Глава 18. Принудительное управление доступом (MAC)

Практически все аспекты настройки модуля политики меток будут выполняться с помощью базовых системных утилит. Эти команды предоставляют простой интерфейс для настройки объекта или субъекта, а также для изменения и проверки конфигурации.

Вся настройка может быть выполнена с помощью setfmac, который используется для установки меток MAC на объектах системы, и setpmac, который используется для установки меток на субъектах системы. Например, чтобы установить метку MAC biba в значение high для test:

Если конфигурация выполнена успешно, командная строка вернётся без ошибок. Частая ошибка — Permission denied, которая обычно возникает при установке или изменении метки на защищённом объекте. Другие условия могут вызывать иные сбои. Например, файл может не принадлежать пользователю, пытающемуся изменить метку объекта, объект может не существовать или быть доступным только для чтения. Обязательная политика не позволит процессу изменить метку файла, возможно, из-за свойств самого файла, процесса или предлагаемого нового значения метки. Например, если пользователь с низким уровнем целостности попытается изменить метку файла с высоким уровнем целостности или если пользователь с низким уровнем целостности попытается изменить метку файла с низкого уровня на высокий, эти операции завершатся неудачей.

Системный администратор может использовать setpmac для переопределения настроек модуля политики, назначив другую метку вызываемому процессу:

Для уже запущенных процессов, таких как sendmail, обычно используется getpmac вместо этого. Эта команда принимает идентификатор процесса (PID) вместо имени команды. Если пользователи пытаются работать с файлом, к которому у них нет доступа, в соответствии с правилами загруженных модулей политики, будет отображаться ошибка Операция не разрешена (Operation not permitted).

Несколько модулей политики FreeBSD, поддерживающих функцию меток, предлагают три предопределённых метки: low, equal и high, где:

Такие модули политик включают mac_biba(4), mac_mls(4) и mac_lomac(4). Каждый из предопределённых меток устанавливает различные директивы потока информации. Обратитесь к справочной странице модуля, чтобы определить особенности стандартных конфигураций меток.

Модули политик Biba и MLS поддерживают числовую метку, которая может быть установлена для указания точного уровня иерархического контроля. Этот числовой уровень используется для разделения или сортировки информации по различным группам классификации, разрешая доступ только к этой группе или к группе более высокого уровня. Например:

может интерпретироваться как "Метка/уровень целостности (grade) политики Biba 10: компартменты 2, 3 и 6: (уровень 5 …​)"

В этом примере первый уровень целостности будет считаться эффективным с эффективными компартментами, второй уровень — низкий уровень, а последний — высокий. В большинстве конфигураций такие детальные настройки не требуются, так как они считаются расширенными конфигурациями.

Системные объекты имеют только текущий уровень целостности и компартмент. Системные субъекты отражают диапазон доступных прав в системе, а сетевые интерфейсы используются для контроля доступа.

Уровни целостности и компартменты в паре субъект-объект используются для построения отношения, известного как доминирование, при котором субъект доминирует над объектом, объект доминирует над субъектом, ни один не доминирует над другим или оба доминируют друг над другом. Случай «оба доминируют» возникает, когда две метки равны. В силу природы информационных потоков в модели Biba пользователь имеет права на набор компартментов, которые могут соответствовать проектам, но объекты также имеют набор компартментов. Пользователям может потребоваться ограничить свои права с помощью su или setpmac, чтобы получить доступ к объектам в компартментах, от которой они не ограничены.

Пользователи должны иметь метки, чтобы их файлы и процессы корректно взаимодействовали с политикой безопасности, определенной в системе. Это настраивается в /etc/login.conf с использованием классов входа. Каждый модуль политики, использующий метки, будет реализовывать настройку класса пользователя.

Чтобы установить метку класса пользователя по умолчанию, которая будет применяться MAC, добавьте запись label. Ниже приведен пример записи label, содержащей каждый модуль политики. Обратите внимание, что в реальной конфигурации администратор никогда не включает все модули политики. Рекомендуется ознакомиться с остальной частью этой главы перед внедрением любой конфигурации.

Хотя пользователи не могут изменить значение по умолчанию, они могут изменить свою метку после входа в систему, в соответствии с ограничениями политики. В приведённом выше примере политика Biba указывает, что минимальный уровень целостности процесса — 5, максимальный — 15, а эффективная метка по умолчанию — 10. Процесс будет выполняться с меткой 10, пока не решит изменить её, например, если пользователь воспользуется setpmac, что будет ограничено политикой Biba в рамках заданного диапазона.

После любого изменения в файле login.conf необходимо перестроить базу данных возможностей классов входа с помощью команды cap_mkdb.

Многие сайты имеют большое количество пользователей, требующих нескольких различных классов пользователей. Требуется тщательное планирование, так как это может стать сложным в управлении.

Метки могут быть установлены на сетевых интерфейсах для помощи в контроле потока данных в сети. Политики, использующие метки сетевых интерфейсов, работают так же, как политики, применяемые к объектам. Например, пользователи с высокими уровнями в Biba не смогут получить доступ к сетевым интерфейсам с меткой low.

При установке MAC-метки на сетевых интерфейсах, maclabel может быть передан в ifconfig:

Этот пример установит метку MAC biba/equal на интерфейсе bge0. При использовании настройки вида biba/high(low-high) всю метку следует заключить в кавычки, чтобы избежать ошибки.

Каждый модуль политики, поддерживающий метки, имеет настраиваемый параметр, который может использоваться для отключения метки MAC на сетевых интерфейсах. Установка метки в значение equal даст аналогичный эффект. Для получения дополнительной информации об этих настраиваемых параметрах ознакомьтесь с выводом sysctl, справочными страницами политик и информацией в остальной части этой главы.

Название модуля: mac_seeotheruids.ko

Строка конфигурации ядра: options MAC_SEEOTHERUIDS

Опция загрузки: mac_seeotheruids_load="YES"

Модуль mac_seeotheruids(4) расширяет настройки security.bsd.see_other_uids и security.bsd.see_other_gids sysctl. Эта опция не требует предварительной установки меток для настройки и может работать прозрачно с другими модулями.

После загрузки модуля следующие настройки sysctl могут быть использованы для управления его функциями:

Имя модуля: mac_bsdextended.ko

Строка конфигурации ядра: options MAC_BSDEXTENDED

Параметр загрузки: mac_bsdextended_load="YES"

Модуль mac_bsdextended(4) обеспечивает файловый межсетевой экран. Он расширяет стандартную модель прав доступа к файловой системе, позволяя администратору создавать набор правил, подобный межсетевому экрану, для защиты файлов, утилит и каталогов в иерархии файловой системы. При попытке доступа к объекту файловой системы происходит перебор списка правил до тех пор, пока не будет найдено соответствующее правило или не будет достигнут конец списка. Это поведение можно изменить с помощью параметра security.mac.bsdextended.firstmatch_enabled. Подобно другим модулям межсетевого экрана в FreeBSD, файл с правилами контроля доступа может быть создан и прочитан системой во время загрузки с использованием переменной rc.conf(5).

Список правил может быть введён с помощью ugidfw(8), синтаксис которого похож на ipfw(8). Дополнительные инструменты могут быть написаны с использованием функций из библиотеки libugidfw(3).

После загрузки модуля mac_bsdextended(4) для просмотра текущей конфигурации правил можно использовать следующую команду:

По умолчанию никакие правила не определены, и доступ полностью открыт. Чтобы создать правило, которое блокирует доступ для всех пользователей, кроме root:

Хотя это правило просто реализовать, это очень плохая идея, так как оно блокирует всех пользователей от выполнения любых команд. Более реалистичный пример запрещает user1 любой доступ, включая просмотр каталогов, к домашнему каталогу user2:

Вместо user1 можно использовать not uid user2, чтобы применять одинаковые ограничения доступа для всех пользователей. Однако пользователь root не подвержен влиянию этих правил.

Имя модуля: mac_ifoff.ko

Строка конфигурации ядра: options MAC_IFOFF

Параметр загрузки: mac_ifoff_load="YES"

Модуль mac_ifoff(4) используется для отключения сетевых интерфейсов на лету и предотвращения их включения во время загрузки системы. Он не использует метки и не зависит от других модулей MAC.

Большая часть управления этим модулем осуществляется через следующие настраиваемые параметры sysctl:

Одним из наиболее распространённых применений mac_ifoff(4) является мониторинг сети в среде, где сетевой трафик не должен разрешаться во время последовательности загрузки. Другое применение — написание скрипта, который использует приложение, например security/aide, для автоматической блокировки сетевого трафика при обнаружении новых или изменённых файлов в защищённых каталогах.

Имя модуля: mac_portacl.ko

Строка конфигурации ядра: MAC_PORTACL

Параметр загрузки: mac_portacl_load="YES"

Модуль mac_portacl(4) используется для ограничения привязки к локальным TCP- и UDP-портам, позволяя непривилегированным пользователям (не root) привязываться к указанным привилегированным портам ниже 1024.

