Mandatory Access Control howto

[quote:7041d5a7aa="Beanie"]Hali,

A MAC-t szeretném megismerni a FreeBSD 5.3-as rendszeren, amit használok, de a Handbookos howto nem elég érthető számomra, mert máshol még nem találkoztam a MAC-al. Ha a google-ben rákeresek, nem találok semmi érdekeset. Tud esetleg valaki egy jó magyar vagy angol howtot a témáról?

És mégis milyen MAC érdekel? Low-Watermark modell? Bell-LaPadula? Biba integration? Az utolsó kettő ötvözete? A kommersz ACL? Esetleg Chinese wall?

Előbb szerintem egy jó kis elméleti alap kell. Ehhez van az lme.hu alatt 2000-2001-ből? pdf. Magosányi Árpád írta, az még jó _alap_ elmélethez és nem outdated. Sok gyakorlás kell hozzá. Anyag pedig csak angolul érhető el hozzá, ami értékelhető is (amiről én tudok).

[quote:9b1a6d271a="Ago"]
Az egész érdekel úgy kompletten. Azt hiszem azt a pdf dokumentumot én is megtaláltam csak még nem olvastam el. Az ACL az oké, azt vágom. Meg amúgy unixos dolgokban van gyakorlatom, csak ez valahogy túl nagy falatnak bizonyult.

Hát, ha kompletten érdekel, akkor nem fogsz unatkozni az elkövetkezendő két évben :-) Vegyük a következőt például: SELinux. Van benne kis Bell-LaPadula, kis Biba, ha úgy alakítod, TypeEnforcement, amit ők találtak ki (? ebbne nem 100%-ig vagyok biztos, hiába, az alapok hiánya ;-)) de legalalábbis, ha volt előző kód vagy ötlet akkor azt átalakították maguk szája íze szerint. Aztán előbbi kettő jobb megvalósítására van az MLS benne. A MAC nem egy könnyű téma. Kezdetnek egy link, bár, lehet, hogy láttad:
http://opensource.nailabs.com/lomac/

Ők csinálták a BSD-be a LOMAC-et (is). Azért vigyázz, ne távoli gépen kapcsold be a beépített LOMAC-et.

Az oldalon van sok egyéb érdekesség.

[quote:59b78cff37="Beanie"]Köszi szépen, nem ismertem ezt a linket még. Távoli gépen eszembe sem jut ilyesmivel kísérletezni, múltkor véletlen kizártam magam ssh-ról pedig a tűzfallal már van gyakorlatom, csak egy abszolút véletlen volt, aztán rohanhattam be a szerverterembe. :D

Na, csak azért írtam, mert tesztgépen, miután betöltöttem a modult, a hálózati forgalmat low-nak az interfészhez kapcsolódó rendszer dolgokat pedig high integritásúnak vette és rögtön meg is szűnt mindenfajta forgalom, azaz abszolút secure volt :twisted:

Megjegyezném ez még még 5.3 "stabil" időszaka előtt volt.

[quote:59b78cff37="Beanie"]
Ha a FreeBSD kernelbe beteszem, hogy

options MAC

az ugye még önmagában nem számít semmit? Mert későbbi használatra be akarom fordítani a szerverbe, hogy ne kelljen újraindítgatni.

ja, nálam is modulbol volt betoltve. Egyébként SELinux rulez :-) Régebben meg RSBAC. De szép, hogy legalább itt is van kernelbe integrált MAC lehetőség.

[quote:0ee2de1100="Beanie"]Ja, de én pont nem modulba szeretném tenni, mert nem használok modulokat (ez egy másik történet...), de tulajdonképpen megválaszoltad a dolgot. Tehát ha belefordítom a kernelbe, akkor a hálózat nem fog menni anélkül, hogy beállítanám.

értem, akkor félreértettem :-) tesztcélból tettem fel, főleg az új tulajdonságok miatt a FreeBSD 5.3-valamit. Ami azt is jelenti, hogy nem volt fent többet, mint két hét és nem is fordítottam custom kernelt. Arra voltam kíváncsi, hogy miként működik, de nem volt időm foglalkozni vele, utána pedig kellett a partíció munkához. Szóval ezt nem nevezném igazi tesztnek, nem tudom megmondani, hogy most direktben kernelbe fordítva rögtön aktivizálódik-e. De nem hinném, hogy így lenne. Biztos van mód overrideolni és defaultban úgy is van, mert különben lenne nagy anyázás és forgalom levlistán. Persze Fedoraban előfordult ilyen a SELinux-szal.