Date: Sun, 28 Sep 2008 14:42:40 GMT From: Rene Ladan <rene@FreeBSD.org> To: Perforce Change Reviews <perforce@FreeBSD.org> Subject: PERFORCE change 150598 for review Message-ID: <200809281442.m8SEgeQY092271@repoman.freebsd.org>
next in thread | raw e-mail | index | archive | help
http://perforce.freebsd.org/chv.cgi?CH=150598 Change 150598 by rene@rene_self on 2008/09/28 14:41:50 Partial MFen of MAC from 1.49 to 1.73. All changes are processed, English text remains. Affected files ... .. //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/mac/chapter.sgml#6 edit Differences ... ==== //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/mac/chapter.sgml#6 (text+ko) ==== @@ -3,7 +3,9 @@ $FreeBSD: doc/nl_NL.ISO8859-1/books/handbook/mac/chapter.sgml,v 1.3 2008/05/21 21:29:21 remko Exp $ $FreeBSDnl: doc/nl_NL.ISO8859-1/books/handbook/mac/chapter.sgml,v 1.22 2006/01/05 21:13:23 siebrand Exp $ - Gebaseerd op: 1.49 + + %SOURCE% en_US.ISO8859-1/books/handbook/mac/chapter.sgml + %SRCID% 1.73 --> <chapter id="mac"> @@ -15,6 +17,20 @@ <contrib>Geschreven door </contrib> </author> </authorgroup> + <authorgroup> + <author> + <firstname>Siebrand</firstname> + <surname>Mazeland</surname> + <contrib>Vertaald door </contrib> + </author> + </authorgroup> + <authorgroup> + <author> + <firstname>René</firstname> + <surname>Ladan</surname> + <contrib>Vertaling voortgezet door </contrib> + </author> + </authorgroup> </chapterinfo> <title>Verplichte Toegangscontrole (MAC)</title> @@ -35,27 +51,28 @@ <para>In &os; 5.X worden nieuwe beveiligingsuitbreidingen geïntroduceerd uit het TrustedBSD project, dat is gebaseerd op de &posix;.1e draft. Twee van de meest significante nieuwe - beveiligingsmechanismen zijn bestandssysteem - Toegangscontrolelijsten (<acronym>ACL's</acronym>) en - Verplichte Toegangscontrole (Mandatory Access Control of - <acronym>MAC</acronym>) facilities. Met Verplichte - Toegangscontrole kunnen nieuwe toegangscontrolemodules geladen - worden, waarmee nieuw beveiligingsbeleid opgelegd kan worden. - Een aantal daarvan bieden beveiliging aan hele kleine onderdelen - van het systeem, waardoor een bepaalde dienst weerbaarder wordt, - terwijl andere allesomvattende gelabelde beveiliging bieden op - alle vlakken en objecten. Het verplichte deel van de definitie - komt van het feit dat het opleggen van de controle wordt gedaan - door beheerders en het systeem en niet wordt overgelaten aan - de nukken van gebruikers, zoals wel wordt gedaan met - toegangscontrole naar goeddunken (discretionary access control of - <acronym>DAC</acronym>, de standaard bestands- en System V + beveiligingsmechanismen zijn facilititeiten voor + Toegangscontrolelijsten voor bestandssystemen + (<acronym>ACL</acronym>s) en Verplichte Toegangscontrole + (Mandatory Access Control of <acronym>MAC</acronym>) . Met + Verplichte Toegangscontrole kunnen nieuwe toegangscontrolemodules + geladen worden, waarmee nieuw beveiligingsbeleid opgelegd kan + worden. Een aantal daarvan bieden beveiliging aan hele kleine + onderdelen van het systeem, waardoor een bepaalde dienst + weerbaarder wordt. Andere bieden allesomvattende gelabelde + beveiliging op alle vlakken en objecten. Het verplichte deel van + de definitie komt van het feit dat het opleggen van de controle + wordt gedaan door beheerders en het systeem en niet wordt + overgelaten aan de nukken van gebruikers, zoals wel wordt gedaan + met toegangscontrole naar goeddunken (discretionary access control + of <acronym>DAC</acronym>, de standaard bestands- en System V <acronym>IPC</acronym> rechten in &os;).</para> <para>In dit hoofdstuk wordt de nadruk gelegd op het - Verplichte Toegangscontrole Framework (MAC Framework) en een set - van te activeren beveiligingsbeleidsmodules waarmee verschillende - soorten beveiligingmechanismen wordt ingeschakeld.</para> + Verplichte Toegangscontrole Raamwerk (<acronym>MAC</acronym> + Framework) en een verzameling van te activeren + beveiligingsbeleidsmodules waarmee verschillende soorten + beveiligingmechanismen wordt ingeschakeld.</para> <para>Na het lezen van dit hoofdstuk weet de lezer:</para> @@ -74,24 +91,25 @@ <listitem> <para>Hoe een systeem efficiënt ingesteld kan worden om - met het <acronym>MAC</acronym> framework te werken;</para> + met het <acronym>MAC</acronym>-raamwerk te werken;</para> </listitem> <listitem> <para>Hoe het beleid van de verschillende - beveiligingsbeleidsmodules die in het <acronym>MAC</acronym> - framework zitten ingesteld kunnen worden;</para> + beveiligingsbeleidsmodules die in het + <acronym>MAC</acronym>-raamwerk zitten ingesteld kunnen + worden;</para> </listitem> <listitem> <para>Hoe een veiliger omgeving gemaakt kan worden met het - <acronym>MAC</acronym> framework en de getoonde + <acronym>MAC</acronym>-raamwerk en de getoonde voorbeelden;</para> </listitem> <listitem> <para>Hoe de <acronym>MAC</acronym> instellingen getest - kunnen worden om er zeker van te zijn dat het framework juist + kunnen worden om er zeker van te zijn dat het raamwerk juist is geïmplementeerd.