מאַנדאַטאָרי רעכט פאַרשפּרייטונג מאָדעל אין FreeBSD

הקדמה

צו צושטעלן אַן נאָך מדרגה פון סערווער זיכערהייט, איר קענען נוצן מאַנדאַט מאָדעל צוטריט פאַרשפּרייטונג. די ויסגאַבע וועט באַשרייַבן ווי איר קענען לויפן אַפּאַטשי אין אַ טורמע מיט אַקסעס בלויז צו די קאַמפּאָונאַנץ וואָס דאַרפן אַקסעס פֿאַר אַפּאַטשי און פפּ צו אַרבעטן ריכטיק. מיט דעם פּרינציפּ, איר קענען באַגרענעצן ניט בלויז אַפּאַטשי, אָבער אויך קיין אנדערע אָנלייגן.

טראַינינג

דער אופֿן איז בלויז פּאַסיק פֿאַר די ufs טעקע סיסטעם אין דעם בייַשפּיל, zfs וועט זיין געוויינט אין די הויפּט סיסטעם, און ufs אין די טורמע. דער ערשטער שריט איז צו ריבילד די קערן ווען איר ינסטאַלירן FreeBSD, ינסטאַלירן די מקור קאָד.
נאָך די סיסטעם איז אינסטאַלירן, רעדאַגירן די טעקע:

/usr/src/sys/amd64/conf/GENERIC

איר נאָר דאַרפֿן צו לייגן איין שורה צו דעם טעקע:

options     MAC_MLS

די mls / הויך פירמע וועט האָבן אַ דאָמינאַנט שטעלע איבער די mls / נידעריק פירמע, אַפּלאַקיישאַנז וואָס וועט זיין לאָנטשט מיט די mls / נידעריק פירמע וועט נישט קענען צו אַקסעס טעקעס וואָס האָבן די mls / הויך פירמע. מער דעטאַילס וועגן אַלע בנימצא טאַגס אין די FreeBSD סיסטעם קענען זיין געפֿונען אין דעם פירערשאַפט.
ווייַטער, גיין צו די /usr/src וועגווייַזער:

cd /usr/src

צו אָנהייבן בויען דעם קערן, לויפן (אין די j שליסל, ספּעציפיצירן די נומער פון קאָרעס אין די סיסטעם):

make -j 4 buildkernel KERNCONF=GENERIC

נאָך די קערן איז קאַמפּיילד, עס מוזן זיין אינסטאַלירן:

make installkernel KERNCONF=GENERIC

נאָך ינסטאָלינג די קערן, טאָן ניט קאַמיש צו רעבאָאָט די סיסטעם, ווייַל עס איז נייטיק צו אַריבערפירן די באַניצער צו די לאָגין קלאַס, נאָך קאַנפיגיערד עס פריער. רעדאַגירן די /etc/login.conf טעקע, אין דעם טעקע איר דאַרפֿן צו רעדאַגירן די פעליקייַט לאָגין קלאַס, ברענגען עס צו די פאָרעם:

default:
        :passwd_format=sha512:
        :copyright=/etc/COPYRIGHT:
        :welcome=/etc/motd:
        :setenv=MAIL=/var/mail/$,BLOCKSIZE=K:
        :path=/sbin /bin /usr/sbin /usr/bin /usr/local/sbin /usr/local/bin ~/bin:
        :nologin=/var/run/nologin:
        :cputime=unlimited:
        :datasize=unlimited:
        :stacksize=unlimited:
        :memorylocked=64K:
        :memoryuse=unlimited:
        :filesize=unlimited:
        :coredumpsize=unlimited:
        :openfiles=unlimited:
        :maxproc=unlimited:
        :sbsize=unlimited:
        :vmemoryuse=unlimited:
        :swapuse=unlimited:
        :pseudoterminals=unlimited:
        :kqueues=unlimited:
        :umtxp=unlimited:
        :priority=0:
        :ignoretime@:
        :umask=022:
        :label=mls/equal:

די שורה :label=mls/equal וועט לאָזן וסערס וואס זענען מיטגלידער פון דעם קלאַס צו אַקסעס טעקעס וואָס זענען אנגעצייכנט מיט קיין פירמע (mls/low, mls/high). נאָך די מאַניפּיאַליישאַנז, איר דאַרפֿן צו ריבילד די דאַטאַבייס און שטעלן די וואָרצל באַניצער (ווי געזונט ווי די וואס דאַרפֿן עס) אין דעם לאָגין קלאַס:

cap_mkdb /etc/login.conf
pw usermod root -L default

כּדי די פּאָליטיק זאָל אָנווענדן בלויז אויף טעקעס, איר דאַרפֿן צו רעדאַגירן די /etc/mac.conf טעקע, און לאָזן בלויז איין שורה אין עס:

