第 15 章 强制访问控制

Written by Tom Rhodes.
目录
15.1. 简介
15.2. 本章出现的重要术语
15.3. 理解 MAC 标签
15.4. 规划安全配置
15.5. 可用的MAC策略
15.6. 用户锁定
15.7. MAC Jail 中的 Nagios
15.8. MAC 框架的故障排除

15.1. 简介

FreeBSD 支持基于 POSIX®.1e 草案的安全扩展。这些安全机制包括文件系统访问控制列表 (第 13.9 节 “文件系统访问控制表”) 和强制访问控制 (MAC)。MAC允许加载访问控制模块以实现安全策略。一些模块为系统的一个狭小的子集提供保护,加固了一个特定的服务。另一些模块则在所有主体和对象中提供全面的标签安全保护。定义中的强制部分表明,控制执行由管理员和操作系统来执行。这与默认的安全机制 Discretionary Access Control(DAC)形成了鲜明的对比,在这种情况下,控制执行由用户自行决定。

本章将集中讲述强制访问控制框架 (MAC 框架) 以及一套用以实施多种安全策略的插件式的安全策略模块。

读完本章节,你将会知道:

  • 目前 FreeBSD 中具有哪些 MAC 安全策略模块, 以及与之相关的机制。

  • MAC 安全策略模块将实施何种策略, 以及标签式与非标签式策略之间的差异。

  • 如何高效地配置系统令使其使用 MAC 框架。

  • 如何配置 MAC 框架所提供的不同的安全策略模块。

  • 如何用 MAC 框架构建更为安全的环境, 并举例说明。

  • 如何测试 MAC 配置以确保正确构建了框架。

在阅读这个章节之前,您应当:

警告:

错误的MAC配置可能导致丧失系统访问权,激怒用户,或者无法访问Xorg提供的特性。更重要的是, MAC 不能用于彻底保护一个系统。MAC 框架仅用于增强现有安全策略。如果没有健全的安全条例以及定期的安全检查,系统将永远不会绝对安全。

本章中包含的示例仅用于演示,这些示例设置不应在生产系统中实施。实施任何安全策略都需要大量的理解、正确的设计和彻底的测试。

虽然本章涵盖了与MAC框架有关的广泛的安全问题,但没介绍如何开发新的新的MAC安全策略模块。MAC框架中包含的一些安全策略模块具有特定的特性,这些特性是为了测试和开发新模块。参考mac_test(4), mac_stub(4)mac_none(4),以了解这些安全策略模块及其提供的各种机制的更多信息。

本文档和其它文档可从这里下载: ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/.

如果对于FreeBSD有问题,请先阅读 文档,如不能解决再联系 <questions@FreeBSD.org>.

关于本文档的问题请发信联系 <doc@FreeBSD.org>.