</para> </listitem> </itemizedlist> @@ -117,13 +135,13 @@ </itemizedlist> <warning> - <para>Het verkeerd gebruiken van de informatie in dit hoofdstuk + <para>Het verkeerd gebruiken van de informatie die hierin staat kan leiden tot het niet langer toegang hebben tot een systeem, grote ergernis bij gebruikers of het niet langer kunnen gebruiken van de mogelijkheden die X11 biedt. Nog belangrijker is dat niet alleen op <acronym>MAC</acronym> vertrouwd moet worden voor de beveiliging van een systeem. Het - <acronym>MAC</acronym> framework vergroot alleen het bestaande + <acronym>MAC</acronym>-raamwerk vergroot alleen het bestaande beveiligingsbeleid. Zonder goede beveiligingsprocedures en regelmatige beveiligingscontroles is een systeem nooit helemaal veilig.</para> @@ -132,9 +150,9 @@ dit hoofdstuk alleen voorbeelden zijn. Het is niet aan te raden ze uit te rollen op een productiesysteem. Het implementeren van de verschillende beveiligingsbeleidmodules - dient goed overdacht te worden. Iemand die niet helemaal - begrijpt hoe alles werkt, komt er waarschijnlijk achter dat die - het complete systeem van voor naar achter en weer terug + dient goed overdacht en getest te worden. Iemand die niet + helemaal begrijpt hoe alles werkt, komt er waarschijnlijk achter + dat die het complete systeem van voor naar achter en weer terug doorloopt en heel erg veel bestanden en mappen opnieuw moet instellen.</para> </warning> @@ -144,10 +162,10 @@ <para>In dit hoofdstuk wordt een brede reeks beveiligingsonderwerpen met betrekking tot het - <acronym>MAC</acronym> framework behandeld. De ontwikkeling + <acronym>MAC</acronym>-raamwerk behandeld. De ontwikkeling van nieuwe <acronym>MAC</acronym> beveiligingsbeleidmodules wordt niet behandeld. Een aantal modules die bij het - <acronym>MAC</acronym> framework zitten hebben specifieke + <acronym>MAC</acronym>-raamwerk zitten hebben specifieke eigenschappen voor het testen en ontwikkelen van (nieuwe) modules. Daaronder vallen &man.mac.test.4;, &man.mac.stub.4; en &man.mac.none.4;. Meer informatie over deze @@ -178,6 +196,17 @@ </listitem> <listitem> + <para><emphasis>hoogwatermarkering</emphasis>: Een + hoogwatermarkeringsbeleid is een beleid dat toestaat om + beveiligingsniveaus te verhogen met het doel informatie dat op + een hoger niveau aanwezig is te benadaren. In de meeste + gevallen wordt het originele niveau hersteld nadat het proces + voltooid is. Momenteel heeft het + <acronym>MAC</acronym>-raamwerk van &os; hier geen beleid + voor, maar de definitie is voor de volledigheid opgenomen.</para> + </listitem> + + <listitem> <para><emphasis>integriteit</emphasis>: integriteit, als sleutelconcept, is het niveau van vertrouwen dat in data gesteld kan worden. Als de integriteit van data wordt @@ -210,6 +239,16 @@ </listitem> <listitem> + <para><emphasis>laagwatermarkering</emphasis>: Een + laagwatermarkeringsbeleid is een beleid dat toestaat om de + beveiligingsniveaus te verlagen met het doel informatie te + benaderen die minder veilig is. In de meeste gevallen wordt + het originele niveau van de gebruiker hersteld nadat het + proces voltooid is. De enige beveiligingsbeleidsmodule die + dit gebruikt is &man.mac.lomac.4;.</para> + </listitem> + + <listitem> <para><emphasis>meervoudig label</emphasis>: de eigenschap <option>multilabel</option> is een optie van het bestandssysteem die in single user modus met &man.tunefs.8;, @@ -284,10 +323,10 @@ <title>Uitleg over MAC</title> <para>Met al deze nieuwe termen in gedachten, kan overdacht worden - het <acronym>MAC</acronym> framework de complete beveiliging van + het <acronym>MAC</acronym>-raamwerk de complete beveiliging van een systeem kan vergroten. De verschillende - beveiligingsbeleidsmodules die het <acronym>MAC</acronym> - framework biedt zouden gebruikt kunnen worden om het netwerk en + beveiligingsbeleidsmodules die het <acronym>MAC</acronym>-raamwerk + biedt zouden gebruikt kunnen worden om het netwerk en bestandssystemen te beschermen, gebruikers toegang tot bepaalde poorten en sockets kunnen ontzeggen en nog veel meer. Misschien kunnen de beleidsmodules het beste gebruikt worden door ze samen @@ -304,7 +343,7 @@ per gebruiker, enzovoort.</para> <para>De nadelen zijn wel minimaal als ze worden vergeleken met - het immer durende effect van het framework. Zo zorgt + het immer durende effect van het raamwerk. Zo zorgt bijvoorbeeld de mogelijkheid om te kiezen welke beleidseenheden voor een specifiek gebruik nodig zijn voor het zo laag mogelijk houden van de beheerslast. Het terugdringen van ondersteuning @@ -312,7 +351,7 @@ verhogen en ook de keuzevrijheid vergroten. Voor een goede implementatie worden alle beveiligingseisen in beschouwing genomen en daarna worden de verschillende - beveiligingsbeleidsmodules effectief door het framework + beveiligingsbeleidsmodules effectief door het raamwerk geïmplementeerd.</para> <para>Een systeem dat gebruik maakt van de mogelijkheden van @@ -356,7 +395,7 @@ hebben tot objecten die zijn geschreven door ontwikkelaars in project C. Dat is nogal wat. Door gebruik te maken van de verschillende beveiligingsbeleidsmodules in het - <acronym>MAC</acronym> framework kunnen gebruikers in hun groepen + <acronym>MAC</acronym>-raamwerk kunnen gebruikers in hun groepen worden opgedeeld en kan ze toegang gegeven worden tot de juiste locaties zonder dat er angst hoeft te zijn voor het lekken van informatie.</para> @@ -367,12 +406,12 @@ uitgedacht beveiligingsbeleid. In veel gevallen wordt het totale beveiligingsbeleid aangepast en opnieuw toegepast op een systeem. Een goed begrip van de verschillende beveiligingsbeleidsmodules - die het <acronym>MAC</acronym> framework biedt helpt beheerders + die het <acronym>MAC</acronym>-raamwerk biedt helpt beheerders bij het kiezen van de juiste beleidseenheden voor hun situatie.</para> <para>De standaard &os; kernel kent geen ondersteuning voor het - <acronym>MAC</acronym> framework en daarom dient de volgende + <acronym>MAC</acronym>-raamwerk en daarom dient de volgende kerneloptie toegevoegd te worden voordat op basis van de voorbeelden of informatie uit dit hoofdstuk wijzigen worden gemaakt:</para> @@ -417,7 +456,7 @@ beleidseenheid. Voor sommige beleidseenheden bevat het label zelf alle informatie die nodig is voor het maken van een beslissing; in andere modellen kunnen de labels als onderdeel van - een grotere set verwerkt worden, enzovoort.</para> + een grotere verzameling verwerkt worden, enzovoort.</para> <para>Zo staat bijvoorbeeld het instellen van het label <literal>biba/low</literal> op een bestand voor een label dat @@ -437,7 +476,7 @@ <para>Binnen een bestandssysteemomgeving met een enkelvoudig label kan er maar één label gebruikt worden op objecten. - Hiermee wordt een set van toegangsrechten op het hele systeem + Hiermee wordt een verzameling van toegangsrechten op het hele systeem opgelegd en dat is voor veel omgevingen voldoende. Er zijn echter een aantal gevallen waarin het wenselijk is meervoudige label in te stellen op subject of objecten in het @@ -497,7 +536,7 @@ denied</errorname> zijn en deze ontstaat meestal als het label wordt ingesteld of gewijzigd op een object dat is beperkt. - + <footnote> <para>Andere condities kunnen andere foutmeldingen veroorzaken. De gebruiker die het object probeert te @@ -571,15 +610,16 @@ inzicht in de precieze eigenschappen van de standaard labelinstellingen.</para> - <sect4> + <sect4> <title>Gevorderde labelinstellingen</title> - <para>Dit zijn numerieke graden die gebruikt worden voor - <literal>vergelijking:afdeling+afdeling</literal>;.</para> + <para>Dit zijn de labels met numerieke graden die gebruikt + worden voor + <literal>vergelijking:afdeling+afdeling</literal>.</para> <programlisting>biba/10:2+3+6(5:2+3-20:2+3+4+5+6)</programlisting> - <para>Het bovenstaande kan dus geiuml;nterpreteerd worden + <para>Het bovenstaande kan dus geïnterpreteerd worden als:</para> <para><quote>Biba Policy Label</quote>/<quote>Graad @@ -588,7 +628,7 @@ <para>In dit voorbeeld is de eerste graad de <quote>effectieve graad</quote> met de <quote>effectieve - afdelingen</quote>, de tweede graag is is lage graagd en de + afdelingen</quote>, de tweede graad is is lage graad en de laatste is de hoge graad. In de meeste instellingen worden deze instellingen niet gebruikt. Ze zijn inderdaad instellingen voor gevorderden.</para> @@ -606,13 +646,14 @@ domineren. Het geval <quote>beiden domineren</quote> komt voor als de twee labels gelijk zijn. Vanwege de natuur van de informatiestroom van Biba, heeft een gebruiker rechten - op een set van afdelingen, <quote>need to know</quote>, die - overeen zouden kunnen komen met projecten, maar objecten - hebben ook een set van afdelingen. Gebruikers dienen - wellicht hun rechten te subsetten met <command>su</command> - of <command>setpmac</command> om toegang te krijgen tot - objecten in een afdeling die geen verboden terrein voor - ze zijn.</para> + op een verzameling van afdelingen, + <quote>need to know</quote>, die overeen zouden kunnen komen + met projecten, maar objecten hebben ook een verzameling van + afdelingen. Gebruikers dienen wellicht hun rechten onder te + verdelen met <command>su</command> of + <command>setpmac</command> om toegang te krijgen tot + objecten in een afdeling die geen verboden terrein voor ze + zijn.</para> </sect4> </sect3> @@ -653,7 +694,7 @@ :passwordtime=91d:\ :umask=022:\ :ignoretime@:\ - :label=partition/13,mls/5,biba/10(5-15),lomac10[2]:</programlisting> + :label=partition/13,mls/5,biba/10(5-15),lomac/10[2]:</programlisting> <para>De optie <literal>label</literal> wordt gebruikt om het standaardlabel voor aanmeldklasse in te stellen dat door @@ -768,7 +809,7 @@ <itemizedlist> <listitem> <para>&os; webserver die gebruik maakt van het - <acronym>MAC</acronym> framework en een mengeling van + <acronym>MAC</acronym>-raamwerk en een mengeling van verschillende beleidseenheden.</para> </listitem> @@ -822,102 +863,82 @@ <para>Sommige gebruikers hebben problemen ondervonden met het instelling van de vlag <option>multilabel</option> op de rootpartitie. Als dit het geval is, kijk dan naar <xref - linkend="mac-troubleshoot">.</para> + linkend="mac-troubleshoot"> van dit hoofdstuk.</para> </note> </sect2> + </sect1> - <sect2> - <title>MAC beheren met tunables</title> + <sect1 id="mac-planning"> + <title>De beveiligingsconfiguratie plannen</title> - <para>Zonder dat er modules zijn geladen, kunnen er al onderdelen - van <acronym>MAC</acronym> ingesteld worden met de - <command>sysctl</command> interface. Deze tunables worden - hieronder beschreven en in alle gevallen betekent het getal een - (1) ingeschakeld en nul (0) betekent uitgeschakeld:</para> + <para>Wanneer een nieuwe technologie wordt geïmplementeerd is + een planningsfase altijd een goed idee. Tijdens de planningsfases + zou een beheerder in het algemeen naar de <quote>big + picture</quote> moeten kijken, en daarbij minstens het volgende + in de gaten proberen te houden:</para> - <itemizedlist> - <listitem> - <para><literal>security.mac.enforce_fs</literal> staat - standaard op een (1) en dwingt <acronym>MAC</acronym> - bestandssysteembeleid af op bestandssystemen.</para> - </listitem> + <itemizedlist> + <listitem> + <para>De implementatiebenodigdheden;</para> + </listitem> - <listitem> - <para><literal>security.mac.enforce_kld</literal> staat - standaard op een (1) en dwingt <acronym>MAC</acronym> - kernellinkingbeleid af op de dynamische kernellinker (zie - &man.kld.4;).</para> - </listitem> + <listitem> + <para>De implementatiedoelen;</para> + </listitem> + </itemizedlist> - <listitem> - <para><literal>security.mac.enforce_network</literal> staat - standaard op een (1) en dwingt <acronym>MAC</acronym> - netwerkbeleid af.</para> - </listitem> + <para>Voor <acronym>MAC</acronym>-installaties houden deze in:</para> - <listitem> - <para><literal>security.mac.enforce_pipe</literal> staat - standaard op een (1) en dwingt <acronym>MAC</acronym> - beleid op pipes af.</para> - </listitem> + <itemizedlist> + <listitem> + <para>Hoe de beschikbare informatie en bronnen die op het + doelsysteem aanwezig zijn te classificeren.</para> + </listitem> - <listitem> - <para><literal>security.mac.enforce_process</literal> staat - standaard op een (1) en dwingt <acronym>MAC</acronym> - beleid af op processen die gebruik maken van inter-proces - communicatie.</para> - </listitem> + <listitem> + <para>Voor wat voor soort informatie of bronnen de toegang te + beperken samen met het type van de beperkingen die dienen te + worden toegepast.</para> + </listitem> - <listitem> - <para><literal>security.mac.enforce_socket</literal> staat - standaard op een (1) en dwingt <acronym>MAC</acronym> - beleid op sockets af (zie &man.socket.2;).</para> - </listitem> + <listitem> + <para>Welke <acronym>MAC</acronym>-module(s) nodig zullen zijn + om dit doel te bereiken.</para> + </listitem> + </itemizedlist> - <listitem> - <para><literal>security.mac.enforce_system</literal> staat - standaard op een (1) en dwingt <acronym>MAC</acronym> - beleid af op op systeemactiviteit zoals accounting en - herstarten.</para> - </listitem> + <para>Het is altijd mogelijk om de systeembronnen en de + beveiligingsinstellingen te veranderen en te herconfigureren, het + komt vaak erg ongelegen om het systeem te doorzoeken en bestaande + bestanden en gebruikersaccounts te repareren. Plannen helpt om + zeker te zijn van een probleemloze en efficiënte + systeemimplementatie. Het is vaak vitaal en zeker in uw voordeel + om een proefronde van het vertrouwde systeem, inclusief de + configuratie, te draaien + <emphasis>vóórdat</emphasis> een + <acronym>MAC</acronym>-implementatie wordt gebruikt op + productiesystemen. Het idee om een systeem met + <acronym>MAC</acronym> gewoon los te laten is als het plannen van + mislukkingen.</para> - <listitem> - <para><literal>security.mac.enforce_vm</literal> staat - standaard op een (1) en dwingt <acronym>MAC</acronym> - beleid af op het virtuele geheugensysteem.</para> - </listitem> - </itemizedlist> - - <note> - <para>Ieder beleid of <acronym>MAC</acronym> optie ondersteunt - tunables. Die zijn in het algemeen te vinden in de - boomstructuur - <literal>security.mac.<policyname></literal>. Alle - tunables voor <acronym>MAC</acronym> zijn met het volgende - commando zichtbaar te maken:</para> - - <screen>&prompt.root; <userinput>sysctl -da | grep mac</userinput></screen> - </note> - - <para>Dit moet opgevat worden als dat alle basis - <acronym>MAC</acronym> beleidseenheden standaard worden - afgedwonen. Als de modules in de kernel zouden zijn gebouwd, - zou een systeem bijzonder sterk zijn dichtgetimmerd en zeer - waarschijnlijk niet kunnen communiceren met een lokaal netwerk - of verbonden kunnen worden met internet, enzovoort. Om deze - reden is het inbouwen van modules in de kernel niet volledig - aan te raden. Niet omdat het de mogelijkheid om opties direct - uit te schakelen met <command>sysctl</command> limiteert, maar - het stelt een beheerder in staat om beleid direct aan of uit te - schakelen zonder dat een nieuw systeem gebouwd en - geïnstalleerd hoeft te worden.