share/man/man4/mac_portacl.4

   1 .\" Copyright (c) 2003 Networks Associates Technology, Inc.
   2 .\" All rights reserved.
   3 .\"
   4 .\" This software was developed for the FreeBSD Project by Chris Costello
   5 .\" at Safeport Network Services and Network Associates Labs, the
   6 .\" Security Research Division of Network Associates, Inc. under
   7 .\" DARPA/SPAWAR contract N66001-01-C-8035 ("CBOSS"), as part of the
   8 .\" DARPA CHATS research program.
   9 .\"
  10 .\" Redistribution and use in source and binary forms, with or without
  11 .\" modification, are permitted provided that the following conditions
  12 .\" are met:
  13 .\" 1. Redistributions of source code must retain the above copyright
  14 .\"    notice, this list of conditions and the following disclaimer.
  15 .\" 2. Redistributions in binary form must reproduce the above copyright
  16 .\"    notice, this list of conditions and the following disclaimer in the
  17 .\"    documentation and/or other materials provided with the distribution.
  18 .\"
  19 .\" THIS SOFTWARE IS PROVIDED BY THE AUTHORS AND CONTRIBUTORS ``AS IS'' AND
  20 .\" ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
  21 .\" IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
  22 .\" ARE DISCLAIMED.  IN NO EVENT SHALL THE AUTHORS OR CONTRIBUTORS BE LIABLE
  23 .\" FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL
  24 .\" DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
  25 .\" OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
  26 .\" HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT
  27 .\" LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY
  28 .\" OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
  29 .\" SUCH DAMAGE.
  30 .\"
  31 .\" $FreeBSD$
  32 .\"
  33 .Dd December 9, 2004
  34 .Dt MAC_PORTACL 4
  35 .Os
  36 .Sh NAME
  37 .Nm mac_portacl
  38 .Nd "network port access control policy"
  39 .Sh SYNOPSIS
  40 To compile the port access control policy into your kernel,
  41 place the following lines in your kernel
  42 configuration file:
  43 .Bd -ragged -offset indent
  44 .Cd "options MAC"
  45 .Cd "options MAC_PORTACL"
  46 .Ed
  47 .Pp
  48 Alternately, to load the port access control policy module at boot time,
  49 place the following line in your kernel configuration file:
  50 .Bd -ragged -offset indent
  51 .Cd "options MAC"
  52 .Ed
  53 .Pp
  54 and in
  55 .Xr loader.conf 5 :
  56 .Pp
  57 .Dl "mac_portacl_load=""YES"""
  58 .Sh DESCRIPTION
  59 The
  60 .Nm
  61 policy allows administrators to administratively limit binding to
  62 local
  63 .Tn UDP
  64 and
  65 .Tn TCP
  66 ports via the
  67 .Xr sysctl 8
  68 interface.
  69 .Pp
  70 In order to enable the
  71 .Nm
  72 policy, MAC policy must be enforced on sockets
  73 (see
  74 .Xr mac 4 ) ,
  75 and the port(s) protected by
  76 .Nm
  77 must not be included in the range specified by
  78 the
  79 .Va net.inet.ip.portrange.reservedlow
  80 and
  81 .Va net.inet.ip.portrange.reservedhigh
  82 .Xr sysctl 8
  83 MIBs.
  84 .Pp
  85 The
  86 .Nm
  87 policy only affects ports explicitly bound by a user process (either
  88 for a listen/outgoing
  89 .Tn TCP
  90 socket, or a send/receive
  91 .Tn UDP
  92 socket).
  93 This policy will not limit ports bound implicitly for outgoing
  94 connections where the process has not explicitly selected a port:
  95 these are automatically selected by the IP stack.
  96 .Pp
  97 When
  98 .Nm
  99 is enabled, it will control binding access to ports up to the port
 100 number set in the
 101 .Va security.mac.portacl.port_high
 102 .Xr sysctl 8
 103 variable.
