Приготовления к использованию политик с метками

В файл login.conf необходимо внести следующие изменения:

• Должен быть добавлен класс insecure, или другой подобный класс. Наличие класса insecure не обязательно, он приводится здесь в качестве примера; другие конфигурации могут использовать другое имя класса.

• Класс insecure должен использовать приведенные ниже настройки и определения. Некоторые из них могут быть изменены, но строка, определяющая метку по умолчанию, необходима и должна быть оставлена.

insecure:\

:copyright=/etc/COPYRIGHT:\

:welcome=/etc/motd:\

:setenv=MAIL=/var/mail/$,BLOCKSIZE=K:\

:path=~/bin:/sbin:/bin:/usr/sbin:/usr/bin:/usr/local/sbin:/usr/local/bin:\

:manpath=/usr/share/man /usr/local/man:\

:nologin=/usr/sbin/nologin:\

:cputime=1h30m:\

:datasize=8M:\

:vmemoryuse=100M:\

:stacksize=2M:\

:memorylocked=4M:\

:memoryuse=8M:\

:filesize=8M:\

:coredumpsize=8M:\

:openfiles=24:\

:maxproc=32:\

:priority=0:\

:requirehome:\

:passwordtime=91d:\

:umask=022:\

:ignoretime@:\

:label=partition/13,mls/5,biba/low:

Перед тем, как переключать пользователей на новый класс, необходимо запустить команду cap_mkdb(1) на login.conf(5).

Пользователю root также необходимо присвоить класс; иначе, почти любой команде, выполняемой от root, потребуется использование setpmac.

• Убедитесь, что все разделы, на которых будут установлены метки MAC, поддерживают параметр multilabel. Нам необходимо сделать это, поскольку многие из примеров здесь содержат различные метки в целях тестирования. Просмотрите вывод команды mount в качестве необходимой предосторожности.

• Переключите всех пользователей, которые будут использовать новые механизмы безопасности, на этот класс. Информация по этой процедуре находится в pw(8) или vipw(8).