</para> - </sect2> + <para>Verschillende omgevingen kunnen verschillende behoeften en + benodidheden nodig hebben. Het opzetten van een diegaand en + compleet beveiligingsprofiel zal de noodzaak van verandering + verminderen wanneer het systeem in gebruik wordt genomen. + Zodoende zullen de toekomstige secties de verschillende modules + die beschikbaar zijn voor beheerders behandelen; hun gebruik en + configuratie beschrijven; en in sommige gevallen inzicht bieden in + welke situaties ze het beste tot hun recht komen. Een webserver + bijvorbeeld zou de beleiden &man.mac.biba.4; en + &man.mac.bsdextended.4; in gebruik nemen. In andere gevallen kan + voor een machine met erg weinig lokale gebruikers + &man.mac.partition.4; een goede keuze zijn.</para> </sect1> <sect1 id="mac-modules"> <title>Module-instellingen</title> - <para>Iedere module uit het <acronym>MAC</acronym> framework kan + <para>Iedere module uit het <acronym>MAC</acronym>-raamwerk kan zoals zojuist aangegeven in de kernel worden gecompileerd of als runtime kernelmodule geladen worden. De geadviseerde methode is de naam van een module toevoegen aan het bestand @@ -941,68 +962,66 @@ één label over een heel systeem afdwingen, daarom wordt de optie <command>tunefs</command> <option>multilabel</option> genoemd.</para> + </sect1> - <sect2 id="mac-seeotheruids"> - <title>MAC module seeotheruids</title> + <sect1 id="mac-seeotheruids"> + <title>MAC-module seeotheruids</title> - <indexterm><primary>MAC zie andere UID's beleidsinstelling</primary></indexterm> + <indexterm><primary>MAC zie andere UID's beleidsinstelling</primary></indexterm> - <para>Modulenaam: <filename>mac_seeotheruids.ko</filename></para> + <para>Modulenaam: <filename>mac_seeotheruids.ko</filename></para> - <para>Kernelinstelling: <literal>options - MAC_SEEOTHERUIDS</literal></para> + <para>Kernelinstelling: <literal>options + MAC_SEEOTHERUIDS</literal></para> - <para>Bootoptie: - <literal>mac_seeotheruids_load="YES"</literal></para> + <para>Opstartoptie: + <literal>mac_seeotheruids_load="YES"</literal></para> - <para>De module &man.mac.seeotheruids.4; imiteert de - <command>sysctl</command> tunables - <literal>security.bsd.see_other_uids</literal> en - <literal>security.bsd.see_other_gids</literal> en bereidt deze - uit. Voor deze optie hoeven geen labels ingesteld te worden - voor de instelling en hij werkt transparant met de andere - modules.</para> + <para>De module &man.mac.seeotheruids.4; imiteert de + <command>sysctl</command>-tunables + <literal>security.bsd.see_other_uids</literal> en + <literal>security.bsd.see_other_gids</literal> en bereidt deze + uit. Voor deze optie hoeven geen labels ingesteld te worden voor + de instelling en hij werkt transparant met de andere modules.</para> - <para>Na het laden van de module kunnen de volgende - <command>sysctl</command> tunables gebruikt worden om de opties - in te stellen:</para> + <para>Na het laden van de module kunnen de volgende + <command>sysctl</command>-tunables gebruikt worden om de opties in + te stellen:</para> - <itemizedlist> - <listitem> - <para><literal>security.mac.seeotheruids.enabled</literal> - schakelt de opties van de module in en gebruikt de - standaardinstellingen. Deze standaardinstellingen - ontzeggen gebruikt de mogelijkheid processen en sockets te - zien die in eigendom zijn van andere gebruikers.</para> - </listitem> + <itemizedlist> + <listitem> + <para><literal>security.mac.seeotheruids.enabled</literal> + schakelt de opties van de module in en gebruikt de + standaardinstellingen. Deze standaardinstellingen ontzeggen + gebruikt de mogelijkheid processen en sockets te zien die + eigendom zijn van andere gebruikers.</para> + </listitem> - <listitem> - <para><literal>security.mac.seeotheruids.specificgid_enabled</literal> - staat toe dat een bepaalde groep niet onder dit beleid - valt. Om bepaalde groepen van dit beleid uit te sluiten, - kan de <command>sysctl</command> tunable - <literal>security.mac.seeotheruids.specificgid=<replaceable>XXX</replaceable></literal> - gebruikt worden. In het bovenstaande voorbeeld dient - <replaceable>XXX</replaceable> vervangen te worden door het - numerieke ID van een groep die uitgesloten moet worden van - de beleidsinstelling.</para> - </listitem> + <listitem> + <para><literal>security.mac.seeotheruids.specificgid_enabled</literal> + staat toe dat een bepaalde groep niet onder dit beleid valt. + Om bepaalde groepen van dit beleid uit te sluiten, kan de + <command>sysctl</command>-tunable + <literal>security.mac.seeotheruids.specificgid=<replaceable>XXX</replaceable></literal> + gebruikt worden. In het bovenstaande voorbeeld dient + <replaceable>XXX</replaceable> vervangen te worden door het + numerieke ID van een groep die uitgesloten moet worden van de + beleidsinstelling.</para> + </listitem> - <listitem> - <para> - <literal>security.mac.seeotheruids.primarygroup_enabled</literal> - wordt gebruikt om specifieke primaire groepen uit te - sluiten van dit beleid. Als deze tunable wordt gebruikt, - mag - <literal>security.mac.seeotheruids.specificgid_enabled</literal> - niet gebruikt worden.</para> - </listitem> - </itemizedlist> - </sect2> + <listitem> + <para> + <literal>security.mac.seeotheruids.primarygroup_enabled</literal> + wordt gebruikt om specifieke primaire groepen uit te sluiten + van dit beleid. Als deze tunable wordt gebruikt, mag + <literal>security.mac.seeotheruids.specificgid_enabled</literal> + niet gebruikt worden.</para> + </listitem> + </itemizedlist> </sect1> <sect1 id="mac-bsdextended"> - <title>MAC module bsdextended</title> + <title>MAC-module bsdextended</title> <indexterm> <primary>MAC</primary> @@ -1015,17 +1034,27 @@ <para>Kernelinstelling: <literal>options MAC_BSDEXTENDED</literal></para> - <para>Bootoptie: + <para>Opstartoptie: <literal>mac_bsdextended_load="YES"</literal></para> <para>De module &man.mac.bsdextended.4; dwingt de bestandssysteemfirewall af. Het beleid van deze module biedt een uitbreiding van het standaard rechtenmodel voor bestandssystemen, - waardoor een beheerder een firewallachtige set met regels kan - maken om bestanden, programma's en mappen in de - bestandssysteemhierarchie te beschermen.</para> + waardoor een beheerder een firewallachtige verzameling met regels + kan maken om bestanden, programma's en mappen in de + bestandssysteemhiërarchie te beschermen. Wanneer geprobeerd + wordt om toegang tot een object in het bestandssysteem te krijgen, + wordt de lijst met regels afgelopen totdat er òf een + overeenkomstige regel is gevonden òf het einde van de lijst + is bereikt. Dit gedrag kan veranderd worden door het gebruik van + de &man.sysctl.8;-parameter + security.mac.bsdextended.firstmatch_enabled. Net zoals andere + firewall-modules in &os; kan een bestand dat regels voor + toegangscontrole bevat tijdens het opstarten door het systeem + worden aangemaakt en gelezen door een &man.rc.conf.5;-variabele te + gebruiken.</para> - <para>Het beleid kan gemaakt worden met het hulpprogramma + <para>De lijst met regels kan ingevoerd worden met het hulpprogramma &man.ugidfw.8;, dat een syntaxis heeft die lijkt op die van &man.ipfw.8;. Meer hulpprogramma's kunnen geschreven worden met de functies in de bibliotheek &man.libugidfw.3;.</para> @@ -1091,7 +1120,7 @@ </sect1> <sect1 id="mac-ifoff"> - <title>MAC module ifoff</title> + <title>MAC-module ifoff</title> <indexterm><primary>MAC Interface Silencing beleidsinstelling</primary></indexterm> @@ -1100,7 +1129,7 @@ <para>Kernelinstelling: <literal>options MAC_IFOFF</literal></para> - <para>Bootoptie: <literal>mac_ifoff_load="YES"</literal></para> + <para>Opstartoptie: <literal>mac_ifoff_load="YES"</literal></para> <para>!!!The &man.mac.ifoff.4; module exists solely to disable network interfaces on the fly and keep network interfaces from being @@ -1140,7 +1169,7 @@ </sect1> <sect1 id="mac-portacl"> - <title>MAC module portacl</title> + <title>MAC-module portacl</title> <indexterm><primary>MAC poort toegangscontrolelijst beleidsinstelling</primary></indexterm> @@ -1149,7 +1178,7 @@ <para>Kernelinstelling: <literal>MAC_PORTACL</literal></para> - <para>Bootoptie: <literal>mac_portacl_load="YES"</literal></para> + <para>Opstartoptie: <literal>mac_portacl_load="YES"</literal></para> <para>The &man.mac.portacl.4; module is used to limit binding to local <acronym>TCP</acronym> and <acronym>UDP</acronym> ports @@ -1165,10 +1194,7 @@ <itemizedlist> <listitem> <para><literal>security.mac.portacl.enabled</literal> will - enable/disable the policy completely.<footnote><para>Due to - a bug the <literal>security.mac.portacl.enabled</literal> - <command>sysctl</command> variable will not work on - &os; 5.2.1 or previous releases.</para></footnote></para> + enable/disable the policy completely.</para> </listitem> <listitem> @@ -1266,111 +1292,8 @@ </sect2> </sect1> - <sect1 id="mac-labelingpolicies"> - <title>MAC beleidsinstellingen met labelmogelijkheden</title> - - <para>The next few sections will discuss <acronym>MAC</acronym> - policies which use labels.</para> - - <para>From here on this chapter will focus on the features - of &man.mac.biba.4;, &man.mac.lomac.4;, - &man.mac.partition.4;, and &man.mac.mls.4;.</para> - - <note> - <para>This is an example configuration only and should not be - considered for a production implementation. The goal is - to document and show the syntax as well as examples for - implementation and testing.</para> - </note> - - <para>For these policies to work correctly several - preparations must be made.</para> - - <sect2 id="mac-prep"> - <title>Voorbereiding voor labelbeleidsinstellingen</title> - - <para>The following changes are required in the - <filename>login.conf</filename> file:</para> - - <itemizedlist> - <listitem> - <para>An <literal>insecure</literal> class, or another - class of similar type, must be - added. The login class of <literal>insecure</literal> - is not required and just used as an example here; different - configurations may use another class name.