15.9.1. Приготовления к использованию политик с метками

В файл login.conf необходимо внести следующие изменения:

• Должен быть добавлен класс insecure, или другой подобный класс. Наличие класса insecure не обязательно, он приводится здесь в качестве примера; другие конфигурации могут использовать другое имя класса.

• Класс insecure должен использовать приведенные ниже настройки и определения. Некоторые из них могут быть изменены, но строка, определяющая метку по умолчанию, необходима и должна быть оставлена.

  insecure:\
      :copyright=/etc/COPYRIGHT:\
      :welcome=/etc/motd:\
      :setenv=MAIL=/var/mail/$,BLOCKSIZE=K:\
      :path=~/bin:/sbin:/bin:/usr/sbin:/usr/bin:/usr/local/sbin:/usr/local/bin:\
      :manpath=/usr/share/man /usr/local/man:\
      :nologin=/usr/sbin/nologin:\
      :cputime=1h30m:\
      :datasize=8M:\
      :vmemoryuse=100M:\
      :stacksize=2M:\
      :memorylocked=4M:\
      :memoryuse=8M:\
      :filesize=8M:\
      :coredumpsize=8M:\
      :openfiles=24:\
      :maxproc=32:\
      :priority=0:\
      :requirehome:\
      :passwordtime=91d:\
      :umask=022:\
      :ignoretime@:\
      :label=partition/13,mls/5,biba/low:
  

  Перед тем, как переключать пользователей на новый класс, необходимо запустить команду cap_mkdb(1) на login.conf(5).

  Пользователю root также необходимо присвоить класс; иначе, почти любой команде, выполняемой от root, потребуется использование setpmac.

• Убедитесь, что все разделы, на которых будут установлены метки MAC, поддерживают параметр multilabel. Нам необходимо сделать это, поскольку многие из примеров здесь содержат различные метки в целях тестирования. Просмотрите вывод команды mount в качестве необходимой предосторожности.

• Переключите всех пользователей, которые будут использовать новые механизмы безопасности, на этот класс. Информация по этой процедуре находится в pw(8) или vipw(8).