Настройка меток

Практически все действия по настройке политики с метками могут быть выполнены с использованием утилит базовой системы. Эти команды обеспечивают простой интерфейс для настройки объектов или субъектов, или для изменения и проверки настроек.

Все настройки могут быть выполнены с использованием утилит setfmac(8) и setpmac(8). Команда setfmac используется для установки меток MAC на системные объекты, а команда setpmac используется для установки меток на системные субъекты. Выполните:

# setfmac biba/high test

Если не произойдет ошибок, будет возвращено приглашение командной строки, как и после команд chmod(1) и chown(8). В некоторых случаях может появиться ошибка Permission denied, и она обычно появляется при установке или изменении метки на объект с ограничениями. 1Системный администратор для обхода этой проблемы может использовать следующие команды:

# setfmac biba/high test

Permission denied

# setpmac biba/low setfmac biba/high test

# getfmac test

test: biba/high

Как видно из примера выше, команда setpmac может быть использована для изменения установок политики путем присвоения иной метки вызывающему процессу. Утилита getpmac обычно используется с существующим на данный момент процессом, таким как sendmail, хотя она принимает PID вместо команды, ее действие аналогично. Если пользователи попытаются манипулировать файлами, к которым у них нет доступа в соответствии с правилами загруженных политик, функцией mac_set_link будет выдано сообщение об ошибке Operation not permitted.