15.4. 规划安全配置

建议在MAC策略之前先进行规划。在规划阶段,管理员应考虑实施要求和目标,例如:

在生产系统上使用MAC实现之前,应先试运行受信任系统及其配置。由于不同的环境有不同的需求和要求,因此一旦系统投入使用,建立完整的安全配置文件将减少更改的需求。

考虑MAC框架如何增强整个系统的安全性。MAC框架提供的各种安全策略模块可用于保护网络和文件系统或阻止用户访问某些端口和套接字。策略模块的最佳用途可能是一次加载多个安全策略模块,以便提供MLS环境。此方法不同于强化策略,后者通常强化系统仅用于特定目的的元素。MLS的缺点是管理开销增加。

与框架的持久效果相比,开销最小,该框架提供了选择特定配置所需的策略和降低性能开销的能力。减少对不需要的政策的支持可以提高系统的整体性能,并提供选择的灵活性。良好的实施将考虑总体安全要求,并有效地实施框架提供的各种安全策略模块。

使用MAC的系统保证不允许用户随时更改安全属性。所有用户实用程序、程序和脚本必须在所选安全策略模块提供的访问规则的约束范围内工作,MAC访问规则的控制由系统管理员负责。

系统管理员有责任仔细选择正确的安全策略模块。对于需要限制网络访问控制的环境,mac_portacl(4、mac_ifoff) (4)和mac_biba(4)策略模块都提供了良好的起点。对于需要严格保密文件系统对象的环境,请考虑mac_bsdextended(4)mac_mls(4)个策略模块。

可以根据网络配置决定策略。如果只允许某些用户访问ssh(1),那么mac_portacl(4)策略模块是一个不错的选择。就文件系统来说,部分用户可以访问某些对象,然后另一部分用户不行。例如,一个大的开发团队可能会被分成几个小的项目,其中项目 A 的开发人员可能不允许访问项目 B 的开发人员编写的对象。

每个安全策略模块都有处理系统整体安全性的独特方法。模块选择应基于经过深思熟虑的安全策略,可能需要修订和重新实施。了解MAC框架提供的不同安全策略模块将有助于管理员选择适合其情况的最佳策略。

本章的其余部分将介绍可用的模块,介绍其使用和配置,在某些情况下,提供有关适用情况的见解。

小心:

实现MAC与实现防火墙非常类似,因为必须小心防止被完全锁定在系统之外。应考虑恢复到以前的配置的能力,并且应极其小心地通过远程连接实现MAC

本文档和其它文档可从这里下载: ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/.

如果对于FreeBSD有问题,请先阅读 文档,如不能解决再联系 <questions@FreeBSD.org>.

关于本文档的问题请发信联系 <doc@FreeBSD.org>.