හැඳින්වීම
අමතර මට්ටමේ සේවාදායක ආරක්ෂාවක් සැපයීම සඳහා, ඔබට භාවිතා කළ හැකිය
සකස් කිරීම
මෙම ක්රමය සුදුසු වන්නේ ufs ගොනු පද්ධතිය සඳහා පමණි; පළමු පියවර වන්නේ කර්නලය නැවත ගොඩ නැගීමයි, FreeBSD ස්ථාපනය කරන විට, මූල කේතය ස්ථාපනය කරන්න.
පද්ධතිය ස්ථාපනය කිරීමෙන් පසු, ගොනුව සංස්කරණය කරන්න:
/usr/src/sys/amd64/conf/GENERIC
ඔබට මෙම ගොනුවට එක් කිරීමට අවශ්ය වන්නේ එක් පේළියක් පමණි:
options MAC_MLS
mls/ඉහළ ලේබලය mls/low ලේබලයට වඩා ප්රමුඛ ස්ථානයක් ගනී, mls/low ලේබලය සමඟ දියත් කෙරෙන යෙදුම් වලට mls/high ලේබලය ඇති ගොනු වෙත ප්රවේශ වීමට නොහැකි වනු ඇත. FreeBSD පද්ධතියේ පවතින සියලුම ටැග් පිළිබඳ වැඩි විස්තර මෙහි සොයාගත හැකිය
ඊළඟට, /usr/src බහලුම වෙත යන්න:
cd /usr/src
කර්නලය ගොඩනැගීම ආරම්භ කිරීමට, ධාවනය කරන්න (j යතුර තුළ, පද්ධතියේ ඇති හර ගණන සඳහන් කරන්න):
make -j 4 buildkernel KERNCONF=GENERIC
කර්නලය සම්පාදනය කිරීමෙන් පසුව, එය ස්ථාපනය කළ යුතුය:
make installkernel KERNCONF=GENERIC
කර්නලය ස්ථාපනය කිරීමෙන් පසු, පද්ධතිය නැවත ආරම්භ කිරීමට ඉක්මන් නොවන්න, මන්ද එය කලින් වින්යාස කර ඇති පරිශීලකයින් පිවිසුම් පන්තියට මාරු කිරීම අවශ්ය වේ. /etc/login.conf ගොනුව සංස්කරණය කරන්න, මෙම ගොනුවේ ඔබ පෙරනිමි පිවිසුම් පන්තිය සංස්කරණය කළ යුතුය, එය පෝරමයට ගෙන එන්න:
default:
:passwd_format=sha512:
:copyright=/etc/COPYRIGHT:
:welcome=/etc/motd:
:setenv=MAIL=/var/mail/$,BLOCKSIZE=K:
:path=/sbin /bin /usr/sbin /usr/bin /usr/local/sbin /usr/local/bin ~/bin:
:nologin=/var/run/nologin:
:cputime=unlimited:
:datasize=unlimited:
:stacksize=unlimited:
:memorylocked=64K:
:memoryuse=unlimited:
:filesize=unlimited:
:coredumpsize=unlimited:
:openfiles=unlimited:
:maxproc=unlimited:
:sbsize=unlimited:
:vmemoryuse=unlimited:
:swapuse=unlimited:
:pseudoterminals=unlimited:
:kqueues=unlimited:
:umtxp=unlimited:
:priority=0:
:ignoretime@:
:umask=022:
:label=mls/equal:
පේළිය :label=mls/equal මෙම පන්තියේ සාමාජිකයන් වන පරිශීලකයින්ට ඕනෑම ලේබලයකින් (mls/low, mls/high) සලකුණු කර ඇති ගොනු වෙත ප්රවේශ වීමට ඉඩ සලසයි. මෙම උපාමාරු වලින් පසුව, ඔබ දත්ත සමුදාය නැවත ගොඩනඟා මූල පරිශීලකයා (මෙන්ම එය අවශ්ය අය) මෙම පිවිසුම් පන්තියේ තැබිය යුතුය:
cap_mkdb /etc/login.conf
pw usermod root -L default
ප්රතිපත්තිය ගොනු සඳහා පමණක් අදාළ වීම සඳහා, ඔබ /etc/mac.conf ගොනුව සංස්කරණය කළ යුතු අතර, එහි එක් පේළියක් පමණක් ඉතිරි වේ:
default_labels file ?mls
ඔබ ස්වයංක්රීය ධාවනයට mac_mls.ko මොඩියුලය එක් කිරීමටද අවශ්ය වේ:
echo 'mac_mls_load="YES"' >> /boot/loader.conf
මෙයින් පසු, ඔබට පද්ධතිය ආරක්ෂිතව නැවත ආරම්භ කළ හැකිය. නිර්මාණය කරන්නේ කෙසේද
newfs -O 2 -b 64kb /dev/ada1
tunefs -l enable /dev/ada1
ගොනු පද්ධතිය නිර්මාණය කර බහු ලේබලය එකතු කිරීමෙන් පසු, ඔබට දෘඪ තැටිය /etc/fstab වෙත එකතු කළ යුතුය, මෙම ගොනුවට රේඛාව එක් කරන්න:
/dev/ada1 /jail ufs rw 0 1
Mountpoint හි, ඔබ Pass හි දෘඪ තැටිය සවි කරන බහලුම සඳහන් කරන්න, 1 (මෙම දෘඪ තැටිය පරීක්ෂා කරනු ලබන්නේ කුමන අනුපිළිවෙලකින්ද) සඳහන් කිරීමට වග බලා ගන්න - ufs ගොනු පද්ධතිය හදිසි විදුලි කප්පාදුවලට සංවේදී වන බැවින් මෙය අවශ්ය වේ. . මෙම පියවරෙන් පසු, තැටිය සවි කරන්න:
mount /dev/ada1 /jail
මෙම නාමාවලිය තුළ හිර ස්ථාපනය කරන්න. බන්ධනාගාරය ක්රියාත්මක වූ පසු, ඔබ ප්රධාන පද්ධතියේ පරිශීලකයින් සහ /etc/login.conf, /etc/mac.conf ගොනු සමඟ ඇති ආකාරයටම එහි හැසිරවීම් කළ යුතුය.
ගැලපුම්
අවශ්ය ටැග් ස්ථාපනය කිරීමට පෙර, මගේ නඩුවේදී අවශ්ය සියලුම පැකේජ ස්ථාපනය කිරීමට මම නිර්දේශ කරමි, මෙම පැකේජ සැලකිල්ලට ගනිමින් ටැග් සකස් කරනු ලැබේ:
mod_php73-7.3.4_1 PHP Scripting Language
php73-7.3.4_1 PHP Scripting Language
php73-ctype-7.3.4_1 The ctype shared extension for php
php73-curl-7.3.4_1 The curl shared extension for php
php73-dom-7.3.4_1 The dom shared extension for php
php73-extensions-1.0 "meta-port" to install PHP extensions
php73-filter-7.3.4_1 The filter shared extension for php
php73-gd-7.3.4_1 The gd shared extension for php
php73-gettext-7.3.4_1 The gettext shared extension for php
php73-hash-7.3.4_1 The hash shared extension for php
php73-iconv-7.3.4_1 The iconv shared extension for php
php73-json-7.3.4_1 The json shared extension for php
php73-mysqli-7.3.4_1 The mysqli shared extension for php
php73-opcache-7.3.4_1 The opcache shared extension for php
php73-openssl-7.3.4_1 The openssl shared extension for php
php73-pdo-7.3.4_1 The pdo shared extension for php
php73-pdo_sqlite-7.3.4_1 The pdo_sqlite shared extension for php
php73-phar-7.3.4_1 The phar shared extension for php
php73-posix-7.3.4_1 The posix shared extension for php
php73-session-7.3.4_1 The session shared extension for php
php73-simplexml-7.3.4_1 The simplexml shared extension for php
php73-sqlite3-7.3.4_1 The sqlite3 shared extension for php
php73-tokenizer-7.3.4_1 The tokenizer shared extension for php
php73-xml-7.3.4_1 The xml shared extension for php
php73-xmlreader-7.3.4_1 The xmlreader shared extension for php
php73-xmlrpc-7.3.4_1 The xmlrpc shared extension for php
php73-xmlwriter-7.3.4_1 The xmlwriter shared extension for php
php73-xsl-7.3.4_1 The xsl shared extension for php
php73-zip-7.3.4_1 The zip shared extension for php
php73-zlib-7.3.4_1 The zlib shared extension for php
apache24-2.4.39
මෙම උදාහරණයේ දී, මෙම පැකේජවල පරායත්තතා සැලකිල්ලට ගනිමින් ලේබල සකසනු ඇත. ඇත්ත වශයෙන්ම, ඔබට එය සරලව කළ හැකිය: /usr/local/lib ෆෝල්ඩරය සහ මෙම නාමාවලියෙහි ඇති ගොනු සඳහා, mls/low ලේබල් සකසන්න සහ පසුව ස්ථාපිත පැකේජ (උදාහරණයක් ලෙස, php සඳහා අමතර දිගු) වෙත ප්රවේශ වීමට හැකි වනු ඇත. මෙම නාමාවලියෙහි ඇති පුස්තකාල, නමුත් අවශ්ය ගොනු වලට පමණක් ප්රවේශය ලබා දීම වඩා හොඳ බව මට පෙනේ. සිරගෙදර නතර කර සියලුම ගොනු මත mls/ඉහළ ලේබල සකසන්න:
setfmac -R mls/high /jail
ලකුණු සැකසීමේදී, setfmac දෘඩ සබැඳි හමු වුවහොත් ක්රියාවලිය නවත්වනු ඇත, මගේ උදාහරණයේදී මම පහත නාමාවලිවල දෘඩ සබැඳි මකා දැමුවෙමි:
/var/db/etcupdate/current/
/var/db/etcupdate/current/etc
/var/db/etcupdate/current/usr/share/openssl/man/en.ISO8859-15
/var/db/etcupdate/current/usr/share/man/en.ISO8859-15
/var/db/etcupdate/current/usr/share/man/en.UTF-8
/var/db/etcupdate/current/usr/share/nls
/etc/ssl
/usr/local/etc
/usr/local/etc/fonts/conf.d
/usr/local/openssl
ලේබල සැකසීමෙන් පසු, ඔබ apache සඳහා mls/low labels සැකසිය යුතුය, ඔබ කළ යුතු පළමු දෙය නම් apache ආරම්භ කිරීමට අවශ්ය ගොනු මොනවාදැයි සොයා බැලීමයි:
ldd /usr/local/sbin/httpd
මෙම විධානය ක්රියාත්මක කිරීමෙන් පසු, පරායත්තතා තිරය මත දිස්වනු ඇත, නමුත් මෙම ගොනු මත අවශ්ය ලේබල් සැකසීම ප්රමාණවත් නොවනු ඇත, මන්ද මෙම ගොනු පිහිටා ඇති නාමාවලි වල mls / ඉහළ ලේබලය ඇති බැවින් මෙම නාමාවලි ද ලේබල් කළ යුතුය. මිලි/අඩු. ආරම්භ කරන විට, apache එය ක්රියාත්මක කිරීමට අවශ්ය ගොනු ප්රතිදානය කරයි, සහ php සඳහා මෙම පරායත්තතා httpd-error.log ලොගයෙන් සොයාගත හැකිය.
setfmac mls/low /
setfmac mls/low /usr/local/lib/libpcre.so.1
setfmac mls/low /usr/local/lib/libaprutil-1.so.0
setfmac mls/low /usr/local/lib/libdb-5.3.so.0
setfmac mls/low /usr/local/lib/libgdbm.so.6
setfmac mls/low /usr/local/lib/libexpat.so.1
setfmac mls/low /usr/local/lib/libapr-1.so.0
setfmac mls/low /lib/libcrypt.so.5
setfmac mls/low /lib/libthr.so.3
setfmac mls/low /lib/libc.so.7
setfmac mls/low /usr/local/lib/libintl.so.8
setfmac mls/low /var
setfmac mls/low /var/run
setfmac mls/low /var/log
setfmac mls/low /var/log/httpd-access.log
setfmac mls/low /var/log/httpd-error.log
setfmac mls/low /var/run/httpd.pid
setfmac mls/low /lib
setfmac mls/low /lib/libcrypt.so.5
setfmac mls/low /usr/local/lib/db5/libdb-5.3.so.0
setfmac mls/low /usr/local/lib/db5/libdb-5.3.so.0.0.0
setfmac mls/low /usr/local/lib/db5
setfmac mls/low /usr/local/lib
setfmac mls/low /libexec
setfmac mls/low /libexec/ld-elf.so.1
setfmac mls/low /dev
setfmac mls/low /dev/random
setfmac mls/low /usr/local/libexec
setfmac mls/low /usr/local/libexec/apache24
setfmac mls/low /usr/local/libexec/apache24/*
setfmac mls/low /etc/pwd.db
setfmac mls/low /etc/passwd
setfmac mls/low /etc/group
setfmac mls/low /etc/
setfmac mls/low /usr/local/etc
setfmac -R mls/low /usr/local/etc/apache24
setfmac mls/low /usr
setfmac mls/low /usr/local
setfmac mls/low /usr/local/sbin
