Software
-
PC Magazine Romania, Mai 2003
FreeBSD 5.0 - Noua Generație
Extensii de securitate
În anul 2000 se înființa proiectul TrustedBSD (www.trustedbsd.org),
care își propunea dezvoltarea unor extensii de securitate care
să permită certificarea sistemului FreeBSD pentru "Common Criteria
for
Information
Technology Security
Evaluation"; ulterior proiectul a primit sprijinul laboratoarelor
de cercetare în securitate de la Network Associates și un grant
de cercetare
DARPA/SPAWAR.
Rezultatele acestui proiect sunt importate gradual în ramura
5.x-current, așa
încât în versiunea 5.0-RELEASE au apărut primele implementări
MAC și ACL.
Listele de control al accesului (ACL) permit extinderea setului
de permisii standard UNIX pentru fișiere și directoare; pentru
compilarea
suportului
în nucleu trebuie să definiți opțiunea "UFS_ACL" în fișierul
de configurare. Manipularea
și vizualizarea acestor liste de acces se face cu ajutorul
utilitarelor setfacl(8) și getfacl(8). Cu ajutorul acestui mecanism se pot
specifica în mod discret
permisii pentru anumiți utilizatori sau anumite grupuri. Găsiți
informații suplimentare în paginile de manual acl(3) și acl(9).
Listele de control al accesului se bazează, la rândul lor,
pe suportul pentru atribute extinse (EA). Se poate astfel
asocia fiecărui fișier
sau director
o serie de atribute suplimentare care se pot manipula și
vizualiza cu ajutorul setextattr(8) și getextattr(8). API-ul este documentat
în extattr(2)
și
extattr(3), iar informații suplimentare găsiți în extattr(9).
Implementarea pentru sistemul
de fișiere tradițional UFS este realizată cu ajutorul unui
nivel
suplimentar pe când în noul sistem de fișiere UFS2 atributele
extinse sunt suportate
în mod nativ.
Nivelul MAC (Mandatory Access Control) extinde setul de controale
discreționare permițând administratorului de sistem un
control suplimentar pentru
diverse obiecte din nucleu precum atribute ale proceselor,
noduri virtuale ("vnode"),
puncte de montare în sistemul de fișiere, socket-uri, resurse
IP. Suportul nucleu se activează prin recompilarea sa cu
opțiunea "MAC".
Pe baza
acestui nivel generic s-au implementat diverse module precum
MLS (Multi-Level Security), integritate Biba, LOMAC (Low-Watermark
MAC), partiționare
procese, controlul
admisiei traficului pe interfețe, firewall sistem. Controlul
interacțiunii
proceselor cu obiectele sistem se poate face cu ajutorul
modulului de
firewall, al cărui reguli pot fi manipulate cu ajutorul
utilitarului ugidfw(8). Detalii
suplimentare găsiți în numeroasele pagini de manual, în
principal mac(4) și mac(9).
 În dezvoltare există și un modul de auditare a evenimentelor
care încă nu a fost importat în distribuție. Pentru detalii
suplimentare asupra
politicilor de securitate și a modului de interacțiune
cu ele puteți
consulta documentația
de pe site-urile TrustedBSD și FreeBSD.
 Prima
pagină
Noua
generație (5.0)
SMP
"Next Generation"
KSE
- Kernel Scheduler Entities
ACPI
- controlul avansat al
sistemului
 DEVfs
- Device filesystem
Extensii
de securitate
IPFW2
- nouL motor de firewall
ALTQ
- Alternate Queueing
Localizarea
pentru România
Planuri
de viitor
|
