ProHoster > ╨С╨╗╨╛╨│ > рдкреНрд░рд╢рд╛рд╕рди > FreeBSD рдордзреНрдпреЗ рдЕрдирд┐рд╡рд╛рд░реНрдп рд╣рдХреНрдХ рд╡рд┐рддрд░рдг рдореЙрдбреЗрд▓

FreeBSD рдордзреНрдпреЗ рдЕрдирд┐рд╡рд╛рд░реНрдп рд╣рдХреНрдХ рд╡рд┐рддрд░рдг рдореЙрдбреЗрд▓

рдкрд░рд┐рдЪрдп

рд╕рд░реНрд╡реНрд╣рд░ рд╕реБрд░рдХреНрд╖рд╛ рдЕрддрд┐рд░рд┐рдХреНрдд рд╕реНрддрд░ рдкреНрд░рджрд╛рди рдХрд░рдгреНрдпрд╛рд╕рд╛рдареА, рдЖрдкрдг рд╡рд╛рдкрд░реВ рд╢рдХрддрд╛ рдЖрджреЗрд╢ рдореЙрдбреЗрд▓ рдкреНрд░рд╡реЗрд╢ рд╡рд┐рддрд░рдг. рд╣реЗ рдкреНрд░рдХрд╛рд╢рди рд╡рд░реНрдгрди рдХрд░реЗрд▓ рдХреА рддреБрдореНрд╣реА рддреБрд░реБрдВрдЧрд╛рдд apache рдХрд╕реЗ рдЪрд╛рд▓рд╡реВ рд╢рдХрддрд╛ рдлрдХреНрдд рддреНрдпрд╛ рдШрдЯрдХрд╛рдВрдордзреНрдпреЗ рдкреНрд░рд╡реЗрд╢ рдХрд░реВ рд╢рдХрддрд╛ рдЬреНрдпрд╛рдВрдирд╛ рдпреЛрдЧреНрдпрд░рд┐рддреНрдпрд╛ рдХрд╛рд░реНрдп рдХрд░рдгреНрдпрд╛рд╕рд╛рдареА apache рдЖрдгрд┐ php рд╕рд╛рдареА рдкреНрд░рд╡реЗрд╢ рдЖрд╡рд╢реНрдпрдХ рдЖрд╣реЗ. рдпрд╛ рддрддреНрддреНрд╡рд╛рдЪрд╛ рд╡рд╛рдкрд░ рдХрд░реВрди, рдЖрдкрдг рдХреЗрд╡рд│ рдЕрдкрд╛рдЪреЗрдЪ рдирд╡реНрд╣реЗ рддрд░ рдЗрддрд░ рдХреЛрдгрддреНрдпрд╛рд╣реА рд╕реНрдЯреЕрдХрд╡рд░ рдорд░реНрдпрд╛рджрд╛ рдШрд╛рд▓реВ рд╢рдХрддрд╛.

рдкреНрд░рд╢рд┐рдХреНрд╖рдг

рд╣реА рдкрджреНрдзрдд рдлрдХреНрдд ufs рдлрд╛рдЗрд▓ рдкреНрд░рдгрд╛рд▓реАрд╕рд╛рдареА рдпреЛрдЧреНрдп рдЖрд╣реЗ; рдпрд╛ рдЙрджрд╛рд╣рд░рдгрд╛рдд, zfs рдЕрдиреБрдХреНрд░рдореЗ рдореБрдЦреНрдп рдкреНрд░рдгрд╛рд▓реАрдордзреНрдпреЗ рдЖрдгрд┐ ufs рдЪрд╛ рд╡рд╛рдкрд░ рдХреЗрд▓рд╛ рдЬрд╛рдИрд▓. рдкрд╣рд┐рд▓реА рдкрд╛рдпрд░реА рдореНрд╣рдгрдЬреЗ рдХрд░реНрдирд▓ рдкреБрдиреНрд╣рд╛ рддрдпрд╛рд░ рдХрд░рдгреЗ; FreeBSD рд╕реНрдерд╛рдкрд┐рдд рдХрд░рддрд╛рдирд╛, рд╕реНрддреНрд░реЛрдд рдХреЛрдб рд╕реНрдерд╛рдкрд┐рдд рдХрд░рд╛.
рд╕рд┐рд╕реНрдЯрдо рд╕реНрдерд╛рдкрд┐рдд рдХреЗрд▓реНрдпрд╛рдирдВрддрд░, рдлрд╛рдЗрд▓ рд╕рдВрдкрд╛рджрд┐рдд рдХрд░рд╛:

/usr/src/sys/amd64/conf/GENERIC

рддреБрдореНрд╣рд╛рд▓рд╛ рдпрд╛ рдлрд╛рдИрд▓рдордзреНрдпреЗ рдлрдХреНрдд рдПрдХ рдУрд│ рдЬреЛрдбрд╛рдпрдЪреА рдЖрд╣реЗ:

options     MAC_MLS

mls/рдЙрдЪреНрдЪ рд▓реЗрдмрд▓рдЪреЗ mls/рд▓реЛ рд▓реЗрдмрд▓рд╡рд░ рд╡рд░реНрдЪрд╕реНрд╡ рдЕрд╕реЗрд▓, mls/рд▓реЛ рд▓реЗрдмрд▓рд╕рд╣ рд▓реЙрдиреНрдЪ рд╣реЛрдгрд╛рд░реЗ ре▓рдкреНрд▓рд┐рдХреЗрд╢рди mls/рдЙрдЪреНрдЪ рд▓реЗрдмрд▓ рдЕрд╕рд▓реЗрд▓реНрдпрд╛ рдлрд╛рдЗрд▓реНрд╕рдордзреНрдпреЗ рдкреНрд░рд╡реЗрд╢ рдХрд░реВ рд╢рдХрдгрд╛рд░ рдирд╛рд╣реАрдд. рдлреНрд░реАрдмреАрдПрд╕рдбреА рд╕рд┐рд╕реНрдЯреАрдордордзреАрд▓ рд╕рд░реНрд╡ рдЙрдкрд▓рдмреНрдз рдЯреЕрдЧрдмрджреНрджрд▓ рдЕрдзрд┐рдХ рддрдкрд╢реАрд▓ рдпрд╛рдордзреНрдпреЗ рдорд┐рд│реВ рд╢рдХрддрд╛рдд рдиреЗрддреГрддреНрд╡.
рдкреБрдвреЗ, /usr/src рдирд┐рд░реНрджреЗрд╢рд┐рдХреЗрд╡рд░ рдЬрд╛:

cd /usr/src

рдХрд░реНрдирд▓ рддрдпрд╛рд░ рдХрд░рдгреЗ рд╕реБрд░реВ рдХрд░рдгреНрдпрд╛рд╕рд╛рдареА, рдЪрд╛рд▓рд╡рд╛ (j рдХреА рдордзреНрдпреЗ, рд╕рд┐рд╕реНрдЯрдордордзреАрд▓ рдХреЛрд░рдЪреА рд╕рдВрдЦреНрдпрд╛ рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдХрд░рд╛):

make -j 4 buildkernel KERNCONF=GENERIC

рдХрд░реНрдирд▓ рд╕рдВрдХрд▓рд┐рдд рдХреЗрд▓реНрдпрд╛рдирдВрддрд░, рддреЗ рд╕реНрдерд╛рдкрд┐рдд рдХрд░рдгреЗ рдЖрд╡рд╢реНрдпрдХ рдЖрд╣реЗ:

make installkernel KERNCONF=GENERIC

рдХрд░реНрдирд▓ рд╕реНрдерд╛рдкрд┐рдд рдХреЗрд▓реНрдпрд╛рдирдВрддрд░, рд╕рд┐рд╕реНрдЯрдо рд░реАрдмреВрдЯ рдХрд░рдгреНрдпрд╛рд╕рд╛рдареА рдШрд╛рдИ рдХрд░реВ рдирдХрд╛, рдХрд╛рд░рдг рд╡рд╛рдкрд░рдХрд░реНрддреНрдпрд╛рдВрдирд╛ рд▓реЙрдЧрд┐рди рд╡рд░реНрдЧрд╛рдд рд╕реНрдерд╛рдирд╛рдВрддрд░рд┐рдд рдХрд░рдгреЗ рдЖрд╡рд╢реНрдпрдХ рдЖрд╣реЗ, рддреЗ рдЖрдзреА рдХреЙрдиреНрдлрд┐рдЧрд░ рдХреЗрд▓реЗ рдЖрд╣реЗ. /etc/login.conf рдлрд╛рдЗрд▓ рд╕рдВрдкрд╛рджрд┐рдд рдХрд░рд╛, рдпрд╛ рдлрд╛рдЗрд▓рдордзреНрдпреЗ рддреБрдореНрд╣рд╛рд▓рд╛ рдбреАрдлреЙрд▓реНрдЯ рд▓реЙрдЧрд┐рди рд╡рд░реНрдЧ рд╕рдВрдкрд╛рджрд┐рдд рдХрд░рдгреЗ рдЖрд╡рд╢реНрдпрдХ рдЖрд╣реЗ, рддреЗ рдлреЙрд░реНрдордордзреНрдпреЗ рдЖрдгрд╛:

default:
        :passwd_format=sha512:
        :copyright=/etc/COPYRIGHT:
        :welcome=/etc/motd:
        :setenv=MAIL=/var/mail/$,BLOCKSIZE=K:
        :path=/sbin /bin /usr/sbin /usr/bin /usr/local/sbin /usr/local/bin ~/bin:
        :nologin=/var/run/nologin:
        :cputime=unlimited:
        :datasize=unlimited:
        :stacksize=unlimited:
        :memorylocked=64K:
        :memoryuse=unlimited:
        :filesize=unlimited:
        :coredumpsize=unlimited:
        :openfiles=unlimited:
        :maxproc=unlimited:
        :sbsize=unlimited:
        :vmemoryuse=unlimited:
        :swapuse=unlimited:
        :pseudoterminals=unlimited:
        :kqueues=unlimited:
        :umtxp=unlimited:
        :priority=0:
        :ignoretime@:
        :umask=022:
        :label=mls/equal:

