[BSD] ZFS es MAC
Gabor HALASZ
halasz.g at freemail.hu
2013. Sze. 2., H, 00:42:06 CEST
On 9/1/2013 11:10 PM, gabor at zahemszky.hu wrote:
> 2013-09-01 22:53 időpontban Tamas Papp ezt írta:
>> On 09/01/2013 11:45 AM, Gabor HALASZ wrote:
>>> Helo!
>>>
>>> A subjectet szeretném. Látszik erre valami perspektíva? Főként a tűz
>>> közelében üldögélőket kérdezném, van-e remény a multilabel-re zfs-en
>>> vagy keressünk más megoldást?
>>
>> http://code.google.com/p/maczfs/
>
> Félek, nem ez kéne, hanem a FreeBSD-be épített Mandatory Access Control
> lehetőség ZFS feletti életrekeltése
> (legalábbis nekem a multilabel gyanúsan a tunefs -l enable/disable
> opciójára utal)
Igen
>
> Sajnos én nem tudok semmit a dologról.
Akkor tessek elolvasni a kezikonyvet, es fogsz tudni:
http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/mac-understandlabel.html,
17.4.2. Singlelabel or Multilabel?
By default, the system will use singlelabel. For the administrator,
there are several differences which offer pros and cons to the
flexibility in the system's security model.
A security policy which uses singlelabel only permits one label, such as
biba/high, to be used for each subject or object. This provides lower
administration overhead, but decreases the flexibility of policies which
support labeling.
multilabel permits each subject or object to have its own independent
MAC label. The decision to use multilabel or singlelabel is only
required for the policies which implement the labeling feature,
including the Biba, Lomac, and MLS policies.
...
If any of the non-labeling policies are to be used, multilabel would not
be required. These include the seeotheruids, portacl and partition policies.
...
Ez utobbi harom inkabb csak raolvasas, nem MAC. Ha jol olvastam az
internetet, ZFS-en nincs multilabel, innentol lasd a leirast :(
> Mondjuk nagy testvér ezt dobta
> ki, azaz e szerint ha nem is POSIX-ACL-ek, de legalább NFSv4 ACL-ek
> elérhetőek ZFS-en is:
>
> http://www.thomaskeller.biz/blog/2010/08/30/acls-on-a-jailed-zfs-volume-with-freebsd/
>
Ez is valami, de most MAC-re lenne igazan szuksegem.
További információk a(z) BSD levelezőlistáról