Изменение контекста безопасности файлов в директориях, отличных от /home, происходит при помощи конфигурационных файлов.

Данные конфигурационные файлы находятся по пути /etc/NESS/initfs/fs.d.

Эта папка включает файлы вида 00100root.initfs. В них содержится описание мандатных атрибутов директорий.

К примеру, запись вида -m t=CCnR,CICnR [/путь] даст директории, указанной в /путь, теги CCnR CCnR - Container Clearance not Required. Доступ к элементам контейнера осуществляется без учета его конфиденциальности. При использовании с контейнером – позволяет хранить в нем сущности с мандатными атрибутами, отличными от мандатных атрибутов контейнера, но не превосходящими их, в отношении объектов, не являющихся контейнерами, игнорируется mouseover и CICnR CICnR - Container Integrity Clearance not Required. Доступ к элементам контейнера осуществляется без учета его целостности. При использовании в отношении контейнера – позволяет хранить в нем объекты с различными уровнями целостности, но не превосходящими уровень целостности контейнеров, в отношении объектов, не являющихся контейнерами, игнорируетсяmouseover. Данный набор атрибутов позволит создавать файлы любого контекста безопасности внутри указанной директории.

Рассмотрим, как изменить контекст безопасности файлов на примере:

1) укажем атрибуты для директории /var/www, чтобы получить возможность ограничить доступ к веб-ресурсам. Для этого добавим строки в файл 00700var.initfs:

2) для изменения атрибутов файлов создадим файл такого же вида, но содержащий shell-скрипт:

3) внутри файла добавим строки вида:

4) после чего инициализируем новый и измененный файлы:

Проверить изменения можно при помощи команды, которая показывает контекст у файлов:

Если контекст безопасности пользователя не ниже контекста безопасноcти изменяемого файла, команда покажет: l=Уровень 1

Посмотреть видеоурок: Изменение контекста безопасности вне домашнего каталогаmouseover