Уровень безопасности - Securelevel

уровень безопасности это механизм безопасности в *BSD ядра, который может при желании ограничить определенные возможности. Уровень безопасности контролируется sysctl переменная kern.securelevel. Это целое число, для которого установлено значение> 0, включающее определенный класс ограничений. Любой суперпользователь процесс может повысить уровень безопасности, но только в этом процесс (и даже не на FreeBSD ) может понизить его.

При использовании с Тюрьмы FreeBSD, каждая тюрьма поддерживает свой собственный уровень безопасности в дополнение к глобальному уровню безопасности. При оценке будет использоваться более высокий из двух уровней безопасности. Это позволяет среде хоста работать на более низком уровне безопасности, чем тюрьмы, так что она может манипулировать флагами файлов, которые тюрьмы могут быть не в состоянии.

При компиляции с опциями REGRESSION в ядро ​​FreeBSD добавляется новый sysctl, который позволяет снизить уровень безопасности для целей автоматического регрессионного тестирования.

Securelevel не следует путать с уровень выполнения.

Определения

В OpenBSD уровни безопасности определены следующим образом:^[1]

• -1 (Постоянно небезопасный режим) Функционально идентичен уровню безопасности 0, за исключением того, что ядро ​​никогда не будет пытаться повысить уровень, как это было бы на уровне 0. Это эффективно отключает защиту уровня безопасности.
• 0 (Небезопасный режим) все устройства могут быть прочитаны или записаны (если у них есть соответствующие разрешения), а флаги системных файлов могут быть сброшены с помощью chflags. Этот режим обычно используется во время загрузки системы, и после завершения загрузки и перехода системы в многопользовательский режим ее уровень повышается до 1.
• 1 (Безопасный режим) это режим по умолчанию, когда система загружается в многопользовательский режим. В этом режиме нельзя понизить уровень безопасности, на необработанные устройства памяти нельзя записать, на необработанные устройства смонтированных файловых систем нельзя записать, важные переменные ядра (такие как fs.posix.setuid, hw.allowpowerdown, net .inet.ip.sourceroute, machdep.kbdreset, ddb.console, ddb.panic и machdep.allowaperture) заблокированы и только GPIO штыри, которые присутствовали во время загрузки, могут быть доступны.
• 2 (Режим повышенной безопасности) имеет те же эффекты, что и уровень безопасности 1, и, кроме того, необработанные дисковые устройства не могут быть записаны, даже если они отключены, некоторые функции, связанные со временем, заблокированы, поэтому время не может быть установлено в прошлом (чтобы гарантировать, что время действий, записанных в журналы полезны) и ПФ правила не могут быть изменены. Этот режим предназначен для обеспечения некоторого подобия защиты в случае, если пользователь root аккаунт взломан.

Рекомендации

внешняя ссылка

• Уровень безопасности в Руководстве по FreeBSD

Этот Unix -связанная статья является заглушка. Вы можете помочь Википедии расширяя это.