root 配置策略,使用户被放在适当的类别和访问级别中。一个值得注意的区别是,许多策略模块也可以限制根。然后,对对象的基本控制将被释放给组,但 root 可以在任何时候撤销或修改这些设置。multilabel 来在 UFS 文件系统上设置多标签策略。多重标签策略允许每个主体或对象有自己独立的 MAC 标签。使用多重标签或单一标签策略的决定只需要用于实现标签功能的策略,如 biba、lomac 和 mls。一些策略,如 seeotheruids、portacl 和 partition,根本不使用标签。multilabel。这只能在单用户模式下进行,对 swap 文件系统来说不是一个要求。biba/high。如果网络服务器需要在 biba/low 下运行以防止写入功能,它可以被安装到一个单独的UFS /usr/local 文件系统,设置为 biba/low。setfmac 和 setpmac 来完成,前者用于设置系统对象的 MAC 标签,后者用于设置系统主体的标签。例如,在 test 中把 biba 的 MAC 标签设置为高。Permission denied,这通常发生在对一个受限制的对象设置或修改标签时。其他条件可能产生不同的失败。例如,文件可能不属于试图重新标记该对象的用户,该对象可能不存在,或者该对象可能是只读的。一个强制性的策略将不允许进程重新标记文件,可能是因为文件的一个属性,进程的一个属性,或建议的新标签值的一个属性。例如,如果一个以低完整性运行的用户试图改变一个高完整性文件的标签,或者一个以低完整性运行的用户试图将一个低完整性文件的标签改为高完整性标签,这些操作将失败。setpmac 来覆盖策略模块的设置,给被调用的进程分配一个不同的标签:sendmail ,通常使用 getpmac 来代替。这个命令用一个进程 ID(PID) 来代替命令名称。如果用户试图操作一个不在其访问范围内的文件,根据加载的策略模块的规则,将显示不允许操作的错误。low、equal 和 high,其中:low 被视为对象或主题可能具有的最低标签设置。在对象或主体上设置此项会阻止它们访问标记为“高”的对象或主体。equal 将主题或对象设置为禁用或不受影响,并且只应放置在被视为从策略中免除的对象上。high 为对象或主体授予 Biba 和 MLS 策略模块中可用的最高设置。su 或 setpmac 对他们的权利进行子集,以便访问他们不受限制的隔间中的对象。5,最大是 15,而默认的有效标签是 10 。该进程将以 10 运行,直到它选择改变标签,也许是由于用户使用 setpmac,这将被 Biba 限制在配置的范围内。cap_mkdb 重新构建登录类功能数据库。low 的网络接口。maclabel 可以传递给 ifconfig:bge0 接口上设置 biba/equal 的 MAC 标签。当使用类似 于biba/high(low-high) 的设置时,应该引用整个标签以防止返回错误。sysctl 的输出,策略手册的页面,以及本章其余部分的信息,以了解关于这些可调谐项的更多信息。