Главная Случайная страница Контакты | Мы поможем в написании вашей работы! | ||
|
Независимо от загрузки модулей, существует несколько частей MAC, которые могут быть настроены с использованием интерфейса sysctl. Эти переменные описаны ниже и во всех случаях значение 1 означает включение, а 0 — отключение:
• security.mac.enforce_fs по умолчанию установлена в 1 и включает политики MAC на файловых системах.
• security.mac.enforce_kld по умолчанию 1 и включает линкование политик MAC в ядре (см. kld(4)).
• security.mac.enforce_network по умолчанию 1 и включает сетевые политики MAC.
• security.mac.enforce_pipe по умолчанию 1 и включает политики MAC для каналов (pipe).
• security.mac.enforce_process по умолчанию 1 и включает политики MAC для процессов, использующих средства межпроцессного взаимодействия.
• security.mac.enforce_socket по умолчанию 1 и включает политики MAC на сокетах (см. страницу справочника socket(2)).
• security.mac.enforce_system по умолчанию 1 и включает политики MAC для действий системы, таких как учет (accounting) и перезагрузка.
• security.mac.enforce_vm по умолчанию 1 и включает политики MAC для системы виртуальной памяти.
Замечание: Каждая политика MAC поддерживает переменные sysctl. Они обычно попадают в дерево security.mac.<policyname>. Для просмотра всех переменных MAC, используйте следующую команду:
# sysctl -da | grep mac
Это должно быть интерпретировано так, что все основные политики MAC включены по умолчанию. Если модули встроены в ядро, система будет заблокирована, и скорее всего не сможет связаться с локальной сетью или с интернет, и т.д. Поэтому встраивание модулей в ядро не рекомендуется. Не потому, что это ограничит возможность отключения командой sysctl, а потому, что включение политик в виде модулей позволит администратору переключать политики системы без необходимости пересборки и переустановки новой системы.
Дата публикования: 2015-01-10; Прочитано: 263 | Нарушение авторского права страницы | Мы поможем в написании вашей работы!