После загрузки этот модуль включает политику MAC для всех сокетов. Доступны следующие настраиваемые параметры:

По умолчанию порты ниже 1024 могут использоваться только привилегированными процессами, работающими от имени root. Чтобы разрешить непривилегированным процессам привязываться к портам ниже 1024 с помощью mac_portacl(4), задайте следующие настраиваемые параметры следующим образом:

Чтобы предотвратить влияние этой политики на пользователя root, установите security.mac.portacl.suser_exempt в ненулевое значение.

Чтобы пользователь www с UID 80 мог привязываться к порту 80 без необходимости в привилегиях root:

Следующий пример разрешает пользователю с UID 1001 привязываться к TCP-портам 110 (POP3) и 995 (POP3s):

Имя модуля: mac_partition.ko

Строка конфигурации ядра: options MAC_PARTITION

Опция загрузки: mac_partition_load="YES"

Политика mac_partition(4) помещает процессы в определенные "разделы" на основе их метки MAC. Большая часть настройки этой политики выполняется с помощью setpmac(8). Для этой политики доступна одна настраиваемая переменная sysctl:

Когда эта политика включена, пользователи смогут видеть только свои процессы и процессы в своем разделе, но не смогут работать с утилитами за пределами этого раздела. Например, пользователь из класса insecure не сможет получить доступ к top, а также ко многим другим командам, которые должны запускать процессы.

В этом примере top добавляется к набору меток пользователей в классе insecure. Все процессы, запущенные пользователями из класса insecure, останутся с меткой partition/13.

Эта команда отображает метку раздела и список процессов:

Эта команда отображает метку раздела процессов другого пользователя и его текущие запущенные процессы:

Имя модуля: mac_mls.ko

Строка конфигурации ядра: options MAC_MLS

Параметр загрузки: mac_mls_load="YES"

Политика mac_mls(4) контролирует доступ между субъектами и объектами в системе, применяя строгую политику управления потоком информации.

В средах MLS в метке каждого субъекта или объекта устанавливается уровень "допуска" вместе с компартментами. Поскольку эти уровни допуска могут достигать значений, превышающих несколько тысяч, тщательная настройка каждого субъекта или объекта была бы сложной задачей. Для снижения административной нагрузки в эту политику включены три метки: mls/low, mls/equal и mls/high, где:

MLS предоставляет:

Доступны следующие настраиваемые параметры sysctl:

Для работы с метками MLS используйте setfmac(8). Чтобы назначить метку объекту:

Чтобы получить метку MLS для файла test:

Другой подход заключается в создании основного файла политики в /etc/, который определяет информацию о политике MLS, и передаче этого файла в setfmac.

При использовании модуля политики MLS администратор планирует контролировать поток конфиденциальной информации. Значение по умолчанию block read up block write down устанавливает всё в состояние low. Вся информация доступна, и администратор постепенно повышает её конфиденциальность.

Помимо трех основных вариантов меток, администратор может группировать пользователей и группы по мере необходимости, чтобы блокировать поток информации между ними. Возможно, будет проще рассматривать информацию на уровнях допуска, используя описательные слова, такие как классификации Confidential (Конфиденциально), Secret (Секретно) и Top Secret (Совершенно секретно). Некоторые администраторы вместо этого создают разные группы на основе уровней проектов. Независимо от метода классификации, перед внедрением ограничительной политики должен существовать продуманный план.

Некоторые примеры ситуаций для модуля политики MLS включают веб-сервер электронной коммерции, файловый сервер с критически важной информацией компании и среды финансовых учреждений.

Имя модуля: mac_biba.ko

Строка конфигурации ядра: options MAC_BIBA

Опция загрузки: mac_biba_load="YES"

Модуль mac_biba(4) загружает политику MAC Biba. Эта политика похожа на политику MLS, за исключением того, что правила передачи информации слегка изменены в обратном порядке. Это предотвращает поток конфиденциальной информации вниз, тогда как политика MLS предотвращает поток конфиденциальной информации вверх.

В средах Biba для каждого субъекта или объекта устанавливается метка «целостности». Эти метки состоят из иерархических уровней целостности и неиерархических компонентов. По мере повышения уровня увеличивается и его целостность.

Поддерживаемые метки: biba/low, biba/equal и biba/high, где:

Biba обеспечивает:

Следующие настраиваемые параметры могут быть использованы для управления политикой Biba:

Для доступа к настройкам политики Biba для системных объектов используйте setfmac и getfmac:

Целостность, которая отличается от конфиденциальности, используется для гарантии того, что информация не будет изменена ненадёжными сторонами. Это включает информацию, передаваемую между субъектами и объектами. Она обеспечивает пользователям возможность изменять или получать доступ только к той информации, к которой у них есть явный доступ. Модуль политики безопасности mac_biba(4) позволяет администратору настроить, какие файлы и программы пользователь может просматривать и запускать, гарантируя, что эти программы и файлы считаются системой доверенными для данного пользователя.