</para> - </listitem> - - <listitem> - <para>The <literal>insecure</literal> class should have - the following settings and definitions. Several of these - can be altered but the line which defines the default - label is a requirement and must remain.</para> - - <programlisting>insecure:\ - :copyright=/etc/COPYRIGHT:\ - :welcome=/etc/motd:\ - :setenv=MAIL=/var/mail/$,BLOCKSIZE=K:\ - :path=~/bin:/sbin:/bin:/usr/sbin:/usr/bin:/usr/local/sbin:/usr/local/bin:\ - :manpath=/usr/share/man /usr/local/man:\ - :nologin=/usr/sbin/nologin:\ - :cputime=1h30m:\ - :datasize=8M:\ - :vmemoryuse=100M:\ - :stacksize=2M:\ - :memorylocked=4M:\ - :memoryuse=8M:\ - :filesize=8M:\ - :coredumpsize=8M:\ - :openfiles=24:\ - :maxproc=32:\ - :priority=0:\ - :requirehome:\ - :passwordtime=91d:\ - :umask=022:\ - :ignoretime@:\ - :label=partition/13,mls/5,biba/low:</programlisting> - - <para>The &man.cap.mkdb.1; command needs to be ran on - &man.login.conf.5; before any of the - users can be switched over to the new class.</para> - - <para>The <username>root</username> username should also be placed - into a login class; otherwise, almost every command - executed by <username>root</username> will require the - use of <command>setpmac</command>.</para> - - <warning> - <para>Rebuilding the <filename>login.conf</filename> - database may cause some errors later with the daemon - class. Simply uncommenting the daemon account and - rebuilding the database should alleviate these - issues.</para> - </warning> - </listitem> - - <listitem> - <para>Ensure that all partitions on which - <acronym>MAC</acronym> labeling will be implemented support - the <option>multilabel</option>. We must do this because - many of the examples here contain different labels for - testing purposes. Review the output from the - <command>mount</command> command as a precautionary - measure.</para> - </listitem> - - <listitem> - <para>Switch any users who will have the higher security - mechanisms enforced over to the new user class. A quick - run of &man.pw.8; or &man.vipw.8; should do the - trick.</para> - </listitem> - </itemizedlist> - </sect2> - </sect1> - <sect1 id="mac-partition"> - <title>MAC module partition</title> + <title>MAC-module partition</title> <indexterm><primary>MAC procespartitionering beleidsinstelling</primary></indexterm> @@ -1379,7 +1302,7 @@ <para>Kernelinstelling: <literal>options MAC_PARTITION</literal></para> - <para>Bootoptie: + <para>Opstartoptie: <literal>mac_partition_load="YES"</literal></para> <para>The &man.mac.partition.4; policy will drop processes into @@ -1405,12 +1328,12 @@ </listitem> </itemizedlist> - <para>When this policy is enabled, users will only be permitted - to see their processes but will not be permitted to work with - certain utilities. For instance, a user in the - <literal>insecure</literal> class above will not be permitted - to access the <command>top</command> command as well as many - other commands that must spawn a process.</para> + <para>Wanneer dit beleid aanstaat, mogen gebruikers alleen hun eigen + processen zien, en elke andere in hun patitie, maar mogen niet met + gereedschappen buiten deze partitie werken. Bijvoorbeeld, een + gebruiker in de klasse <literal>insecure</literal> heeft geen + toegang tot het commando <command>top</command> noch tot vele + andere commando's die een proces moeten draaien.</para> <para>To set or drop utilities into a partition label, use the <command>setpmac</command> utility:</para> @@ -1458,7 +1381,7 @@ </sect1> <sect1 id="mac-mls"> - <title>MAC module meerlagen beveiliging</title> + <title>MAC-module Multi-Level Security</title> <indexterm><primary>MAC Multi-Level Security Policy</primary></indexterm> @@ -1469,7 +1392,7 @@ <para>Kernelinstelling: <literal>options MAC_MLS</literal></para> - <para>Bootoptie: <literal>mac_mls_load="YES"</literal></para> + <para>Opstartoptie: <literal>mac_mls_load="YES"</literal></para> <para>The &man.mac.mls.4; policy controls access between subjects and objects in the system by enforcing a strict information @@ -1590,19 +1513,40 @@ feed that file into the <command>setfmac</command> command. This method will be explained after all policies are covered.</para> - <para>Observations: an object with lower clearance is unable to - observe higher clearance processes. A basic policy would be - to enforce <literal>mls/high</literal> on everything not to be - read, even if it needs to be written. Enforce - <literal>mls/low</literal> on everything not to be written, even - if it needs to be read. And finally enforce - <literal>mls/equal</literal> on the rest. All users marked - <literal>insecure</literal> should be set at - <literal>mls/low</literal>.</para> + <sect2> + <title>Verplichte Gevoeligheid plannen</title> + + <para>Met de beleidsmodule voor meerlaagse beveiliging plant een + beheerder het beheren van gevoelige informatiestromen. + Standaard zet het systeem met zijn natuur van lezen naar boven + blokkeren en schrijven naar beneden blokkeren alles in een lage + toestand. Alles is beschikbaar en een beheerder verandert dit + langzaam tijdens de configuratiefase; waarbij de + vertrouwelijkheid van de informatie toeneemt.