рдУрд│ :label=mls/equal рдпрд╛ рд╡рд░реНрдЧрд╛рдЪреЗ рд╕рджрд╕реНрдп рдЕрд╕рд▓реЗрд▓реНрдпрд╛ рд╡рд╛рдкрд░рдХрд░реНрддреНрдпрд╛рдВрдирд╛ рдХреЛрдгрддреНрдпрд╛рд╣реА рд▓реЗрдмрд▓рдиреЗ (mls/low, mls/high) рдЪрд┐рдиреНрд╣рд╛рдВрдХрд┐рдд рдХреЗрд▓реЗрд▓реНрдпрд╛ рдлрд╛рдЗрд▓реНрд╕рдордзреНрдпреЗ рдкреНрд░рд╡реЗрд╢ рдХрд░рдгреНрдпрд╛рдЪреА рдЕрдиреБрдорддреА рджреЗрдИрд▓. рдпрд╛ рдлреЗрд░рдлрд╛рд░ рдХреЗрд▓реНрдпрд╛рдирдВрддрд░, рддреБрдореНрд╣рд╛рд▓рд╛ рдбреЗрдЯрд╛рдмреЗрд╕ рдкреБрдиреНрд╣рд╛ рддрдпрд╛рд░ рдХрд░рдгреЗ рдЖрдгрд┐ рд░реВрдЯ рд╡рд╛рдкрд░рдХрд░реНрддреНрдпрд╛рд╕ (рддрд╕реЗрдЪ рдЬреНрдпрд╛рдВрдирд╛ рддреНрдпрд╛рдЪреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рдЖрд╣реЗ) рдпрд╛ рд▓реЙрдЧрд┐рди рд╡рд░реНрдЧрд╛рдд рдареЗрд╡рдгреНрдпрд╛рдЪреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рдЖрд╣реЗ:

cap_mkdb /etc/login.conf
pw usermod root -L default

рдзреЛрд░рдг рдлрдХреНрдд рдлрд╛рдЗрд▓реНрд╕рд╡рд░ рд▓рд╛рдЧреВ рд╣реЛрдгреНрдпрд╛рд╕рд╛рдареА, рддреБрдореНрд╣рд╛рд▓рд╛ /etc/mac.conf рдлрд╛рдЗрд▓ рд╕рдВрдкрд╛рджрд┐рдд рдХрд░рд╛рд╡реА рд▓рд╛рдЧреЗрд▓, рддреНрдпрд╛рдд рдлрдХреНрдд рдПрдХ рдУрд│ рдареЗрд╡рд╛:

default_labels file ?mls

рдСрдЯреЛрд░рдирдордзреНрдпреЗ рддреБрдореНрд╣рд╛рд▓рд╛ mac_mls.ko рдореЙрдбреНрдпреВрд▓ рджреЗрдЦреАрд▓ рдЬреЛрдбрдгреНрдпрд╛рдЪреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рдЖрд╣реЗ:

echo 'mac_mls_load="YES"' >> /boot/loader.conf

рдпрд╛рдирдВрддрд░, рдЖрдкрдг рд╕рд┐рд╕реНрдЯрдо рд╕реБрд░рдХреНрд╖рд┐рддрдкрдгреЗ рд░реАрдмреВрдЯ рдХрд░реВ рд╢рдХрддрд╛. рдХрд╕реЗ рддрдпрд╛рд░ рдХрд░рд╛рд╡реЗ рддреБрд░реБрдВрдЧ рдорд╛рдЭреНрдпрд╛ рдПрдХрд╛ рдкреНрд░рдХрд╛рд╢рдирд╛рдд рддреБрдореНрд╣реА рддреЗ рд╡рд╛рдЪреВ рд╢рдХрддрд╛. рдкрд░рдВрддреБ рдЬреЗрд▓ рддрдпрд╛рд░ рдХрд░рдгреНрдпрд╛рдкреВрд░реНрд╡реА, рддреБрдореНрд╣рд╛рд▓рд╛ рд╣рд╛рд░реНрдб рдбреНрд░рд╛рдЗрд╡реНрд╣ рдЬреЛрдбрдгреЗ рдЖрдгрд┐ рддреНрдпрд╛рд╡рд░ рдлрд╛рдЗрд▓ рд╕рд┐рд╕реНрдЯрдо рддрдпрд╛рд░ рдХрд░рдгреЗ рдЖрдгрд┐ рддреНрдпрд╛рд╡рд░ рдорд▓реНрдЯреАрд▓реЗрдмрд▓ рд╕рдХреНрд╖рдо рдХрд░рдгреЗ рдЖрд╡рд╢реНрдпрдХ рдЖрд╣реЗ, 2kb рдЪреНрдпрд╛ рдХреНрд▓рд╕реНрдЯрд░ рдЖрдХрд╛рд░рд╛рд╕рд╣ ufs64 рдлрд╛рдЗрд▓ рд╕рд┐рд╕реНрдЯрдо рддрдпрд╛рд░ рдХрд░рд╛:

newfs -O 2 -b 64kb /dev/ada1
tunefs -l enable /dev/ada1

рдлрд╛рдЗрд▓ рд╕рд┐рд╕реНрдЯрдо рддрдпрд╛рд░ рдХреЗрд▓реНрдпрд╛рдирдВрддрд░ рдЖрдгрд┐ рдорд▓реНрдЯреАрд▓реЗрдмрд▓ рдЬреЛрдбрд▓реНрдпрд╛рдирдВрддрд░, рддреБрдореНрд╣рд╛рд▓рд╛ рд╣рд╛рд░реНрдб рдбреНрд░рд╛рдЗрд╡реНрд╣ /etc/fstab рдордзреНрдпреЗ рдЬреЛрдбрдгреЗ рдЖрд╡рд╢реНрдпрдХ рдЖрд╣реЗ, рдпрд╛ рдлрд╛рдЗрд▓рдордзреНрдпреЗ рдУрд│ рдЬреЛрдбрд╛:

/dev/ada1               /jail  ufs     rw              0       1

рдорд╛рдЙрдВрдЯрдкреЙрдИрдВрдЯрдордзреНрдпреЗ, рдЖрдкрдг рдкрд╛рд╕рдордзреНрдпреЗ рд╣рд╛рд░реНрдб рдбреНрд░рд╛рдЗрд╡реНрд╣ рдорд╛рдЙрдВрдЯ рдХрд░рд╛рд▓ рдЕрд╢реА рдирд┐рд░реНрджреЗрд╢рд┐рдХрд╛ рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдХрд░рд╛, 1 рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдХрд░рдгреНрдпрд╛рдЪреЗ рд╕реБрдирд┐рд╢реНрдЪрд┐рдд рдХрд░рд╛ (рд╣рд╛ рд╣рд╛рд░реНрдб рдбреНрд░рд╛рдЗрд╡реНрд╣ рдХреЛрдгрддреНрдпрд╛ рдХреНрд░рдорд╛рдиреЗ рддрдкрд╛рд╕рд▓рд╛ рдЬрд╛рдИрд▓) - рд╣реЗ рдЖрд╡рд╢реНрдпрдХ рдЖрд╣реЗ, рдХрд╛рд░рдг рдпреВрдПрдлрдПрд╕ рдлрд╛рдЗрд▓ рд╕рд┐рд╕реНрдЯрдо рдЕрдЪрд╛рдирдХ рдкреЙрд╡рд░ рдХрдЯ рдХрд░рдгреНрдпрд╛рд╕рд╛рдареА рд╕рдВрд╡реЗрджрдирд╢реАрд▓ рдЖрд╣реЗ; . рдпрд╛ рдЪрд░рдгрд╛рдВрдирдВрддрд░, рдбрд┐рд╕реНрдХ рдорд╛рдЙрдВрдЯ рдХрд░рд╛:

mount /dev/ada1 /jail

рдпрд╛ рдирд┐рд░реНрджреЗрд╢рд┐рдХреЗрдд рдЬреЗрд▓ рд╕реНрдерд╛рдкрд┐рдд рдХрд░рд╛. рдЬреЗрд▓ рдЪрд╛рд▓реВ рдЭрд╛рд▓реНрдпрд╛рдирдВрддрд░, рддреБрдореНрд╣рд╛рд▓рд╛ рддреНрдпрд╛рдд рд╡рд╛рдкрд░рдХрд░реНрддреНрдпрд╛рдВрд╕рд╣ рдЖрдгрд┐ рдлрд╛рдЗрд▓реНрд╕ /etc/login.conf, /etc/mac.conf рдпрд╛ рдореБрдЦреНрдп рдкреНрд░рдгрд╛рд▓реАрдкреНрд░рдорд╛рдгреЗрдЪ рд╣рд╛рддрд╛рд│рдгреА рдХрд░рдгреЗ рдЖрд╡рд╢реНрдпрдХ рдЖрд╣реЗ.

рд╕рдорд╛рдпреЛрдЬрди

рдЖрд╡рд╢реНрдпрдХ рдЯреЕрдЧ рд╕реНрдерд╛рдкрд┐рдд рдХрд░рдгреНрдпрд╛рдкреВрд░реНрд╡реА, рдореА рдорд╛рдЭреНрдпрд╛ рдмрд╛рдмрддреАрдд рд╕рд░реНрд╡ рдЖрд╡рд╢реНрдпрдХ рдкреЕрдХреЗрдЬреЗрд╕ рд╕реНрдерд╛рдкрд┐рдд рдХрд░рдгреНрдпрд╛рдЪреА рд╢рд┐рдлрд╛рд░рд╕ рдХрд░рддреЛ, рдпрд╛ рдкреЕрдХреЗрдЬреЗрд╕ рд▓рдХреНрд╖рд╛рдд рдШреЗрдКрди рдЯреЕрдЧ рд╕реЗрдЯ рдХреЗрд▓реЗ рдЬрд╛рддреАрд▓:

mod_php73-7.3.4_1              PHP Scripting Language
php73-7.3.4_1                  PHP Scripting Language
php73-ctype-7.3.4_1            The ctype shared extension for php
php73-curl-7.3.4_1             The curl shared extension for php
php73-dom-7.3.4_1              The dom shared extension for php
php73-extensions-1.0           "meta-port" to install PHP extensions
php73-filter-7.3.4_1           The filter shared extension for php
php73-gd-7.3.4_1               The gd shared extension for php
php73-gettext-7.3.4_1          The gettext shared extension for php
php73-hash-7.3.4_1             The hash shared extension for php
php73-iconv-7.3.4_1            The iconv shared extension for php
php73-json-7.3.4_1             The json shared extension for php
php73-mysqli-7.3.4_1           The mysqli shared extension for php
php73-opcache-7.3.4_1          The opcache shared extension for php
php73-openssl-7.3.4_1          The openssl shared extension for php
php73-pdo-7.3.4_1              The pdo shared extension for php
php73-pdo_sqlite-7.3.4_1       The pdo_sqlite shared extension for php
php73-phar-7.3.4_1             The phar shared extension for php
php73-posix-7.3.4_1            The posix shared extension for php
php73-session-7.3.4_1          The session shared extension for php
php73-simplexml-7.3.4_1        The simplexml shared extension for php
php73-sqlite3-7.3.4_1          The sqlite3 shared extension for php
php73-tokenizer-7.3.4_1        The tokenizer shared extension for php
php73-xml-7.3.4_1              The xml shared extension for php
php73-xmlreader-7.3.4_1        The xmlreader shared extension for php
php73-xmlrpc-7.3.4_1           The xmlrpc shared extension for php
php73-xmlwriter-7.3.4_1        The xmlwriter shared extension for php
php73-xsl-7.3.4_1              The xsl shared extension for php
php73-zip-7.3.4_1              The zip shared extension for php
php73-zlib-7.3.4_1             The zlib shared extension for php
apache24-2.4.39

рдпрд╛ рдЙрджрд╛рд╣рд░рдгрд╛рдд, рдпрд╛ рдкреЕрдХреЗрдЬреЗрд╕рдЪреА рдЕрд╡рд▓рдВрдмрд┐рддреНрд╡реЗ рд▓рдХреНрд╖рд╛рдд рдШреЗрдКрди рд▓реЗрдмрд▓реЗ рд╕реЗрдЯ рдХреЗрд▓реА рдЬрд╛рддреАрд▓. рдЕрд░реНрдерд╛рдд, рддреБрдореНрд╣реА рд╣реЗ рд╕реЛрдкреЗ рдХрд░реВ рд╢рдХрддрд╛: /usr/local/lib рдлреЛрд▓реНрдбрд░ рдЖрдгрд┐ рдпрд╛ рдирд┐рд░реНрджреЗрд╢рд┐рдХреЗрдд рдЕрд╕рд▓реЗрд▓реНрдпрд╛ рдлрд╛рдЗрд▓реНрд╕рд╕рд╛рдареА, mls/low рд▓реЗрдмрд▓реЗ рд╕реЗрдЯ рдХрд░рд╛ рдЖрдгрд┐ рддреНрдпрд╛рдирдВрддрд░рдЪреА рд╕реНрдерд╛рдкрд┐рдд рдкреЕрдХреЗрдЬреЗрд╕ (рдЙрджрд╛рд╣рд░рдгрд╛рд░реНрде, php рд╕рд╛рдареА рдЕрддрд┐рд░рд┐рдХреНрдд рд╡рд┐рд╕реНрддрд╛рд░) рдкреНрд░рд╡реЗрд╢ рдХрд░рдгреНрдпрд╛рд╕ рд╕рдХреНрд╖рдо рдЕрд╕рддреАрд▓. рдпрд╛ рдирд┐рд░реНрджреЗрд╢рд┐рдХреЗрддреАрд▓ рд▓рд╛рдпрдмреНрд░рд░реА, рдкрд░рдВрддреБ рдорд▓рд╛ рдлрдХреНрдд рдЖрд╡рд╢реНрдпрдХ рдЕрд╕рд▓реЗрд▓реНрдпрд╛ рдлрд╛рдпрд▓реАрдВрдордзреНрдпреЗ рдкреНрд░рд╡реЗрд╢ рдкреНрд░рджрд╛рди рдХрд░рдгреЗ рдЪрд╛рдВрдЧрд▓реЗ рд╡рд╛рдЯрддреЗ. рдЬреЗрд▓ рдерд╛рдВрдмрд╡рд╛ рдЖрдгрд┐ рд╕рд░реНрд╡ рдлрд╛рдпрд▓реАрдВрд╡рд░ рдПрдордПрд▓рдПрд╕/рдЙрдЪреНрдЪ рд▓реЗрдмрд▓реЗ рд╕реЗрдЯ рдХрд░рд╛:

setfmac -R mls/high /jail

рдорд╛рд░реНрдХ рд╕реЗрдЯ рдХрд░рддрд╛рдирд╛, рд╕реЗрдЯрдлрдореЕрдХрд▓рд╛ рд╣рд╛рд░реНрдб рд▓рд┐рдВрдХ рдЖрд▓реНрдпрд╛рд╕ рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдерд╛рдВрдмрд╡рд▓реА рдЬрд╛рдИрд▓, рдорд╛рдЭреНрдпрд╛ рдЙрджрд╛рд╣рд░рдгрд╛рдд рдореА рдЦрд╛рд▓реАрд▓ рдбрд┐рд░реЗрдХреНрдЯрд░реАрдордзреАрд▓ рд╣рд╛рд░реНрдб рд▓рд┐рдВрдХ рд╣рдЯрд╡рд▓реНрдпрд╛ рдЖрд╣реЗрдд:

/var/db/etcupdate/current/
/var/db/etcupdate/current/etc
/var/db/etcupdate/current/usr/share/openssl/man/en.ISO8859-15
/var/db/etcupdate/current/usr/share/man/en.ISO8859-15
/var/db/etcupdate/current/usr/share/man/en.UTF-8
/var/db/etcupdate/current/usr/share/nls
/etc/ssl
/usr/local/etc
/usr/local/etc/fonts/conf.d
/usr/local/openssl

рд▓реЗрдмрд▓реЗ рд╕реЗрдЯ рдХреЗрд▓реНрдпрд╛рдирдВрддрд░, рддреБрдореНрд╣рд╛рд▓рд╛ apache рд╕рд╛рдареА mls/low рд▓реЗрдмрд▓реЗ рд╕реЗрдЯ рдХрд░рдгреЗ рдЖрд╡рд╢реНрдпрдХ рдЖрд╣реЗ, рд╕рд░реНрд╡рдкреНрд░рдердо рддреБрдореНрд╣рд╛рд▓рд╛ apache рд╕реБрд░реВ рдХрд░рдгреНрдпрд╛рд╕рд╛рдареА рдХреЛрдгрддреНрдпрд╛ рдлрд╛рдЗрд▓реНрд╕рдЪреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рдЖрд╣реЗ рддреЗ рд╢реЛрдзрдгреЗ рдЖрд╡рд╢реНрдпрдХ рдЖрд╣реЗ:

ldd /usr/local/sbin/httpd

рд╣реА рдЖрдЬреНрдЮрд╛ рдХрд╛рд░реНрдпрд╛рдиреНрд╡рд┐рдд рдХреЗрд▓реНрдпрд╛рдирдВрддрд░, рдЕрд╡рд▓рдВрдмрди рд╕реНрдХреНрд░реАрдирд╡рд░ рдкреНрд░рджрд░реНрд╢рд┐рдд рдХреЗрд▓реЗ рдЬрд╛рдИрд▓, рдкрд░рдВрддреБ рдпрд╛ рдлрд╛рдпрд▓реАрдВрд╡рд░ рдЖрд╡рд╢реНрдпрдХ рд▓реЗрдмрд▓реЗ рд╕реЗрдЯ рдХрд░рдгреЗ рдкреБрд░реЗрд╕реЗ рдирд╛рд╣реА, рдХрд╛рд░рдг рдпрд╛ рдлрд╛рдпрд▓реА рдЬреНрдпрд╛ рдбрд┐рд░реЗрдХреНрдЯрд░реАрдордзреНрдпреЗ рдЖрд╣реЗрдд рддреНрдпрд╛рдордзреНрдпреЗ mls/high рд▓реЗрдмрд▓ рдЖрд╣реЗ, рддреНрдпрд╛рдореБрд│реЗ рдпрд╛ рдбрд┐рд░реЗрдХреНрдЯрд░реАрдВрдирд╛ рджреЗрдЦреАрд▓ рд▓реЗрдмрд▓ рдХрд░рдгреЗ рдЖрд╡рд╢реНрдпрдХ рдЖрд╣реЗ. рдорд┐рд▓реА/рдХрдореА. рд╕реБрд░реВ рдХрд░рддрд╛рдирд╛, apache рддреЗ рдЪрд╛рд▓рд╡рдгреНрдпрд╛рд╕рд╛рдареА рдЖрд╡рд╢реНрдпрдХ рдЕрд╕рд▓реЗрд▓реНрдпрд╛ рдлрд╛рдЗрд▓реНрд╕рдЪреЗ рдЖрдЙрдЯрдкреБрдЯ рджреЗрдЦреАрд▓ рдХрд░реЗрд▓ рдЖрдгрд┐ php рд╕рд╛рдареА рдпрд╛ рдЕрд╡рд▓рдВрдмрд┐рддреНрд╡ httpd-error.log рд▓реЙрдЧрдордзреНрдпреЗ рдЖрдврд│реВ рд╢рдХрддрд╛рдд.

setfmac mls/low /
setfmac mls/low /usr/local/lib/libpcre.so.1
setfmac mls/low /usr/local/lib/libaprutil-1.so.0
setfmac mls/low /usr/local/lib/libdb-5.3.so.0
setfmac mls/low /usr/local/lib/libgdbm.so.6
setfmac mls/low /usr/local/lib/libexpat.so.1
setfmac mls/low /usr/local/lib/libapr-1.so.0
setfmac mls/low /lib/libcrypt.so.5
setfmac mls/low /lib/libthr.so.3
setfmac mls/low /lib/libc.so.7
setfmac mls/low /usr/local/lib/libintl.so.8
setfmac mls/low /var
setfmac mls/low /var/run
setfmac mls/low /var/log
setfmac mls/low /var/log/httpd-access.log
setfmac mls/low /var/log/httpd-error.log
setfmac mls/low /var/run/httpd.pid
setfmac mls/low /lib
setfmac mls/low /lib/libcrypt.so.5
setfmac mls/low /usr/local/lib/db5/libdb-5.3.so.0
setfmac mls/low /usr/local/lib/db5/libdb-5.3.so.0.0.0
setfmac mls/low /usr/local/lib/db5
setfmac mls/low /usr/local/lib
setfmac mls/low /libexec
setfmac mls/low /libexec/ld-elf.so.1
setfmac  mls/low /dev
setfmac  mls/low /dev/random
setfmac  mls/low /usr/local/libexec
setfmac  mls/low /usr/local/libexec/apache24
setfmac  mls/low /usr/local/libexec/apache24/*
setfmac  mls/low /etc/pwd.db
setfmac  mls/low /etc/passwd
setfmac  mls/low /etc/group
setfmac  mls/low /etc/
setfmac  mls/low /usr/local/etc
setfmac -R mls/low /usr/local/etc/apache24
setfmac mls/low /usr
setfmac mls/low /usr/local
setfmac mls/low /usr/local/sbin
setfmac mls/low /usr/local/sbin/*
setfmac -R mls/low /usr/local/etc/rc.d/
setfmac mls/low /usr/local/sbin/htcacheclean
setfmac mls/low /var/log/httpd-access.log
setfmac mls/low /var/log/httpd-error.log
setfmac -R mls/low /usr/local/www
setfmac mls/low /usr/lib
setfmac mls/low /tmp
setfmac -R mls/low /usr/local/lib/php
setfmac -R mls/low /usr/local/etc/php
setfmac mls/low /usr/local/etc/php.conf
setfmac mls/low /lib/libelf.so.2
setfmac mls/low /lib/libm.so.5
setfmac mls/low /usr/local/lib/libxml2.so.2
setfmac mls/low /lib/libz.so.6
setfmac mls/low /usr/lib/liblzma.so.5
setfmac mls/low /usr/local/lib/libiconv.so.2
setfmac mls/low /usr/lib/librt.so.1
setfmac mls/low /lib/libthr.so.3
setfmac mls/low /usr/local/lib/libpng16.so.16
setfmac mls/low /usr/lib/libbz2.so.4
setfmac mls/low /usr/local/lib/libargon2.so.0
setfmac mls/low /usr/local/lib/libpcre2-8.so.0
setfmac mls/low /usr/local/lib/libsqlite3.so.0
setfmac mls/low /usr/local/lib/libgd.so.6
setfmac mls/low /usr/local/lib/libjpeg.so.8
setfmac mls/low /usr/local/lib/libfreetype.so
setfmac mls/low /usr/local/lib/libfontconfig.so.1
setfmac mls/low /usr/local/lib/libtiff.so.5
setfmac mls/low /usr/local/lib/libwebp.so.7
setfmac mls/low /usr/local/lib/libjbig.so.2
setfmac mls/low /usr/lib/libssl.so.8
setfmac mls/low /lib/libcrypto.so.8
setfmac mls/low /usr/local/lib/libzip.so.5
setfmac mls/low /etc/resolv.conf

рдпрд╛ рд╕реВрдЪреАрдордзреНрдпреЗ рд╕рд░реНрд╡ рдлрд╛рдпрд▓реАрдВрд╕рд╛рдареА mls/рд▓реЛ рдЯреЕрдЧ рдЖрд╣реЗрдд рдЬреЗ apache рдЖрдгрд┐ php рд╕рдВрдпреЛрдЬрдирд╛рдЪреНрдпрд╛ рдпреЛрдЧреНрдп рдСрдкрд░реЗрд╢рдирд╕рд╛рдареА рдЖрд╡рд╢реНрдпрдХ рдЖрд╣реЗрдд (рдорд╛рдЭреНрдпрд╛ рдЙрджрд╛рд╣рд░рдгрд╛рдордзреНрдпреЗ рд╕реНрдерд╛рдкрд┐рдд рдХреЗрд▓реЗрд▓реНрдпрд╛ рдкреЕрдХреЗрдЬреЗрд╕рд╕рд╛рдареА).

рдЕрдВрддрд┐рдо рдЯрдЪ mls/рд╕рдорд╛рди рд╕реНрддрд░рд╛рд╡рд░ рдЖрдгрд┐ apache mls/рдХрдореА рд╕реНрддрд░рд╛рд╡рд░ рдЪрд╛рд▓рдгреНрдпрд╛рд╕рд╛рдареА рдЬреЗрд▓ рдХреЙрдиреНрдлрд┐рдЧрд░ рдХрд░рдгреЗ рдЕрд╕реЗрд▓. рдЬреЗрд▓ рд╕реБрд░реВ рдХрд░рдгреНрдпрд╛рд╕рд╛рдареА, рддреБрдореНрд╣рд╛рд▓рд╛ /etc/rc.d/jail рд╕реНрдХреНрд░рд┐рдкреНрдЯрдордзреНрдпреЗ рдмрджрд▓ рдХрд░рд╛рд╡реЗ рд▓рд╛рдЧрддреАрд▓, рдпрд╛ рд╕реНрдХреНрд░рд┐рдкреНрдЯрдордзреНрдпреЗ jail_start рдлрдВрдХреНрд╢рдиреНрд╕ рд╢реЛрдзрд╛, рдХрдорд╛рдВрдб рд╡реНрд╣реЗрд░рд┐рдПрдмрд▓ рдлреЙрд░реНрдордордзреНрдпреЗ рдмрджрд▓рд╛:

