Software
-
PC Magazine Romania, Mai 2003
FreeBSD 5.0 - Noua Generaţie
Extensii de securitate
În anul 2000 se înfiinţa proiectul TrustedBSD (www.trustedbsd.org),
care îşi propunea dezvoltarea unor extensii de securitate care
să permită certificarea sistemului FreeBSD pentru "Common Criteria
for
Information
Technology Security
Evaluation"; ulterior proiectul a primit sprijinul laboratoarelor
de cercetare în securitate de la Network Associates şi un grant
de cercetare
DARPA/SPAWAR.
Rezultatele acestui proiect sunt importate gradual în ramura
5.x-current, aşa
încât în versiunea 5.0-RELEASE au apărut primele implementări
MAC şi ACL.
Listele de control al accesului (ACL) permit extinderea setului
de permisii standard UNIX pentru fişiere şi directoare; pentru
compilarea
suportului
în nucleu trebuie să definiţi opţiunea "UFS_ACL" în fişierul
de configurare. Manipularea
şi vizualizarea acestor liste de acces se face cu ajutorul
utilitarelor setfacl(8) şi getfacl(8). Cu ajutorul acestui mecanism se pot
specifica în mod discret
permisii pentru anumiţi utilizatori sau anumite grupuri. Găsiţi
informaţii suplimentare în paginile de manual acl(3) şi acl(9).
Listele de control al accesului se bazează, la rândul lor,
pe suportul pentru atribute extinse (EA). Se poate astfel
asocia fiecărui fişier
sau director
o serie de atribute suplimentare care se pot manipula şi
vizualiza cu ajutorul setextattr(8) şi getextattr(8). API-ul este documentat
în extattr(2)
şi
extattr(3), iar informaţii suplimentare găsiţi în extattr(9).
Implementarea pentru sistemul
de fişiere tradiţional UFS este realizată cu ajutorul unui
nivel
suplimentar pe când în noul sistem de fişiere UFS2 atributele
extinse sunt suportate
în mod nativ.
Nivelul MAC (Mandatory Access Control) extinde setul de controale
discreţionare permiţând administratorului de sistem un
control suplimentar pentru
diverse obiecte din nucleu precum atribute ale proceselor,
noduri virtuale ("vnode"),
puncte de montare în sistemul de fişiere, socket-uri, resurse
IP. Suportul nucleu se activează prin recompilarea sa cu
opţiunea "MAC".
Pe baza
acestui nivel generic s-au implementat diverse module precum
MLS (Multi-Level Security), integritate Biba, LOMAC (Low-Watermark
MAC), partiţionare
procese, controlul
admisiei traficului pe interfeţe, firewall sistem. Controlul
interacţiunii
proceselor cu obiectele sistem se poate face cu ajutorul
modulului de
firewall, al cărui reguli pot fi manipulate cu ajutorul
utilitarului ugidfw(8). Detalii
suplimentare găsiţi în numeroasele pagini de manual, în
principal mac(4) şi mac(9).
 În dezvoltare există şi un modul de auditare a evenimentelor
care încă nu a fost importat în distribuţie. Pentru detalii
suplimentare asupra
politicilor de securitate şi a modului de interacţiune
cu ele puteţi
consulta documentaţia
de pe site-urile TrustedBSD şi FreeBSD.
 Prima
pagină
Noua
generaţie (5.0)
SMP
"Next Generation"
KSE
- Kernel Scheduler Entities
ACPI
- controlul avansat al
sistemului
 DEVfs
- Device filesystem
Extensii
de securitate
IPFW2
- nouL motor de firewall
ALTQ
- Alternate Queueing
Localizarea
pentru România
Planuri
de viitor
|