default_labels file ?mls

איר אויך דאַרפֿן צו לייגן די mac_mls.ko מאָדולע צו אַוטאָרון:

echo 'mac_mls_load="YES"' >> /boot/loader.conf

נאָך דעם, איר קענען בעשאָלעם ריסטאַרט די סיסטעם. ווי צו שאַפֿן טורמע איר קענען לייענען עס אין איינער פון מיין אויסגאבעס. אָבער איידער איר שאַפֿן אַ טורמע, איר דאַרפֿן צו לייגן אַ שווער פאָר און שאַפֿן אַ טעקע סיסטעם אויף עס און געבן מאַלטילאַבעל אויף עס, שאַפֿן אַ ufs2 טעקע סיסטעם מיט אַ קנויל גרייס פון 64 קב:

newfs -O 2 -b 64kb /dev/ada1
tunefs -l enable /dev/ada1

נאָך קריייטינג די טעקע סיסטעם און אַדינג מולטילאַבעל, איר דאַרפֿן צו לייגן די שווער פאָר צו /etc/fstab, לייגן די שורה צו דעם טעקע:

/dev/ada1               /jail  ufs     rw              0       1

אין Mountpoint, ספּעציפיצירן די וועגווייַזער אין וואָס איר וועט אָנקלאַפּן די שווער פאָר אין פּאַס, זיין זיכער צו ספּעציפיצירן 1 (אין וואָס סיקוואַנס דעם שווער פאָר וועט זיין אָפּגעשטעלט) - דאָס איז נייטיק, ווייַל די ufs טעקע סיסטעם איז שפּירעוודיק צו פּלוצעמדיק מאַכט קאַץ; . נאָך די סטעפּס, אָנקלאַפּן די דיסק:

mount /dev/ada1 /jail

ינסטאַלירן טורמע אין דעם וועגווייַזער. נאָך די טורמע איז פליסנדיק, איר דאַרפֿן צו טאָן די זעלבע מאַניפּיאַליישאַנז אין עס ווי אין די הויפּט סיסטעם מיט ניצערס און די טעקעס /etc/login.conf, /etc/mac.conf.

Customize

איידער איר ינסטאַלירן די נייטיק טאַגס, איך רעקאָמענדירן צו ינסטאַלירן אַלע די נייטיק פּאַקאַדזשאַז אין מיין פאַל, די טאַגס וועט זיין שטעלן אין חשבון די פּאַקאַדזשאַז:

mod_php73-7.3.4_1              PHP Scripting Language
php73-7.3.4_1                  PHP Scripting Language
php73-ctype-7.3.4_1            The ctype shared extension for php
php73-curl-7.3.4_1             The curl shared extension for php
php73-dom-7.3.4_1              The dom shared extension for php
php73-extensions-1.0           "meta-port" to install PHP extensions
php73-filter-7.3.4_1           The filter shared extension for php
php73-gd-7.3.4_1               The gd shared extension for php
php73-gettext-7.3.4_1          The gettext shared extension for php
php73-hash-7.3.4_1             The hash shared extension for php
php73-iconv-7.3.4_1            The iconv shared extension for php
php73-json-7.3.4_1             The json shared extension for php
php73-mysqli-7.3.4_1           The mysqli shared extension for php
php73-opcache-7.3.4_1          The opcache shared extension for php
php73-openssl-7.3.4_1          The openssl shared extension for php
php73-pdo-7.3.4_1              The pdo shared extension for php
php73-pdo_sqlite-7.3.4_1       The pdo_sqlite shared extension for php
php73-phar-7.3.4_1             The phar shared extension for php
php73-posix-7.3.4_1            The posix shared extension for php
php73-session-7.3.4_1          The session shared extension for php
php73-simplexml-7.3.4_1        The simplexml shared extension for php
php73-sqlite3-7.3.4_1          The sqlite3 shared extension for php
php73-tokenizer-7.3.4_1        The tokenizer shared extension for php
php73-xml-7.3.4_1              The xml shared extension for php
php73-xmlreader-7.3.4_1        The xmlreader shared extension for php
php73-xmlrpc-7.3.4_1           The xmlrpc shared extension for php
php73-xmlwriter-7.3.4_1        The xmlwriter shared extension for php
php73-xsl-7.3.4_1              The xsl shared extension for php
php73-zip-7.3.4_1              The zip shared extension for php
php73-zlib-7.3.4_1             The zlib shared extension for php
apache24-2.4.39 

