A.1.1. Коробочная версия

FreeBSD доступна в коробочной версии (FreeBSD CD диски, дополнительное программное обеспечение, печатная документация) от нескольких поставщиков:

CompUSA

    WWW: http://www.compusa.com/

  

    Frys Electronics

    WWW: 

  

A.1.2. Наборы CD и DVD

Наборы FreeBSD CD и DVD доступны у множества онлайн поставщиков:

  Daemon News Mall

  560 South State Street, Suite A2

  Orem, UT 84058

  США

  Телефон: +1 800 407-5170

  Факс: +1 1 801 765-0877

  Email: sales@bsdmall.com>

  WWW: http://www.bsdmall.com/freebsd1.html

  FreeBSD Mall, Inc.

  3623 Sanford Street

  Concord, CA  94520-1405

  США

  Телефон: +1 925 674-0783

  Факс: +1 925 674-0821

  Email: info@freebsdmall.com>

  WWW: 

  FreeBSD Services Ltd

  11 Lapwing Close

  Bicester

  OX26 6XR

  Великобритания

  WWW: 

  Hinner EDV

  St. Augustinus-Str. 10

  D-81825 München

  Германия

  Телефон: (089) 428 419

  WWW: http://www.hinner.de/linux/freebsd.html

  Ikarios

  22-24 rue Voltaire

  92000 Nanterre

  Франция

  WWW: 

  Ingram Micro

  1600 E. St. Andrew Place

  Santa Ana, CA  92705-4926

  США

  Телефон: 1 (800) 456-8000

  WWW: 

  JMC Software

  Ирландия

  Телефон: 353 1 6291282

  WWW: 

  The Linux Emporium

  Hilliard House, Lester Way

  Wallingford

  OX10 9TA

  Великобритания

  Телефон: +44 1491 837010

  Факс: +44 1491 837016

  WWW: http://www.linuxemporium.co.uk/products/freebsd/

  Linux System Labs Australia

  21 Ray Drive

  Balwyn North

  VIC - 3104

  Австралия

  Телефон: +61 3 9857 5918

  Факс: +61 3 9857 8974

  WWW: 

  LinuxCenter.Ru

  ул. Галерная, 55

  Санкт-Петербург

  190000

  Россия

  Телефон: +7-812-3125208

  Email: info@linuxcenter.ru>

  WWW: 

  UNIXDVD.COM LTD

  57 Primrose Avenue

  Sheffield

  S5 6FS

  Великобритания

  WWW: 

A.1.3. Распространители

Если вы продавец и хотите заниматься FreeBSD CDROM, пожалуйста свяжитесь с распространителем:

    Cylogistics

    2672 Bayshore Parkway, Suite 610

    Mountain View, CA 94043

    США

    Телефон: +1 650 694-4949

    Факс: +1 650 694-4953

    Email: sales@cylogistics.com>

    WWW: http://www.cylogistics.com/

  

    FreeBSD Services Ltd

    11 Lapwing Close

    Bicester

    OX26 6XR

    Великобритания

    WWW: http://www.freebsd-services.com/

  

    Kudzu, LLC

    7375 Washington Ave. S.

    Edina, MN 55439

    США

    Телефон: +1 952 947-0822

    Факс: +1 952 947-0876

    Email: sales@kudzuenterprises.com>

  

    LinuxCenter.Ru

    ул. Галерная, 55

    Санкт-Петербург

    190000

    Россия

    Телефон: +7-812-3125208

    Email: info@linuxcenter.ru>

    WWW: http://linuxcenter.ru/freebsd

  

    Navarre Corp

    7400 49th Ave South

    New Hope, MN 55428

    США

    Телефон: +1 763 535-8333

    Факс: +1 763 535-0341

    WWW: http://www.navarre.com/

  

A.2. FTP сайты

Официальным источником FreeBSD являются анонимные FTP зеркала по всему миру. Сайт ftp://ftp.FreeBSD.org/pub/FreeBSD/ имеет хорошее подключение и поддерживает большое количество одновременных соединений, но для вас возможно потребуется найти ``ближайшее'' зеркало (особенно если вы решили настроить у себя какой-то из видов зеркал).

предпочтительнее по сравнению со списком зеркал в Руководстве, поскольку информация в базе собирается из DNS, а не из статического списка узлов.

Кроме того, FreeBSD доступна через анонимный FTP со следующих зеркал. Если вы выбрали получение FreeBSD через анонимный FTP, пожалуйста выберите ближайший к вам сайт. Зеркала из списка ``Основных зеркал'' обычно содержат полный архив FreeBSD (все доступные на данный момент версии для каждой архитектуры), скорость загрузки возможно будет больше с зеркала, расположенного в вашей стране или регионе. Сайты каждой страны содержат последнюю версию для наиболее популярных архитектур, но на них может не быть полного архива FreeBSD. Все сайты предоставляют доступ через анонимный FTP, а некоторые предоставляют доступ и другими методами. Для каждого сайта приведен список методов доступа в скобках после имени хоста.

, Основные зеркала, Indonesia, Австралия, Австрия, Аргентина, Бразилия, Великобритания, , Германия, Гонконг, Греция, Дания, Ирландия, Исландия, Испания, Италия, Канада, Китай, Корея, Литва, Нидерланды, Норвегия, Польша, Португалия, Россия, Румыния, США, Саудовская Аравия, Сингапур, Словацкая Республика, Словения, Тайвань, Турция, Украина, Финляндия, Франция, Хорватия, Чехия, Швейцария, Швеция, Эстония, Южная Африка, Япония.

(as of 2004/09/30 09:40:24 UTC)

Центральные серверы

(ftp)

Основные зеркала

В случае проблем пожалуйста свяжитесь с администратором mirror-admin@FreeBSD.org> этого домена.

(ftp)

(ftp)

(ftp)

(ftp)

(ftp)

(ftp)

(ftp)

(ftp)

(ftp)

(ftp)

(ftp)

(ftp)

(ftp)

(ftp)

Indonesia

В случае проблем пожалуйста свяжитесь с администратором hostmaster@id.FreeBSD.org> этого домена.

(ftp / http / rsync)

Австралия

В случае проблем пожалуйста свяжитесь с администратором hostmaster@au.FreeBSD.org> этого домена.

(ftp)

(ftp)

(ftp)

Австрия

В случае проблем пожалуйста свяжитесь с администратором hostmaster@at.FreeBSD.org> этого домена.

(ftp / http)

(ftp / http / rsync)

Аргентина

В случае проблем пожалуйста свяжитесь с администратором hostmaster@ar.FreeBSD.org> этого домена.

(ftp)

Бразилия

В случае проблем пожалуйста свяжитесь с администратором hostmaster@br.FreeBSD.org> этого домена.

(ftp / http)

(ftp)

(ftp / rsync)

(ftp)

(ftp)

(ftp)

(ftp)

Великобритания

В случае проблем пожалуйста свяжитесь с администратором hostmaster@uk.FreeBSD.org> этого домена.

(ftp)

(ftp / http / rsync)

(ftp)

(ftp)

(ftp)

(ftp)

Венгрия

В случае проблем пожалуйста свяжитесь с администратором mohacsi@ik.bme.hu> этого домена.

(ftp / http / rsync)

(ftp)

Германия

В случае проблем пожалуйста свяжитесь с администратором de-bsd-hubs@de.FreeBSD.org >

этого домена.

(ftp)

(ftp / http / rsync)

(ftp)

(ftp / http / rsync)

(ftp)

(ftp)

(ftp / http)

(ftp)

Гонконг

(ftp)

Греция

В случае проблем пожалуйста свяжитесь с администратором hostmaster@gr.FreeBSD.org> этого домена.

(ftp)

(ftp)

Дания

В случае проблем пожалуйста свяжитесь с администратором hostmaster@dk.FreeBSD.org> этого домена.

(ftp / ftpv6 / http)

(ftp)

Ирландия

В случае проблем пожалуйста свяжитесь с администратором hostmaster@ie.FreeBSD.org> этого домена.

(ftp)

(ftp / http / rsync)

(ftp / http / rsync)

Исландия

В случае проблем пожалуйста свяжитесь с администратором hostmaster@is.FreeBSD.org> этого домена.

(ftp / rsync)

Испания

В случае проблем пожалуйста свяжитесь с администратором hostmaster@es.FreeBSD.org> этого домена.

(ftp)

(ftp)

(ftp)

Италия

В случае проблем пожалуйста свяжитесь с администратором hostmaster@it.FreeBSD.org> этого домена.



(ftp)

Канада

В случае проблем пожалуйста свяжитесь с администратором hostmaster@ca.FreeBSD.org> этого домена.

(ftp)

(ftp)

Китай

В случае проблем пожалуйста свяжитесь с администратором phj@cn.FreeBSD.org> этого домена.

(ftp)

(ftp)

Корея

В случае проблем пожалуйста свяжитесь с администратором hostmaster@kr.FreeBSD.org> этого домена.

(ftp / rsync)

(ftp)

Литва

В случае проблем пожалуйста свяжитесь с администратором hostmaster@lt.FreeBSD.org> этого домена.

(ftp)

Нидерланды

В случае проблем пожалуйста свяжитесь с администратором hostmaster@nl.FreeBSD.org> этого домена.

(ftp / http / rsync)

(ftp)

Норвегия

В случае проблем пожалуйста свяжитесь с администратором hostmaster@no.FreeBSD.org> этого домена.

(ftp / rsync)

(ftp)

Польша

В случае проблем пожалуйста свяжитесь с администратором hostmaster@pl.FreeBSD.org> этого домена.

(ftp)

(ftp)

(ftp)

(ftp)

Португалия

В случае проблем пожалуйста свяжитесь с администратором hostmaster@pt.FreeBSD.org> этого домена.

(ftp)

(ftp)

(ftp)

Россия

В случае проблем пожалуйста свяжитесь с администратором hostmaster@ru.FreeBSD.org> этого домена.

(ftp)

(ftp / http / rsync)

(ftp)

(ftp)

Румыния

В случае проблем пожалуйста свяжитесь с администратором hostmaster@ro.FreeBSD.org> этого домена.

(ftp)

(ftp / ftpv6)

США

В случае проблем пожалуйста свяжитесь с администратором hostmaster@us.FreeBSD.org> этого домена.

(ftp)

(ftp)

(ftp)

(ftp / ftpv6)

(ftp / rsync)

(ftp / http)

(ftp / http / rsync)

(ftp)

(ftp / http)

(ftp)

(ftp)

(ftp / rsync)

(ftp / http / rsync)

(ftp)

(ftp)

Саудовская Аравия

В случае проблем пожалуйста свяжитесь с администратором ftpadmin@isu.net.sa> этого домена.

(ftp)

Сингапур

В случае проблем пожалуйста свяжитесь с администратором hostmaster@sg.FreeBSD.org> этого домена.

(ftp / http / rsync)

Словацкая Республика

В случае проблем пожалуйста свяжитесь с администратором hostmaster@sk.FreeBSD.org> этого домена.



(ftp)

Словения

В случае проблем пожалуйста свяжитесь с администратором hostmaster@si.FreeBSD.org> этого домена.

(ftp)

(ftp)

Тайвань

В случае проблем пожалуйста свяжитесь с администратором hostmaster@tw.FreeBSD.org> этого домена.

(ftp)

(ftp / http / rsync)

(ftp)

(ftp)

(ftp)

(ftp / http)

(ftp)

(ftp)

(ftp)

(ftp)

(ftp / http)

(ftp)

(ftp)

(ftp)

(ftp)

Турция

(ftp)

Украина

(ftp)

(ftp)

(ftp)

(ftp)

(ftp)

(ftp)

(ftp)

Финляндия

В случае проблем пожалуйста свяжитесь с администратором hostmaster@fi.FreeBSD.org> этого домена.

(ftp)

(ftp)

Франция

В случае проблем пожалуйста свяжитесь с администратором hostmaster@fr.FreeBSD.org> этого домена.

(ftp)

(ftp)

(ftp)

(ftp)

(ftp)

(ftp)

Хорватия

В случае проблем пожалуйста свяжитесь с администратором hostmaster@hr.FreeBSD.org> этого домена.

(ftp)

Чехия

В случае проблем пожалуйста свяжитесь с администратором hostmaster@cz.FreeBSD.org> этого домена.

(ftp / http / rsync)

Швейцария

В случае проблем пожалуйста свяжитесь с администратором hostmaster@ch.FreeBSD.org> этого домена.

(ftp)

(ftp)

Швеция

В случае проблем пожалуйста свяжитесь с администратором hostmaster@se.FreeBSD.org> этого домена.

(ftp)

(ftp)

(ftp)

(ftp / http / rsync)

Эстония

В случае проблем пожалуйста свяжитесь с администратором hostmaster@ee.FreeBSD.org> этого домена.

(ftp)

Южная Африка

В случае проблем пожалуйста свяжитесь с администратором hostmaster@za.FreeBSD.org> этого домена.

(ftp)

(ftp)

(ftp)

(ftp)

Япония

В случае проблем пожалуйста свяжитесь с администратором hostmaster@jp.FreeBSD.org> этого домена.

(ftp)

(ftp)

(ftp)

(ftp)

(ftp)

(ftp)

(ftp)

(ftp)

(ftp)

A.7. AFS сайты

AFS серверы для FreeBSD работают на следующих сайтах:

Швеция

Часть файлов: /afs/stacken.kth.se/ftp/pub/FreeBSD/

stacken.kth.se # Stacken Computer Club, KTH, Sweden 130.237.234.43 #hot.stacken.kth.se 130.237.237.230 #fishburger.stacken.kth.se 130.237.234.3 #milko.stacken.kth.se

Ответственный ftp@stacken.kth.se>

A.8. rsync сайты

Следующие сайты организуют доступ к FreeBSD через протокол rsync Утилита rsync работает в основном тем же путем, что и команда rcp(1), но поддерживает больше параметров и использует протокол удаленного обновления rsync, который передает только разницу между двумя наборами файлов, что значительно повышает скорость синхронизации по сети. Это особенно полезно, если вы поддерживаете зеркало сервера FreeBSD FTP, или репозитория CVS. Пакет rsync доступен для многих операционных систем, в FreeBSD используйте порт net/rsync или пакет.

Чешская республика

rsync://ftp.cz.FreeBSD.org/

Доступные коллекции:

ftp: Частичное зеркало FreeBSD FTP сервера.

FreeBSD: Полное зеркало FreeBSD FTP сервера.

Германия

rsync://grappa.unix-ag.uni-kl.de/

Доступные соединения:

freebsd-cvs: Полный FreeBSD CVS репозиторий.

Этот компьютер помимо прочих также зеркалирует CVS репозитории проектов NetBSD и OpenBSD.

Нидерланды

rsync://ftp.nl.FreeBSD.org/

Доступные коллекции:

vol/3/freebsd-core: Полное зеркало FreeBSD FTP сервера.

Великобритания

rsync://rsync.mirror.ac.uk/

Доступные коллекции:

ftp.FreeBSD.org: Полное зеркало FreeBSD FTP сервера.

Соединенные Штаты Америки

rsync://ftp-master.FreeBSD.org/

Этот сервер может использоваться только основными зеркалами FreeBSD.

Доступные коллекции:

FreeBSD: Основной архив FreeBSD FTP сервера.

acl: Основной ACL список FreeBSD.

rsync://ftp13.FreeBSD.org/

Доступные коллекции:

FreeBSD: Полное зеркало FreeBSD FTP сервера.

Базовая конфигурация

Изначально, вы можете отправлять почту ``во внешний мир'' если правильно составлен файл /etc/resolv.conf или запущен свой сервер имен. Если вы хотите, чтобы почта, предназначенная для хоста в вашем домене, доставлялась MTA (например, sendmail) на вашем хосте FreeBSD, есть два пути:

Запустите свой собственный сервер DNS, тем самым организовав собственный домен, например, FreeBSD.org

Получайте почту для вашего хоста непосредственно. Это работает при доставке почты непосредственно на DNS имя вашей машины. Например, example.FreeBSD.org.

Независимо от выбранного из предложенных выше вариантов, для доставки почты непосредственно на ваш хост у него должен быть постоянный IP адрес (а не динамический, как у большинства PPP соединений). Если вы находитесь за брандмауэром, то последний должен пропускать SMTP-пакеты. Если вы хотите, чтобы почта приходила непосредственно на ваш хост, необходимо убедиться в одном из двух:

Убедитесь, что запись (с наименьшим номером) MX в DNS соответствует IP адресу вашего хоста.

Убедитесь, что в DNS для вашего хоста вообще отсутствует MX-запись.

Выполнение любого из перечисленных условий обеспечит доставку почты для вашего хоста.

Попробуйте это:

# hostname

example.FreeBSD.org # host example.FreeBSD.org

example.FreeBSD.org has address 204.216.27.XX

Если вы это видите, то можно без проблем посылать почту на yourlogin@example.FreeBSD.org>

(предполагается, что sendmail на example.FreeBSD.org работает правильно).

Однако, если вы видите это:

# host example.FreeBSD.org

example.FreeBSD.org has address 204.216.27.XX example.FreeBSD.org mail is handled (pri=10) by hub.FreeBSD.org

то вся почта, посланная на example.FreeBSD.org будет собираться на hub (для того же пользователя), вместо того, чтобы быть отосланной непосредственно на ваш хост.

Эта информация обрабатывается вашим DNS сервером. Соответствующая запись DNS, указывающая, через какой хост будет проходить ваша почта, называется MX (Mail eXchanger). Если для хоста отсутствует такая запись, почта будет приходить прямо на этот хост.

Допустим, что запись MX для хоста freefall.FreeBSD.org в какой-то момент выглядела так:

freefall MX 30 mail.crl.net freefall MX 40 agora.rdrop.com freefall MX 10 freefall.FreeBSD.org freefall MX 20 who.cdrom.com

Вы видите, что для хоста freefall существуют несколько MX-записей. Запись с наименьшим номером соответствует хосту, получающему почту непосредственно, если он доступен; если он недоступен по каким-то причинам, другие сервера (иногда называемые (``резервными MX'') временно получают почту, и хранят ее пока не станут доступны хосты с меньшими номерами, в конечном итоге отправляя почту на эти хосты.

Чтобы альтернативные MX-хосты использовались наиболее эффективно, они должны быть независимо подключены к Интернет. Ваш провайдер (или дружественный сайт) скорее всего без проблем сможет оказать подобные услуги.

