Модулийн нэр: mac_bsdextended.ko
Цөмийн тохиргооны мөр: options MAC_BSDEXTENDED
Ачаалалтын тохируулга: mac_bsdextended_load="YES"
mac_bsdextended(4) модуль файлын системийн галт ханыг идэвхжүүлдэг. Энэ модулийн бодлого нь стандарт файлын системийн зөвшөөрлүүдийн загварын өргөтгөл болж файлын систем дэх файлууд, хэрэгслүүд болон сангуудыг хамгаалахын тулд администраторт галт ханатай адил дүрмийн олонлогийг үүсгэх боломжийг олгодог. Файлын системийн обьектод хандахыг оролдоход дүрмүүдийн жагсаалтаас тохирох дүрэм таарах хүртэл эсвэл төгсгөл хүртэл шалгадаг. Энэ ажиллагааг sysctl(8)-ийн хувьсагч security.mac.bsdextended.firstmatch_enabled параметрийг хэрэглэж өөрчилж болно. FreeBSD дэх бусад галт ханын модулиудтай адилаар хандалтын хяналтын дүрмүүдийг агуулах файлыг үүсгэж rc.conf(5)-ийн хувьсагчийн тусламжтайгаар ачаалах үед системээр уншуулж болно.
Дүрмийн жагсаалтыг ipfw(8)-ийн синтакстай төстэйгөөр бичигддэг ugidfw(8) хэрэгслийг ашиглан оруулж болно. Илүү хэрэгслүүдийг libugidfw(3) сан дахь функцуудыг ашиглан бичиж болно.
Энэ модультай ажиллаж байхдаа маш болгоомжтой байх хэрэгтэй; учир нь буруу хэрэглээ файлын системийн зарим хэсэгт хандах боломжгүй болгож болох юм.
mac_bsdextended(4) модуль ачаалагдсаны дараа тухайн үед байгаа дүрмийн тохиргоог жагсаахад дараах тушаал ашиглагдаж болно:
# ugidfw list 0 slots, 0 rules
Яг бодож байсны дагуу ямар ч дүрмүүд тодорхойлогдоогүй байна. Энэ нь бүгд хандах боломжтой байна гэсэн үг юм. root-ийг орхиж бусад хэрэглэгчдийн бүх хандалтыг хаах дүрмийг үүсгэхийн тулд ердөө л дараах тушаалыг ажиллуулна:
# ugidfw add subject not uid root new object not uid root mode n
Энэ нь бүх хэрэглэгчдийг ls зэрэг хамгийн энгийн тушаалуудыг ажиллуулахыг хаах учраас маш буруу санаа юм. Илүү эх оронч дүрмүүдийн жагсаалт иймэрхүү байж болно:
# ugidfw set 2 subject uid user1 object uid user2 mode n # ugidfw set 3 subject uid user1 object gid user2 mode n
Энэ нь user1 хэрэглэгчээс user2-ийн гэрийн сан уруу хандах сангийн жагсаалт үзүүлэх зэрэг дурын болон бүх хандалтыг хаах болно.
user1-ийн оронд not uid
user2 тохируулгыг
дамжуулж болно. Энэ нь дээрхийн адил
хандалтын хязгаарлалтуудыг зөвхөн нэг
хэрэглэгчийн хувьд биш бүх хэрэглэгчийн
хувьд тавих болно.
Тэмдэглэл: root хэрэглэгчид эдгээр өөрчлөлтүүд нөлөөлөхгүй.
Энэ нь файлын системийг бэхэлж батжуулахад туслахын тулд mac_bsdextended(4) модулийг хэрхэн ашиглаж болох ерөнхий санааг харуулах ёстой. Илүү дэлгэрэнгүй мэдээллийг mac_bsdextended(4) болон ugidfw(8) гарын авлагын хуудаснуудаас үзнэ үү.
Энэ болон бусад баримтуудыг ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/ хаягаас татаж авч болно.
FreeBSD-ийн талаар <questions@FreeBSD.org> хаягтай
холбоо барихаасаа өмнө баримтыг уншина уу.
Энэ бичиг баримттай холбоотой асуулт байвал <doc@FreeBSD.org> хаягаар цахим
захидал явуулна уу.
Энэ бичиг баримтын орчуулгатай холбоотой асуулт
байвал <admin@mnbsd.org>
хаягаар цахим захидал явуулна уу.