אין דעם בייַשפּיל, לאַבעלס וועט זיין שטעלן אין חשבון די דיפּענדאַנסיז פון די פּאַקאַדזשאַז. דאָך, איר קענען טאָן דאָס סימפּלער: פֿאַר די /usr/local/lib טעקע און די טעקעס אין דעם וועגווייַזער, שטעלן די מלס/נידעריק לאַבעלס און סאַבסאַקוואַנט אינסטאַלירן פּאַקאַדזשאַז (פֿאַר בייַשפּיל, נאָך יקסטענשאַנז פֿאַר פפּ) קענען אַקסעס די לייברעריז אין דעם וועגווייַזער, אָבער עס מיינט בעסער צו מיר צושטעלן אַקסעס בלויז צו די נייטיק טעקעס. האַלטן טורמע און שטעלן mls / הויך לאַבעלס אויף אַלע טעקעס:

setfmac -R mls/high /jail

ווען באַשטעטיקן מאַרקס, דער פּראָצעס וועט זיין סטאַפּט אויב setfmac ינקאַונטערז שווער פֿאַרבינדונגען, אין מיין בייַשפּיל איך אויסגעמעקט שווער פֿאַרבינדונגען אין די פאלגענדע דיירעקטעריז:

/var/db/etcupdate/current/
/var/db/etcupdate/current/etc
/var/db/etcupdate/current/usr/share/openssl/man/en.ISO8859-15
/var/db/etcupdate/current/usr/share/man/en.ISO8859-15
/var/db/etcupdate/current/usr/share/man/en.UTF-8
/var/db/etcupdate/current/usr/share/nls
/etc/ssl
/usr/local/etc
/usr/local/etc/fonts/conf.d
/usr/local/openssl

נאָך די לאַבעלס זענען באַשטימט, איר דאַרפֿן צו שטעלן די מלס / נידעריק לאַבעלס פֿאַר אַפּאַטשי, דער ערשטער זאַך איר דאַרפֿן צו טאָן איז צו געפֿינען וואָס טעקעס זענען דארף צו אָנהייבן אַפּאַטשי:

ldd /usr/local/sbin/httpd

נאָך עקסאַקיוטינג דעם באַפֿעל, די דעפּענדאַנסיז וועט זיין געוויזן אויף דעם עקראַן, אָבער באַשטעטיקן די נייטיק לאַבעלס אויף די טעקעס וועט נישט זיין גענוג, ווייַל די דירעקטעריז אין וואָס די טעקעס זענען ליגן האָבן די מלס / הויך פירמע, אַזוי די דירעקטעריז מוזן אויך זיין מיטן נאָמען. mls/low. ווען איר אָנהייב, אַפּאַטשי וועט אויך אַרויספירן די טעקעס וואָס זענען נייטיק צו לויפן עס, און פֿאַר php די דיפּענדאַנסיז קענען זיין געפֿונען אין די httpd-error.log קלאָץ.