Что не будет затронуто

В этой главе охвачен широкий спектр вопросов безопасности, относящихся к инфраструктуре MAC. однако разработка политик MAC не будет затронута. Несколько модулей, включенных в инфраструктуру MAC, имеют особые характеристики, которые предназначены для тестирования и разработки новых модулей. Это относится к модулям/политикам mac_test(4), mac_stub(4) и mac_none(4). За дальнейшей информацией по этим модулям и различным предоставляемым ими механизмам, обратитесь к соответствующим страницам справочника.

Доступ к локальным почтовым ящикам

Доступ к почтовым ящикам может быть осуществлен непосредственно путем использования MUA на сервере, где эти ящики расположены. Это можно сделать используя приложения вроде mutt или mail(1).

Доступ к удаленным почтовым ящикам по протоколам POP и IMAP

Для удаленного доступа к почтовым ящикам вам потребуется доступ к POP или IMAP серверу. Хотя удаленный доступ обеспечивают оба протокола POP и IMAP, последний предоставляет множество дополнительных возможностей, вот некоторые из них:

IMAP может как хранить сообщения на удаленном сервере, так и забирать их.

IMAP поддерживает одновременные обновления.

IMAP может быть очень полезен для низкоскоростных соединений, поскольку позволяет пользователям получить структуру сообщений без их загрузки; он также может использоваться для выполнения таких задач как поиск на сервере, для минимизации объема передаваемых между клиентом и сервером данных.

Для установки POP или IMAP сервера необходимо выполнить следующие действия:

Выберите IMAP или POP сервер, который подходит вам наилучшим образом. Следующие POP и IMAP серверы хорошо известны и могут быть приведены в качестве примера:

qpopper;

teapop;

imap-uw;

courier-imap;

Установите POP или IMAP даемон, выбранный из коллекции портов.

Если потребуется, настройте /etc/inetd.conf для запуска POP или IMAP

сервера.

Внимание: Необходимо отметить, что и POP и IMAP серверы передают информацию, включая имя пользователя и пароль, в незашифрованном виде. Это означает, что если вы хотите защитить передачу информации по этим протоколам, потребуется использовать тунеллирование сессий через ssh(1). Тунеллирование соединений описано в .

Другой пример: Использование MAC для защиты веб сервера

Будет создано отдельное хранилище для веб данных, к которому пользователи должны иметь доступ. Это позволит biba/high управлять доступом к веб данным.

Начните с создания каталога для хранения веб данных:

# mkdir /usr/home/cvs

Теперь инициализируйте его командой cvs:

# cvs -d /usr/home/cvs init

Для начала необходимо включить политику biba, добавив mac_biba_enable="YES" в /boot/loader.conf. Предполагается, что ядро скомпилировано с поддержкой MAC.

Далее установите метку biba/high для всей системы по умолчанию.

В файл login.conf, класс default, необходимо внести следующие изменения:

:ignoretime@:\ :umask=022:\ :label=biba/high:

Каждого пользователя необходимо поместить в класс по умолчанию; такая команда:

# for x in `awk -F: '($3 >= 1001) && ($3 != 65534) { print $1 }' \

/etc/passwd`; do pw usermod $x -L default; done;

быстро решит эту задачу.

Теперь создадим другой класс, web, копию класса default с меткой, установленной в biba/low.

Создайте пользователя для работы с основными веб данными, хранящимися в репозитории cvs. Этого пользователя необходимо поместить в новый класс, web.

Поскольку метка по умолчанию biba/high, на репозитории она будет той же. Веб данные должны иметь ту же метку, чтобы у пользователей был доступ к ним на чтение/запись. Веб сервер должен иметь доступ к тем же данным, к которым есть доступ у пользователей с меткой biba/high, для этого необходимо понизить метку данных.

Все, что потребуется, это следующий sh(1) скрипт, который может быть запущен из cron(8):

PATH=/bin:/usr/bin:/usr/local/bin; export PATH; CVSROOT=/home/repo; export CVSROOT; cd /home/web; cvs -qR checkout -P htdocs; exit;

Замечание: Во многих случаях в веб файлы cvs

необходимо поместить теги Id.

Этот скрипт теперь может быть помещен в домашний каталог каталог пользователя web, необходимо также добавить следующую запись crontab(1):

# Выполнять checkout web данных под меткой biba/low каждые 12 часов: 0 */12 * * * web /home/web/checkout.sh

Эта запись будет извлекать HTML страницы каждые двенадцать часов.

Метод запуска веб сервера по умолчанию также должен быть изменен для запуска процесса с меткой biba/low. Это может быть сделано путем следующего изменения в скрипте /usr/local/etc/rc.d/apache.sh:

command="setpmac biba/low /usr/local/sbin/httpd"

Настройки Apache должны быть изменены для работы с политикой biba/low. В этом случае необходимо указать для хранения лог файлов каталог с меткой biba/low, иначе будут возвращены ошибки ``access denied''.

Замечание: В этом примере необходимо указать в директиве docroot каталог /home/web/htdocs; или, Apache не сможет найти каталог с документами.

Необходимо также изменить другие параметры конфигурации, включая PID файл, Scoreboardfile, DocumentRoot, или любые другие настройки для каталогов, где необходим доступ на запись. При использовании biba будет запрещен доступ на запись во все каталоги сервера, на которых нет метки biba/low.

Email и DNS

Служба имен доменов (Domain Name System, DNS) и соответствующий ей даемон named играют важную роль в доставке почты. Для доставки почты с вашего сайта другому, даемон почтового сервера обратится к DNS для определения удаленного хоста, отвечающего за доставку почты по назначению. Тот же процесс происходит при доставке почты с удаленного хоста на ваш почтовый сервер.

DNS отвечает за сопоставления имен хостов IP адресам, как и за хранение информации, предназначенной для доставки почты, известной как MX записи. Запись MX (Mail eXchanger) определяет хост или хосты, которые будут получать почту для определенного домена. Если для вашего имени хоста или домена нет записи MX, почта будет доставлена непосредственно на ваш хост, IP адрес которого определен в записи A.

Вы можете просмотреть MX записи для любого домена с помощью команды host(1), как показано в примере ниже:

% host -t mx FreeBSD.org

FreeBSD.org mail is handled (pri=10) by mx1.FreeBSD.org

Error: _secure_path(3) cannot stat .login_conf

При попытке переключения от root на другого пользователя системы, появляется сообщение об ошибке ``_secure_path: unable to state .login_conf''.

Это сообщение обычно показывается, когда у пользователя более высокая метка, чем у пользователя, которым он пытается стать. Например, у пользователя системы joe метка по умолчанию biba/low. Пользователь root, метка которого biba/high, не может просматривать домашний каталог пользователя joe. Это не зависит от того, использует ли пользователь root команду su joe или нет. В этом сценарии модель целостности Biba не позволит root просматривать объекты с низким уровнем целостности.

Файл fstab

Файловые системы, перечисленные в /etc/fstab, монтируются автоматически в (если, конечно, для них не указана опция noauto).

Формат файла /etc/fstab следующий (файловые системы перечисляются построчно):

устройство /точка-монтирования тип файловой системы опции частота дампов порядок проверки

устройство

Имя устройства (которое должно присутствовать), как описано в Разд. 16.2.

точка монтирования

Каталог (существующий), куда следует смонтировать файловую систему.

тип файловой системы

Тип файловой системы, который передается программе mount(8). По умолчанию FreeBSD использует ufs.

опции

Например, rw для монтирования файловой системы в режиме ``чтение-запись'' или ro для режима ``только чтение'', за которыми могут следовать и другие опции. Довольно часто используется опция noauto, чтобы не монтировать автоматически файловые системы в процессе загрузки. Об остальных опциях можно прочитать в mount(8).

частота дампов

Используется утилитой dump(8) для определения файловых систем, с которых необходимо периодически снимать специальные архивные копии. При отсутствии этого параметра принимается равным нулю.

порядок проверки

Определяет порядок, в котором следует проверять файловые системы (чаще всего, в случае некорректного размонтирования или внезапной перезагрузки системы). Если файловую системы не нужно проверять, этот параметр должен быть установлен в ноль. Для корневой файловой системы (которая должна быть проверена в первую очередь) установите его в 1. Для всех остальных - 2 или больше. Если две или более файловые системы имеют одинаковое значение passno, fsck(8) попытается проверять их параллельно (если, конечно, это возможно физически).

FreeBSD 4.5-STABLE до 2002/4/4 и раньше (включая 4.5-RELEASE и более ранние)

Добавьте:

sendmail_enable="NO"

в /etc/rc.conf. Это отключит сервис входящей почты sendmail, но если /etc/mail/mailer.conf

(см. ниже) не изменен, sendmail все еще будет использоваться для отправки почты.

FreeBSD 4.5-STABLE до 2002/4/11 (включая 4.5-RELEASE и более ранние)

Добавьте в каталог /usr/local/etc/rc.d/, скрипт с расширением .sh и с правами выполнения пользователем root. Скрипт должен принимать параметры start и stop. Во время запуска системы он будет запущен командой

/usr/local/etc/rc.d/supermailer.sh start

которая также может использоваться для запуска сервера вручную Во время завершения работы системы, системные скрипты используют параметр stop, выполнив команду

/usr/local/etc/rc.d/supermailer.sh stop

которая также может использоваться для остановки почтового сервера при работающей системе.

FreeBSD 4.5-STABLE после 2002/4/4 (включая 4.6-RELEASE и более поздние)

Для полного отключения sendmail используйте

sendmail_enable="NONE"

в /etc/rc.conf.

Внимание: Если вы отключите сервис исходящей почты sendmail таким способом, необходимо заменить его полностью работоспособной альтернативной системой доставки почты. Если вы не сделаете этого, системные программы, такие как periodic(8), не смогут отправлять сообщения по электронной почте как обычно. Многие программы в вашей системе могут требовать наличия функционирующей sendmail-совместимой системы. Если приложения будут продолжать использовать программу sendmail, пытаясь отправить почту после отключения почтовой системы, почта может попасть в неактивную очередь sendmail и никогда не будет доставлена.

Если вы хотите отключить только сервис входящей почты sendmail, установите

sendmail_enable="NO"

в /etc/rc.conf. Дополнительная информация о параметрах запуска sendmail доступна на странице справочника rc.sendmail(8).

FreeBSD 4.5-STABLE после 2002/4/11 (включая 4.6-RELEASE и более поздние)

С более поздними версиями FreeBSD, вы можете использовать метод, описанный выше, или добавить строку

mta_start_script="filename"

в /etc/rc.conf, где filename

это имя скрипта, который вы хотите выполнить при загрузке для запуска MTA.

Использование fetchmail

Предоставил Marc Silver.

fetchmail это полноценный IMAP и POP клиент, позволяющий пользователям автоматически загружать почту с удаленных серверов IMAP и POP в локальные почтовые ящики; так доступ к почтовым ящикам упрощается. fetchmail может быть установлен из порта mail/fetchmail и предоставляет различные возможности, в том числе:

Поддержка протоколов POP3, APOP, KPOP, IMAP, ETRN и ODMR.

Возможность пересылки почты через SMTP, что позволяет использовать функции фильтрации, перенаправления и синонимов.

Может быт запущен в режиме даемона для периодической проверки поступающих сообщений.

Может забирать почту с нескольких почтовых ящиков и рассылать ее различным локальным пользователям в зависимости от настроек.

Описание всех возможностей fetchmail выходит за пределы этой главы, за дополнительной информацией обратитесь к документации по fetchmail. Утилита fetchmail требует наличия файла настройки .fetchmailrc. Этот файл включает информацию о сервере, а также информацию для аутентификации. Поскольку этот файл содержит важную информацию, правильно будет сделать его доступным для чтения только владельцем с помощью следующей команды:

% chmod 600 .fetchmailrc

В следующем примере файл .fetchmailrc предназначен для загрузки одного почтового ящика по протоколу POP. Этот файл указывает fetchmail соединиться с example.com с именем пользователя joesoap и паролем XXX. В примере подразумевается, что пользователь joesoap существует также и в локальной системе.

poll example.com protocol pop3 username "joesoap" password "XXX"

В следующем примере производится подключение к нескольким POP и IMAP серверам, при необходимости почта перенаправляется другим локальным пользователям:

poll example.com proto pop3: user "joesoap", with password "XXX", is "jsoap" here; user "andrea", with password "XXXX"; poll example2.net proto imap: user "john", with password "XXXXX", is "myth" here;

Утилита fetchmail может работать в режиме даемона с флагом -d, заданным с интервалом (в секундах), через который fetchmail должен опрашивать серверы, перечисленные в .fetchmailrc. В следующем примере fetchmail будет забирать почту каждые 60 секунд:

% fetchmail -d 60

Дополнительную информацию о fetchmail можно найти на сайте .

Использование электронной почты

В работе почтовой системы задействованы пять основных частей: пользовательский почтовый клиент (Mail User Agent, MUA), (Mail Transfer Agent, MTA), , удаленный или локальный почтовый ящик, и конечно сам .

Использование procmail

Предоставил Marc Silver.

Утилита procmail это невероятно мощное приложение, используемое для фильтрации входящей почты. Она позволяет пользователям определять ``правила'', которые могут быть сопоставлены входящим письмам для выполнения определенных действий или для перенаправления почты в альтернативные почтовые ящики и/или на почтовые адреса. procmail может быть установлен с помощью порта mail/procmail. После установки он может быть непосредственно интегрирован в большинство MTA; сверьтесь с документацией на ваш MTA. Другой способ интеграции procmail - добавление в файл .forward, находящийся в домашнем каталоге пользователя, следующей строки:

"|exec /usr/local/bin/procmail exit 75"

В этом разделе будут показаны основы настройки правил procmail, а также краткое описание их действия. Эти и другие правила должны быть помещены в файл .procmailrc, который должен находиться в домашнем каталоге пользователя.

Большую часть этих правил также можно найти на странице справочника

procmailex(5).

Перенаправление всей почты от user@example.com на внешний адрес goodmail@example2.com:

:0 * ^From.*user@example.com ! goodmail@example2.com

Перенаправление всей почты объемом меньше 1000 байт на внешний адрес goodmail@example2.com:

:0 * < 1000 ! goodmail@example2.com

Перенаправление всей почты, отправляемой на alternate@example.com, в почтовый ящик alternate:

:0 * ^TOalternate@example.com alternate

Перенаправление всей почты с ``Spam'' в /dev/null:

:0 ^Subject:.*Spam /dev/null

Полезный пример, обрабатывающий входящую почту со списков рассылки FreeBSD.org и помещающий каждый список в отдельный почтовый ящик.

:0 * ^Sender:.owner-freebsd-\/[^@]+@FreeBSD.ORG { LISTNAME=${MATCH} :0 * LISTNAME??^\/[^@]+ FreeBSD-${MATCH} }

Канонический способ обновления вашей системы

Для обновления вашей системы вы должны воспользоваться следующей процедурой:

# make buildworld

# make buildkernel

# make installkernel

# reboot

Вы должны загрузиться в однопользовательский режим (например, по команде boot -s из приглашения загрузчика). Затем выполните:

# mergemaster -p

# make installworld

# mergemaster

# reboot

Прочтите более полное описание: Описанная выше последовательность является только краткой выжимкой для того, чтобы помочь вам начать. Вы должны всё же прочесть последующие разделы для полного понимания каждого шага, особенно если собираетесь использовать собственную конфигурацию ядра.

Ключевые термины этой главы

Перед чтением этой главы необходимо ознакомиться с некоторыми ключевыми терминами. Это возможно разрешит возникающие вопросы и предотвратит перегрузку материала новыми терминами и информацией.

отдел (compartment): Отдел это набор программ и данных, которые необходимо отделить, и где пользователи получают явный доступ к отдельным компонентам системы. Отдел представляет группирование, например рабочую группу, департамент, проект или тему. С использованием отделов возможна реализация политики с явно определенным доступом.

целостность (integrity): Целостность, как ключевая концепция, это уровень доверия, который может быть присвоен данным. Поскольку целостность данных повышается, это дает возможность доверять данным.

метка (label): Метка является инструментом безопасности, она может быть применена к файлам, каталогам и другим сущностям системы. Ее можно представить как штамп конфиденциальности; метка, помещенная на файл, описывает уровень секретности данного файла и разрешит доступ только файлам, пользователям, ресурсам и т.д. с теми же или меньшими установками безопасности. Некоторые из политик могут обрабатывать метки различными способами; это будет обсуждаться в разделе политик ниже.

multilabel (множественные метки): свойство multilabel это параметр файловой системы, который может быть установлен в однопользовательском режиме с помощью утилиты tunefs(8), во время загрузки через файл fstab(5), или при создании новой файловой системы. Этот параметр позволяет администратору помещать различные метки MAC на различные объекты. разрешает помещение множественных MAC меток на файлы и каталоги файловой системы. Этот параметр применим только к политикам с метками.

объект (object): Объект или системный объект это сущность, через которую информация проходит к субъекту. Это могут быть каталоги, файлы, поля, экраны, клавиатуры, память, магнитные накопители, принтеры или любые другие устройства хранения/перемещения данных. В сущности это контейнер данных или ресурс системы; доступ к объекту

фактически означает доступ к данным.

политика (policy): Набор правил, определяющих как достичь объекта. Политика обычно документирует обращение с определенными элементами. В этой главе политика

будет означать политику безопасности; т.е. коллекцию правил, которые будут контролировать поток данных и определять кто будет иметь доступ к этим данным.

чувствительность (sensitivity): Обычно используется при обсуждении MLS. Уровень чувствительности это термин, используемый для описания того, насколько важны или секретны данные. Увеличение уровня чувствительности означает важность данных.

одиночная метка (single label): означает, что вся файловая система использует одну метку для определения доступа всего потока данных. Когда файловая система использует эту установку, что происходит всегда, если не установлен параметр multilabel, ко всем файлам будет применяться одна и та же установка метки.

субъект (subject): субъект это любая активная сущность, вызывающая перемещение информации между объектами; т.е. пользователь, пользовательский обработчик, системный процесс и т.д. В FreeBSD это почти всегда поток, работающий в процессе или представляющий пользователя.

Команда mount

Команда используется, как следует из ее имени, для монтирования файловых систем.

Пример использования (простейший случай):

# mount устройство точка-монтирования

Перечислим основные опции, которые может принимать команда mount(8) (полный список смотрите в странице руководства):

Опции монтирования

-a

Смонтировать все файловые системы, перечисленные в файле /etc/fstab. Исключение составляют помеченные как ``noauto'', перечисленные после опции -t и уже смонтированные.

-d

Сделать все кроме самого системного вызова mount. Эта опция полезна вместе с флагом -v для определения того, что на самом деле пытается сделать mount(8).

-f

Монтировать поврежденный раздел (опасно!), или форсировать отмену всех запросов на запись при изменении режима монтирования с ``чтение-запись'' на ``только чтение''.

-r

Монтировать файловую систему в режиме ``только для чтения''. То же самое, что и указание аргумента rdonly для опции -o.

-t fstype

Монтировать файловую систему как систему указанного типа, или, в случае опции -a, только файловые системы данного типа.

По умолчанию, тип файловой системы - ``ufs''.

-u

Обновить опции монтирования для файловой системы.

-v

Выдавать более подробную информацию.

-w

Монтировать файловую систему в режиме ``чтение-запись''.

Опция -o принимает разделенные запятыми аргументы, включая нижеперечисленные:

nodev

Не обращать внимание на специальные файлы устройств на файловой системе (то есть не считать их файлами устройств). Весьма полезная опция для повышения безопасности системы.

noexec

Запрет на исполнение бинарных файлов на файловой системе (тоже полезная опция для повышения безопасности системы).

nosuid

Игнорировать suid- и sgid-биты на файловой системе (еще одна полезная опция для повышения безопасности системы).

Команда umount

Команда принимает в качестве параметра точку монтирования какой-либо файловой системы, имя устройства, опцию -a или -A.

Кроме того, вы можете дополнительно указать опцию -f для форсированного размонтирования файловой системы, и -v для получения более подробной информации. Имейте ввиду, что это в общем случае опасно и потому не рекомендуется, так как тем самым вы можете нарушить работу компьютера или повредить данные на файловой системе.

Опции -a и -A используются для размонтирования всех файловых систем (разве что вы укажете опцию -t). Разница состоит в том, что -A не пытается размонтировать корневую файловую систему.

Компиляция базовых компонентов системы

Вы должны находиться в каталоге /usr/src:

# cd /usr/src

(если, конечно, ваш исходный код не находится в другом месте, в случае чего вам нужно перейти в соответствующий каталог).

Для полного перестроения системы используется команда make(1). Эта команда читает инструкции из файла Makefile, описывающего, как должны быть перестроены программы, которые составляют систему FreeBSD, в каком порядке они должны быть построены и так далее.

Общий формат командной строки, которую вы будет набирать, таков:

# make -x -DVARIABLE target

В этом примере -x является параметром, который вы передаете в make(1). Обратитесь к справочной странице программы make(1), которая содержит список возможных параметров.

-DVARIABLE передает переменную в Makefile. Поведение Makefile определяется этими переменными. Это те же самые переменные, которые задаются в /etc/make.conf, и это -- еще один способ их задания.

# make -DNOPROFILE=true target

является другим способом указания того, что библиотеки для профилирования строить не нужно, и соответствует строке

NOPROFILE= true # Обход построения библиотек для профилирования

в файле /etc/make.conf.

target указывает программе make(1) на то, что вы хотите сделать. Каждый файл Makefile определяет некоторое количество различных ``целей'', и ваш выбор цели определяет то, что будет делаться.

Некоторые цели, перечисленные в файле Makefile, не предназначены для вызова. Просто они используются в процессе построения для разбиения его на этапы.

В большинстве случаев вам не нужно передавать никаких параметров в make(1), так что ваша команда будет выглядеть примерно так:

# make target

Начиная с версии FreeBSD 2.2.5 (на самом деле впервые это было сделано в ветке FreeBSD-CURRENT, а затем адаптировано в FreeBSD-STABLE где-то между 2.2.2 и 2.2.5) цель world была разделена на две: buildworld и installworld. Начиная с версии FreeBSD 5.3, world изменена так, что она более не работает, поскольку для большинства пользователей ее выполнение представляет опасность.

Как указывают на это названия, buildworld строит полностью новое дерево в каталоге /usr/obj, а installworld устанавливает это дерево на используемой машине.

Это весьма полезно по двум причинам. Во-первых, это позволяет вам безопасно строить систему, зная, что компоненты вашей рабочей системы затронуты не будут. Построение ``самодостаточно''. По этой причине вы можете спокойно запустить buildworld на машине, работающей в многопользовательском режиме без опаски получить какие-либо проблемы. Но всё же рекомендуется запускать цель installworld в однопользовательском режиме.

Во-вторых, это позволяет вам использовать монтирование по NFS для обновления многих машин в сети. Если у вас есть три машины, A, B и C, которые вы хотите обновить, запустите make buildworld и make installworld на машине A. Хосты B и C должны будут затем смонтировать по NFS каталоги /usr/src и /usr/obj с машины A, и вы сможете запустить make installworld

для установки результатов построения на машинах B и C.

Хотя цель world всё ещё имеется в наличии, вам настоятельно рекомендуется не пользоваться ею.

Выполните

# make buildworld

В настоящее время имеется возможность задавать команде make

параметр -j, который приводит к запуску нескольких одновременно работающих процессов. Наиболее полезно использовать это на многопроцессорных машинах. Однако, так как процесс компиляции больше всего требователен к подсистеме ввода/вывода, а не к производительности процессора, это можно использовать и на машинах с одним процессором.

На типичной машине с одним CPU вы должны запускать:

# make -j4 buildworld

будет иметь до 4 одновременно работающих процессов. Эмпирические замеры, опубликованные как-то в списке рассылки, показывают, что в среднем это дает наибольшее увеличение производительности.

Если у вас многопроцессорная машина и вы используете ядро с настройками для SMP, попробуйте использовать значения между 6 и 10 и посмотрите, как это отразится на скорости работы.

Имейте в виду, что это все еще экспериментальная возможность, и изменения в дереве исходных текстов иногда могут быть не совместимы с параллельной сборкой.Если система не может быть построена с использованием этого параметра, попробуйте еще раз без него перед тем, как сообщать о проблемах.

Краткий обзор

FreeBSD5.X представляет новые расширения системы безопасности от проекта TrustedBSD, основанные на документах POSIX®.1e. Два из наиболее важных нововведений в механизмах безопасности это списки контроля доступа файловой системы (Access Control Lists, ACLs) и принудительный контроль доступа Mandatory Access Control, MAC). Инфраструктура позволяет загружать новые модули контроля доступа, реализуя новые политики безопасности. Некоторые из них предоставляют защиту ключевых подсистем, защищая определенный сервис, в то время как другие предоставляют исчерпывающую систему безопасности с метками на всех субъектах и объектах. Контроль называется принудительным, поскольку применение контроля производится администраторами и системой, и не зависит от решения пользователей, как это происходит при обычном контроле доступа (Discretionary Access Control, DAC, стандартные файловые и System V IPC права в FreeBSD).

Вся эта глава фокусируется на инфраструктуре принудительного контроля доступа и настройке подключаемых модулей, реализующих различные политики безопасности.

После прочтения этой главы вы узнаете:

Какие модули MAC включены в настоящее время в FreeBSD, какие политики с ними связаны.

Что способны реализовать политики MAC, различие между политиками с метками (label) и без меток.

Как эффективно настроить систему для использования инфраструктуры MAC.

Как настроить различные политики, используемые модулями MAC.

Как реализовать более защищенную среду, используя инфраструктуру MAC и приведенные примеры.

Как протестировать настройку MAC, чтобы убедиться, что инфраструктура была реализована правильно.

Перед прочтением этой главы вам потребуется:

Понимание основ UNIX® и FreeBSD (Гл. 3).

Ознакомиться с основами настройки/компилирования ядра ().

Иметь некоторые понятия о безопасности и как она относится к FreeBSD (Гл. 14).

Внимание: Неправильное использование информации этой главы может вызвать потерю доступа к системе, проблемы у пользователей, или невозможность запуска XFree86™. Что более важно, MAC не должен восприниматься как полная защита системы. Инфраструктура MAC лишь усиливает имеющуюся систему безопасности: без применения методов защиты и регулярных проверок, система никогда не станет полностью защищенной.

Необходимо также учесть, что примеры, приведенные в этой главе, это всего лишь примеры. Не рекомендуется дублирование этих настроек для реальных задач. Реализация политик безопасности требует вдумчивого планирования. Тот, кто не понял полностью как все это на самом деле работает, может столкнуться с необходимостью повторной полной перенастройки системы безопасности для многих файлов и каталогов.

``Электронная почта'' называемая также email, является на сегодняшний день одним из самых популярных средств связи. Эта глава описывает основы работы с почтовым сервером в FreeBSD, а также введение в процесс отправки и получения почты в FreeBSD; однако, это не полноценный справочник и фактически в главу не вошло много важной информации. Более подробно эта тема рассмотрена во множестве прекрасных книг, список которых приведен в Прил. B.

После прочтения этой главы вы узнаете:

Какие программные компоненты задействованы в отправке и получении электронной почты.

Какие основные файлы настройки sendmail имеются в FreeBSD.

Разницу между удаленными и локальными почтовыми ящиками.

Как запретить спамерам использовать ваш почтовый сервер для пересылки почты.

Как установить и настроить альтернативный агент передачи почты (Mail Transfer Agent, MTA), заменив им sendmail.

Как разрешить наиболее часто встречающиеся проблемы с почтовым сервером.

Как использовать SMTP с UUCP.

Как настроить систему только для отправки почты.

Как использовать почту с коммутируемым подключением к сети.

Как настроить SMTP аутентификацию для дополнительной защиты.

Как установить и настроить почтовый агент пользователя (Mail User Agent, MUA), например mutt, для отправки и получения почты.

Как загрузить почту с удаленного POP или IMAP сервера.

Как автоматически применять фильтры и правила к входящей почте.

Перед прочтением этой главы вам потребуется:

Правильно настроить сетевое подключение ().

Правильно настроить DNS для почтового сервера ().

Знать как устанавливать дополнительное программное обеспечение сторонних разработчиков ().

FreeBSD поддерживает большое количество различных звуковых карт, что позволяет вам насладится высококачественным звуком. Также это дает вам возможность записывать и воспроизводить звуковые файлы в формате MPEG Audio Layer 3 (MP3), WAV, Ogg Vorbis, а также во множестве других форматов. Коллекция Портов FreeBSD также содержит ряд приложений, позволяющих редактировать записанные звуковые файлы, добавлять звуковые эффекты, управлять подключенными MIDI устройствами.

Также FreeBSD может поддерживать воспроизведение видеофайлов и DVD. Количество приложений, позволяющих кодировать, преобразовывать и воспроизводить различные форматы видео, существенно меньше количества приложений для работы со звуком. Например, на время написания этого документа в Коллекции Портов FreeBSD не существовало хорошего приложения для преобразования видео, которое могло бы быть использовано для преобразований между разными форматами, как, например, audio/sox. Впрочем, ситуация в этой области меняется быстро.

Эта глава описывает необходимые шаги для настройки вашей звуковой карты. Настройка и установка X11 () уже охватывает вопросы, связанные с аппаратными установками вашей видеокарты, хотя могут быть возможности дополнительной настройки для улучшения воспроизведения.

После прочтения этой главы вы будете знать:

Как настроить систему так, чтобы звуковая карта была опознана.

Методы проверки работы звуковой карты при помощи тестовых приложений.

Как исправить проблемы, возникающие при работе со звуковыми картами.

Как прослушать и создать MP3 и другие форматы.

Как X сервер поддерживает видео.

Некоторые проигрыватели и кодировщики видео, которые показывают хорошие результаты.

Как воспроизвести DVD, .mpg и .avi

файлы.

Как скопировать информацию с CD и DVD в файлы.

Как настроить ТВ тюнер.

Как настроить сканер.

Прежде, чем начать читать эту главу вы должны:

Знать как конфигурировать и устанавливать новое ядро ().

Внимание: Попытка смонтировать аудио CD при помощи команды mount(8) как минимум, сообщит об ошибке и, как максимум, может привести к панике ядра. Эти носители имеют специальные форматы, которые отличны от обычной файловой системы ISO.

Mail

В FreeBSD в качестве MUA по умолчанию используется . Это консольный MUA, предоставляющий все основные функции, необходимые для отправки и получения текстовых сообщений, хотя его возможности по работе с вложениями ограничены и он может работать только с локальными почтовыми ящиками.

Хотя mail не поддерживает работу с серверами POP или IMAP, эти почтовые ящики могут быть загружены в локальный файл mbox с помощью fetchmail, который будет обсуждаться далее в этой главе (Разд. 22.12).

Для отправки и получения почты просто выполните команду mail, как в этом примере:

% mail

Содержимое почтового ящика в каталоге /var/mail будет автоматически прочитано утилитой mail. Если почтовый ящик пуст, утилита завершит работу с сообщением о том, что почта не была обнаружена. После чтения почтового ящика запустится интерфейс программы и будет отображен список сообщений. Сообщения нумеруются автоматически и будут выглядеть как в этом примере:

Mail version 8.1 6/6/93. Type ? for help. "/var/mail/marcs": 3 messages 3 new >N 1 root@localhost Mon Mar 8 14:05 14/510 "test" N 2 root@localhost Mon Mar 8 14:05 14/509 "user account" N 3 root@localhost Mon Mar 8 14:05 14/509 "sample"

Теперь сообщения могут быть прочитаны с помощью команды t, завершаемой номером сообщения, которое должно быть отображено. В этом примере мы прочтем первое сообщение:

& t 1

Message 1: From root@localhost Mon Mar 8 14:05:52 2004 X-Original-To: marcs@localhost Delivered-To: marcs@localhost To: marcs@localhost Subject: test Date: Mon, 8 Mar 2004 14:05:52 +0200 (SAST) From: root@localhost (Charlie Root)

This is a test message, please reply if you receive it.

Как видно в примере выше, клавиша t выводит сообщение со всеми заголовками. Для повторного вывода списка сообщений необходимо использовать клавишу h.

Если требуется ответить на сообщение, используйте для ответа mail, нажав клавишу R или r. Клавиша R используется в mail для ответа только отправителю, а r для ответа и отправителю, и другим получателям сообщения.
Вы можете также завершить эти команды номером письма, на которое хотите составить ответ. После этого необходимо ввести ответ, конец сообщения должен быть завершен символом . на новой строке. Пример можно увидеть ниже:

& R 1

To: root@localhost Subject: Re: test

Thank you, I did get your email. .

EOT

Для отправки нового сообщения используйте клавишу m и введите адрес получателя. Несколько получателей могут быть указаны через запятую. Введите тему сообщения и его содержимое. Конец сообщения отмечается помещением символа . на новой строке.

& mail root@localhost

Subject: I mastered mail

Now I can send and receive email using mail ... :) .

EOT

В утилите mail для вызова справки в любой момент может быть использована команда ?, для получения помощи по mail необходимо также обратиться к странице справочника mail(1).

Замечание: Как упоминалось выше, команда mail(1) не была первоначально предназначена для работы с вложениями, и поэтому их поддержка довольно слабая. Современные MUA, такие как mutt, работают с вложениями гораздо более уверенно. Но если вы все же предпочитаете использовать mail, установите порт converters/mpack.

Mergemaster

Текст предоставил Tom Rhodes.

Утилита является скриптом для оболочки Боурна, которая поможет вам в определении разницы между вашими конфигурационными файлами в каталоге /etc и конфигурационными файлами из дерева исходных текстов /usr/src/etc. Это является рекомендуемым способом синхронизации системных конфигурационных файлов с теми, что размещены в дереве исходных текстов.

mergemaster была интегрирована в базовый комплект системы FreeBSD между выпусками 3.3-RELEASE и 3.4-RELEASE, что означает её наличие во всех системах -STABLE и -CURRENT, начиная с 3.3.

Для начала просто наберите mergemaster в приглашении командной строки и посмотрите, что происходит. mergemaster

построит временное окружение для пользователя root, начиная от /, а затем заполнит его различными системными конфигурационными файлами. Эти файлы затем будут сравниваться с теми, что установлены в вашей системе. В этот момент файлы, которые имеют отличия, будут выданы в формате diff(1), где знак + будет означать добавленные или изменённые строки, а знак - будет означать строки, которые были либо полностью удалены, либо заменены на новые. Обратитесь к страницам справочной системы по команде diff(1) для получения более полной информации о синтаксисе команды diff(1) и формате выдачи отличий в файлах.

Затем выдаст вам каждый файл, в котором есть изменения, и в этот момент у вас есть возможность либо удалить новый файл (который будем считать временным), установить временный файл в его неизменённом виде, объединить временный файл с установленным на данный момент, либо просмотреть выдачу diff(1) ещё раз.

Выбор удаления временного файла укажет mergemaster(8) на то, что мы хотим оставить наш текущий файл без изменений и удалить его новую версию. Делать это не рекомендуется, если только у вас нет причин вносить изменения в текущий файл. Вы можете получить помощь в любое время, набрав ? в приглашении mergemaster(8). Если пользователь выбирает пропуск файла, запрос появится снова после того, как будут обработаны все остальные файлы.

Выбор установки немодифицированного временного файла приведёт к замене текущего файла новым. Для большинства немодифицированных файлов это является подходящим вариантом.

Выбор варианта с объединением файла приведёт к вызову текстового редактора, содержащего текст обоих файлов. Теперь вы можете объединить их, просматривая оба файла на экране, и выбирая те части из обоих, что подходят для окончательного варианта. Когда файлы сравниваются на экране, то нажатие l выбирает содержимое слева, а нажатие r выбирает содержимое справа. В окончательном варианте будет файл, состоящий из обеих частей, который и будет установлен. Этот вариант используется для файлов, настройки в которых изменялись пользователем.

Выбор повторного просмотра diff(1)-разниц выдаст вам разницы между файлами, как это делала утилита mergemaster(8) до того, как запросила вас о выборе.

После того, как утилита mergemaster(8)

закончит работу с системными файлами, она выдаст запрос относительно других параметров. может запросить вас относительно перестроения файла паролей и/или запуска MAKEDEV(8) при использовании FreeBSD версий, меньших чем 5.0, и завершит запросом на удаление оставшихся временных файлов.

