17.14 MAC LOMAC 模块

  模块名: mac_lomac.ko

  对应的内核配置: options MAC_LOMAC

  引导选项: mac_lomac_load="YES"

  和 MAC Biba 策略不同, mac_lomac(4) 策略只允许在降低了完整性级别之后, 才允许在不破坏完整性规则的前提下访问较低完整性级别的客体。

  MAC 版本的 Low-watermark 完整性策略不应与较早的 lomac(4) 实现相混淆, 除了使用浮动的标签来支持主体通过辅助级别区间降级之外, 其工作方式与 Biba 大体相似。 这一次要的区间以 [auxgrade] 的形式出现。 当指定包含辅助级别的 lomac 策略时, 其形式应类似于: lomac/10[2] 这里数字二 (2) 就是辅助级别。

  MAC LOMAC 策略依赖于系统客体上存在普适的标签, 这样就允许主体从较低完整性级别的客体读取, 并对主体的标签降级, 以防止其在之后写高完整性级别的客体。 这就是前面讨论的 [auxgrade] 选项, 因此这个策略能够提供更大的兼容性, 而所需要的初始配置也要比 Biba 少。

17.14.1 例子

  与 Biba 和 MLS 策略类似; setfmacsetpmac 工具可以用来在系统客体上放置标签:

# setfmac /usr/home/trhodes lomac/high[low]
# getfmac /usr/home/trhodes lomac/high[low]

  注意, 这里的辅助级别是 low, 这一特性只由 MAC LOMAC 策略提供。

本文档和其它文档可从这里下载:ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/.

如果对于FreeBSD有问题,请先阅读文档,如不能解决再联系<questions@FreeBSD.org>.
关于本文档的问题请发信联系 <doc@FreeBSD.org>.