setfmac mls/low /
setfmac mls/low /usr/local/lib/libpcre.so.1
setfmac mls/low /usr/local/lib/libaprutil-1.so.0
setfmac mls/low /usr/local/lib/libdb-5.3.so.0
setfmac mls/low /usr/local/lib/libgdbm.so.6
setfmac mls/low /usr/local/lib/libexpat.so.1
setfmac mls/low /usr/local/lib/libapr-1.so.0
setfmac mls/low /lib/libcrypt.so.5
setfmac mls/low /lib/libthr.so.3
setfmac mls/low /lib/libc.so.7
setfmac mls/low /usr/local/lib/libintl.so.8
setfmac mls/low /var
setfmac mls/low /var/run
setfmac mls/low /var/log
setfmac mls/low /var/log/httpd-access.log
setfmac mls/low /var/log/httpd-error.log
setfmac mls/low /var/run/httpd.pid
setfmac mls/low /lib
setfmac mls/low /lib/libcrypt.so.5
setfmac mls/low /usr/local/lib/db5/libdb-5.3.so.0
setfmac mls/low /usr/local/lib/db5/libdb-5.3.so.0.0.0
setfmac mls/low /usr/local/lib/db5
setfmac mls/low /usr/local/lib
setfmac mls/low /libexec
setfmac mls/low /libexec/ld-elf.so.1
setfmac  mls/low /dev
setfmac  mls/low /dev/random
setfmac  mls/low /usr/local/libexec
setfmac  mls/low /usr/local/libexec/apache24
setfmac  mls/low /usr/local/libexec/apache24/*
setfmac  mls/low /etc/pwd.db
setfmac  mls/low /etc/passwd
setfmac  mls/low /etc/group
setfmac  mls/low /etc/
setfmac  mls/low /usr/local/etc
setfmac -R mls/low /usr/local/etc/apache24
setfmac mls/low /usr
setfmac mls/low /usr/local
setfmac mls/low /usr/local/sbin
setfmac mls/low /usr/local/sbin/*
setfmac -R mls/low /usr/local/etc/rc.d/
setfmac mls/low /usr/local/sbin/htcacheclean
setfmac mls/low /var/log/httpd-access.log
setfmac mls/low /var/log/httpd-error.log
setfmac -R mls/low /usr/local/www
setfmac mls/low /usr/lib
setfmac mls/low /tmp
setfmac -R mls/low /usr/local/lib/php
setfmac -R mls/low /usr/local/etc/php
setfmac mls/low /usr/local/etc/php.conf
setfmac mls/low /lib/libelf.so.2
setfmac mls/low /lib/libm.so.5
setfmac mls/low /usr/local/lib/libxml2.so.2
setfmac mls/low /lib/libz.so.6
setfmac mls/low /usr/lib/liblzma.so.5
setfmac mls/low /usr/local/lib/libiconv.so.2
setfmac mls/low /usr/lib/librt.so.1
setfmac mls/low /lib/libthr.so.3
setfmac mls/low /usr/local/lib/libpng16.so.16
setfmac mls/low /usr/lib/libbz2.so.4
setfmac mls/low /usr/local/lib/libargon2.so.0
setfmac mls/low /usr/local/lib/libpcre2-8.so.0
setfmac mls/low /usr/local/lib/libsqlite3.so.0
setfmac mls/low /usr/local/lib/libgd.so.6
setfmac mls/low /usr/local/lib/libjpeg.so.8
setfmac mls/low /usr/local/lib/libfreetype.so
setfmac mls/low /usr/local/lib/libfontconfig.so.1
setfmac mls/low /usr/local/lib/libtiff.so.5
setfmac mls/low /usr/local/lib/libwebp.so.7
setfmac mls/low /usr/local/lib/libjbig.so.2
setfmac mls/low /usr/lib/libssl.so.8
setfmac mls/low /lib/libcrypto.so.8
setfmac mls/low /usr/local/lib/libzip.so.5
setfmac mls/low /etc/resolv.conf

די רשימה כּולל mls / נידעריק טאַגס פֿאַר אַלע טעקעס וואָס זענען נייטיק פֿאַר די ריכטיק אָפּעראַציע פון ​​די אַפּאַטשי און פפּ קאָמבינאַציע (פֿאַר די פּאַקאַדזשאַז וואָס זענען אינסטאַלירן אין מיין בייַשפּיל).

די לעצט פאַרבינדן וועט זיין צו קאַנפיגיער טורמע צו לויפן אויף די מלס / גלייַך מדרגה, און אַפּאַטשי אויף די מלס / נידעריק מדרגה. צו אָנהייבן טורמע, איר דאַרפֿן צו מאַכן ענדערונגען צו די /etc/rc.d/jail שריפט, געפֿינען די jail_start פאַנגקשאַנז אין דעם שריפט, טוישן די באַפֿעל בייַטעוודיק צו די פאָרעם:

command="setpmac mls/equal $jail_program"

די setpmac באַפֿעל לויפט די עקסעקוטאַבלע טעקע אויף די פארלאנגט פיייקייט מדרגה, אין דעם פאַל mls/equal, אין סדר צו האָבן אַקסעס צו אַלע לאַבעלס. אין אַפּאַטשי איר דאַרפֿן צו רעדאַגירן די סטאַרטאַפּ שריפט /usr/local/etc/rc.d/apache24. טוישן די apache24_prestart פונקציע:

apache24_prestart() {
        apache24_checkfib
        apache24_precmd
        eval "setpmac mls/low" ${command} ${apache24_flags}
}

В באַאַמטער דער מאַנואַל כּולל אן אנדער בייַשפּיל, אָבער איך קען נישט נוצן עס ווייַל איך האָב באַקומען אַ אָנזאָג וועגן די ינאַביליטי צו נוצן די setpmac באַפֿעל.

רעזולטאַט

דער אופֿן פון דיסטריביוטינג אַקסעס וועט לייגן אַן נאָך זיכערהייט מדרגה צו אַפּאַטשי (כאָטש דעם אופֿן איז פּאַסיק פֿאַר קיין אנדערע אָנלייגן), וואָס אין אַדישאַן לויפט אין אַ טורמע, אין דער זעלביקער צייט, פֿאַר די אַדמיניסטראַטאָר אַלע דעם וועט פּאַסירן טראַנספּעראַנט און אַננאָטיסאַבלי.

רשימה פון מקורים וואָס געהאָלפֿן מיר אין שרייבן דעם ויסגאַבע:

https://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/mac.html

מקור: www.habr.com