Метки MAC

Метка MAC это атрибут безопасности, который может быть применен к субъектам и объектам всей системы.

При установке метки пользователь должен в точности понимать, что именно она делает. Атрибуты, доступные для объекта, зависят от загруженной политики, а политики интерпретируют свои атрибуты совершенно различным образом. Результатом недостаточного понимания настроек может стать их неправильная реализация, что может привести к неожиданному, и возможно нежелательному поведению системы.

Метка безопасности на объекте используется политикой для определения правил доступа. Для некоторых политик метка сама по себе содержит всю необходимую для этого информацию, в других моделях метки могут обрабатываться как часть большого набора правил, и т.д.

Например, установка метки в biba/low на файле присвоит этому файлу метку, обрабатываемую политикой Biba со значением ``low''.

Несколько политик, поддерживающих метки в FreeBSD, предоставляют три определенные предустановленные метки. Это низкая, высокая и равная метки. Хотя они устанавливают контроль различными способами для каждой политики, вы можете быть уверены, что низкая метка задаст минимальные установки, равная метка означает отмену или недействительность, а высокая метка установит максимально возможные настройки в политиках Biba и MLS.

При применении в файловой системе одиночной метки, только одна метка может быть использована для объектов. Это вызовет установку одних и тех же прав доступа для всей системы, и во многих случаях это все, что необходимо. Тем не менее, существует несколько ситуаций, в которых на объекты и субъекты файловой системы могут быть установлены множественные метки. В этих ситуациях необходимо с помощью tunefs(8) установить параметр multilabel.

В случае Biba и MLS может быть установлена числовая метка для указания точного уровня иерархического контроля. Этот числовой уровень используется для разделения или сортировки информации по различным группам классификации, разрешающей доступ только к этой группе или группе с более высоким уровнем.

В большинстве случаев системный администратор использует только одну метку на всю файловую систему.

Постойте, но это же похоже на DAC! Я думал, что MAC дает контроль только администратору. Это утверждение все еще верно, только root контролирует и настраивает политики, так что пользователи помещаются в соответствующие категории/уровни доступа. Многие политики могут ограничить также и пользователя root. Базовый контроль над объектами затем передается группе, но пользователь root может отменить или изменить эти настройки в любое время. Данная иерархическая модель соответствует таким политикам как Biba и MLS.

Модуль MAC Biba

Имя модуля: mac_biba.ko

Строка конфигурации ядра: options MAC_BIBA

Параметр загрузки: mac_biba_load="YES"

Модуль загружает MAC политику Biba. Эта политика работает в основном так же, как и MLS, за исключением того, что правила потока информации изменены на противоположные. Они предназначены для предотвращения передачи потока секретной информации вверх, в то время как политика MLS предотвращает передачу потока секретной информации вниз; таким образом, большая часть этого раздела применима к обеим политикам.

В среде Biba, каждому субъекту или объекту присваивается метка ``целостности''. Эти метки состоят из иерархических уровней и не-иерархических компонентов. При возрастании уровня объекта или субъекта это повышает его целостность.

Поддерживаемые метки biba/low, biba/equal, и biba/high; описаны ниже:

Метка biba/low обеспечивает наименьшую целостность объекта или субъекта. Установка ее на объект или субъект заблокирует их доступ к объектам или субъектам, имеющим более высокую метку. Тем не менее, у них остается доступ на чтение.

Метка biba/equal должна помещаться только на объекты, исключающиеся из политики.

Метка biba/high разрешит запись в объекты с более низкой меткой, но не разрешит чтение из этих объектов. Рекомендуется помещать такую метку на объекты, влияющие на целостность всей системы.

Biba представляет собой:

Иерархические уровни целостности с набором не иерархических категорий;

Фиксированные правила: нет записи наверх, нет чтения снизу (обратно MLS). Субъект может иметь доступ на запись к объектам своего уровня или ниже, но не выше. Аналогично, субъект может иметь доступ на чтение к объектам своего уровня или выше, но не ниже;

Целостность (предотвращение неавторизованного изменения данных);

Уровни целостности (вместо уровней секретности MLS).

Для управления политикой Biba могут быть использованы следующие переменные sysctl:

security.mac.biba.enabled может использоваться для включения/выключения политики Biba.

security.mac.biba.ptys_equal может использоваться для отключения политики Biba на устройствах pty(4).

security.mac.biba.revocation_enabled включит отмену доступа к объектам, если метка изменена на более высокую, чем у субъекта.

Для выполнения настроек политики Biba на системных объектах, применяются команды setfmac и getfmac:

# setfmac biba/low test

# getfmac test

test: biba/low

Итоги: субъект с низким уровнем целостности не может писать в субъект с высоким уровнем целостности; субъект с высоким уровнем целостности не может читать из субъекта с низким уровнем целостности.

Модуль MAC bsdextended

Имя модуля: mac_bsdextended.ko

Строка конфигурации ядра: options MAC_BSDEXTENDED

Параметр загрузки: mac_bsdextended_load="YES"

Модуль mac_bsdextended(4)

включает брандмауэр файловой системы. Политика этого модуля является расширением стандартной модели разрешений файловой системы, позволяя администратору создавать набор правил для защиты файлов, утилит и каталогов иерархии файловой системы в стиле брандмауэра.

Политика может быть создана с помощью утилиты, ugidfw(8), синтаксис которой похож на синтаксис ipfw(8). Другие инструменты могут быть написаны с использованием функций библиотеки libugidfw(3).

При работе с этим модулем необходимо соблюдать особую осторожность; некорректное его использование может заблокировать доступ к отдельным частям файловой системы.

Модуль MAC ifoff

Имя модуля: mac_ifoff.ko

Строка конфигурации ядра: options MAC_IFOFF

Параметр загрузки: mac_ifoff_load="YES"

Модуль существует только для отключения сетевых интерфейсов в работающей системе и удержания их от отправки пакетов во время начальной загрузки. Это не требует установления в системе каких-либо меток, нет и зависимости от других модулей MAC.

Большая часть управления может быть выполнена через переменные sysctl.

security.mac.ifoff.lo_enabled включает/выключает весь трафик на loopback () интерфейсе.

security.mac.ifoff.bpfrecv_enabled включает/выключает весь трафик на интерфейсе Berkeley Packet Filter (bpf(4)).

security.mac.ifoff.other_enabled включает/выключает весь трафик на всех других интерфейсах.

Одно из наиболее частых использований mac_ifoff(4) это сетевой мониторинг в среде, где сетевой трафик не должен быть разрешен во время загрузки. Другое предлагаемое применение это написание скрипта, использующего security/aide для автоматического блокирования сетевого трафика, если будут обнаружены новые или измененные файлы в защищаемых каталогах.

Модуль MAC LOMAC

Имя модуля: mac_lomac.ko

Строка конфигурации ядра: options MAC_LOMAC

Параметр загрузки: mac_lomac_load="YES"

В отличие от политики MAC Biba, политика mac_lomac(4) разрешает доступ к объектам с более низким уровнем целостности только после уменьшения уровня целостности, чтобы не нарушать каких-либо правил целостности.

MAC версия политики целостности Low-watermark, чтобы не пересекаться со старой реализацией lomac(4), работает почти так же, как и Biba, за исключением использования плавающих меток для поддержки понижения метки субъекта через отдел для вспомогательной градации (auxiliary grade compartment). Этот вспомогательный отдел принимает вид [auxgrade]. При включении политики lomac с вспомогательной градацией метка должна выглядеть приблизительно так: lomac/10[2], где номер 2 это вспомогательная градация.

Политика MAC LOMAC основана на тотальной пометке всех системных объектов метками целостности, разрешая субъектам читать из объектов с более низкой степенью целостности и с уменьшением метки субъекта для предотвращения последующей записи в объекты с более высокой степенью целостности. Параметр [auxgrade] обсуждался выше, таким образом политика может быть более совместимой и требовать меньшей первоначальной настройки, чем Biba.

Модуль MAC partition

Имя модуля: mac_partition.ko

Строка настройки ядра: options MAC_PARTITION

Параметр загрузки: mac_partition_load="YES"

Политика mac_partition(4)

распределяет процессы по ``разделам'' на основе их MAC

меток. Это может быть представлено как особый тип jail(8), хотя такое сравнение едва ли подходит.

Этот модуль должен быть добавлен в loader.conf(5), чтобы политика была загружена и включена при загрузке системы.

Большая часть настройки этой политики выполняется с помощью утилиты setpmac(8), которая будет описана ниже. Для данной политики имеется также следующая переменная sysctl:

security.mac.partition.enabled включит MAC разделение процессов.

Когда эта политика включена, пользователям разрешено просматривать только собственные процессы, но не разрешено пользоваться определенными утилитами. Например, пользователю из класса insecure выше не будет разрешено использование команды top, а также многих других команд, которые должны порождать процесс.

Для присвоения утилитам меток partition используйте утилиту setpmac:

# setpmac partition/13 top

Команда top будет добавлена к метке, установленной для пользователей класса insecure. Обратите внимание, что все процессы, порожденные пользователями класса insecure, останутся с меткой partition/13.

Модуль MAC portacl

Имя модуля: mac_portacl.ko

Строка конфигурации ядра: MAC_PORTACL

Параметр загрузки: mac_portacl_load="YES"

Модуль используется для ограничения привязки (binding) к локальным портам TCP и UDP, используя различные переменные sysctl. По сути mac_portacl(4) делает возможной привязку к привилегированным портам, т.е. к портам с номерами меньше 1024 для не-root пользователей.

После загрузки этот модуль включит политику MAC на всех сокетах. Доступны следующие переменные sysctl:

security.mac.portacl.enabled включает/отключает политику целиком. [1]

security.mac.portacl.port_high установит наибольший номер порта, для которого mac_portacl(4)

включает защиту.

security.mac.portacl.suser_exempt, если установлена в ненулевое значение, исключает пользователя root из этой политики.

security.mac.portacl.rules задает действующую политику mac_portacl: см. ниже.

Действующая политика mac_portacl, указанная в security.mac.portacl.rules, это текстовая строка в форме rule[,rule,...] с таким количеством правил, которое требуется. Каждое правило задается в формате: idtype:id:protocol:port. Параметр idtype может принимать значения uid или gid и используется для интерпретации параметра id, в качестве id пользователя или группы соответственно. Параметр protocol используется для определения применимости этого правила к протоколу TCP

или UDP, он может принимать значения tcp или udp. Последний параметр, port, задает номер порта, к которому разрешается привязка указанного пользователя или группы.

Замечание: Поскольку набор правил интерпретируется непосредственно ядром, для ID пользователя, группы и номера порта могут быть использованы только числовые значения. Т.е. имена пользователей, групп и сервисов портов не могут быть использованы.

По умолчанию в UNIX®-подобных системах порты с номерами менее чем 1024 могут быть использованы только привилегированными процессами, т.е. теми, что запущены от root. С mac_portacl(4) для разрешения привязки непривилегированных процессов к портам с номерами ниже 1024 эти стандартные ограничения UNIX должны быть отменены. Это может быть выполнено путем установки переменных sysctl(8) net.inet.ip.portrange.reservedlow и net.inet.ip.portrange.reservedhigh в ноль.

Обратитесь к примерам ниже или к странице справочника mac_portacl(4) за дальнейшей информацией.

Модуль MAC seeotheruids

Имя модуля: mac_seeotheruids.ko

Строка в конфигурации ядра: options MAC_SEEOTHERUIDS

Параметр загрузки: mac_seeotheruids_load="YES"

Модуль mac_seeotheruids(4)

копирует и расширяет переменные sysctl security.bsd.see_other_uids и security.bsd.see_other_gids. Он не требует установки меток и может прозрачно работать с другими модулями.

После загрузки модуля, для управления им могут быть использованы следующие переменные sysctl:

security.mac.seeotheruids.enabled включит модуль с настройками по умолчанию. Эти настройки запрещают пользователям просмотр процессов и сокетов, принадлежащих другим пользователям.

security.mac.seeotheruids.specificgid_enabled позволит исключить определенные группы из этой политики. Для исключения определенной группы, используйте переменную sysctl security.mac.seeotheruids.specificgid=XXX. В примере выше необходимо заменить XXX на числовой ID группы.

security.mac.seeotheruids.primarygroup_enabled используется для исключения определенной основной группы из этой политики. При использовании этой переменной security.mac.seeotheruids.specificgid_enabled может быть не установлена.

Необходимо отметить, что пользователь root не является исключением из этой политики. Это одно из самых существенных различий между MAC версией и обычными переменными, существующими по умолчанию: security.bsd.seeotheruids.

Модуль многоуровневой безопасности MAC (MLS)

Имя модуля: mac_mls.ko

Строка конфигурации ядра: options MAC_MLS

Параметр загрузки: mac_mls_load="YES"

Политика контролирует взаимодействие субъектов и объектов системы путем применения строгой политики к потоку информации.

В среде MLS, для каждого субъекта или объекта внутри отдела (compartment) устанавливается ``уровень допуска''. Поскольку количество уровней допуска может превышать шесть тысяч, для любого системного администратора задача настройки каждого субъекта или объекта может быть слишком сложной. К счастью, существуют ``постоянные'' метки, которые уже включены в эту политику.

Эти метки mls/low, mls/equal и mls/high. Поскольку эти метки подробно описываются в справочнике, здесь мы дадим только краткое описание:

Метка mls/low содержит минимальную настройку, что позволяет доминирование над ней всех других объектов. Все, что помечено с mls/low, находится на низком уровне доступа и доступ к более высоким уровням будет запрещен. Кроме того, эта метка предотвратит запись или передачу информации объектам с более высоким уровнем доступа.

Метка mls/equal должна быть помещена на объекты, являющиеся исключением из политики.

Метка mls/high это наибольший возможный уровень доступа. Объекты с этой меткой будут доминировать над всеми другими объектами системы; однако, утечка информации от них к объектам более низкого класса невозможна.

MLS представляет собой:

Иерархические уровни безопасности с набором не иерархических категорий;

Фиксированные правила: нет чтения сверху, нет записи вниз (субъект может иметь доступ на чтение объектов собственного уровня или ниже, но не выше. Аналогично, субъект может иметь доступ на запись в объекты своего уровня или выше, но не наоборот.);

Секретность (предотвращение неавторизованного раскрытия данных);

Основа для разработки систем, одновременно работающих с данными на нескольких уровнях секретности (без утечки информации).

Для настройки специальных сервисов и интерфейсов доступны следующие переменные sysctl:

security.mac.mls.enabled используется для включения/отключения политики MLS.

security.mac.mls.ptys_equal пометит все устройства pty(4) как mls/equal во время создания.

security.mac.mls. revocation_enabled используется для запрета доступа к объектам после того, как их метка изменится в меньшую сторону.

security.mac.mls.max_compartments используется для установки максимального количества уровней отделов на объекты; обычно это максимальное количество отделов, разрешенных в системе.

Для управления метками MLS существует команда setfmac(8). Для присвоения метки объекту, выполните следующую команду:

# setfmac mls/5 test

Для получения метки MLS файла test, выполните следующую команду:

# getfmac test

Выше представлен краткий обзор возможностей политики MLS. Существует метод, связанный с созданием основного файла политики в каталоге /etc, где будет определена необходимая для политики MLS информация, которая будет передана команде setfmac. Этот метод будет описан после рассмотрения всех политик.

Итоги: объект с низким уровнем доступа не может прочесть данные объекта с высоким уровнем доступа. Базовая политика должна устанавливать mls/high на всем, что не должно быть прочитано, даже если туда необходимо записывать. На всем, куда нельзя писать, должна быть установлена метка mls/low, даже если это необходимо читать. Наконец, на всем остальном установите mls/equal. Все пользователи, помеченные как insecure, должны иметь метку mls/low.

Монтирование и размонтирование файловых систем

Файловая система лучше всего представима в виде дерева, с корнем в /. Каталоги, /dev, /usr и прочие - это ветви дерева, которые, в свою очередь, являются корнями для поддеревьев, также имеющих ветви (/usr/local), и т.д.

Хорошей практикой является разнесение некоторых особо важных каталогов на разные файловые системы. Например, /var, содержит log/, spool/, а также всевозможные временные файлы и нередко может занять все свободное место на диске. Поэтому лучше смонтировать /var отдельно, чтобы избежать переполнения /.

Часто бывает так, что некоторые разделы файловой системы расположены на разных физических носителях (дисках, CDROM), виртуальных или сетевых (например, сетевая файловая система (Network File System, NFS)). В этом случае узлы файловой иерархии будут расположены на разных файловых системах.

Mutt

mutt это небольшая но очень мощная почтовая программа с отличными возможностями, в числе которых:

Возможность сортировки сообщений по дискуссиям;

Поддержка PGP для подписи и шифрования сообщений;

Поддержка MIME;

Поддержка Maildir;

Широкие возможности настройки.

Все эти возможности делают mutt одним из самых лучших почтовых клиентов. Обратитесь к за дополнительной информацией по mutt.

Стабильная версия mutt может быть установлена из порта mail/mutt. После установки порта, mutt может быть запущен следующей командой:

% mutt

mutt автоматически прочтет содержимое пользовательского почтового ящика в каталоге /var/mail и отобразит почту, если она имеется в наличии. Если почты в ящике пользователя нет, mutt будет ожидать команд от пользователя. В примере ниже показан mutt со списком сообщений:

Для чтения почты просто выберите сообщение с помощью клавиш навигации и нажмите Enter. Пример mutt, отображающего сообщение, показан ниже:

Как и команда , mutt позволяет пользователям отвечать как только отправителю, так и всем получателям. Для ответа только отправителю почты, используйте клавишу r. Для группового ответа и отправителю сообщения и всем получателям используйте клавишу g.

Замечание: mutt использует vi(1) в качестве редактора для создания писем и ответа на них. Редактор можно заменить путем создания или редактирования собственного .muttrc в своем домашнем каталоге и установки переменной editor.

Для создания нового почтового сообщения нажмите m. После введения темы mutt запустит vi(1) для создания письма. Как только письмо будет завершено, сохраните его и закройте vi, mutt продолжит работу, отобразив окно с сообщением, которое должно быть отправлено. Для отправки сообщения нажмите y. Пример окна с сообщением показан ниже:

mutt также содержит исчерпывающий справочник, к которому можно обратиться из большинства меню, нажав клавишу ?. Верхняя строка также показывает клавиатурные сокращения, которые могут быть использованы.

