[ новости /+++ | форум | теги | ]

Каталог документации / Раздел "Безопасность" / Оглавление документа

Вероятные Проблемы/Maintenance Mode

Если ваша система стала недоступна, или вы хотите произвести резервное копирование без ограничений доступа, вы должны создать ремонтное ядро. Весь контроль доступа в этом ядре находится в незадействованном состоянии, так что все пользователи могут менять установки без ограничений.

С v1.1.1 введен параметр 'Soft Mode', который позволит вам отключить проверку доступа во время работы без перезагрузки системы. Пожалуйста, пользуйтесь этой функцией с чрезвычайной осторожностью, так как это может привести к возникновению огромных дыр в защите!

Для того, чтобы начать пользоваться Maintenance Mode вам достаточно включить эту возможность в конфигурации RSBAC-ядра. Такое ядро должно быть установлено при помощи lilo дополнительно к первому ядру, чтобы дать вам в дальнейшем возможность выбора. В таком ядре желательно удалить поддержку сети, чтобы обезопасить систему от появления дыр в защите в процессе обслуживания.

В версиях RSBAC до 1.0.9а, если при загрузке вы получаете сообщения rsbac_init(): User ACI could not be read и система не загружается, значит стандартный useraci-файл не годится для вашей системы. Это обычно случается на не-i386 системах. В таком случае вы должны загрузить систему с ремонтным ядром RSBAC (см.ниже). Затем вы можете настроить роли и т.п. как обычный пользователь, например используя сценарий оболочки user_aci.sh из каталога инструментария администратора. Если что-то все еще не работает, то обратитесь за поддержкой в лист рассылки RSBAC (http://www.rsbac.org/contact.htm) или лист рассылки дистрибутива Castle (http://www.altlinux.ru/mailman/listinfo/castle).

В RSBAC версии 1.1.0 имеется ошибка в установках по умолчанию для ACL-модели, препятствующие выполнению некоторых файлов. Пожалуйста убедитесь, что вы приложили исправление для нее (http://www.rsbac.org/bugfixes/).

Если задействован AUTH-модуль, то вы не сможете зарегистрироваться в системе пока программа регистрации пользователей в системе не имеет достаточных прав для смены признака владельца процесса (setuid). Вы можете загрузить систему передав ядру параметр rsbac_auth_enable_login для предоставления полного setuid-допуска для /bin/login. Как только будет установлена и сконфигурирована правильная аутентификация вы сможете это отключить.

Также, при задействованном AUTH, некоторые серверные процессы могут функционировать не так как надо, так как получение setuid для них запрещено. В этом случае офицер безопасности (secoff, id 400) должен назначить программе серверного процесса AUTH-совместимость для целевого пользователя. Вы с легкостью обнаружите такие случаи в журнале регистрации событий системы: CHANGE_OWNER-запрос идентификатора серверного процесса, признак владельца, attr_val xyz будут возвращать NOT_GRANTED. Возьмите uid xyz и установите совместимость при помощи rsbac_fd_menu имя_файла.

Партнёры:

Хостинг: