 IT-технологии, операционные системы, ремонт, модернизация (upgrade). | |||||||||
15.10. Модуль MAC partitionИмя модуля: mac_partition.ko Строка настройки ядра: options MAC_PARTITION Параметр загрузки: mac_partition_load="YES" Политика mac_partition(4) распределяет процессы по ''разделам'' на основе их MAC меток. Это может быть представлено как особый тип jail(8), хотя такое сравнение едва ли подходит. Этот модуль должен быть добавлен в loader.conf(5), чтобы политика была загружена и включена при загрузке системы. Большая часть настройки этой политики выполняется с помощью утилиты setpmac(8), которая будет описана ниже. Для данной политики имеется также следующая переменная sysctl:
Когда эта политика включена, пользователям разрешено просматривать только собственные процессы, но не разрешено пользоваться определенными утилитами. Например, пользователю из класса insecure выше не будет разрешено использование команды top, а также многих других команд, которые должны порождать процесс. Для присвоения утилитам меток partition используйте утилиту setpmac: # setpmac partition/13 top Команда top будет добавлена к метке, установленной для пользователей класса insecure. Обратите внимание, что все процессы, порожденные пользователями класса insecure, останутся с меткой partition/13. 15.10.1. ПримерыСледующая команда покажет вашу метку раздела и список процессов: # ps Zax Следующей командой можно просмотреть метку раздела процессов других пользователей и их запущенные процессы: # ps -ZU trhodes
Действительно ''продвинутая'' реализация должна отключать все сервисы через /etc/rc.conf и запускать их через скрипт, который установит правильный набор меток.
Этот, и другие документы, могут быть скачаны с ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/ | |||||||||
| 2008 © osinf.ru, при публикации активная ссылка обязательна. | |||||||||