 104 By default, all attempts to bind to
 105 .Nm
 106 controlled ports will fail if not explicitly allowed by the port
 107 access control list, though binding by the superuser will be allowed,
 108 if the
 109 .Xr sysctl 8
 110 variable
 111 .Va security.mac.portacl.suser_exempt
 112 is set to a non-zero value.
 113 .Ss Runtime Configuration
 114 The following
 115 .Xr sysctl 8
 116 MIBs are available for fine-tuning the enforcement of this MAC policy.
 117 All
 118 .Xr sysctl 8
 119 variables, except
 120 .Va security.mac.portacl.rules ,
 121 can also be set as
 122 .Xr loader 8
 123 tunables in
 124 .Xr loader.conf 5 .
 125 .Bl -tag -width indent
 126 .It Va security.mac.portacl.enabled
 127 Enforce the
 128 .Nm
 129 policy.
 130 (Default: 1).
 131 .It Va security.mac.portacl.port_high
 132 The highest port number
 133 .Nm
 134 will enforce rules for.
 135 (Default: 1023).
 136 .It Va security.mac.portacl.rules
 137 The port access control list is specified in the following format:
 138 .Pp
 139 .Sm off
 140 .D1 Ar idtype : id : protocol : port Op , Ar idtype : id : protocol : port , ...
 141 .Sm on
 142 .Bl -tag -width ".Ar protocol"
 143 .It Ar idtype
 144 Describes the type of subject match to be performed.
 145 Either
 146 .Li uid
 147 for user ID matching, or
 148 .Li gid
 149 for group ID matching.
 150 .It Ar id
 151 The user or group ID (depending on
 152 .Ar idtype )
 153 allowed to bind to the specified port.
 154 .Bf -emphasis
 155 NOTE: User and group names are not valid; only the actual ID numbers
 156 may be used.
 157 .Ef
 158 .It Ar protocol
 159 Describes which protocol this entry applies to.
 160 Either
 161 .Li tcp
 162 or
 163 .Li udp
 164 are supported.
 165 .It Ar port
 166 Describes which port this entry applies to.
 167 .Bf -emphasis
 168 NOTE: MAC security policies may not override other security system policies
 169 by allowing accesses that they may deny, such as
 170 .Va net.inet.ip.portrange.reservedlow /
 171 .Va net.inet.ip.portrange.reservedhigh .
 172 .Ef
 173 If the specified port falls within the range specified, the
 174 .Nm
 175 entry will not function
 176 (i.e., even the specified user/group may not be able to bind to the specified
 177 port).
 178 .El
 179 .It Va security.mac.portacl.suser_exempt
 180 Allow superuser (i.e., root) to bind to all
 181 .Nm
 182 protected ports, even if the port access control list does not
 183 explicitly allow this.
 184 (Default: 1).
 185 .It Va security.mac.portacl.autoport_exempt
 186 Allow applications to use automatic binding to port 0.
 187 Applications use port 0 as a request for automatic port allocation when
 188 binding an IP address to a socket.
 189 This tunable will exempt port 0 allocation from rule checking.
 190 (Default: 1).
 191 .El
 192 .Sh SEE ALSO
 193 .Xr mac 3 ,
 194 .Xr ip 4 ,
 195 .Xr mac_biba 4 ,
 196 .Xr mac_bsdextended 4 ,
 197 .Xr mac_ifoff 4 ,
 198 .Xr mac_mls 4 ,
 199 .Xr mac_none 4 ,
 200 .Xr mac_partition 4 ,
 201 .Xr mac_seeotheruids 4 ,
 202 .Xr mac_test 4 ,
 203 .Xr mac 9
 204 .Sh HISTORY
 205 MAC first appeared in
 206 .Fx 5.0
 207 and
 208 .Nm
 209 first appeared in
 210 .Fx 5.1 .
 211 .Sh AUTHORS
 212 This software was contributed to the
 213 .Fx
 214 Project by NAI Labs, the Security Research Division of Network Associates
 215 Inc.\& under DARPA/SPAWAR contract N66001-01-C-8035
 216 .Pq Dq CBOSS ,
 217 as part of the DARPA CHATS research program.