[castle] any problems
Stanislav Ievlev
=?iso-8859-1?q?inger_=CE=C1_altlinux=2Eru?=
Пт Май 4 19:22:32 MSD 2001
Igor Solovyov wrote:
> Hi All!
>
> 1. Цитата из файла RSBAC.txt:
> "Во время установки системы для ядра RSBAC задаются дополнительные параметры
> "rsbac_auth_enable_login" и "rsbac_softmode"........"
>
> А где это задается во время установки?
> Я специально второй раз запустил установку, однако этого не заметил. :-)
> Хотя параметры эти в /etc/lilo.conf оказались прописаны.
> Видимо это просто неточная информация? Или все же я с двух раз
> умудрился не заметить?
Прописывается внутри инсталлятора.
>
>
> 2. При установке lilo по-умолчанию предлагается ядро без rsbac
> Это так и должно быть? Или все же нужно самому поменять на загрузку
> по умолчанию ядра с rsbac? Ведь все равно оно первый раз должно
> загрузиться с параметром "rsbac_softmode".
Пока это слишком экспериментальное ядро, чтобы предлагать его по-умолчанию.
>
>
> 3. Цитата из http://people.altlinux.ru/inger/White-Paper.html:
>
> " В заключение отметим самое главное достоинство дистрибутива - впервые все
> предлагаемые решения в полном объеме готовы к использованию прямо из коробки
> - как говорится, plug-and-play."
>
> При загрузке ядра с rsbac вижу сообщения:
>
> rsbac_do_init(): Initializing RSBAC v1.1.1
> rsbac_do_init(): compiled modules: REG FF RC AUTH ACL
> rsbac_do_init(): File/Dir ACI partly not found on device 03:66!
> rsbac_do_init(): Dev ACI could not be read!
> rsbac_do_init(): Registering RSBAC proc dir
> rsbac_init_rc(): Initializing RSBAC: RC subsystem
> rsbac_init_rc(): roles could not be sufficiently read, error RSBAC_ENOTFOUND, default role entries might be used!
> rsbac_init_rc(): types could not be sufficiently read, error RSBAC_ENOTFOUND, default type entries might be used!
> rsbac_init_auth(): Initializing RSBAC: AUTH subsystem
> rsbac_init_acl(): Initializing RSBAC: ACL subsystem
> rsbac_init_acl(): File/Dir ACLs not fully read from dev 03:66, err RSBAC_ENOTFOUND!
> rsbac_init_acl(): File/Dir default ACL not fully read from dev 03:66, err RSBAC_ENOTFOUND, generating standard ACL!
> rsbac_init_acl(): Device ACLs not fully read from dev 03:66, err RSBAC_ENOTFOUND!
> rsbac_init_acl(): Device default ACL not fully read from dev 03:66, err RSBAC_ENOTFOUND, generating standard ACL!
> rsbac_init_acl(): IPC default ACL not fully read from dev 03:66, err RSBAC_ENOTFOUND, generating standard ACL!
> rsbac_init_acl(): SCD ACLs not fully read from dev 03:66, err RSBAC_ENOTFOUND, adding standard entries!
> rsbac_init_acl(): SCD default ACL not fully read from dev 03:66, err RSBAC_ENOTFOUND, generating standard ACL!
> rsbac_init_acl(): User default ACL not fully read from dev 03:66, err RSBAC_ENOTFOUND, generating standard ACL!
> rsbac_init_acl(): Process default ACL not fully read from dev 03:66, err RSBAC_ENOTFOUND, generating standard ACL!
> rsbac_init_acl(): Group list not fully read from dev 03:66, err RSBAC_ENOTFOUND!
> rsbac_init_acl(): Group membership list not fully read from dev 03:66, err RSBAC_ENOTFOUND!
> rsbac_init_debug(): adf log levels could not be read, using default value 1
> rsbac_reg_init(): Initializing RSBAC: REG module and syscall registration
> rsbac_do_init(): Ready.
>
> Что у меня не так? Почему ругань? Или все же нужно сначала все самому настроить?
> Я подумал, что какая-то базовая конфигурация все же уже будет настроена. :-(
Это совершенно нормальная ругань. RSBAC_ENOTFOUND означает просто, что
соответствующие ACI (хранилища для прав RSBAC) не найдены. А их
действительно пока нет, пока не созданы права. Можно было бы убрать эту
ругань, но, с другой стороны, это пригодится когда ACI действительно
потеряются.
>
>
> 4. Следующая цитата из файла RSBAC.txt:
>
> "По умолчанию будут настроены следующие ограничения:
> - в каталогах /bin /sbin /usr/bin /usr/sbin - файлы будут доступны только
> для исполнения, а файлы сценариев только для чтения.
> - все библиотеки доступны только для чтения
> - каталог /home доступен только для пользователей и офицера безопасности (ОБИ)
> - домашний каталог офицера безопасности /secoff доступен только для него.
> - файлы /etc/passwd /etc/shadow /etc/fstab /etc/lilo.conf /boot/grub/menu.lst
> доступны только для чтения"
>
> Хм... Наверное это вследствие проблем из пункта 3. Но однако:
>
> # ls -l /etc/lilo.conf
> -rw-rw-rw- 1 root root 319 Май 4 19:14 /etc/lilo.conf
Это не права RSBAC. Права RSBAC видны только из "rsbac_admin".
Перегрузите системы (не soft mode) и просто посмотрите результаты
попыток чтения/записи для интересующих файлов.
>
>
> В общем "с ходу" у меня как-то не получилось. :-(
> Куда копать?
Можно все вопросы задавать и здесь.
>
---------------------------------
С наилучшими пожеланиями
Станислав Иевлев.
>
Подробная информация о списке рассылки Castle