</para> + + <para>Buiten de bovengenoemde drie basisopties voor labels, kan + een beheerder gebruikers en groepen indelen als nodig om de + informatiestroom tussen hun te blokkeren. Het is misschien + gemakkeluijer om naar de informatie te kijken in + toestemmingsniveaus waarvoor bekende woorden bestaan, zoals + <literal>Vertrouwelijk</literal>, <literal>Geheim</literal> en + <literal>Strikt Geheim</literal>. Sommige beheerders zullen + verschillende groepen aanmaken gebaseerd op verschillende + projecten. Ongeacht de classificatiemethode moet er een goed + overwogen plan bestaan voordat zo'n berperkend beleid wordt + geïmplementeerd.</para> + + <para>Wat voorbeelsituaties voor deze beveiligingsbeleidsmodule + kunnen een e-commerce webserver, een bestandsserver die kritieke + bedrijfsinformatie, en omgevingen van financiële + instellingen zijn. De meest onwaarschijnlijke plaats zou een + persoonlijk werkstation met slechts twee of drie gebruikers + zijn.</para> + </sect2> <!--(rene) ontbreekt in en_US 1.73 ?--> </sect1> <sect1 id="mac-biba"> - <title>MAC module Biba</title> + <title>MAC-module Biba</title> <indexterm><primary>MAC Biba Integrity Policy</primary></indexterm> @@ -1612,7 +1556,7 @@ <para>Kernelinstelling: <literal>options MAC_BIBA</literal></para> - <para>Bootoptie: <literal>mac_biba_load="YES"</literal></para> + <para>Opstartoptie: <literal>mac_biba_load="YES"</literal></para> <para>The &man.mac.biba.4; module loads the <acronym>MAC</acronym> Biba policy. This policy works much like that of the @@ -1714,20 +1658,63 @@ &prompt.root; <userinput>getfmac test</userinput> test: biba/low</screen> - <para>Observations: a lower integrity subject is unable to write - to a higher integrity subject; a higher integrity subject cannot - observe or read a lower integrity object.</para> + <sect2> + <title>Verplichte Integriteit plannen</title> + + <para>Integriteit, anders dan gevoeligheid, garandeert dat de + informatie nooitdoor onvertrouwde gebruikers zal worden + gemanipuleerd. Dit geldt ook voor informatie die tussen + subjecten, objecten, of beiden wordt doorgegeven. Het verzekert + dat gebruikers alleen de informatie kunnen wijzigen en in + sommige gevallen zelfs benaderen die ze expliciet nodig hebben.</para> + + <para>De beveiligingsbeleidsmodule &man.mac.biba.4; staat een + beheerder in staat om te bepalen welke bestanden en programma's + een gebruiker of gebruikers mogen zien en draaien terwijl het + verzekert dat de programma's en bestanden vrij zijn van + dreigingen en vertrouwt zijn door het systeem voor die gebruiker + of groep van gebruikers.</para> + + <para>Tijdens de initiële planningsfase moet een beheerder + bereid zijn om gebruikers in gradaties, niveaus, en gebieden in + te delen. Gebruikers zal toegang tot niet alleen gegevens maar + ook tot programma's en hulpmiddelen ontzegt worden zowel voordat + en nadat ze beginnen. Het systeem zal standaard een hoog label + instellen nadat deze beleidsmodule is ingeschakeld, en het is + aan de beheerder om de verschillende gradaties en niveaus voor + gebruikers in te stellen. In plaats van toestemmingsniveaus + zoals boven beschreven te gebruiken, kan een goede + planningsmethode onderwerpen bevatten. Bijvoorbeeld, geef + alleen ontwikkelaars veranderingstoegang tot het + broncoderepository, de broncodecompiler, en andere + ontwikkelgereedschappen. Andere gebruikers zouden in andere + groepen zoals testers, ontwerpers, of gewone gebruikers worden + ingedeeld en zouden alleen leestoegang hebben.</para> + + + <para>Met zijn natuurlijke beveiligingssbeheer kan een subject van + lagere integriteit niet schijven naar een subject van hogere + integriteit; een subject van hogere integriteit kan geen subject + van lagere integriteit observeren of lezen. Een label op de + laagst mogelijke graad instellen kan het ontoegankelijk voor + subjects maken. Sommige succesvolle omgevingen voor deze + beveiligingsbeheermodule zijn een beperkte webserver, een + ontwikkel- en testmachine, en broncoderepositories. Minder + nuttige implementaties zouden een persoonlijk werkstation, een + machine gebruikt als router, of een netwerkfirewall zijn.</para> + </sect2> </sect1> <sect1 id="mac-lomac"> - <title>MAC module LOMAC</title> + <title>MAC-module LOMAC</title> <indexterm><primary>MAC LOMAC</primary></indexterm> <para>Modulenaam: <filename>mac_lomac.ko</filename></para> <para>Kernelinstelling: <literal>options MAC_LOMAC</literal></para> - <para>Bootoptie: <literal>mac_lomac_load="YES"</literal></para> + + <para>Opstartoptie: <literal>mac_lomac_load="YES"</literal></para> <para>Unlike the <acronym>MAC</acronym> Biba policy, the &man.mac.lomac.4; policy permits access to lower integrity >>> TRUNCATED FOR MAIL (1000 lines) <<<
Want to link to this message? Use this URL: <https://mail-archive.FreeBSD.org/cgi/mid.cgi?200809281442.m8SEgeQY092271>