user:

:label=partition/3

В данном примере пользователям с данным login-классом устанавливается метка модуля mac_partition, позволяющего выделить до 65535 групп процессов, определяемых номером, изолированных друг от друга в адресном пространстве (видны только процессы текущей группы). Использовать метки в принципе не так уж и сложно, проблемы могут возникнуть только со сложными метками (например, mac_biba), но информацию по формату меток легко получить из соответствующей страницы man. Учтите, что для установки меток mac-файлам используется команда setfmac label file [file2] ..., имеющая полезную опцию -R (рекурсивность обработки каталогов). Помимо этого для установки меток для процессов используется команда setpmac label command, запускающая процесс comand с меткой label. Для управления сетевыми интерфейсами используется опция ifconfig maclabel label. Для тех, кто решил воспользоваться преимуществами технологии MAC, я настоятельно рекомендую почитать страницу руководства maclabel(7), где достаточно понятно объясняется формат MAC-метки. Также полезной для рассмотрения является страница mac(4), где приводится список MAC-модулей и соответствующих man-pages. На этом я, пожалуй, завершу свое краткое описание технологии MAC (на самом деле технология MAC находится в стадии развития, поэтому детально все описывать не имеет смысла, т.к. в скором времени, возможно, изменится многое). Одно я могу сказать точно: у технологии MAC, несмотря на некоторую сложность, есть будущее, особенно если учесть тот факт, что существуют коммерческие решения, обеспечивающие те же принципы. А MAC бесплатна в рамках FreeBSD, что тоже немаловажно. Но самое главное – это новый подход к модели безопасности системы, позволяющий отделить критические объекты от остальных, повысив защищенность первых от последних (см.  описания модулей mac_mls и mac_biba). Особенно мне интересной показалась идея файлового брандмауэра, хотя у меня она и не заработала. Остается только надеяться, что в будущих версиях MAC выберется из состояния «экспериментальная», будет более тесно интегрирована с системой и появятся новые удобные инструменты (впрочем, никому не возбраняется участвовать в их создании). Но пока я бы не рекомендовал использовать ее на productive-серверах, т.к. код еще сырой.

Вывод всей статьи: FreeBSD 5 – это система, вобравшая в себя множество преимуществ и практически не имеющая (на мой взгляд) недостатков.

Полезные ссылки на различные документы:

n  www.trustedbsd.org – проект безопасной BSD;

n  /usr/share/doc/en_US.ISO8859-1/books/handbook/ – FreeBSD handbook;

n  man 4 mac – введение в технологию MAC;