Настройка MAC переменными sysctl

Независимо от загрузки модулей, существует несколько частей MAC, которые могут быть настроены с использованием интерфейса sysctl. Эти переменные описаны ниже и во всех случаях значение 1 означает включение, а 0 -- отключение:

security.mac.enforce_fs по умолчанию установлена в 1 и включает политики MAC на файловых системах.

security.mac.enforce_kld по умолчанию 1 и включает линкование политик MAC в ядре (см. kld(4)).

security.mac.enforce_network по умолчанию 1 и включает сетевые политики MAC.

security.mac.enforce_pipe по умолчанию 1 и включает политики MAC для каналов (pipe).

security.mac.enforce_process по умолчанию 1 и включает политики MAC для процессов, использующих средства межпроцессного взаимодействия.

security.mac.enforce_socket по умолчанию 1 и включает политики MAC на сокетах (см. страницу справочника socket(2)).

security.mac.enforce_system по умолчанию 1 и включает политики MAC для действий системы, таких как учет (accounting) и перезагрузка.

security.mac.enforce_vm по умолчанию 1 и включает политики MAC для системы виртуальной памяти.

Замечание: Каждая политика MAC поддерживает переменные sysctl. Они обычно попадают в дерево security.mac.<policyname>. Для просмотра всех переменных MAC, используйте следующую команду:

# sysctl -da | grep mac

Это должно быть интерпретировано так, что все основные политики MAC включены по умолчанию. Если модули встроены в ядро, система будет заблокирована, и скорее всего не сможет связаться с локальной сетью или с интернет, и т.д. Поэтому встраивание модулей в ядро не рекомендуется. Не потому, что это ограничит возможность отключения командой sysctl, а потому, что включение политик в виде модулей позволит администратору переключать политики системы без необходимости пересборки и переустановки новой системы.

Настройка меток

Практически все действия по настройке политики с метками могут быть выполнены с использованием утилит базовой системы. Эти команды обеспечивают простой интерфейс для настройки объектов или субъектов, или для изменения и проверки настроек.

Все настройки могут быть выполнены с использованием утилит setfmac(8) и setpmac(8). Команда setfmac используется для установки меток MAC на системные объекты, а команда setpmac используется для установки меток на системные субъекты. Выполните:

# setfmac biba/high test

Если не произойдет ошибок, будет возвращено приглашение командной строки, как и после команд и chown(8). В некоторых случаях может появиться ошибка ``Permission denied'', и она обычно появляется при установке или изменении метки на объект с ограничениями. [1]

Системный администратор для обхода этой проблемы может использовать следующие команды:

# setfmac biba/high test

``Permission denied'' # setpmac biba/low setfmac biba/high test

# getfmac test

test: biba/high

Как видно из примера выше, команда setpmac может быть использована для изменения установок политики путем присвоения иной метки вызывающему процессу. Утилита getpmac обычно используется с существующим на данный момент процессом, таким как sendmail, хотя она принимает PID вместо команды, ее действие аналогично. Если пользователи попытаются манипулировать файлами, к которым у них нет доступа в соответствии с правилами загруженных политик, функцией mac_set_link будет выдано сообщение об ошибке ``Operation not permitted''.

Настройка модулей

Каждый модуль, включенный в инфраструктуру MAC, может быть или встроен в ядро, как упоминалось выше, или загружен в виде модуля ядра. Рекомендуется добавление имени модуля в файл /boot/loader.conf, этот модуль будет активирован в самом начале загрузки.

В последующих разделах будут обсуждаться различные модули MAC и их возможности. Реализация этих возможностей в определенных ситуациях также будет обсуждаться в этой главе. Некоторые модули поддерживают использование меток, которые контролируют доступ путем применения правил вида ``это разрешено, а это нет''. Настройка меток может контролировать доступ к файлам, сетевым коммуникациям и т.д. В предыдущем разделе было показано как флаг multilabel может быть установлен на файловые системы для включения контроля доступа по файлам или по разделам.

Конфигурация с одной меткой не допускает применение нескольких меток в системе, поэтому параметр tunefs называется multilabel.

Не могу запустить XFree86™ после MAC

После настройки системы безопасности MAC, я больше не могу запускать XFree86™!

Это может быть вызвано политикой MAC partition или путем неправильной установки меток одной из политик MAC. Для отладки попробуйте следующее:

Просмотрите сообщение об ошибке; если пользователь находится в классе insecure, проблема может быть в политике partition. Попробуйте установить класс пользователя обратно в default и пересобрать базу данных командой cap_mkdb. Если это не решит проблемы, попробуйте шаг два.

Дважды проверьте политики с метками. Убедитесь, что политики настроены правильно для рассматриваемого пользователя, приложения XFree86, и устройств в /dev.

Если проблема не решена, отправьте сообщение об ошибке и описание вашей системы в список рассылки TrustedBSD, находящийся на веб сайте или в Список рассылки, посвящённый вопросам и ответам пользователей FreeBSD.

Обновите /dev

Замечание: Если вы работаете с FreeBSD5.0 или более поздними версиями, то можете спокойно пропустить этот раздел. В этих версиях

devfs(5)

используется для выделения файлов устройств в режиме, прозрачном для пользователя.

Если вы используете DEVFS, то этого можно не делать.

В большинстве случаев утилита mergemaster(8)

обнаружит, что необходимо обновить файлы устройств, и предложит сделать это автоматически. Эти указания описывают, как обновить файлы устройств вручную.

Для безопасности этот процесс делается в несколько шагов.

Скопируйте /var/tmp/root/dev/MAKEDEV в /dev:

# cp /var/tmp/root/dev/MAKEDEV /dev

Если вы использовали mergemaster(8) для обновления /etc, то ваш скрипт MAKEDEV уже должен быть обновлен, так что его не нужно проверять (утилитой ) и копировать вручную в случае необходимости.

Теперь выведите текущее содержимое вашего каталога /dev. Этот список должен содержать права, владельцев, старшее и младшее числа каждого файла, но не должен содержать информацию о времени. Проще всего это сделать, отрезав при помощи awk(1) часть информации:

# cd /dev

# ls -l | awk '{print $1, $2, $3, $4, $5, $6, $NF}' > /var/tmp/dev.out

Повторно создайте все файлы устройств:

# sh MAKEDEV all

Создайте ещё один список содержимого каталога, на этот раз в /var/tmp/dev2.out. Теперь просмотрите оба эти файла и поищите файлы устройств, которые вы забыли создать. Таких быть не должно, но лишний раз удостовериться не помешает.

# diff /var/tmp/dev.out /var/tmp/dev2.out

Скорее всего, вы заметите разногласия в именовании дисковых слайсов, что решается такими командами, как:

# sh MAKEDEV sd0s1

для повторного создания устройств слайсов. Точное название зависит от вашей системы и может отличаться от приведённого.

Обновите файлы, не обновленные по команде make installworld

При перестроении системы не будут обновляться некоторые каталоги (в частности, /etc, /var и /usr) с конфигурационными файлами.

Самым простым способом обновить такие файлы является запуск утилиты mergemaster(8), хотя можно сделать это и вручную, если вам так больше нравится. Вне зависимости от выбранного вами способа обязательно сделайте резервную копию каталога /etc

на случай, если произойдёт что-то непредвиденное.

Обновите файлы в каталоге /etc

Каталог /etc содержит значительную часть информации о конфигурации вашей системы, а также скрипты, работающие в начале работы системы. Некоторые из этих скриптов меняются от версии к версии FreeBSD.

Некоторые конфигурационные файлы также используются в ежедневной работе системы. В частности, файл /etc/group.

Случалось, что установочная часть ``make installworld'' ожидала существования определённых имен пользователей или групп. При обновлении существует вероятность, что эти пользователи или группы не существуют. Это вызывает проблемы при обновлении. В некоторых случаях ``make buildworld'' проверяет наличие этих пользователей или групп.

Свежим примером этого является добавление пользователя smmsp. Пользователи столкнулись с прерыванием процесса установки, когда пыталась создать /var/spool/clientmqueue.

Выходом является просмотр файла /usr/src/etc/group и сравнение списка групп в нем с вашим собственным. Если в новом файле есть группы, отсутствующие в вашем, то скопируйте их. Таким же образом вы должны переименовывать все группы в /etc/group, которые имеют тот же самый GID, но другое название в /usr/src/etc/group.

Начиная с 4.6-RELEASE, вы можете запустить mergemaster(8) в режиме, предваряющем построение системы, задаваемым опцией -p. Она будет сравнивать только те файлы, которые необходимы для успешного выполнения целей buildworld или installworld. Если ваша старая версия утилиты mergemaster не поддерживает опцию -p, воспользуйтесь новой версией из дерева исходных текстов при первом запуске:

# cd /usr/src/usr.sbin/mergemaster

# ./mergemaster.sh -p

Подсказка: Если вы параноик, можете поискать файлы, владельцем которых является та группа, которую вы переименовываете или удаляете:

# find / -group GID -print

выдаст список всех файлов, владельцем которых является группа GID (задаваемая именем или численным значением ID).

Обновите /stand

Замечание: Этот шаг описан только для полноты. Он может быть безболезненно опущен. Если вы работаете с FreeBSD 5.2 или более поздней версией, то для пользователей каталог /rescue автоматически обновляется до текущего состояния, а статически компилируемые выполнимые файлы во время выполнения команды make installworld, поэтому каталог /stand обновлять не нужно.

В целях полноты обновления вам может потребоваться обновить также файлы в каталоге /stand. Эти файлы представляют собой жёсткие ссылки на выполнимый файл /stand/sysinstall. Этот файл должен быть статически скомпонован, чтобы его работа не зависела от других файловых систем (в частности, от наличия смонтированной файловой системы /usr).

# cd /usr/src/release/sysinstall

# make all install

Обновление в ручном режиме

Однако если вы хотите произвести обновление вручную, то вы не можете просто скопировать файлы из /usr/src/etc в /etc и получить работающую систему. Некоторые из этих файлов сначала нужно ``установить''. Это нужно потому, что каталог /usr/src/etc не является копией того, что должен содержать ваш каталог /etc. Кроме того, есть файлы, которые должны присутствовать в /etc, но которых нет в /usr/src/etc.

Если вы используете mergemaster(8) (как это рекомендуется), то вы можете перейти сразу к следующему разделу.

Вручную проще всего сделать это, установив файлы в новый каталог, а затем пройтись по ним, отмечая разницу.

Сделайте резервную копию вашего каталога /etc: Хотя, в теории, никаких автоматических действий с этим каталогом не производится, всегда лучше чувствовать себя уверенным. Так что скопируйте имеющийся каталог /etc в какое-нибудь безопасное место. Запустите что-то вроде:

# cp -Rp /etc /etc.old

-R задает выполнение рекурсивного копирования, а -p сохраняет даты, владельца файлов и тому подобное.

Вам нужно создать шаблонную структуру каталогов для установки нового содержимого /etc и других файлов. Подходящим местом является /var/tmp/root, и в нём потребуется разместить некоторое количество подкаталогов.

# mkdir /var/tmp/root

# cd /usr/src/etc

# make DESTDIR=/var/tmp/root distrib-dirs distribution

Эти команды приведут к созданию нужной структуры каталогов и установке файлов. Множество каталогов, созданных в /var/tmp/root, будут пустыми и должны быть удалены. Проще всего сделать это так:

# cd /var/tmp/root

# find -d . -type d | xargs rmdir 2>/dev/null

Эти команды удалят все пустые каталоги. (Стандартный поток диагностических сообщений перенаправляется в /dev/null для исключения предупреждений о непустых каталогах.)

Теперь /var/tmp/root содержит все файлы, которые должны быть помещены в соответствующие места в /. Теперь пройдитесь по каждому их этих файлов и определите, чем они отличаются от имеющихся у вас файлов.

Заметьте, что некоторые из файлов, которые были установлены в каталог /var/tmp/root, имеют первым символом ``.''.
На момент написания единственными такими файлами являлись файлы начальных скриптов командных процессоров в /var/tmp/root/ и /var/tmp/root/root/, хотя могут быть и другие (зависит от того, когда вы это читаете). Обязательно пользуйтесь командой ls -a, чтобы выявить их.

Проще всего сделать это путём сравнения двух файлов при помощи команды diff(1):

# diff /etc/shells /var/tmp/root/etc/shells

Эта команда покажет разницу между вашим файлом /etc/shells и новым файлом /var/tmp/root/etc/shells. Используйте это для определения того, переносить ли сделанные вами изменения или скопировать поверх вашего старого файла.

Называйте новый корневой каталог (/var/tmp/root) по дате, чтобы вы смогли легко выявить разницу между версиями: Частое перестроение системы означает также и частое обновление /etc, которое может быть несколько обременительным.

Вы можете ускорить этот процесс, сохраняя копию последнего набора измененных файлов, которые вы перенесли в /etc. Следующая процедура подаст вам одну идею о том, как это сделать.

Выполните перестроение системы обычным образом. Когда вы вам потребуется обновить /etc и другие каталоги, дайте целевому каталогу имя на основе текущей даты. Если вы делаете это 14 февраля 1998 года, то вы можете сделать следующее:

# mkdir /var/tmp/root-19980214

# cd /usr/src/etc

# make DESTDIR=/var/tmp/root-19980214 \ distrib-dirs distribution

Перенесите изменение из этого каталога, как это описано выше.

Не удаляйте каталог /var/tmp/root-19980214 после окончания этого процесса.

Когда вы загрузите самую последнюю версию исходного кода и перестроите систему, выполните шаг 1. Это даст вам новый каталог, который может называться /var/tmp/root-19980221 (если вы ждете неделю между обновлениями).

Теперь вы можете видеть изменения, которые были сделаны за прошедшую неделю, выполнив при помощи команды diff(1) рекурсивное сравнение двух каталогов:

# cd /var/tmp

# diff -r root-19980214 root-19980221

Как правило, здесь содержится гораздо меньше отличий, чем между каталогами /var/tmp/root-19980221/etc и /etc.Так как отличий меньше, то и легче перенести эти изменения в ваш каталог /etc.

Теперь вы можете удалить более старый из двух каталогов /var/tmp/root-*:

# rm -rf /var/tmp/root-19980214

Повторяйте этот процесс всякий раз, когда вам нужно перенести изменения в каталог /etc.

Для автоматической генерации имён каталогов можно использовать команду date(1):

# mkdir /var/tmp/root-`date "+%Y%m%d"`

Одиночные или множественные метки?

По умолчанию система будет использовать параметр singlelabel. Но что это означает для администратора? Существуют несколько различий между политиками, каждая из которых правильна сама по себе, но имеет свои доводы за и против относительно гибкости модели безопасности системы.

singlelabel (одиночная метка) разрешает использование только одной метки, например biba/high, для каждого объекта или субъекта. Ее преимущество в меньшей нагрузке на системного администратора, а недостаток в малой гибкости политик, поддерживающих метки. Многие администраторы в своих политиках безопасности могут предпочесть использование параметра multilabel.

С параметром multilabel каждый субъект или объект может иметь собственную метку MAC, в то время как со стандартным параметром singlelabel возможна только одна метка на весь раздел. Параметры multilabel и singlelabel требуются только для политик, реализующих метки, включая Biba, Lomac, MLS и SEBSD.

Во многих случаях multilabel может вообще не потребоваться. Предположим следующую ситуацию и модель безопасности:

FreeBSD веб-сервер, использующий инфраструктуру MAC

и набор различных политик.

Этому компьютеру потребуется лишь одна метка, biba/high, для всей системы. Файловой системе не нужен параметр multilabel, поскольку по умолчанию работает одиночная метка.

Но поскольку этот компьютер будет веб сервером, процесс веб сервера должен быть запущен с biba/low для предотвращения записи. Политика Biba и то, как она работает, будет обсуждаться позже, поэтому предыдущий комментарий сложно интерпретировать; просто продолжайте чтение. Сервер может использовать дисковый раздел с установленной меткой biba/low для большинства, если не для всех своих операций. В этом примере отсутствуют многие детали, такие как ограничения на данные, конфигурация системы и установки пользователей; однако, это лишь предварительный пример.

Если используется любая из политик, не поддерживающих метки, параметр multilabel не требуется. Сюда включаются политики seeotheruids, portacl и partition.

Необходимо также отметить, что использование параметра multilabel на разделе и установление модели безопасности, основанной на функциональности multilabel, может повлечь за собой множество дополнительной административной работы, поскольку всему в файловой системе должны быть присвоены метки. Это включает каталоги, файлы, и даже файлы устройств.

Следующая команда установит параметр multilabel на файловых системах. Это может быть сделано только в однопользовательском режиме:

# tunefs -l enable /

Это не требуется для файловой системы подкачки.

Замечание: Некоторые пользователи сталкиваются с проблемами при установке флага multilabel на корневой раздел. В данном случае обратитесь к Разд. 15.16.

Описание MAC

Усвоив все эти термины, рассмотрим как MAC повышает безопасность системы в целом. Различные политики, предоставляемые инфраструктурой MAC, могут быть использованы для защиты сети и файловых систем, блокирования доступа пользователей к определенным портам и сокетам, и так далее. Возможно, наилучшее использование политик это сочетание их вместе путем загрузки нескольких модулей одновременно, для создания многослойной защищенной среды. В многослойной среде безопасности несколько политик обеспечивают контролируемость защиты. Это отличается от усиления защиты, когда обычно усиливаются элементы системы, используемой в определенных целях. Единственным недостатком является дополнительная административная нагрузка в случае множественных меток файловой системы, установки сетевого доступа по пользователям, и т.д.

Эти недостатки минимальны по сравнению с длительным эффектом функционирования инфраструктуры; например, возможность выбора политик, необходимых для определенных конфигураций, уменьшает потерю производительности. Возможность удаления поддержки не используемых политик может увеличить общую производительность системы, а также дает гибкость выбора. Хорошая реализация удовлетворит общие требования безопасности и будет эффективно использовать различные политики, предоставляемые инфраструктурой.

Система, использующая возможности MAC, должна как минимум гарантировать, что пользователю не разрешается самостоятельно изменять атрибуты безопасности; все утилиты пользователя, программы и скрипты должны работать с ограничениями доступа, налагаемыми выбранной политикой; весь контроль правил доступа MAC находится в руках системного администратора.