setfmac mls/low /usr/local/sbin/*
setfmac -R mls/low /usr/local/etc/rc.d/
setfmac mls/low /usr/local/sbin/htcacheclean
setfmac mls/low /var/log/httpd-access.log
setfmac mls/low /var/log/httpd-error.log
setfmac -R mls/low /usr/local/www
setfmac mls/low /usr/lib
setfmac mls/low /tmp
setfmac -R mls/low /usr/local/lib/php
setfmac -R mls/low /usr/local/etc/php
setfmac mls/low /usr/local/etc/php.conf
setfmac mls/low /lib/libelf.so.2
setfmac mls/low /lib/libm.so.5
setfmac mls/low /usr/local/lib/libxml2.so.2
setfmac mls/low /lib/libz.so.6
setfmac mls/low /usr/lib/liblzma.so.5
setfmac mls/low /usr/local/lib/libiconv.so.2
setfmac mls/low /usr/lib/librt.so.1
setfmac mls/low /lib/libthr.so.3
setfmac mls/low /usr/local/lib/libpng16.so.16
setfmac mls/low /usr/lib/libbz2.so.4
setfmac mls/low /usr/local/lib/libargon2.so.0
setfmac mls/low /usr/local/lib/libpcre2-8.so.0
setfmac mls/low /usr/local/lib/libsqlite3.so.0
setfmac mls/low /usr/local/lib/libgd.so.6
setfmac mls/low /usr/local/lib/libjpeg.so.8
setfmac mls/low /usr/local/lib/libfreetype.so
setfmac mls/low /usr/local/lib/libfontconfig.so.1
setfmac mls/low /usr/local/lib/libtiff.so.5
setfmac mls/low /usr/local/lib/libwebp.so.7
setfmac mls/low /usr/local/lib/libjbig.so.2
setfmac mls/low /usr/lib/libssl.so.8
setfmac mls/low /lib/libcrypto.so.8
setfmac mls/low /usr/local/lib/libzip.so.5
setfmac mls/low /etc/resolv.conf
මෙම ලැයිස්තුවේ apache සහ php සංයෝජනයේ නිවැරදි ක්රියාකාරිත්වය සඳහා අවශ්ය සියලුම ගොනු සඳහා mls/low tags අඩංගු වේ (මගේ උදාහරණයේ ස්ථාපනය කර ඇති එම පැකේජ සඳහා).
අවසාන ස්පර්ශය වනුයේ බන්ධනාගාරය mls/සමාන මට්ටමින් ක්රියාත්මක වන ලෙසත්, apache mls/පහළ මට්ටමින් ක්රියාත්මක වන ලෙසත් සැකසීමයි. හිරගෙදර ආරම්භ කිරීමට, ඔබ /etc/rc.d/jail ස්ක්රිප්ටයට වෙනස්කම් කළ යුතුය, මෙම ස්ක්රිප්ට් එකේ jail_start ශ්රිත සොයා ගන්න, විධාන විචල්යය පෝරමයට වෙනස් කරන්න:
command="setpmac mls/equal $jail_program"
setpmac විධානය මඟින් ක්රියාත්මක කළ හැකි ගොනුව අවශ්ය හැකියාවන් මට්ටමින් ක්රියාත්මක කරයි, මෙම අවස්ථාවේදී mls/equal, සියලුම ලේබල වෙත ප්රවේශය ලබා ගැනීම සඳහා. apache හි ඔබට ආරම්භක ස්ක්රිප්ට් /usr/local/etc/rc.d/apache24 සංස්කරණය කිරීමට අවශ්ය වේ. apache24_prestart ශ්රිතය වෙනස් කරන්න:
apache24_prestart() {
apache24_checkfib
apache24_precmd
eval "setpmac mls/low" ${command} ${apache24_flags}
}
В
නිගමනය
මෙම ප්රවේශය බෙදා හැරීමේ ක්රමය apache වෙත අමතර ආරක්ෂාවක් එක් කරයි (මෙම ක්රමය වෙනත් ඕනෑම තොගයකට සුදුසු වුවද), ඊට අමතරව සිරගෙයක ක්රියාත්මක වේ, ඒ සමඟම, පරිපාලකයාට මේ සියල්ල විනිවිද පෙනෙන ලෙස සහ නොපෙනෙන ලෙස සිදුවනු ඇත.
මෙම ප්රකාශනය ලිවීමට මට උපකාර වූ මූලාශ්ර ලැයිස්තුව:
මූලාශ්රය: www.habr.com