5. Связь с политиками безопасности решения
Рассмотрим политики безопасности на примере echo_mod_dyn.
Прежде всего, необходимо обратить внимание на то, что файлы политик оперируют именами классов процессов, а не экземпляров. С одной стороны, это позволяет применять одинаковые политики ко всем экземплярам класса, но с другой стороны этот факт необходимо учитывать при выборе именования компонентов.
Также, необходимо помнить, что существует пять классов сообщений, и их "прохождение" регулируется раздельно.
- Запрос от клиента к серверу (request)
- Ответ сервера клиенту (response)
- Сообщение об ошибке (error)
- Требование о запуске процесса (execute)
- Взаимодействие с KSM (security)
Аааа
Необходимо помнить о том, что любая программа прежде всего должна быть запущена. Ядро запускает само себя и Einit. Einit запускает все остальгые процессы. Это должно быть явно разрешено.
Необходимо помнить о том, что "под капотом" у большинства библиотечных функций лежат запросы к ядру. Библиотечные функции используются не только в пользовательской части, но и в служебной (Einit, NameServer). Их также явно надо разрешать.