зөв харилцан ажилладаг байхын тулд хэрэглэгчид нь өөрсдөө хаяг/шошгонуудтай байх шаардлагатай байдаг. Үүнийг login.conf файлд нэвтрэлтийн ангиллуудыг ашиглан тохируулдаг. Хаяг/шошгонуудыг ашигладаг бодлогын модуль бүр хэрэглэгчийн ангиллын тохиргоог хийх болно.
Бодлогын модуль бүрийн тохиргоог агуулах жишээ оруулгыг доор үзүүлэв:
default:\ :copyright=/etc/COPYRIGHT:\ :welcome=/etc/motd:\ :setenv=MAIL=/var/mail/$,BLOCKSIZE=K:\ :path=~/bin:/sbin:/bin:/usr/sbin:/usr/bin:/usr/local/sbin:/usr/local/bin:\ :manpath=/usr/share/man /usr/local/man:\ :nologin=/usr/sbin/nologin:\ :cputime=1h30m:\ :datasize=8M:\ :vmemoryuse=100M:\ :stacksize=2M:\ :memorylocked=4M:\ :memoryuse=8M:\ :filesize=8M:\ :coredumpsize=8M:\ :openfiles=24:\ :maxproc=32:\ :priority=0:\ :requirehome:\ :passwordtime=91d:\ :umask=022:\ :ignoretime@:\ :label=partition/13,mls/5,biba/10(5-15),lomac/10[2]:
label тохируулга нь хэрэглэгчийн ангиллын MAC-ийн үйлчлэх анхдагч хаяг/шошгыг тохируулахад хэрэглэгддэг. Хэрэглэгчид энэ утгыг өөрчлөх зөвшөөрөл хэзээ ч өгөгдөхгүй учраас энэ нь хэрэглэгчийн хувьд сонгох боломжгүй юм. Гэхдээ жинхэнэ тохиргоон дээр администратор нь бодлогын модуль бүрийг идэвхжүүлэхийг хэзээ ч хүсэхгүй. Энэ тохиргоонуудаас аль нэгийг нь хийж гүйцэтгэхээсээ өмнө энэ бүлгийн үлдсэнийг дахин шалгаж уншихыг зөвлөж байна.
Тэмдэглэл: Хэрэглэгчид нь эхний нэвтрэлтийнхээ дараа өөрсдийн хаяг/шошгыг өөрчилж болох юм. Гэхдээ энэ өөрчлөлт нь бодлогын шахалтуудын эрхшээлд байдаг. Дээрх жишээ нь процессийн хамгийн бага бүрэн бүтэн байдлыг 5, түүний хамгийн их утга нь 15, гэхдээ анхдагч эффектив хаяг/шошго нь 10 гэж Biba бодлогод хэлж байна. Процесс нь магадгүй хэрэглэгч setpmac тушаалыг ажиллуулснаас болоод хаяг/шошгоо өөрчлөхөөр сонгох хүртэл 10 дээр ажиллах болно. setpmac тушаал нь нэвтрэлтийн үед хүрээг тохируулах Biba-ийн шахалтад байх болно.
Бүх тохиолдлуудад login.conf-д өөрчлөлт хийсний дараа нэвтрэлтийн ангиллын боломжийн мэдээллийн баазыг cap_mkdb тушаал ашиглан дахин бүтээх ёстой бөгөөд энэ нь ойртож байгаа жишээ эсвэл хэлэлцүүлэг бүрт тусгагдах болно.
Олон сайтууд нь хэд хэдэн өөр өөр хэрэглэгчийн ангиллуудыг шаарддаг ялангуяа асар их тооны хэрэглэгчидтэй байж болохыг тэмдэглэх хэрэгтэй юм. Маш сайн төлөвлөх хэрэгтэй бөгөөд удирдахад туйлын хэцүү болж болох юм.
