Modulname: mac_lomac.ko
Parameter für die Kernelkonfiguration:
options MAC_LOMAC
Bootparameter: mac_lomac_load="YES"
Anders als die Biba Richtlinie erlaubt die mac_lomac(4) Richtlinie den Zugriff auf Objekte niedrigerer Integrität nur, nachdem das Integritätslevel gesenkt wurde. Dadurch wird eine Störung derIntegritätsregeln verhindert.
Die MAC Version der „Low-Watermark“
Richtlinie, die nicht mit der älteren lomac(4)-Implementierung
verwechselt werden darf, arbeitet fast genauso wie Biba. Anders ist,
dass hier „schwebende“ Label verwendet werden, die ein
Herunterstufen von Subjekten durch Hilfsverbünde ermöglichen.
Dieser zweite Verbund wird in der Form [auxgrade]
angegeben und sollte in etwa aussehen wie lomac/10[2]
,
wobei die Ziffer zwei (2) hier den Hilfsverbund abbildet.
Die MAC Richtlinie LOMAC
beruht auf einer durchgängigen Etikettierung aller Systemobjekte mit
Integritätslabeln, die Subjekten das Lesen von Objekten niedriger
Integrität gestatten und dann das Label des Subjektes herunterstufen
- um zukünftige Schreibvorgänge auf Objekte hoher
Integrität zu unterbinden. Dies ist die Funktion der Option
[auxgrade]
, die eben vorgestellt wurde. Durch sie
erhält diese Richtlinie eine bessere Kompatibilität und die
Initialisierung ist weniger aufwändig als bei der Richtlinie
Biba.
Wie schon bei den Richtlinien Biba und MLS
werden die Befehle setfmac
und
setpmac
verwendet, um die Labels an den
Systemobjekten zu setzen:
#
setfmac /usr/home/trhodes lomac/high[low]
#
getfmac /usr/home/trhodes
lomac/high[low]Beachten Sie, dass hier der Hilfswert auf low
gesetzt wurde - dieses Leistungsmerkmal ist nur in der
MAC LOMAC
Richtlinie
enthalten.
Wenn Sie Fragen zu FreeBSD haben, schicken Sie eine E-Mail an
<de-bsd-questions@de.FreeBSD.org>.
Wenn Sie Fragen zu dieser Dokumentation haben, schicken Sie eine E-Mail an
<de-bsd-translators@de.FreeBSD.org>.