====== Mandatory access control ======

ou "Contrôle d'accès obligatoire"

===== documentation =====

[[http://fr.wikipedia.org/wiki/Mandatory_access_control| wikipedia en français]] (assez court)

[[http://en.wikipedia.org/wiki/Mandatory_access_control| wikipedia en anglais]] assez complet

===== principe =====

Le principe est d'avoir des droits d'accès aux fichiers plus fins que les droits UNIX. Par exemple, un serveur apache doit pouvoir accéder a certains fichiers de configuration sous ///etc/passwd//, mais pas à ///etc/shadow//

===== les solutions existantes =====

==== apparmor ====

Initialement développé par [[http://www.opensuse.org/|Suse]], et adopté par [[http://www.mandriva.com/fr/ | Mandriva]]. En 2008, le projet semble quasi arrêté, mais semble repris par Ubuntu en 2009 : sa pérennité est incertaine.\\  concrètement, il est assez facile a utiliser (test en mandriva 2008.1)

==== selinux ====

Initialement développé par le [[http://www.nsa.gov/| NSA]] et adopté par RedHat/[[http://fedoraproject.org/|Fedora]], il est intégré au noyau linux.\\  cette solution s'appuie sur l'utilisation d'acl dans les inodes. Elle me semble assez complexe a administrer, et semble lourde pour le système.

==== tomoyo ====

Initialement développé par une société japonaise, le code vient d'être intégré au noyau linux, ce qui est un gage de stabilité et de pérennité.\\  cette solution est un peu comparable a [[#apparmor]], avec en plus des niveaux de fonctionnement (disabled, learning, enforcement ...), associé un environnement (la hiérarchie des process appelants) C'est pour moi la meilleure solution actuelle, j'ai commencé de faire une [[tomoyo|doc]] d'utilisation

==== smack ====

intégré dans le noyau linux, basé sur des acl, un peu comme [[#selinux]]. pas testé

 --- //[[eric.gerbier@free.fr|eric gerbier]] 2009/09/16 10:56//

{{tag>securite mac}}