Хаяг/шошгонууд нь сүлжээний дагуух өгөгдлийн урсгалыг хянахад туслах зорилгоор сүлжээний интерфэйсүүд дээр бас тавигдаж болно. Бүх тохиолдолд тэдгээр нь бодлогууд обьектуудад үйлчилдэг шигээр үйлчилдэг. biba дээрх өндөр тохиргоонуудтай хэрэглэгчдийг жишээ нь доод хаяг/шошготой сүлжээний интерфэйсүүдэд хандахыг зөвшөөрдөггүй.
Сүлжээний интерфэйсүүд дээр MAC хаяг/шошгыг тохируулахдаа maclabel тохируулгыг ifconfig
тушаал уруу өгч болох юм. Жишээ нь:
# ifconfig bge0 maclabel biba/equal
тушаал нь biba/equal-ийн MAC хаяг/шошгыг bge(4) интерфэйс дээр тохируулах болно. biba/high(low-high)-тай төстэй тохиргоог ашиглаж байх үед бүх хаяг/шошгыг тэр чигээр нь хаалтанд ("") хийх ёстой, тэгэхгүй бол алдаа буцаагдах болно.
Хаяглалтыг дэмждэг бодлогын модуль бүр
тааруулах боломжтой хувьсагчтай байдаг
бөгөөд тэдгээрийг сүлжээний интерфэйсүүд дээр
MAC хаяг/шошгыг хаахдаа
хэрэглэж болох юм. Хаяг/шошгыг equal буюу тэнцүү гэж тохируулах нь
ижил нөлөөлөлтэй байх болно. Тэдгээр тааруулах
боломжтой хувьсагчуудын хувьд sysctl-ийн тушаалын гаралт, бодлогын
гарын авлагын хуудаснууд эсвэл бүр энэ
бүлгийн үлдсэн хэсэг дэх мэдээллийг дахин
үзээрэй.
Анхдагчаар систем нь singlelabel
тохируулгыг ашиглах болно. Гэхдээ энэ нь
администраторт юу гэж ойлгогдох вэ? Хэд хэдэн
ялгаанууд байдаг бөгөөд тэдгээр нь системийн
аюулгүй байдлын загварт уян хатан чанарын
хувьд давуу болон сул талуудыг үзүүлдэг.
singlelabel нь зөвхөн нэг
хаяг/шошгоны хувьд зөвшөөрөх бөгөөд
жишээлбэл biba/high-ийг субьект
эсвэл обьект бүрийн хувьд ашиглах юм. Энэ нь
удирдлагын хувьд бага ажиллагааг өгдөг
боловч хаяглалтыг дэмждэг бодлогуудын уян хатан
чанарыг бууруулдаг. Олон администраторууд
өөрсдийн аюулгүй байдлын бодлогодоо multilabel тохируулгыг ашиглахыг хүсэж
болох юм.
multilabel тохируулга нь субьект
эсвэл обьект бүрийг хуваалтад зөвхөн нэг
хаяг/шошгыг зөвшөөрөх стандарт singlelabel тохируулгын оронд өөрийн
гэсэн тусдаа MAC хаягтай
байхыг зөвшөөрөх болно. multilabel
болон single хаяг/шошгоны
тохируулгууд нь Biba, Lomac, MLS болон SEBSD
зэрэг хаяглалтын боломжийг хийж гүйцэтгэдэг
бодлогуудад зөвхөн шаардлагатай байдаг.
Ихэнх тохиолдолд multilabel-ийг
тохируулах ерөөсөө хэрэггүй байж болох юм.
Дараах тохиолдол болон аюулгүй байдлын
загварыг авч үзье:
MAC тогтолцоо болон төрөл бүрийн бодлогуудын холимгийг ашигладаг FreeBSD вэб сервер.
Энэ машин нь зөвхөн нэг хаяг/шошго biba/high-ийг системийн бүх юмандаа
шаарддаг. Энд ганц хаяг/шошго нь үргэлж нөлөөлөх
болохоор файлын систем нь multilabel тохируулгыг
шаардахгүй.
Гэхдээ энэ машин нь вэб сервер болох бөгөөд бичих боломжоос хамгаалахын тулд вэб серверийг biba/low-д ажиллуулах ёстой. Biba бодлого болон энэ нь хэрхэн ажилладаг талаар сүүлд хэлэлцэх болно. Тэгэхээр хэрэв өмнөх тайлбар ойлгоход хэцүү байгаа бол зүгээр л цааш үргэлжлүүлэн уншаад буцаж эргэж ирээрэй. Сервер нь ажиллаж байх үеийн төлвийнхээ ихэнх үед biba/low тавигдсан тусдаа хуваалтыг ашиглаж болох юм. Энэ жишээн дээр нэлээн их зүйл байхгүй байгаа, жишээ нь өгөгдөл, тохиргоо болон хэрэглэгчийн тохиргоонууд дээр хязгаарлалтууд байхгүй; гэхдээ энэ нь зөвхөн дээр дурдсаныг батлах хурдхан жишээ юм.
Хэрэв хаягладаггүй бодлогуудын аль нэг
ашиглагдах бол multilabel
тохируулга хэзээ ч шаардагдахгүй. Эдгээрт seeotheruids, portacl болон partition бодлогууд ордог.
Хуваалтад multilabel тохируулгыг
ашиглаж multilabel-ийн ажиллагаан
дээр тулгуурласан аюулгүй байдлын загварыг
байгуулах нь удирдлагын хувьд илүү ажиллагаанд
хүргэж болох юм. Учир нь файлын систем дэх бүх
зүйлс хаяг/шошготой болох юм. Эдгээр зүйлсэд
сангууд, файлууд, болон бүр төхөөрөмжийн цэгүүд
хүртэл орно.
Дараах тушаал нь файлын системүүд дээр олон
хаяг/шошготой байхаар multilabel-ийг тохируулна. Үүнийг зөвхөн
ганц хэрэглэгчийн горимд хийж болно:
# tunefs -l enable /
Энэ нь swap файлын системийн хувьд шаардлагатай биш юм.
Тэмдэглэл: Зарим хэрэглэгчид
multilabelтугийг root хуваалт дээр тохируулахад асуудлуудтай тулгарсан байж болох юм. Хэрэв ийм тохиолдол бол энэ бүлгийн Хэсэг 17.17 хэсгийг дахин үзнэ үү.
| [1] |
Өөр бусад нөхцлүүд бас өөр амжилтгүйтлүүдийг бий болгож болох юм. Жишээ нь хэрэглэгч обьектийг дахин хаяглахыг оролдоход файл нь түүний эзэмшээгүй файл байж болох юм. Энэ обьект нь байхгүй юм уу эсвэл зөвхөн уншигдахаар байж болох юм. Албадмал бодлого нь файлыг процесс дахин хаяглахыг зөвшөөрөхгүй, энэ нь магадгүй файлын өмч, процессийн өмч эсвэл санал болгосон шинэ хаяг/шошгоны утгын өмчөөс болсон байж болох юм. Жишээ нь: доод бүрэн бүтэн байдалд ажиллаж байгаа хэрэглэгч өндөр бүрэн бүтэн байдлын файлын хаяг/шошгыг өөрчлөхөөр оролджээ. Эсвэл магадгүй доод бүрэн бүтэн байдалд ажиллаж байгаа хэрэглэгч доод бүрэн бүтэн байдлын файлын хаяг/шошгыг дээд бүрэн бүтэн байдлын хаяг/шошго уруу өөрчлөхөөр оролджээ. |
Энэ болон бусад баримтуудыг ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/ хаягаас татаж авч болно.
FreeBSD-ийн талаар <questions@FreeBSD.org> хаягтай
холбоо барихаасаа өмнө баримтыг уншина уу.
Энэ бичиг баримттай холбоотой асуулт байвал <doc@FreeBSD.org> хаягаар цахим
захидал явуулна уу.
Энэ бичиг баримтын орчуулгатай холбоотой асуулт
байвал <admin@mnbsd.org>
хаягаар цахим захидал явуулна уу.