На стадии разработки несколько пользователей сообщали о проблемах при обычных настройках. Некоторые из этих проблем приведены ниже:
multilabel
не может быть включен на /Параметр multilabel
не включается на моем корневом (/) разделе!
Похоже, что каждый пятидесятый пользователь сталкивается с этой проблемой; на самом деле, и у нас была эта проблема в первых настройках. Дальнейшие наблюдения за этой так называемой ''ошибкой'' привели меня к мнению, что это результат или некорректной документации, или неправильной интерпретации этой документации. Независимо от того, почему это случилось, для решения этой проблемы могут быть предприняты следующие шаги:
Отредактируйте /etc/fstab и установите для корневого раздела
параметр только для чтения (ro
).
Перегрузитесь в однопользовательский режим.
Запустите команду tunefs -l
enable
на /.
Перегрузите систему в нормальный режим.
Запустите mount -urw
/ и измените параметр ro
обратно на
rw
в /etc/fstab; перегрузите
систему опять.
Дважды проверьте вывод mount, чтобы убедиться, что параметр
multilabel
был установлен на корневой файловой системе.
После настройки системы безопасности MAC, я больше не могу запускать X!
Это может быть вызвано политикой MAC partition или путем неправильной установки меток одной из политик MAC. Для отладки попробуйте следующее:
Просмотрите сообщение об ошибке; если пользователь находится в классе insecure, проблема может быть в политике partition. Попробуйте установить класс пользователя обратно в default и пересобрать базу данных командой cap_mkdb. Если это не решит проблемы, попробуйте шаг два.
Дважды проверьте политики с метками. Убедитесь, что политики настроены правильно для рассматриваемого пользователя, приложения X11, и устройств в /dev.
Если проблема не решена, отправьте сообщение об ошибке и описание вашей системы в список рассылки TrustedBSD, находящийся на веб сайте TrustedBSD или в Список рассылки, посвящённый вопросам и ответам пользователей FreeBSD.
При попытке переключения от root на другого пользователя системы, появляется сообщение об ошибке “_secure_path: unable to state .login_conf”.
Это сообщение обычно показывается, когда у пользователя более высокая метка, чем у
пользователя, которым он пытается стать. Например, у пользователя системы joe метка по умолчанию biba/low
.
Пользователь root, метка которого biba/high
, не может просматривать домашний каталог пользователя joe. Это не зависит от того, использует ли пользователь root команду su joe или нет. В этом сценарии модель целостности Biba не позволит
root просматривать объекты с низким уровнем целостности.
В нормальном или даже однопользовательском режиме root не обнаруживается. Команда whoami возвращает 0 (нуль) и su возвращает “who are you?”. Что можно сделать?
Это может произойти, если политика с метками была отключена, или через sysctl(8), или путем
выгрузки модуля политики. Если политика была постоянно или временно отключена, базу
данных login необходимо перенастроить. Дважды проверьте login.conf, чтобы убедиться, что все параметры label
были удалены и пересоберите базу данных командой cap_mkdb.
Пред. | Начало | След. |
Другой пример: Использование MAC для защиты веб сервера | Уровень выше | Аудит событий безопасности |
Этот, и другие документы, могут быть скачаны с ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/.