Лекция: Завершение настройки

Должен быть создан файл контекста; следующий пример взят из примера политики от Robert Watson, он может быть помещен в /etc/policy.contexts:

# This is the default BIBA/MLS policy for this system.

.* biba/high,mls/high

/sbin/dhclient biba/high(low),mls/high(low)

/dev(/.*)? biba/equal,mls/equal

# This is not an exhaustive list of all «privileged» devices.

/dev/mdctl biba/high,mls/high

/dev/pci biba/high,mls/high

/dev/k?mem biba/high,mls/high

/dev/io biba/high,mls/high

/dev/agp.* biba/high,mls/high

(/var)?/tmp(/.*)? biba/equal,mls/equal

/tmp/\.X11-unix biba/high(equal),mls/high(equal)

/tmp/\.X11-unix/.* biba/equal,mls/equal

/proc(/.*)? biba/equal,mls/equal

/mnt.* biba/low,mls/low

(/usr)?/home biba/high(low),mls/high(low)

(/usr)?/home/.* biba/low,mls/low

/var/mail(/.*)? biba/low,mls/low

/var/spool/mqueue(/.*)? biba/low,mls/low

(/mnt)?/cdrom(/.*)? biba/high,mls/high

(/usr)?/home/(ftp|samba)(/.*)? biba/high,mls/high

/var/log/sendmail\.st biba/low,mls/low

/var/run/utmp biba/equal,mls/equal

/var/log/(lastlog|wtmp) biba/equal,mls/equal

Эта политика обеспечит безопасность путем применения ограничений на нисходящий и восходящий потоки информации в применении к каталогам и утилитам, приведенным в левой части файла.

Он может быть внесен в систему следующими командами:

# setfsmac -ef /etc/policy.contexts /

# setfsmac -ef /etc/policy.contexts /usr

Замечание:Раскладка вышеприведенной файловой системы может быть различной для разных систем.

Файл /etc/mac.conf требует следующих изменений в основном разделе:

default_labels file ?biba,?mls

default_labels ifnet ?biba,?mls

default_labels process ?biba,?mls,?partition

default_labels socket ?biba,?mls