В ходе начального этапа планирования администратор должен быть готов разделить пользователей по уровням целостности (grade), уровням объектов (level) и областям. После включения этого модуля политики система по умолчанию перейдет на высокий уровень метки, и администратору потребуется настроить различные уровни целостности и уровни объектов для пользователей. Вместо использования уровней доступа хорошим методом планирования может стать использование тематик. Например, разрешить разработчикам доступ на изменение только к репозиторию исходного кода, компилятору исходного кода и другим инструментам разработки. Остальные пользователи будут распределены по другим категориям, таким как тестировщики, дизайнеры или конечные пользователи, и им будет разрешен только доступ на чтение.

Субъект с более низким уровнем целостности не может записывать данные в субъект с более высоким уровнем целостности, а субъект с более высоким уровнем целостности не может просматривать или читать объект с более низким уровнем целостности. Установка метки на минимально возможном уровне может сделать объект недоступным для субъектов. Перспективными средами для использования этого модуля политики безопасности могут быть ограниченный веб-сервер, машина для разработки и тестирования, а также репозиторий исходного кода. Менее полезной реализацией будет персональная рабочая станция, машина, используемая в качестве маршрутизатора, или сетевой межсетевой экран.

Имя модуля: mac_lomac.ko

Строка конфигурации ядра: options MAC_LOMAC

Параметр загрузки: mac_lomac_load="YES"

В отличие от политики MAC Biba, политика mac_lomac(4) разрешает доступ к объектам с более низким уровнем целостности только после понижения уровня целостности, чтобы не нарушать правила целостности.

Политика целостности Low-watermark работает почти идентично Biba, за исключением использования плавающих меток для поддержки понижения уровня субъекта через компартмент с вспомогательным уровнем целостности. Этот вторичный компартмент имеет вид [auxgrade]. При назначении политики с вспомогательным уровнем целостности используйте синтаксис lomac/10[2], где 2 — это вспомогательный уровень целостности.

Данная политика основывается на повсеместной маркировке всех системных объектов метками целостности, позволяя субъектам читать из объектов с низкой целостностью, а затем понижая уровень метки на субъекте с помощью [auxgrade], чтобы предотвратить последующие записи в объекты с высокой целостностью. Эта политика может обеспечить большую совместимость и потребовать меньше начальной настройки по сравнению с Biba.

Как и в политиках Biba и MLS, setfmac и setpmac используются для назначения меток объектам системы:

Вспомогательный уровень целостности low — это функция, предоставляемая только политикой MACLOMAC.

Начните процедуру, добавив следующий класс пользователя в /etc/login.conf:

Затем добавьте следующую строку в раздел класса пользователя по умолчанию:

Сохраните изменения и выполните следующую команду для перестроения базы данных:

Установите пользователя root в класс по умолчанию с помощью:

Все пользовательские учетные записи, кроме root, теперь требуют указания класса входа. Класс входа обязателен, в противном случае пользователям будет отказано в доступе к распространённым командам. Следующий скрипт на sh должен помочь:

Затем добавьте учетные записи nagios и www в класс insecure:

Файл контекстов теперь должен быть создан как /etc/policy.contexts:

Эта политика обеспечивает безопасность, устанавливая ограничения на поток информации. В данной конкретной конфигурации пользователям, включая root, никогда не должно быть разрешено обращаться к Nagios. Конфигурационные файлы и процессы, являющиеся частью Nagios, будут полностью самодостаточными или изолированными.

Этот файл будет прочитан после выполнения setfsmac для каждой файловой системы. В этом примере устанавливается политика для корневой файловой системы:

Далее добавьте эти изменения в основной раздел файла /etc/mac.conf:

Для завершения настройки добавьте следующие строки в /boot/loader.conf:

Добавьте следующую строку в конфигурацию сетевой карты, хранящуюся в /etc/rc.conf. Если основная настройка сети выполняется через DHCP, это может потребовать ручной настройки после каждой загрузки системы:

Сначала убедитесь, что веб-сервер и Nagios не будут запускаться при инициализации системы и перезагрузке. Убедитесь, что root не имеет доступа к любым файлам в конфигурационном каталоге Nagios. Если root может просматривать содержимое /var/spool/nagios, значит что-то не так. Вместо этого должна возвращаться ошибка "permission denied".

Если все выглядит нормально, можно запустить Nagios, Apache и Sendmail:

Тщательно проверьте, чтобы всё работало правильно. Если нет, проверьте файлы журналов на наличие сообщений об ошибках. При необходимости используйте sysctl(8) для отключения модуля политики безопасности mac_biba(4) и попробуйте запустить всё снова как обычно.