Имя модуля: mac_bsdextended.ko
Строка конфигурации ядра:
options MAC_BSDEXTENDED
Параметр загрузки:
mac_bsdextended_load="YES"
Модуль mac_bsdextended(4) включает брандмауэр файловой системы. Политика этого модуля является расширением стандартной модели разрешений файловой системы, позволяя администратору создавать набор правил для защиты файлов, утилит и каталогов иерархии файловой системы в стиле брандмауэра.
Политика может быть создана с помощью утилиты, ugidfw(8), синтаксис которой похож на синтаксис ipfw(8). Другие инструменты могут быть написаны с использованием функций библиотеки libugidfw(3).
При работе с этим модулем необходимо соблюдать особую осторожность; некорректное его использование может заблокировать доступ к отдельным частям файловой системы.
После загрузки модуля mac_bsdextended(4) для просмотра текущей настройки правил может быть использована следующая команда:
#ugidfw list0 slots, 0 rules
Как и можно было ожидать, правила не определены. Это
означает, что доступ полностью открыт. Для создания правила,
которое заблокирует доступ всех пользователей, но не повлияет
на root, просто запустите следующую
команду:
#ugidfw add subject not uid root new object not uid root mode n
В релизах FreeBSD до 5.3, параметр add
не существует. Вместо него необходимо использовать
set. Пример дан ниже.
Это очень плохая идея, поскольку такое правило запретит
пользователям использовать даже самые простые команды, такие
как ls. Более патриотический список правил
может быть таким:
#ugidfw set 2 subject uiduser1object uiduser2mode n#ugidfw set 3 subject uiduser1object giduser2mode n
Эти команды запретят весь и любой доступ пользователя
user1, включая просмотр подкаталогов, к
домашнему каталогу пользователя
.user2
Вместо user1 может быть задано
not uid .
Это включит те ограничения,
о которых говорилось выше, для всех пользователей кроме
одного.user2
На пользователя root эти изменения не
повлияют.
Материал выше должен дать общую идею как модуль mac_bsdextended(4) может быть использован в качестве средства защиты файловой системы. За дальнейшей информацией обращайтесь к страницам справочника mac_bsdextended(4) и ugidfw(8).
Этот, и другие документы, могут быть скачаны с https://download.freebsd.org/ftp/doc/.
По вопросам, связанным с FreeBSD, прочитайте
документацию прежде чем писать в
<questions@FreeBSD.org>.
По вопросам, связанным с этой документацией, пишите в рассылку
<doc@FreeBSD.org>.