日本語 man コマンド類 (ja-man-1.1j_5) と日本語 man ドキュメント (ja-man-doc-5.4 (5.4-RELEASE 用) など) をインストールすると、以下のような man コマンド閲覧、キーワード検索が コンソールからできるようになります。
4.11-RELEASE-K, 5.4-RELEASE-K, 5.5-RELEASE-K, 6.0-RELEASE-K から 6.4-RELEASE-K, 7.0-RELEASE-K から 7.4-RELEASE-K, 8.0-RELEASE-K から 8.4-RELEASE-K, 9.0-RELEASE-K から 9.3-RELEASE-K, 10.0-RELEASE-K から 10.3-RELEASE-K, 11.0-RELEASE-K から 11.4-RELEASE-K, 12.0-RELEASE-K, 12.1-RELEASE-K は、 プライベート版 (小金丸が編集してまとめたもの) ですが、 より多くの翻訳したファイルが含まれています。 (5.4-RELEASE-K から 6.4-RELEASE-K, 7.0-RELEASE-K から 7.4-RELEASE-K, 8.0-RELEASE-K から 8.4-RELEASE-K, 9.0-RELEASE-K から 9.3-RELEASE-K, 10.0-RELEASE-K から 10.3-RELEASE-K, 11.0-RELEASE-K から 11.4-RELEASE-K, 12.0-RELEASE-K から 12.4-RELEASE-K, 13.0-RELEASE-K から 13.3-RELEASE-K, 14.0-RELEASE-K から 14.1-RELEASE-K は、全翻訳済み)
13.3-STABLE-K, 15.0-CURRENT-K は現在、作成中で日々更新されています。
Table of Contents
MAC_PORTACL(4) FreeBSD カーネルインタフェースマニュアル MAC_PORTACL(4)
名称
mac_portacl -- ネットワークポートアクセス制御ポリシ
書式
利用者のカーネルにネットワークポートアクセス制御ポリシをコンパイルするに
は、次の行をカーネル設定ファイルに入れます:
options MAC
options MAC_PORTACL
代わりに、次の行を利用者のカーネル設定ファイルに入れて、ブート時にポート
アクセス制御モジュールをロードします:
options MAC
と loader.conf(5) 中に:
mac_portacl_load="YES"
解説
管理者は mac_portacl ポリシによって、管理上のバインディングを sysctl(8)
インタフェースを通してローカル UDP と TCP ポートに制限できます。
mac_portacl ポリシを有効にするために、MAC ポリシはソケット (mac(4) 参照)
で強制されなければなりません。そして、mac_portacl によって保護された複数
のポートは net.inet.ip.portrange.reservedlow と
net.inet.ip.portrange.reservedhigh sysctl(8) MIB によって指定された範囲に
含まれていてはなりません。
mac_portacl ポリシはユーザプロセス (TCP ソケットを listen (接続を受け付
け)/発信のため、または UDP ソケットを送信/受信のためのいずれか) によって
明白にバインドされたポートに影響するだけですこのポリシはプロセスが明白に
ポートを選択していない発信の接続のためにポートの暗黙のバインドを制限しま
せん: これらは IP スタックによって自動的に選択されます。
mac_portacl が有効にされるとき、security.mac.portacl.port_high sysctl(8)
変数で設定されたポート番号までポートへのバインドをおこなうアクセスを制御
します。デフォルトで、mac_portacl 制御されたポートにバインドするすべての
試みはポートアクセスコントロールリストによって明白に許されていないなら、
失敗しますが、sysctl(8) 変数 security.mac.portacl.suser_exempt が 0 以外
の値に設定されているなら、スーパユーザによるバインドは許されます。
実行時設定
次の sysctl(8) MIB はこの MAC ポリシの実施を微調整するために利用可能で
す。security.mac.portacl.rules を除いて、すべての sysctl(8) 変数は
loader.conf(5) 中の loader(8) (ローダ) 調整変数でも設定できます。
security.mac.portacl.enabled
mac_portacl ポリシを強制します。(デフォルト: 1)。
security.mac.portacl.port_high
最も高いポート番号 mac_portacl が規則を強制します。(デフォルト:
1023)。
security.mac.portacl.rules
ポートアクセスコントロールリストは次の形式で指定されます:
idtype:id:protocol:port[,idtype:id:protocol:port,...]
idtype 実行されるために一致するサブジェクトのタイプを記述しま
す。ユーザ ID マッチングのための uid かグループ ID マッ
チングのための gid のいずれかです。
id (idtype による) ユーザかグループ ID は指定されたポート
にバインドすることができます。注: ユーザとグループ名は
有効ではありません。実際の ID 番号だけを使用することが
できます。
protocol このエントリに適用するプロトコルを記述します。tcp か
udp のいずれかがサポートされます。
port このエントリに適用するポートを記述します。注: MAC セ
キュリティポリシは net.inet.ip.portrange.reservedlow /
net.inet.ip.portrange.reservedhigh などのように、それら
が拒絶するかもしれないアクセスを許すことによって、他の
セキュリティシステムポリシを上書きしません。指定された
ポートが指定された範囲内に収まるなら、mac_portacl エン
トリは機能しません (すなわち、指定されたユーザ/グループ
でさえ指定されたポートにバインドすることができません)。
security.mac.portacl.suser_exempt
ポートアクセスコントロールリストが明白にこれを許可しなくても、
スーパユーザ (すなわち、root) をすべての mac_portacl の保護された
ポートにバインド可能とします。(デフォルト: 1)。
security.mac.portacl.autoport_exempt
アプリケーションをポート 0 への自動バインドの使用を可能とします。
アプリケーションは、IP アドレスをソケットにバインドするとき、自動
ポート割り付けの要求としてポート 0 を使用します。この調整変数は
ポート 0 の割り付けの規則のチェックを免除します。(デフォルト:
1)。
関連項目
mac(3), ip(4), mac_biba(4), mac_bsdextended(4), mac_ifoff(4), mac_mls(4),
mac_none(4), mac_partition(4), mac_seeotheruids(4), mac_test(4), mac(9)
歴史
MAC は、FreeBSD 5.0 ではじめて登場し、mac_portacl は、FreeBSD 5.1 ではじ
めて登場しました。
作者
このソフトウェアは、DARPA CHATS 研究プログラムの一環として、DARPA/SPAWAR
契約 N66001-01-C-8035 (``CBOSS'') の下で NAI Labs, the Security Research
Division of Network Associates Inc. によって FreeBSD プロジェクトに寄贈さ
れました。
FreeBSD 13.2 December 9, 2004 FreeBSD 13.2