command="setpmac mls/equal $jail_program"

setpmac рдХрдорд╛рдВрдб рдПрдХреНрдЭрд┐рдХреНрдпреБрдЯреЗрдмрд▓ рдлрд╛рдЗрд▓рд▓рд╛ рдЖрд╡рд╢реНрдпрдХ рдХреНрд╖рдорддрд╛ рд╕реНрддрд░рд╛рд╡рд░ рдЪрд╛рд▓рд╡рддреЗ, рдпрд╛ рдкреНрд░рдХрд░рдгрд╛рдд mls/equal, рд╕рд░реНрд╡ рд▓реЗрдмрд▓реНрд╕рдордзреНрдпреЗ рдкреНрд░рд╡реЗрд╢ рдорд┐рд│рд╡рдгреНрдпрд╛рд╕рд╛рдареА. рдЕрдкрд╛рдЪреЗрдордзреНрдпреЗ рддреБрдореНрд╣рд╛рд▓рд╛ рд╕реНрдЯрд╛рд░реНрдЯрдЕрдк рд╕реНрдХреНрд░рд┐рдкреНрдЯ /usr/local/etc/rc.d/apache24 рд╕рдВрдкрд╛рджрд┐рдд рдХрд░рдгреЗ рдЖрд╡рд╢реНрдпрдХ рдЖрд╣реЗ. apache24_prestart рдлрдВрдХреНрд╢рди рдмрджрд▓рд╛:

apache24_prestart() {
        apache24_checkfib
        apache24_precmd
        eval "setpmac mls/low" ${command} ${apache24_flags}
}

╨Т рдЕрдзрд┐рдХреГрдд рдореЕрдиреНрдпреБрдЕрд▓рдордзреНрдпреЗ рдЖрдгрдЦреА рдПрдХ рдЙрджрд╛рд╣рд░рдг рдЖрд╣реЗ, рдкрд░рдВрддреБ рдорд▓рд╛ рддреЗ рд╡рд╛рдкрд░рддрд╛ рдЖрд▓реЗ рдирд╛рд╣реА рдХрд╛рд░рдг рдорд▓рд╛ setpmac рдХрдорд╛рдВрдб рд╡рд╛рдкрд░рдгреНрдпрд╛рд╕ рдЕрдХреНрд╖рдорддреЗрдмрджреНрджрд▓ рд╕рдВрджреЗрд╢ рдорд┐рд│рдд рд░рд╛рд╣рд┐рд▓рд╛.

рдирд┐рд╖реНрдХрд░реНрд╖

рдкреНрд░рд╡реЗрд╢ рд╡рд┐рддрд░рдгрд╛рдЪреНрдпрд╛ рдпрд╛ рдкрджреНрдзрддреАрдореБрд│реЗ рдЕрдкрд╛рдЪреЗрдордзреНрдпреЗ рдЕрддрд┐рд░рд┐рдХреНрдд рд╕реНрддрд░рд╛рд╡рд░реАрд▓ рд╕реБрд░рдХреНрд╖рд┐рддрддрд╛ рдЬреЛрдбрд▓реА рдЬрд╛рдИрд▓ (рдЬрд░реА рд╣реА рдкрджреНрдзрдд рдЗрддрд░ рдХреЛрдгрддреНрдпрд╛рд╣реА рд╕реНрдЯреЕрдХрд╕рд╛рдареА рдпреЛрдЧреНрдп рдЖрд╣реЗ), рдЬреА рддреНрдпрд╛рд╡реНрдпрддрд┐рд░рд┐рдХреНрдд рддреБрд░реБрдВрдЧрд╛рдд рдЪрд╛рд▓рддреЗ, рддреНрдпрд╛рдЪ рд╡реЗрд│реА, рдкреНрд░рд╢рд╛рд╕рдХрд╛рд╕рд╛рдареА рд╣реЗ рд╕рд░реНрд╡ рдкрд╛рд░рджрд░реНрд╢рдХрдкрдгреЗ рдЖрдгрд┐ рд▓рдХреНрд╖рд╛рдд рди рдпреЗрдгреНрдпрд╛рд╕рд╛рд░рдЦреЗ рд╣реЛрдИрд▓.

рд╣реЗ рдкреНрд░рдХрд╛рд╢рди рд▓рд┐рд╣рд┐рдгреНрдпрд╛рдд рдорд▓рд╛ рдорджрдд рдХрд░рдгрд╛рд▒реНрдпрд╛ рд╕реНрддреНрд░реЛрддрд╛рдВрдЪреА рдпрд╛рджреА:

https://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/mac.html

рд╕реНрддреНрд░реЛрдд: www.habr.com

рдПрдХ рдЯрд┐рдкреНрдкрдгреА рдЬреЛрдбрд╛