17.16. Determinando errores en la estructura MAC

Durante la fase de desarrollo, algunos usuarios reportaron problemas con la configuración normal. Algunos de estos problemas están listados abajo:

17.16.1. La opción multilabel no puede ser habilitada en /

¡La bandera multilabel no permanece habilitada en mi partición raíz (/)!

Parece que uno de cada cincuenta usuarios tiene este problema, de hecho, hemos tenido este problema durante nuestra configuración inicial. Mayor observación en este llamado “bug” me ha llevado a creer que es el resultado de documentación incorrecta o de interpretación errónea de la documentación. Sin importar por qué sucede, se pueden tomar los siguientes pasos para resolverlo:

  1. Editar /etc/fstab y poner la partición raíz a ro para solo lectura.

  2. Reiniciar en modo mono usuario.

  3. Ejecutar tunefs -l enable en /.

  4. Reiniciar el sistema a modo normal.

  5. Ejecutar mount -urw / y cambiar ro de regreso a rw en /etc/fstab y reiniciar el sistema de nuevo.

  6. Revisar nuevamente la salida de mount para asegurarse que multilabel haya sido activada correctamente el el sistema de archivos raíz.

17.16.2. No se puede iniciar un servidor X11 despues de MAC

Despues de establecer un ambiente seguro con MAC, ¡ya no puedo iniciar X!

Esto puede ser causado por la política MAC partition o por un etiquetamiento erroneo en una de las políticas de etiquetamiento MAC. Para determinar el error trate lo siguiente:

  1. Revise el mensaje de error; si el usuario está en la clase insecure, la política partition puede ser la culpable. Trate poner la clase del usuario de regreso a la clase default y recostruya la base de datos con el comando cap_mkdb. Si esto no alivia el problema, vaya al paso dos.

  2. Revise doblemente las políticas de etiquetamiento. Asegúrese que las políticas están configuradas correctamente para el usuario en cuestión, la aplicación X11 y las entradas /dev.

  3. Si ninguno de estos resuelve el problema, envie el mensaje de error y la descripción de su ambiente a la lista de discusión TrustedBSD localizada en el sitio web TrustedBSD o a la lista de correo lista de correo para preguntas generales sobre FreeBSD.

17.16.3. Error: _secure_path(3) cannot stat .login_conf

Cuando trato de cambiar de root a otro usuario en el sistema, aparece el mensaje de error “_secure_path: unable to state .login_conf”.

Este mensaje es usualmente desplegado cuando el usuario tiene una etiqueta más alta que la del usuario al que se está tratando de convertir. Por ejemplo, un usuario en el sistema, joe, tiene una etiqueta por omisión de biba/low. El usuario root, que tiene una etiqueta de biba/high, no puede ver el directorio home de joe. Esto sucederá sin importar que root haya usado el comando su para convertirse en joe, o no. En este escenario, el modelo de integridad Biba no permitirá a root ver objetos puestos a un nivel de integridad inferior.

17.16.4. ¡El usuario root no funciona!

En modo normal o incluso en modo monousuario, root no es reconocido. El comando whoami regresa 0 (cero) y su regresa “who are you?”. ¿Que es lo que puede estar pasando?

Esto puede suceder si una política de etiquetamiento ha sido deshabilitada, ya sea por sysctl(8) o el módulo de política ha sido removido. Si la política ha sido deshabilitada o ha sido temporalmente deshabilitada, entonces las capacidades de la base de datos de login necesita ser reconfigurada con la opción label eliminada. Revise doblemente el archivo login.conf para asegurarse que todas las opciones label hayan sido eliminadas y reconstruya la base de datos con el comando cap_mkdb.

Éste y otros documentos pueden obtenerse en ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/.

Para preguntas acerca de FreeBSD, leer la documentación antes de contactar con la lista <questions@FreeBSD.org>.
Para preguntas acerca de esta documentación, e-mail a <doc@FreeBSD.org>.