Право выбора правильных политик безопасности принадлежит только системному администратору. В некоторых случаях может потребоваться ограничение доступа через сеть; для этого могут пригодиться mac_portacl(4), mac_ifoff(4) и даже mac_biba(4). В других случаях может быть необходима строгая конфиденциальность объектов в файловой системе. Для этого существуют политики mac_bsdextended(4) и .

Выбор политики может быть сделан на основе конфигурации сети. Возможно только определенным пользователям можно разрешить доступ через ssh(1) к сети или интернет. В таких ситуациях подойдет политика mac_portacl(4). Но что необходимо сделать для файловых систем? Должен ли доступ к определенным каталогам быть запрещен для других групп или определенных пользователей? Или мы должны ограничить доступ пользователей или утилит к определенным файлам путем классификации определенных объектов?
В случае файловой системы, доступ может считаться конфиденциальным для отдельных пользователей, но не для всех. Например, большая команда разработчиков может быть разбита на небольшие группы. Разработчикам проекта A может быть не разрешен доступ к объектам, написанным разработчиками из проекта B. Хотя им может понадобиться доступ к объектам, созданным разработчиками проекта C; это реально встречающаяся ситуация. С помощью различных политик, предоставляемых инфраструктурой MAC, пользователи могут быть разделены на эти три группы и затем получить доступ к соответствующим областям без опасности утечки информации.
Таким образом, каждая политика имеет уникальный способ взаимодействия с общей безопасностью системы. Выбор политики должен быть основан на хорошо продуманной политике безопасности. Во многих случаях политика должна быть полностью пересмотрена и реализована заново для всей системы. Понимание различных политик, предоставляемых инфраструктурой MAC, поможет администраторам выбрать лучшую политику в своей ситуации.
Стандартное ядро FreeBSD не включает параметр MAC; необходимо добавить следующий параметр ядра перед тем, как пробовать какие-либо из примеров или применять информацию этой главы:
options MAC
Затем необходимо пересобрать и переустановить ядро.
Предостережение: Хотя различные страницы справочника для модулей MAC сообщают, что они могут быть встроены в ядро, возможна блокировка доступа системы к сети и другие побочные эффекты. Включение MAC очень похоже на включение брандмауэра, но необходимо быть внимательным, чтобы полностью не заблокировать систему.Необходимо предусмотреть возможность возврата к предыдущей конфигурации, а реализация MAC удаленно должна производиться с особой осторожностью.

Основное тестирование меток

% getpmac

biba/15(15-15),mls/15(15-15),partition/15 # setpmac partition/15,mls/equal top

Замечание: Процесс top будет уничтожен перед тем, как мы запустим другой процесс top.

Отключение sendmail

Процедура, используемая для запуска sendmail, значительно изменилась между релизами 4.5-RELEASE и 4.6-RELEASE. Поэтому процедура, используемая для его отключения, немного отличается.

Откомпилируйте и установите новое ядро

Чтобы получить полную отдачу от вашей новой системы, вы должны перекомпилировать ядро. Это практически необходимость, так как отдельные структуры в памяти могут меняться, и программы типа и top(1) не будут работать, пока версии ядра и исходных текстов системы не будут совпадать.

Самым простым и надежным способом сделать это является компиляция и установка ядра на основе GENERIC. Хотя в GENERIC могут оказаться не все необходимые для работы вашей системы устройства, в нем имеется все необходимое для перезагрузки вашей системы обратно в однопользовательский режим. Это является хорошей проверкой на правильность работы новой системы. После загрузки с ядром GENERIC и проверки работоспособности системы вы можете построить новое ядро на основе вашего обычного конфигурационного файла ядра.

В современных версиях FreeBSD важно выполнить buildworld перед сборкой нового ядра.

Замечание: Если вы хотите построить собственное ядро и уже подготовили файл конфигурации, просто используйте KERNCONF=MYKERNEL следующим образом:

# cd /usr/src

# make buildkernel KERNCONF=MYKERNEL

# make installkernel KERNCONF=MYKERNEL

Для FreeBSD 4.2 и более старых версиях вы должны заменять KERNCONF= на KERNEL=. 4.2-STABLE, загруженная до 2 февраля 2001 года, не распознаёт KERNCONF=.

Заметьте, что, если вы установили kern.securelevel в значение, превышающее 1, и

установили флаг noschg или подобный на бинарный файл ядра, то вы будете вынуждены перейти в однопользовательский режим для того, чтобы воспользоваться installkernel. В противном случае вы должны выполнять эти команды без проблем. Обратитесь к справочным страницам об init(8) для получения подробной информации о kern.securelevel и chflags(1) для получения информации о различных флагах файлов.

Если вы производите обновление до версии FreeBSD ниже 4.0, то нужно использовать старую процедуру построения ядра. Однако рекомендуется использовать новую версию программы со следующей командной строкой.

# /usr/obj/usr/src/usr.sbin/config/configKERNELNAME

Параметр multilabel не может быть включен на /

Параметр multilabel не включается на моем корневом (/) разделе!

Похоже, что каждый пятидесятый пользователь сталкивается с этой проблемой; на самом деле, и у нас была эта проблема в первых настройках. Дальнейшие наблюдения за этой так называемой ``ошибкой'' привели меня к мнению, что это результат или некорректной документации, или неправильной интерпретации этой документации. Независимо от того, почему это случилось, для решения этой проблемы могут быть предприняты следующие шаги:

Отредактируйте /etc/fstab и установите для корневого раздела параметр только для чтения (ro).

Перегрузитесь в однопользовательский режим.

Запустите команду tunefs -l enable

на /.

Перегрузите систему в нормальный режим.

Запустите mount -urw / и измените параметр ro обратно на rw в /etc/fstab; перегрузите систему опять.

Дважды проверьте вывод mount, чтобы убедиться, что параметр multilabel был установлен на корневой файловой системе.

Перейдите в однопользовательский режим

Вам может понадобиться откомпилировать систему в однопользовательском режиме. Кроме обычного выигрыша в скорости процесса, переустановка системы затрагивает много важных системных файлов, все стандартные выполнимые файлы системы, библиотеки, include-файлы и так далее. Изменение их на работающей системе (в частности, в которой активно работают пользователи) может привести к неприятностям.

Другим способом является компиляция системы в многопользовательском режиме с последующим переходом в однопользовательский режим для выполнения установки. Если вы хотите поступить именно так, просто следуйте инструкциям до момента окончания построения. Вы можете отложить переход в однопользовательский режим до завершения целей installkernel или installworld.

Как администратор, вы можете выполнить:

# shutdown now

на работающей системе, что переведет ее в однопользовательский режим.

Либо вы можете выполнить перезагрузку и в приглашении загрузчика задать флаг -s. После этого система загрузится в однопользовательском режиме. В приглашении командного процессора вы должны запустить:

# fsck -p

# mount -u /

# mount -a -t ufs

# swapon -a

Эти команды выполняют проверку файловых систем, повторно монтируют / в режиме чтения/записи, монтируют все остальные файловые системы UFS, перечисленные в файле /etc/fstab и включат подкачку.

Замечание: Если часы в вашей CMOS настроены на местное время, а не на GMT (это имеет место, если команда date(1) выдаёт неправильные время и зону), то вам может понадобиться запустить следующую команду:

# adjkerntz -i

Это обеспечит корректную настройку местного часового пояса -- без этого впоследствии вы можете столкнуться с некоторыми проблемами.

Пересборка ``world''

После того, как вы синхронизировали ваше локальное дерево исходных текстов с некоторой версией FreeBSD (FreeBSD-STABLE, FreeBSD-CURRENT и так далее), то можете использовать эти исходные тексты для перестроения системы.

Создайте резервную копию: Невозможно переоценить важность создания резервной копии вашей системы до того, как вы будете это делать. Хотя перестроение системы (пока вы следуете этим инструкциям) является простой задачей, вы всегда можете допустить ошибку, или ошибка может оказаться в исходных текстах, что может привести к тому, что система перестанет загружаться.

Обязательно сделайте резервную копию. И держите под рукой аварийную (fixit) дискету или загрузочный компакт диск. Может быть, вам никогда не приходилось ими пользоваться, но, постучав по дереву, всегда лучше подготовиться, чем потом сожалеть.

Подпишитесь на соответствующий список рассылки: Ветки FreeBSD-STABLE и FreeBSD-CURRENT кода по природе своей являются изменяющимися. В разработке FreeBSD участвуют люди, и время от времени случаются ошибки.

Иногда эти ошибки достаточно безобидны и приводят к выводу нового диагностического сообщения. Бывает, что изменение оказывается катастрофическим, и система не может загрузиться или разрушаются файловые системы (или что-нибудь ещё хуже).

Если возникают подобные проблемы, в соответствующем списке рассылки публикуется сообщение ``heads up'', в котором описывается природа проблемы и затрагиваемые системы. Когда проблема решается, публикуется сообщение ``all clear''.

Если вы пытаетесь отслеживать FreeBSD-STABLE или FreeBSD-CURRENT и не читаете Список рассылки, посвящённый обсуждению FreeBSD-STABLE или Список рассылки, посвящённый обсуждению FreeBSD-CURRENT соответственно, то вы напрашиваетесь на неприятности.

Не используйте make world: Множество старой документации рекомендует использование make world. При этом пропускаются многие важные шаги, и использование этой команды возможно лишь в том случае, если вы точно знаете, что делаете. Почти во всех обстоятельствах make world это неправильный способ, вместо него необходимо использовать описанную здесь процедуру.

Перезагрузитесь в однопользовательский режим

Для проверки работоспособности ядра вы должны перезагрузить систему и перейти в однопользовательский режим. Сделайте это, следуя указаниям в Разд. 19.4.5.

Перезагрузка

Теперь вы сделали всё. После того, как вы проверили, что всё на месте, можете перегрузить систему. Простая команда shutdown(8) должна это сделать:

# shutdown -r now

Pine

pine предназначен для начинающих пользователей, но включает некоторые дополнительные возможности.

Внимание: В программе pine ранее были обнаружены некоторые уязвимости, позволяющие удаленному взломщику выполнять произвольный код с правами пользователя локальной системы путем отправки специально подготовленного письма. Все эти известные проблемы были исправлены, но код pine написан в очень небезопасном стиле и офицеры безопасности FreeBSD считают, что возможно наличие других не обнаруженных уязвимостей. Имейте это ввиду при установке pine.

Текущая версия pine может быть установлена из порта mail/pine4. Как только порт установлен, pine можно запустить командой:

% pine

При первом запуске pine отображает страницу приветствия с кратким введением, а также просьбу команды разработчиков pine

отправить анонимное почтовое сообщение, позволяющее им определить количество пользователей, работающих с их почтовым клиентом. Для отправки анонимного сообщения нажмите Enter, или E для выхода из из приветствия без отправки анонимного сообщения. Пример приветствия показан ниже:

Затем отображается главное меню, перемещение по которому осуществляется с помощью клавиш навигации. В главном меню находятся ссылки для составления новых писем, просмотра почтовых каталогов, и даже управления адресной книгой. Ниже главного меню показаны клавиатурные сокращения, выполняющие соответствующие задачи.

По умолчанию pine открывает каталог inbox. Для просмотра списка сообщений нажмите I, или выберите MESSAGE INDEX, как показано ниже:

В списке показаны сообщения в текущем каталоге, они могут быть просмотрены с помощью клавиш навигации. Подсвеченные сообщения можно прочесть нажав Enter.

На снимке экрана ниже показан пример письма, отображаемого pine. Внизу экрана даны клавиатурные сокращения. Например, r используется для указания MUA

ответить на отображаемое в данный момент сообщение.

Ответ на письмо в pine осуществляется с помощью редактора pico, который устанавливается по умолчанию вместе с pine. pico упрощает навигацию в сообщении гораздо проще для новых пользователей, чем vi(1) или mail(1). Как только ответ будет готов, сообщение можно отправить нажав Ctrl+X. pine запросит подтверждение.

Программа pine может быть настроена через пункт SETUP главного меню. Обратитесь к странице http://www.washington.edu/pine/

за дальнейшей информацией.

Почта для вашего домена

Для настройки ``почтового хоста'' (почтовый сервер) вам потребуется, чтобы почта, направляемая различным рабочим станциям, пересылалась этому хосту. Обычно вам необходима доставка всей почты для любого хоста вашего домена (в данном случае *.FreeBSD.org) на почтовый сервер, чтобы пользователи могли получать свою почту на с этого сервера.

Чтобы облегчить себе (и другим) жизнь, создайте на обеих машинах учетные записи с одинаковыми именами пользователей, например, с помощью команды adduser(8).

Сервер, который вы будете использовать в качестве почтового, должен быть объявлен таковым для каждой машины в домене. Вот фрагмент примерной конфигурации:

example.FreeBSD.org A 204.216.27.XX ; Рабочая станция MX 10 hub.FreeBSD.org ; Почтовый шлюз

Таким образом, вся корреспонденция, адресованная рабочей станции, будет обрабатываться вашим почтовым сервером, независимо от того, что указано в A-записи.

Все это можно реализовать только в том случае, если вы используете сервер DNS. Если вы по каким-либо причинам не имеете возможности установить свой собственный сервер имен, необходимо договориться с провайдером или теми, кто поддерживает ваш DNS.

Если вы хотите поддерживать несколько виртуальных почтовых серверов, может пригодиться следующая информация. Допустим, что ваш клиент зарезервировал домен, например, customer1.org, и вам требуется, чтобы почта, предназначенная для customer1.org приходила на ваш хост, например, mail.myhost.com. В таком случае, DNS должен выглядеть так:

customer1.org MX 10 mail.myhost.com

Заметьте, что если вам требуется только получать почту для домена, соответствующая A-запись не нужна.

Замечание: Помните, что если вы попытаетесь каким-либо образом обратиться к хосту customer1.org, у вас вряд ли что-либо получится, если нет A-записи для этого хоста.

Последнее, что вы должны сделать - это сказать программе sendmail, для каких доменов и/или хостов она должна принимать почту. Это можно сделать несколькими способами:

Добавьте названия этих хостов в файл /etc/mail/local-host-names, если вы используете FEATURE(use_cw_file). Если у вас sendmail версии ниже 8.10, необходимо отредактировать файл /etc/sendmail.cw.

Добавьте строку Cwyour.host.com в файл /etc/sendmail.cf или /etc/mail/sendmail.cf (если у вас sendmail версии 8.10 или более поздней).

Почтовые программы пользователей

Предоставил Marc Silver.

Почтовая программа пользователя (Mail User Agent, MUA) это приложение, используемое для отправки и получения почты. Кроме того, поскольку почта ``эволюционирует'' и становится более сложной, MUA совершенствуют свои функции по обработке почты, становятся более удобны в использовании. FreeBSD поддерживает множество различных пользовательских почтовых программ, каждая из которых может быть легко установлена из коллекции портов FreeBSD. Пользователи могут выбирать между графическими почтовыми клиентами, такими как evolution или balsa, консольными клиентами, такими как mutt, pine или mail, или веб интерфейсами, используемыми в некоторых больших организациях.

Почтовый даемон

FreeBSD по умолчанию поставляется с sendmail, но помимо того поддерживает множество других даемонов почтового сервера, вот лишь некоторые из них:

exim;

postfix;

qmail.

Почтовый даемон выполняет только две функции: он отвечает за прием входящей почты и отправку исходящей. Он не отвечает за выдачу почты по протоколам POP или IMAP, и не обеспечивает подключения к локальным почтовым ящикам mbox или Maildir. Для этих целей вам может потребоваться дополнительный .

Внимание: Старые версии sendmail содержат некоторые серьезные ошибки безопасности, которые могут привести к получению атакующим локального и/или удаленного доступа к вашему компьютеру. Убедитесь, что вы работаете с современной версией, свободной от таких ошибок. Или установите альтернативный MTA из .

Почтовый хост

Почтовый хост это сервер, который отвечает за отправку и получение почты для вашего компьютера, и возможно, для всей вашей сети.

Поиск и устранение неисправностей

22.5.1.

22.5.2.

22.5.3.

22.5.4.

22.5.1. Почему я должен использовать FQDN для хостов вне моей подсети?

Вы, видимо, обнаружили, что хост, к которому вы обратились, оказался на самом деле в другом домене; например, если вы находитесь в домене foo.bar.edu и хотите обратиться к хосту mumble в домене bar.edu, то должны указать его полное доменное имя, mumble.bar.edu, а не просто mumble.

Традиционно, программа разрешения имен BSD BIND позволяла это делать. Однако, текущая версия BIND, поставляемая с FreeBSD, больше не добавляет имена доменов, отличающихся от того, в котором вы находитесь, для не полностью указанных имен хостов. То есть, имя mumble будет опознан как mumble.foo.bar.edu или будет искаться в корневом домене.

Это отличается от предыдущего поведения, при котором поиск продолжался в доменах mumble.bar.edu и mumble.edu. Если вам интересны причины объявления такого поведения плохой практикой и даже ошибкой в безопасности, обратитесь к RFC 1535.

Хорошим решением будет поместить строку

search foo.bar.edu bar.edu

вместо ранее используемой:

domain foo.bar.edu

в файл /etc/resolv.conf. Однако удостоверьтесь, что порядок поиска не нарушает ``границ полномочий между локальным и внешним администрированием'', в терминологии RFC 1535.

22.5.2. sendmail выдает ошибку ``mail loops back to myself''

В FAQ по sendmail дан следующий ответ:

Я получаю такие сообщения об ошибке:

553 MX list for domain.net points back to relay.domain.net 554 <user@domain.net>... Local configuration error

Как можно решить эту проблему?

Согласно записям MX, почта для домена domain.net перенаправляется на хост relay.domain.net, однако последний не распознается как domain.net. Добавьте domain.net в файл /etc/mail/local-host-names

[известный как /etc/sendmail.cw до версии 8.10] (если вы используете FETURE(use_cw_file)) или добавьте ``Cw domain.net'' в файл /etc/mail/sendmail.cf.

FAQ по sendmail можно найти на http://www.sendmail.org/faq/ и рекомендуется прочесть его при желании произвести некоторые ``усовершенствования'' настроек почтовой системы.

22.5.3. Как организовать работу почтового сервера при коммутируемом соединении с Интернет?

