O FreeBSD suporta extensões de segurança baseadas no projeto POSIX®.1e. Esses mecanismos de segurança incluem as Listas de Controle de Acesso do sistema de arquivos (Seção 13.9, “Listas de Controle de Acesso”) e o Controle de Acesso Obrigatório, (Mandatory Access Control - MAC). O MAC permite que os módulos de controle de acesso sejam carregados para implementar políticas de segurança. Alguns módulos fornecem proteções para um subconjunto restrito do sistema, fortalecendo um serviço específico. Outros fornecem segurança rotulada abrangente em todos os assuntos e objetos. A parte obrigatória da definição indica que a imposição de controles é executada pelos administradores e pelo sistema operacional. Isso está em contraste com o mecanismo de segurança padrão do Controle de Acesso Discricionário (Discretionary Access Control - DAC), onde a imposição é deixada a critério dos usuários.
Este capítulo enfoca o framework MAC e o conjunto de módulos de política de segurança plugáveis que o FreeBSD fornece para habilitar vários mecanismos de segurança.
Depois de ler este capítulo, você saberá:
A terminologia associada ao framework MAC.
Os recursos dos módulos de política de segurança MAC, bem como a diferença entre uma política rotulada e não rotulada.
As considerações a se levar em conta antes de configurar um sistema para usar o framework MAC.
Quais módulos de política de segurança MAC estão incluídos no FreeBSD e como configurá-los.
Como implementar um ambiente mais seguro usando o framework MAC.
Como testar a configuração para garantir que o framework MAC foi implementado corretamente.
Antes de ler este capítulo, você deve:
Entender os fundamentos do UNIX® e do FreeBSD (Capítulo 3, Fundamentos do FreeBSD).
Ter alguma familiaridade com segurança e como ela está presente no FreeBSD (Capítulo 13, Segurança).
A configuração incorreta do MAC pode causar perda de acesso ao sistema, agravamento de usuários, ou incapacidade de acessar os recursos fornecidos pelo Xorg. Mais importante, o MAC não deve ser usado para proteger completamente um sistema. O framework MAC apenas aumenta uma política de segurança existente. Sem práticas de segurança sólidas e verificações regulares de segurança, o sistema nunca estará completamente seguro.
Os exemplos contidos neste capítulo são para fins de demonstração e os exemplos de configurações não devem ser implementadas em um sistema de produção. A implementação de qualquer política de segurança requer um bom entendimento, design adequado e testes completos.
Embora este capítulo abranja uma ampla gama de questões de segurança relacionadas à estrututa MAC, o desenvolvimento de novos módulos de políticas de segurança MAC não serão abrangidos. Vários módulos de política de segurança incluídos com o framework MAC possuem características específicas que são fornecidas tanto para o teste quanto para o desenvolvimento de novos módulos. Consulte mac_test(4), mac_stub(4) e mac_none(4) para obter mais informações sobre esses módulos de política de segurança e os diversos mecanismos que eles fornecem.
All FreeBSD documents are available for download at https://download.freebsd.org/ftp/doc/
Questions that are not answered by the
documentation may be
sent to <freebsd-questions@FreeBSD.org>.
Send questions about this document to <freebsd-doc@FreeBSD.org>.