Общее администрирование осуществляется средствами командной строки или при помощи
диалоговых меню. Напрямую, к RSBAC-файлам обращаться нельзя. Многие параметры
могут быть проконтролированы и установлены во время работы, если это задействовано
в конфигурации ядра, через proc-интерфейс в proc/rsbac-info (смотри README-proc
в Documentation/rsbac). Все средства командной строки используют новые системные
вызовы, предоставляемые пакетом RSBAC, и все проверки доступа делаются в пределах
ядра. Однако, эти инструменты делают некоторую проверку здравомыслия.
Каждый инструмент печатает короткую справку, если он вызывается с недостаточными
параметрами. В настоящее время предоставляются следующие инструменты:
attr_get_fd: Считывает значения атрибутов объектов FILE, DIR и DEV из общей
структуры данных. Параметры являются типами объектов (FILE, DIR или DEV), именем
атрибута и именами файлов или каталогов, чьи атрибуты считываются в настоящий
момент. Возвратные значения являются числами.
attr_get_file_dir: Более новая версия от v1.0.1, оптимизировано для сценариев
attr_back_fd: (Рекурсивный) резервный признак для FILE/DIR
attr_back_dev: (Рекурсивный) резервный признак для DEV
attr_set_fd: Устанавливает соответствующие атрибуты. Поддерживается рекурсивная
установка. Параметрами являются типы объектов (FILE, DIR, DEV или FD(=auto)),
названия атрибутов, числовые значения и имена файлов или каталогов, чьи атрибуты
считываются в данный момент.
attr_set_file_dir: Более новая версия от v1.0.1, оптимизировано для сценариев
attr_rm_fd: Переустановить все атрибуты указанного объекта
attr_get_up: Считать значения атрибутов USER и PROCESS-объектов из General
Data Structures. Параметрами являются типы объектов (USER или PROCESS), названия
атрибутов и номера объектов, чьи атрибуты считываются. Возвратные значения являются
числами.
attr_get_user: Более новая версия для USER от v1.0.1, оптимизировано для сценариев
attr_back_user: (Рекурсивный) резервный признак для USER
attr_get_process: Более новая версия для PROCESS от v1.0.1, оптимизировано
для сценариев
attr_set_up: Устанавливает соответствующие атрибуты. Параметрами являются
типы объектов (USER или PROCESS), названия атрибутов, числовые значения и номера
объектов, чьи атрибуты считываются.
attr_set_user: Более новая версия для USER от v1.0.1, оптимизировано для сценариев
attr_set_process: Более новая версия для PROCESS от v1.0.1, оптимизировано
для сценариев
attr_rm_user: Переустановить все атрибуты указанного пользователя
attr_get_ipc: Новое для IPC от v1.0.1, оптимизировано для сценариев
attr_set_ipc: Новое для IPC от v1.0.1, оптимизировано для сценариев
rsbac_stats: Возвращаемая через журнал регистрации событий системы информация
статуса на General Data Structures, из разряда KERN_INFO.
switch_adf_log: Устанавливает уровень протокола для запросов принятия решений.
Параметрами являются запрашиваемое имя и уровень (0-2, смотри ).
switch_module: Подключает или отключает модули принятия решений, если задействовано
в конфигурации ядра. Параметрами являются названия модулей и 0 или 1. Необходимые
права допуска являются модуле-зависимыми. Это средство также может включать
или отключать слабый режим.
mac_wrap: Оболочка для inetd-подобных для поднятия максимального уровня безопасности
для процессов.
rc_role_wrap: Оболочка для изменения роли на подходящую перед выполнением
программы.
rsbac_write: Запрос записи на диск измененной структуры данных.
rsbac_check: Запрос структуры данных для проверки на целостность. Также может
уменьшать размеры списка путем удаления ненужных вхождений.
rsbac_menu: Диалоговое меню основанное на диспетчере администрирования.
rsbac_fd_menu: Диалоговое меню основанное на средстве администрации FILE/DIR.
rsbac_dev_menu: Диалоговое меню основанное на средстве администрации DEV.
rsbac_user_menu: Диалоговое меню основанное на средстве администрации USER.
rsbac_process_menu: Диалоговое меню основанное на средстве администрации PROCESS.
rsbac_ipc_menu: Диалоговое меню основанное на средстве администрации IPC.
rsbac_rc_role_menu: Диалоговое меню основанное на средстве администрации
RC-ролей.
rsbac_rc_type_menu: Диалоговое меню основанное на средстве администрации
RC-типов.
rsbac_acl_menu: Диалоговое меню основанное на средстве администрации ACL.
rsbac_acl_group_menu: Диалоговое меню основанное на средстве администрации
ACL-групп.
В отличие от Privacy Model, Role Compatibility-модели, AUTH-модели и ACL-модели,
администрирование модулей принятия решений может быть выполнено только через
установку общих атрибутов. Эти модули ограничивают доступ к их атрибутам в основном
пользователями в системной роли Security Officer, который установлен
при инсталляции для пользователя 400. Если офицер безопасности не определен,
то для назначения ролей должно быть использовано ремонтное ядро, как описано
выше.
RC-модуль администрируется при помощи атрибутов и определений роли и типа с
использованием средств администрации RC.
ACL-модуль администрируется через установки попечителя и маски для субъектов
и объектов различных типов. Они устанавливаются при помощи acl_grant и acl_mask,
административного инструментария ACL , и считываются с acl_tlist и acl_rights.
Никакие общие атрибуты не применяются. Рекомендуются ACL-меню.
Атрибуты, так же как и содержащие их типы данных для системных вызовов (смотри
types.h, pm_types.h и rc_types.h), определены и описаны на странице описания
моделей и в руководстве пользователя syscall. Точное описание
синтаксиса и кодов для числовых значений атрибутов включены в относящуюся к
ним справку в инструментарии (вызов без параметров).
![[*]](crossref.png)
).