Вы хотите подключить к интернет компьютер с FreeBSD, работающий в локальной сети. Компьютер с FreeBSD будет почтовым шлюзом для локальной сети. PPP соединение не выделенное.

Существует как минимум два пути, чтобы сделать это. Один способ это использование UUCP.

Другой способ это использование постоянно работающего интернет сервера для обеспечения вторичного MX сервиса вашего домена. Например, домен вашей компании example.com, и провайдер интернет настроил example.net для обеспечения вторичного MX сервиса:

example.com. MX 10 example.com. MX 20 example.net.

Только один хост должен быть указан в качестве последнего получателя (добавьте запись Cw example.com в файл /etc/mail/sendmail.cf на машине example.com).

Когда программа sendmail (со стороны отправителя) ``захочет'' доставить почту, она попытается соединиться с вашим хостом (example.com) через модемное подключение. Скорее всего, ей это не удастся (вы, вероятнее всего, не будете подключены к интернет). Программа sendmail автоматически перейдет ко вторичному MX серверу, т.е. вашему провайдеру (example.net). Вторичный MX сервер будет периодически пытаться соединиться с вашим хостом и доставить почту на основной сервер MX (example.com).

Вы можете воспользоваться следующим сценарием, чтобы забирать почту каждый раз, когда вы входите в систему:

#!/bin/sh # Put me in /usr/local/bin/pppmyisp ( sleep 60 ; /usr/sbin/sendmail -q ) & /usr/sbin/ppp -direct pppmyisp

Если же вы хотите написать отдельный пользовательский скрипт, лучше воспользоваться командой sendmail -qRexample.com вместо вышеприведенного сценария, так как в этом случае вся почта в очереди для хоста example.com будет обработана немедленно.

Рассмотрим эту ситуацию подробнее:

Вот пример сообщения из freebsd-isp.

> Мы предоставляем вторичный MX для наших клиентов. Вы соединяетесь > с нашим сервером несколько раз в день, чтобы забрать почту для вашего > первичного (главного) MX (мы не соединяемся с ним каждый раз, когда > приходит новая почта для его доменов).


Далее, sendmail отправляет > почту, находящуюся в очереди каждые 30 минут, и клиент должен быть > подключен к Интернет в течении 30 минут, чтобы удостовериться, что > вся почта ``ушла'' на основной MX-сервер. > > Может быть, есть какая-либо команда, которая заставит sendmail > немедленно отправить все почту, находящуюся в очереди? Естественно, > пользователи не обладают какими-либо повышенными привилегиями на > нашем сервере.

В секции ``privacy flags'' файла sendmail.cf, определяется опция Opgoaway,restrictqrun

Уберите restrictqrun, чтобы разрешить рядовым пользователям инициировать работу с очередью. Вам также может понадобиться изменить порядок MX-серверов. Так, если вы предоставляете первый (основной) MX-сервер для ваши пользователей, мы указываем:

# If we are the best MX for a host, try directly instead of generating # local config error. OwTrue

Таким образом, удаленный хост будет доставлять почту непосредственно к вам, не пытаясь установить соединение с клиентом. Затем уже вы, в свою очередь, отсылаете ее клиенту. Удостоверьтесь, что в DNS есть записи про ``customer.com'' и ``hostname.customer.com''. Просто добавьте запись A в DNS для ``customer.com''.

22.5.4. Почему я продолжаю получать ошибки ``Relaying Denied'' при отправки почты через другие хосты?

В установке FreeBSD по умолчанию, sendmail настроен для отправки почты только от хоста, на котором он работает. Например, если доступен POP сервер, пользователи смогут проверять почту из школы, с работы или других удаленных точек, но не смогут отправлять письма. Обычно, через некоторое время после попытки будет отправлено письмо от MAILER-DAEMON с сообщением об ошибке ``5.7 Relaying Denied''.

Есть несколько путей разрешения этой ситуации. Самый прямой путь это использование адреса вашего провайдера в файле relay-domains, расположенном в /etc/mail/relay-domains. Быстрый способ сделать это:

# echo "your.isp.example.com" > /etc/mail/relay-domains

После создания или редактирования этого файла вы должны перезапустить sendmail.Это отлично работает, если вы администратор сервера и не хотите отправлять почту локально, или хотите воспользоваться почтовым клиентом/системой на другом компьютере или даже через другого провайдера. Это также очень полезно, если у вас настроены одна или две почтовые записи. Если необходимо добавить несколько адресов, вы можете просто открыть этот файл в текстовом редакторе и добавить домены, по одному на строку:

your.isp.example.com other.isp.example.net users-isp.example.org www.example.org

Теперь будет отправляться любая почта, посылаемая через вашу систему любым хостом из этого списка (предоставляемого пользователем, имеющим учетную запись в вашей системе). Это отличный способ разрешить пользователям отправлять почту через вашу систему удаленно, одновременно он блокирует отправку спама.

Политики MAC, использующие метки

В следующих нескольких разделах будут обсуждаться политики MAC, использующие метки.

С этого момента обсуждение будет сфокусировано на возможностях mac_biba(4), mac_lomac(4), mac_partition(4), и mac_mls(4).

Замечание: Это лишь примерные настройки, они не должны использоваться непосредственно в реальных задачах. Цель изложения в том, чтобы документировать и показать синтаксис, а также примеры реализации и тестирования.

Для правильной работы этих политик необходимо выполнить некоторые приготовления.

Получение почты

Получение почты для вашего домена выполняет почтовый сервер. Он сохраняет отправленную в ваш домен почту в формате либо mbox (это метод по умолчанию), либо Maildir, в зависимости от настроек. После сохранения почты ее можно либо прочитать локально, используя такие приложения как mail(1), mutt, или удаленно, по таким протоколам как POP или IMAP. Это означает, что для локального чтения почты вам не потребуется устанавливать сервер POP или IMAP.

Пользователи и установки меток

Пользователям необходимо иметь метки, чтобы их файлы и процессы могли правильно взаимодействовать с определенной в системе политикой безопасности. Это настраивается через файл login.conf путем использования классов. Каждая политика, использующая метки, реализует установку класса пользователя.

Пример записи, содержащей все политики, приведенные ниже:

default:\ :copyright=/etc/COPYRIGHT:\ :welcome=/etc/motd:\ :setenv=MAIL=/var/mail/$,BLOCKSIZE=K:\ :path=~/bin:/sbin:/bin:/usr/sbin:/usr/bin:/usr/local/sbin:/usr/local/bin:\ :manpath=/usr/share/man /usr/local/man:\ :nologin=/usr/sbin/nologin:\ :cputime=1h30m:\ :datasize=8M:\ :vmemoryuse=100M:\ :stacksize=2M:\ :memorylocked=4M:\ :memoryuse=8M:\ :filesize=8M:\ :coredumpsize=8M:\ :openfiles=24:\ :maxproc=32:\ :priority=0:\ :requirehome:\ :passwordtime=91d:\ :umask=022:\ :ignoretime@:\ :label=partition/13,mls/5,biba/10(5-15),lomac10[2]:

Параметр label используется для установки метки MAC по умолчанию для класса пользователя. Пользователи не смогут изменять это значение, поэтому его можно признать не опциональным. В реальной ситуации администратору никогда не потребуется включать каждую политику. Рекомендуется прочесть главу полностью перед реализацией любой из этих настроек.

Замечание: Пользователи могут изменить свою метку после входа; однако политика накладывает ограничение на это изменение. В примере выше политике Biba указано, что минимальная целостность процесса 5, максимальная 15, а эффективная целостность по умолчанию 10. Процесс будет работать на уровне 10, пока метка не будет изменена, например если пользователь использует команду setpmac, которую Biba ограничит диапазоном, установленным при входе.

Во всех случаях после изменения login.conf, база данных ``login class capability'' должна быть пересобрана с использованием команды cap_mkdb и это будет отражено в каждом последующем примере главы.

Полезно отметить, что количество пользователей, которым требуются различные классы, во многих сетях может быть велико. Необходимо тщательное планирование, поскольку управление такой сетью может серьезно усложниться.

В будущих версиях FreeBSD появится новый способ связывания пользователей с метками; однако, он будет доступен только через некоторое время после выхода FreeBSD5.3.

Пользователя root нет!

В нормальном или даже однопользовательском режиме root не обнаруживается. Команда whoami возвращает 0 (нуль) и su возвращает ``who are you?''. Что можно сделать?

Это может произойти, если политика с метками была отключена, или через sysctl(8), или путем выгрузки модуля политики. Если политика была постоянно или временно отключена, базу данных login необходимо перенастроить. Дважды проверьте login.conf, чтобы убедиться, что все параметры label были удалены и пересоберите базу данных командой cap_mkdb.

Пользовательский почтовый клиент

Обычно, это программа типа mutt, pine, elm, mail, а также программы с графическим интерфейсом, такие, как balsa или xfmail, или интегрированные приложения (например, какой-либо WWW браузер типа Netscape). Все эти программы общаются с локальным , вызывая какой-либо даемон, или напрямую по протоколу TCP.

Приготовления к использованию политик с метками

В файл login.conf необходимо внести следующие изменения:

Должен быть добавлен класс insecure, или другой подобный класс. Наличие класса insecure не обязательно, он приводится здесь в качестве примера; другие конфигурации могут использовать другое имя класса.

Класс insecure должен использовать приведенные ниже настройки и определения. Некоторые из них могут быть изменены, но строка, определяющая метку по умолчанию, необходима и должна быть оставлена.

insecure:\ :copyright=/etc/COPYRIGHT:\ :welcome=/etc/motd:\ :setenv=MAIL=/var/mail/$,BLOCKSIZE=K:\ :path=~/bin:/sbin:/bin:/usr/sbin: /usr/bin:/usr/local/sbin:/usr/local/bin:\ :manpath=/usr/share/man /usr/local/man:\ :nologin=/usr/sbin/nologin:\ :cputime=1h30m:\ :datasize=8M:\ :vmemoryuse=100M:\ :stacksize=2M:\ :memorylocked=4M:\ :memoryuse=8M:\ :filesize=8M:\ :coredumpsize=8M:\ :openfiles=24:\ :maxproc=32:\ :priority=0:\ :requirehome:\ :passwordtime=91d:\ :umask=022:\ :ignoretime@:\ :label=partition/13,mls/5,biba/low:

Перед тем, как переключать пользователей на новый класс, необходимо запустить команду на login.conf(5).

Пользователю root также необходимо присвоить класс; иначе, почти любой команде, выполняемой от root, потребуется использование setpmac.

Убедитесь, что все разделы, на которых будут установлены метки MAC, поддерживают параметр multilabel. Нам необходимо сделать это, поскольку многие из примеров здесь содержат различные метки в целях тестирования. Просмотрите вывод команды mount в качестве необходимой предосторожности.

Переключите всех пользователей, которые будут использовать новые механизмы безопасности, на этот класс. Информация по этой процедуре находится в pw(8) или vipw(8).

Прочтите /usr/src/UPDATING

Перед тем, как делать что-либо, прочтите /usr/src/UPDATING

(или соответствующий файл в вашей копии исходных текстов). В этом файле содержится важная информация о проблемах, с которыми вы можете столкнуться, или указан порядок, в котором вы должны запускать определенные команды. Если в файле UPDATING

написано нечто, противоречащее тому, что вы здесь читаете, то нужно следовать указаниям в UPDATING.

Важно: Чтение UPDATING не заменит подписки на соответствующий список рассылки, как это и описано выше. Эти два условия являются дополняющими, а не взаимоисключающими друг друга.

Проверьте содержимое /etc/make.conf

Просмотрите файлы /usr/share/examples/etc/make.conf (/etc/defaults/make.conf в FreeBSD4.X) и /etc/make.conf. Первый содержит некоторые предопределенные по умолчанию значения - большинство из них закомментировано. Чтобы воспользоваться ими при перестроении системы из исходных текстов, добавьте их в файл /etc/make.conf. Имейте в виду, что все, добавляемое вами в /etc/make.conf, используется также каждый раз при запуске команды make, так что полезно задать здесь значения, подходящие вашей системе.

Вероятно стоит скопировать строки CFLAGS и NOPROFILE, расположенные в /usr/share/examples/etc/make.conf (или /etc/defaults/make.conf в FreeBSD 4.X), в файл /etc/make.conf и раскомментировать их.

Посмотрите на другие определения (COPTFLAGS, NOPORTDOCS и так далее) и решите, нужны ли они вам.

Расширенное руководство

В следующем разделе рассматриваются более сложные темы, такие как настройка почты и включение почтовой системы для всего домена.

Реализация защищенной среды с MAC

Нижеследующая демонстрация реализует защищенную среду с использованием различных MAC модулей с соответственно настроенными политиками. Используйте этот пример только для тестирования, он не предназначен для удовлетворения всех требований к защите. Реализация этих политик без понимания принципа их работы неприменима в реальных задачах.

Перед началом процесса настройки, на каждую файловую систему необходимо установить параметр multilabel, который упоминался в начале этой главы. Невыполнение этого требования приведет к ошибкам.

Решение проблем с инфраструктурой MAC

На стадии разработки несколько пользователей сообщали о проблемах при обычных настройках. Некоторые из этих проблем приведены ниже:

Сетевые интерфейсы и установка меток

Метки также могут быть установлены на сетевые интерфейсы, для контроля потока данных в сети. Во всех случаях они функционируют аналогично тому, как политики по отношению к объектам. Пользователи с высокими установками, например, biba, не смогут получить доступ к сетевым интерфейсам с низкими установками.

Для установки MAC меток на сетевых интерфейсах параметр maclabel может быть передан ifconfig. Например:

# ifconfig bge0 maclabel biba/equal

установит MAC метку biba/equal на интерфейс bge(4). При использовании метки, подобной biba/high(low-high) вся метка должна быть взята в кавычки, иначе будет выдано сообщение об ошибке.

Каждая политика, использующая метки, снабжена переменной sysctl, которая может быть использована для отключения MAC меток на сетевых интерфейсах. Установка метки в equal будет иметь подобный эффект. Просмотрите вывод команды sysctl, страницы справочника для политик, или дальнейшую информацию из этой главы по этим переменным.

Сохраните вывод

Неплохо сохранить вывод, получаемый при работе программы make(1), в файл. Если что-то вдруг пойдет не так, вы будете иметь копию сообщения об ошибке и полную картину того, где она произошла. Хотя это может и не помочь в определении причин происходящего, это может помочь другим, если вы опишите вашу проблему в одном из списков рассылки FreeBSD.

Проще всего это сделать при помощи команды script(1) с параметром, в котором указано имя файла, в который нужно сохранить вывод. Вы должны сделать это непосредственно перед тем, как перестроить систему, а по окончании процесса набрать exit.

# script /var/tmp/mw.out

Script started, output file is /var/tmp/mw.out # make world

... compile, compile, compile ...

# exit

Script done, ...

Если вы делаете это, не

сохраняйте вывод в /tmp. Этот каталог может быть очищен при следующей перезагрузке. Лучше сохранить его в /var/tmp (как в предыдущем примере) или в домашнем каталоге пользователя root.

Создание insecure класса пользователя

Начните процедуру добавлением следующего класса пользователя к файлу /etc/login.conf:

insecure:\ :copyright=/etc/COPYRIGHT:\ :welcome=/etc/motd:\ :setenv=MAIL=/var/mail/$,BLOCKSIZE=K:\ :path=~/bin:/sbin:/bin:/usr/sbin:/usr/bin:/usr/local/sbin:/usr/local/bin :manpath=/usr/share/man /usr/local/man:\ :nologin=/usr/sbin/nologin:\ :cputime=1h30m:\ :datasize=8M:\ :vmemoryuse=100M:\ :stacksize=2M:\ :memorylocked=4M:\ :memoryuse=8M:\ :filesize=8M:\ :coredumpsize=8M:\ :openfiles=24:\ :maxproc=32:\ :priority=0:\ :requirehome:\ :passwordtime=91d:\ :umask=022:\ :ignoretime@:\ :label=partition/13,mls/5:

и добавлением следующей строки к default классу пользователя:

:label=mls/equal,biba/equal,partition/equal:

После завершения этих действий, для пересборки базы данных должна быть выполнена следующая команда:

# cap_mkdb /etc/login.conf

Тестирование MAC partition

Отключите политику MAC seeotheruids для остальных тестов:

# sysctl security.mac.seeotheruids.enabled=0

% ps Zax

LABEL PID TT STAT TIME COMMAND biba/equal(low-high),mls/equal(low-high), partition/15 1122 #C: S+ 0:00.02 top biba/15(15-15),mls/15(15-15),partition/15 1096 #C: S 0:00.05 -su (bash) biba/15(15-15),mls/15(15-15),partition/15 1123 #C: R+ 0:00.01 ps Zax

Все пользователи должны видеть каждый процесс в своем разделе (partition).

Тестирование MAC seeotheruids

% ps Zax

biba/15(15-15),mls/15(15-15),partition/15 1096 #C: S 0:00.03 -su (bash) biba/15(15-15),mls/15(15-15),partition/15 1101 #C: R+ 0:00.01 ps Zax

Просмотр процессов всех других пользователей должен быть запрещен.

Тестирование меток Biba и MLS

# setpmac partition/15,mls/equal,biba/high\(high-high\) top

% ps Zax

LABEL PID TT STAT TIME COMMAND biba/high(high-high),mls/equal(low-high), partition/15 1251 #C: S+ 0:00.02 top biba/15(15-15),mls/15(15-15),partition/15 1096 #C: S 0:00.06 -su (bash) biba/15(15-15),mls/15(15-15),partition/15 1157 #C: R+ 0:00.00 ps Zax

Политика Biba позволяет чтение объектов с более высокими метками.

# setpmac partition/15,mls/equal,biba/low top

% ps Zax

LABEL PID TT STAT TIME COMMAND biba/15(15-15),mls/15(15-15),partition/15 1096 #C: S 0:00.07 -su (bash) biba/15(15-15),mls/15(15-15),partition/15 1226 #C: R+ 0:00.01 ps Zax

Политика Biba не позволяет чтение объектов с более низкими метками; тем не менее, MLS разрешает это.

% ifconfig bge0 | grep maclabel

maclabel biba/low(low-low),mls/low(low-low) % ping -c 1 192.0.34.166

PING 192.0.34.166 (192.0.34.166): 56 data bytes ping: sendto: Permission denied

Пользователи не могут выполнить ping на example.com, или на любой домен по этой причине.

Для устранения этой ошибки, запустите следующую команду:

# sysctl security.mac.biba.trust_all_interfaces=1

Она устанавливает метку интерфейса по умолчанию в незащищенный режим, так что политика Biba по умолчанию не будет применена.

# ifconfig bge0 maclabel biba/equal\(low-high\),mls/equal\(low-high\)

% ping -c 1 192.0.34.166

PING 192.0.34.166 (192.0.34.166): 56 data bytes 64 bytes from 192.0.34.166: icmp_seq=0 ttl=50 time=204.455 ms --- 192.0.34.166 ping statistics --- 1 packets transmitted, 1 packets received, 0% packet loss round-trip min/avg/max/stddev = 204.455/204.455/204.455/0.000 ms

Установив более корректную метку, мы можем использовать ping.

Теперь создадим файлы для процедуры тестирования чтения и записи:

# touch test1 test2 test3 test4 test5

# getfmac test1

test1: biba/equal,mls/equal # setfmac biba/low test1 test2; setfmac biba/high test4 test5; \ setfmac mls/low test1 test3; setfmac mls/high test2 test4

# setfmac mls/equal,biba/equal test3 && getfmac test?

test1: biba/low,mls/low test2: biba/low,mls/high test3: biba/equal,mls/equal test4: biba/high,mls/high test5: biba/high,mls/equal # chown testuser:testuser test?

Все эти файлы должны принадлежать пользователю testuser. Тесты на чтение:

% ls

test1 test2 test3 test4 test5 % ls test?

ls: test1: Permission denied ls: test2: Permission denied ls: test4: Permission denied test3 test5

Доступ на чтение не должен быть разрешен для пар: (biba/low,mls/low), (biba/low,mls/high)

и (biba/high,mls/high). Теперь несколько тестов на запись:

% for i in `echo test*`; do echo 1 > $i; done

-su: test1: Permission denied -su: test4: Permission denied -su: test5: Permission denied

Подобно тестам на чтение, доступ на запись должен быть запрещен для пар: (biba/low,mls/high) и (biba/equal,mls/equal).

% cat test?

cat: test1: Permission denied cat: test2: Permission denied 1 cat: test4: Permission denied

А теперь от root:

# cat test2

1

Тестирование настройки

Добавьте пользователя с помощью команды adduser и поместите его в класс insecure для этих тестов.

В примерах ниже тестирование root и обычных пользователей будет смешиваться; форма приглашения поможет различить этих пользователей.

Удалите /usr/obj

При перестроении частей системы они помещаются в каталоги, которые (по умолчанию) находятся в /usr/obj. Структура повторяет структуру /usr/src.

Вы можете ускорить выполнение процесса ``make buildworld'' и, возможно, избавить себя от некоторой головной боли, связанной с зависимостями, удалив этот каталог.

На некоторых файлах из /usr/obj могут быть установлены специальные флаги (обратитесь к chflags(1) за дополнительной информацией), которые сначала должны быть сняты.

# cd /usr/obj

# chflags -R noschg *

# rm -rf *

Установите новые версии системных программ

Если вы компилировали достаточно свежую версию FreeBSD, в которой имеется команда make buildworld, то для установки новых версий программ вы должны теперь выполнить команду installworld.

Запустите

# cd /usr/src

# make installworld

Замечание: Если при выполнении команды make buildworld

вы задавали значения каких-либо переменных, то при выполнении make installworld вы должны задать те же самые переменные. Это не всегда так для остальных параметров; например, при выполнении installworld

никогда не должен использоваться параметр -j.

Например, если вы выполняли команду:

# make -DNOPROFILE buildworld

то результат её выполнения должен устанавливаться командой

# make -DNOPROFILE installworld

В противном случае будет делаться попытка установить библиотеки для профилирования, которые не компилировались на этапе выполнения команды make buildworld.

Установка другой почтовой программы

Написал Andrew Boothman. Информация получена из писем, написанных Gregory Neil Shapiro.

Как уже упоминалось, FreeBSD поставляется с MTA (Mail Transfer Agent) sendmail. Следовательно, по умолчанию именно эта программа отвечает за вашу исходящую и входящую почту.

Однако, по различным причинам некоторые системные администраторы заменяют системный MTA. Эти причины варьируются от простого желания попробовать другой MTA до потребности в определенных возможностях пакета, основанного на другой почтовой программе. К счастью, вне зависимости от причины, в FreeBSD такая замена выполняется просто.

Установка нового MTA

Вам предоставлен широкий выбор MTA. Начните с поиска в , где их немало. Конечно, вы можете использовать любой MTA по желанию, взятый откуда угодно, если только сможете запустить его под FreeBSD.

Начните с установки нового MTA. После установки у вас будет возможность решить, действительно ли он подходит вашем нуждам, а также настроить новое программное обеспечение перед тем, как заменить им sendmail. При установке новой программы убедитесь, что она не пытается перезаписать системные файлы, такие как /usr/bin/sendmail. Иначе ваша новая почтовая программа фактически начнет работать до того, как вы ее настроите.

Обратитесь к документации на выбранный MTA за информацией по его настройке.

Установка всех пользователей в insecure

Всем учетным записям, кроме root или системных пользователей теперь потребуется присвоить класс (login class). При отсутствии класса пользователи не смогут получить доступа к обычным командам, таким как vi(1). Следующий скрипт sh сделает все необходимое:

# for x in `awk -F: '($3 >= 1001) && ($3 != 65534) { print $1 }' \

/etc/passwd`; do pw usermod $x -L insecure; done;

После этого изменения необходимо запустить команду cap_mkdb

на файле /etc/master.passwd.

Вопросы?

19.4.16.1.

19.4.16.2.

19.4.16.3.

19.4.16.4.

19.4.16.5.

19.4.16.6.

19.4.16.1. Нужно ли полностью перестраивать систему при каждом изменении?

Простого ответа на этот вопрос нет, так как это зависит от характера изменения. Например, если вы только что выполнили CVSup, и оказалось, что с момента последнего его запуска были изменены следующие файлы:

src/games/cribbage/instr.c

src/games/sail/pl_main.c

src/release/sysinstall/config.c

src/release/sysinstall/media.c

src/share/mk/bsd.port.mk

то перестраивать всю систему незачем. Вы можете просто перейти в соответствующий подкаталог и выдать команду make all install, этого будет достаточно. Однако, если меняется что-то важное, например, src/lib/libc/stdlib, то вы должны перестроить всю систему или по крайней мере те ее части, которые скомпонованы статически.

В конце концов, выбор за вами. Может быть вам нравится перестраивать систему, скажем, каждый вечер, а изменения скачивать ночью. Или вы можете захотеть перестраивать только те вещи, которые менялись, но быть уверенным, что отслежены все изменения.

И, конечно же, всё это зависит от того, как часто вы хотите делать обновление, и отслеживаете ли вы FreeBSD-STABLE или FreeBSD-CURRENT.

19.4.16.2. Компиляция прерывается с большим количеством ошибок по сигналу 11 (или с другим номером сигнала). Что случилось?

Как правило, это говорит о проблемах с оборудованием. (Пере)построение системы является эффективным стресс-тестом для вашего оборудования и частенько выявляет проблемы с памятью. Обычно это проявляется в виде неожиданных сбоев компилятора или получения странных программных сигналов.

Явным указателем на это является то, что при перезапуске процедуры построения она прекращается в различные моменты времени.

В этом случае вы мало что можете сделать, разве что попробовать заменить комплектующие вашей машины для определения сбоящей компоненты.

19.4.16.3. Могу ли я удалить каталог /usr/obj после окончания?

Если отвечать коротко, то да.

Каталог /usr/obj содержит все объектные файлы, которые создаются во время фазы компиляции.
Обычно одним из первых шагов в процессе ``make buildworld'' является удаление этого каталога. В этом случае сохранение /usr/obj после окончания имеет мало смысла; вдобавок, он будет занимать большой объём дискового пространства (на данный момент около 340 МБ).
Однако если вы точно знаете, что делаете, то можете заставить процедуру ``make buildworld'' пропустить этот шаг. Это позволит последующие построения выполняться гораздо быстрее, так как большинство исходных текстов не нужно будет перекомпилировать. Оборотной стороной медали этого подхода является вероятность появления некоторых проблем с зависимостями, что может привести к прерыванию построения по странным причинам. Это частенько вызывает шум в списках рассылки FreeBSD, когда кто-либо жалуется на прерывание процесса построения, не обращая внимания на то, что он пытается срезать углы на повороте.
19.4.16.4. Могут ли быть продолжены прерванные процессы построения?
Это зависит от того, насколько далеко зашел процесс построения перед тем, как вы обнаружили проблему.
В общем случае (и это несложное и быстрое правило) процесс ``make buildworld'' строит новые копии необходимых инструментальных средств (таких, как gcc(1) и make(1)) и системные библиотеки. Затем эти средства и библиотеки устанавливаются. Новые инструментальные средства и библиотеки затем используются для перестроения самих себя, и повторно устанавливаются. Система в целом (теперь включая обычные пользовательские программы, такие, как или grep(1)) теперь перестраивается с новыми системными файлами.
Если вы на последнем шаге, и вы знаете это (потому что просматривали вывод, который сохраняете), то вы можете (достаточно безболезненно) выполнить команду:
... исправление проблемы ...
# cd /usr/src
# make -DNOCLEAN all
При этом результат предыдущего запуска ``make buildworld'' откатываться не будет.
Если вы видите сообщение:
-------------------------------------------------------------- Building everything.. --------------------------------------------------------------


в выводе команды ``make buildworld'', то делать так достаточно безопасно.
Если этого сообщения не было, или вы в этом не уверены, то всегда лучше обезопасить себя, и начать построение с самого начала.
19.4.16.5. Как ускорить процесс построения системы?
Работайте в однопользовательском режиме.
Разместите каталоги /usr/src и /usr/obj в отдельных файловых системах, располагающихся на разных дисках. Если это возможно, то разместите эти диски на разных дисковых контроллерах.
Ещё лучше разместить эти файловые системы на нескольких дисках при помощи устройства (драйвер объединённых дисков).
Выключите генерацию профилирующего кода (установив ``NOPROFILE=true'' в файле /etc/make.conf). Вам это скорее всего никогда не понадобится.
Также в /etc/make.conf установите значение CFLAGS во что-то типа -O -pipe. Оптимизация -O2 выполняется гораздо медленнее, а разница между -O и -O2 обычно несущественна. -pipe позволяет компилятору использовать для связи вместо временных файлов программные каналы, что уменьшает обращение к диску (за счет оперативной памяти).
Передайте утилите make(1) параметр -jn для запуска параллельно нескольких процессов. Обычно это помогает вне зависимости от того, сколько процессоров установлено в вашей машине.
Файловая система, на которой располагается каталог /usr/src, может быть смонтирована (или перемонтирована) с опцией noatime. При этом запись на диск информации о времени последнего доступа к файлам будет отключена. Скорее всего, вам эта информация и не нужна.
# mount -u -o noatime /usr/src
Внимание: В примере предполагается, что /usr/src
располагается на собственной файловой системе. Если это не так (то есть он является частью, скажем, /usr), то вам нужно использовать точку монтирования той файловой системы, а не /usr/src.
Файловая система, на которой располагается /usr/obj, может быть смонтирована (или перемонтирована) с параметром async. Это приведёт к тому, что операции записи на диск будут выполняться асинхронно. Другими словами, запись будет завершаться немедленно, но данные записываться на диск несколькими секундами позже.


Это позволит объединять операции записи и приведёт к значительному приросту производительности.
Внимание: Имейте в виду, что эта опция делает вашу файловую систему менее устойчивой. С этой опцией имеется больше шансов, что при перезагрузке машины после неожиданного сбоя при пропадании напряжения файловая система окажется в невосстановимом состоянии.
Если каталог /usr/obj -- это все, что есть в этой файловой системе, то это не проблема. Если на той же самой файловой системе имеются какие-то важные данные, то проверьте давность ваших резервных копий перед включением этой опции.
# mount -u -o async /usr/obj
Внимание: Как и раньше, если каталог /usr/obj
располагается не на собственной файловой системе, то в примере замените его на имя соответствующей точки монтирования.
19.4.16.6. Что мне делать, если что-то пошло не так?
Скрупулезно проверьте, чтобы в вашем окружении не было мешающих остатков от предыдущих построений. Это достаточно просто.
# chflags -R noschg /usr/obj/usr
# rm -rf /usr/obj/usr
# cd /usr/src
# make cleandir
# make cleandir
Да, команду make cleandir действительно нужно выполнять дважды.
После этого повторите весь процесс снова, начиная с make buildworld.
Если у вас все еще есть проблемы, пришлите текст ошибки и выдачу команды uname -a на адрес списка рассылки freebsd-questions. Будьте готовы ответить на другие вопросы о конфигурации вашей системы!

Время на построение

На время компиляции влияет множество факторов, но на данный момент Pentium®III частотой 500 МГц и 128 МБ ОЗУ справляется с построением дерева FreeBSD-STABLE примерно за 2 часа без дополнительных хитростей и убыстряющих процесс уловок. Дерево FreeBSD-CURRENT строится несколько дольше.

Загрузка с необходимыми модулями

Добавьте к /boot/loader.conf следующие строки, чтобы необходимые модули были загружены при старте системы:

mac_biba_load="YES" mac_mls_load="YES" mac_seeotheruids_load="YES" mac_partition_load="YES"

Замещение sendmail как почтовой программы по умолчанию

Программа sendmail настолько распространена в качестве стандартной программы для систем UNIX®, что многие программы считают, что она уже установлена и настроена. По этой причине многие альтернативные MTA предоставляют собственные совместимые реализации интерфейса командной строки sendmail; это облегчает их использование в качестве ``прозрачной'' замены sendmail.

Поэтому если вы используете альтернативную почтовую программу, потребуется убедиться, что когда программное обеспечение пытается выполнить стандартные исполняемые файлы sendmail, такие как /usr/bin/sendmail, на самом деле выполняются программы вновь установленной почтовой системы. К счастью, FreeBSD предоставляет систему, называемую mailwrapper(8), которая выполняет эту работу за вас.

Когда установлен sendmail, файл /etc/mail/mailer.conf выглядит примерно так:

sendmail /usr/libexec/sendmail/sendmail send-mail /usr/libexec/sendmail/sendmail mailq /usr/libexec/sendmail/sendmail newaliases /usr/libexec/sendmail/sendmail hoststat /usr/libexec/sendmail/sendmail purgestat /usr/libexec/sendmail/sendmail

Это означает, что когда выполняется какая-то из этих стандартных программ (например сам sendmail), система на самом деле вызывает копию mailwrapper, называемую sendmail, которая обращается к mailer.conf и выполняет вместо этого /usr/libexec/sendmail/sendmail. Такая схема делает простой замену программ, которые на самом деле выполняются, когда вызываются стандартные функции sendmail.

Поэтому если вы хотите выполнять /usr/local/supermailer/bin/sendmail-compat вместо sendmail, отредактируйте /etc/mail/mailer.conf так:

sendmail /usr/local/supermailer/bin/sendmail-compat send-mail /usr/local/supermailer/bin/sendmail-compat mailq /usr/local/supermailer/bin/mailq-compat newaliases /usr/local/supermailer/bin/newaliases-compat hoststat /usr/local/supermailer/bin/hoststat-compat purgestat /usr/local/supermailer/bin/purgestat-compat

Запуск нового MTA при загрузке

Вы можете выбрать один из двух методов для запуска нового MTA при загрузке, опять же в зависимости от используемой версии FreeBSD.

Запуск новой почтовой программы

Как только вы все настроили, потребуется или уничтожить процесс sendmail, который уже не нужен и запустить новую почтовую программу, или просто перегрузить систему. Перезагрузка также даст вам возможность проверить, правильно ли настроена система для автоматического запуска MTA при загрузке.

Завершение

Теперь у вас имеется успешно обновлённая система FreeBSD. Поздравляем!

Если что-то работает неправильно, можно с лёгкостью перестроить конкретную часть системы. Например, если вы случайно удалили файл /etc/magic в процессе обновления или переноса /etc, то команда file(1) перестанет работать. В таком случае это можно исправить вот так:

# cd /usr/src/usr.bin/file

# make all install

Завершение настройки

Должен быть создан файл контекста; следующий пример взят из примера политики от Robert Watson, он может быть помещен в /etc/policy.contexts:

# This is the default BIBA/MLS policy for this system.

.* biba/high,mls/high /sbin/dhclient biba/high(low),mls/high(low) /dev(/.*)? biba/equal,mls/equal # This is not an exhaustive list of all "privileged" devices. /dev/mdctl biba/high,mls/high /dev/pci biba/high,mls/high /dev/k?mem biba/high,mls/high /dev/io biba/high,mls/high /dev/agp.* biba/high,mls/high (/var)?/tmp(/.*)? biba/equal,mls/equal /tmp/\.X11-unix biba/high(equal),mls/high(equal) /tmp/\.X11-unix/.* biba/equal,mls/equal /proc(/.*)? biba/equal,mls/equal /mnt.* biba/low,mls/low (/usr)?/home biba/high(low),mls/high(low) (/usr)?/home/.* biba/low,mls/low /var/mail(/.*)? biba/low,mls/low /var/spool/mqueue(/.*)? biba/low,mls/low (/mnt)?/cdrom(/.*)? biba/high,mls/high (/usr)?/home/(ftp|samba)(/.*)? biba/high,mls/high /var/log/sendmail\.st biba/low,mls/low /var/run/utmp biba/equal,mls/equal /var/log/(lastlog|wtmp) biba/equal,mls/equal

Эта политика обеспечит безопасность путем применения ограничений на нисходящий и восходящий потоки информации в применении к каталогам и утилитам, приведенным в левой части файла.

Он может быть внесен в систему следующими командами:

# setfsmac -ef /etc/policy.contexts /

# setfsmac -ef /etc/policy.contexts /usr

Замечание: Раскладка вышеприведенной файловой системы может быть различной для разных систем.

Файл /etc/mac.conf требует следующих изменений в основном разделе:

default_labels file ?biba,?mls default_labels ifnet ?biba,?mls default_labels process ?biba,?mls,?partition default_labels socket ?biba,?mls

---

---