Модулийн нэр: mac_partition.ko
Цөмийн тохиргооны мөр: options MAC_PARTITION
Ачаалалтын тохируулга: mac_partition_load="YES"
mac_partition(4) бодлого нь процессуудыг тэдгээрийн MAC хаяг/шошго дээр үндэслэн тусгай “хуваалтуудад” оруулдаг. Үүнийг jail(8)-ийн тусгай нэг төрөл гэж бодох хэрэгтэй, гэхдээ энэ нь тийм ч зохистой харьцуулалт биш юм.
Ачаалах процессийн үеэр энэ бодлогыг дуудаж идэвхжүүлэхийн тулд loader.conf(5) файлд нэмэгдэх ёстой нэг модуль нь энэ юм.
Энэ бодлогын ихэнх тохиргоо нь доор тайлбарлагдах setpmac(8) хэрэгслээр хийгддэг. Энэ бодлогод зориулагдсан дараах sysctl-ийн хувьсагч байдаг:
security.mac.partition.enabled нь MAC процессийн хуваалтуудыг хэрэглэхийг идэвхжүүлдэг.
Энэ бодлого идэвхтэй болоход хэрэглэгчдэд зөвхөн өөрийн процессуудыг болон нэг хуваалтад байгаа бусад хэрэглэгчдийн процессуудыг харахыг зөвшөөрөх бөгөөд гэхдээ энэ хуваалтын хүрээнээс гадна байгаа хэрэгслүүдтэй ажиллахыг зөвшөөрөхгүй байх болно. Жишээ нь дээрх insecure ангилалд байгаа хэрэглэгчийг top тушаал болон процесс үүсгэх ёстой бусад олон тушаалуудад хандахыг зөвшөөрөхгүй юм.
Хэрэгслүүдийг хуваалтын хаяг/шошго уруу оруулах буюу тохируулахын тулд setpmac хэрэгслийг хэрэглэнэ:
# setpmac partition/13 top
Энэ нь top тушаалыг insecure ангилал дахь хэрэглэгчдийн хаяг/шошгоны олонлогт нэмэх болно. insecure ангиллын хэрэглэгчдийн үүсгэсэн бүх процессууд partition/13 хаяг/шошгод байхыг тэмдэглэх нь зүйтэй юм.
Дараах тушаал нь хуваалтын хаяг/шошго болон процессийн жагсаалтыг танд харуулах болно:
# ps Zax
Дараагийн тушаал нь өөр хэрэглэгчийн процессийн хуваалтын хаяг/шошго болон тэр хэрэглэгчийн тухайн үед ажиллаж байгаа процессуудыг харахыг зөвшөөрөх болно:
# ps -ZU trhodes
Тэмдэглэл: mac_seeotheruids(4) бодлого дуудагдаж ачаалагдаагүй бол root хаяг/шошго дахь процессуудыг хэрэглэгч харж чадна.
Жинхэнэ ур дүй шаардсан шийдэл нь /etc/rc.conf файл дахь бүх үйлчилгээнүүдийг хааж тэдгээрт зөв хаяглалтыг тохируулж тэдгээрийг скриптээр эхлүүлдэг байж болох юм.
Тэмдэглэл: Дараах бодлогууд нь санал болгосон гурван анхдагч хаяг/шошгоны оронд бүхэл тоон тохируулгуудыг дэмждэг. Эдгээр тохируулгууд болон тэдгээрийн хязгаарлалтууд нь модулийн гарын авлагын хуудаснуудад дэлгэрэнгүй тайлбарлагдсан байгаа.
Энэ болон бусад баримтуудыг ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/ хаягаас татаж авч болно.
FreeBSD-ийн талаар <questions@FreeBSD.org> хаягтай
холбоо барихаасаа өмнө баримтыг уншина уу.
Энэ бичиг баримттай холбоотой асуулт байвал <doc@FreeBSD.org> хаягаар цахим
захидал явуулна уу.
Энэ бичиг баримтын орчуулгатай холбоотой асуулт
байвал <admin@mnbsd.org>
хаягаар цахим захидал явуулна уу.