| |
При первой загрузке вашего нового RSBAC ядра с AUTH-моделью не забудьте передать ядру параметр rsbac_auth_enable_login, например в приглашении lilo:
В процессе загрузки вы увидете некоторые сообщения RSBAC от rsbac_init()-подобных. Также будут встречаться ошибки подобные 'xyz could not be read, error RSBAC_ENOTFOUND'. Эти (теперь уже) безвредные ошибки указывают на то, что просто нет никаких Access Control Information (ACI) файлов, так как вы еще не установили никаких атрибутов. Они необходимы в случае, если список атрибутов потерялся из-за некоторого отказа системы, для уведомления об этом администратора при перезагрузке. Некоторые списки создаются сами, для обеспечения работоспособности системы, но они не будут сохранены, пока вы сами не внесете в них изменения.
Если вы включили AUTH в список выбранных вами моделей, некоторые серверные процессы попробуют установить setuid и получат отказ. Это демонстрирует, что AUTH прекрасно функционирует: у них нет права на установку setuid без допуска. Одной из ваших первых административных задач является установка требуемой AUTH-совместимости для серверных процессов, например с rsbac_fd_menu. Для этого достаточно зарегистрироваться в системе как пользователь 400 (с.а.), вызвать rsbac_fd_menu <имя-исполняемого-файла-серверного-процесса> и вы сможете задать через меню пункты AUTH-совместимости. Необходимые ID пользователя можно найти в журнале регистрации событий системы, ищите запросы на CHANGE_OWNER которые NOT_GRANTED и используйте значения их атрибутов.
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |