From owner-p4-projects@FreeBSD.ORG Sun Sep 28 14:42:43 2008 Return-Path: Delivered-To: p4-projects@freebsd.org Received: by hub.freebsd.org (Postfix, from userid 32767) id 3309910656AF; Sun, 28 Sep 2008 14:42:43 +0000 (UTC) Delivered-To: perforce@FreeBSD.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:4f8:fff6::34]) by hub.freebsd.org (Postfix) with ESMTP id E17981065686 for ; Sun, 28 Sep 2008 14:42:40 +0000 (UTC) (envelope-from rene@FreeBSD.org) Received: from repoman.freebsd.org (repoman.freebsd.org [IPv6:2001:4f8:fff6::29]) by mx1.freebsd.org (Postfix) with ESMTP id CEC6D8FC63 for ; Sun, 28 Sep 2008 14:42:40 +0000 (UTC) (envelope-from rene@FreeBSD.org) Received: from repoman.freebsd.org (localhost [127.0.0.1]) by repoman.freebsd.org (8.14.3/8.14.3) with ESMTP id m8SEgeWr092283 for ; Sun, 28 Sep 2008 14:42:40 GMT (envelope-from rene@FreeBSD.org) Received: (from perforce@localhost) by repoman.freebsd.org (8.14.3/8.14.3/Submit) id m8SEgeQY092271 for perforce@freebsd.org; Sun, 28 Sep 2008 14:42:40 GMT (envelope-from rene@FreeBSD.org) Date: Sun, 28 Sep 2008 14:42:40 GMT Message-Id: <200809281442.m8SEgeQY092271@repoman.freebsd.org> X-Authentication-Warning: repoman.freebsd.org: perforce set sender to rene@FreeBSD.org using -f From: Rene Ladan To: Perforce Change Reviews Cc: Subject: PERFORCE change 150598 for review X-BeenThere: p4-projects@freebsd.org X-Mailman-Version: 2.1.5 Precedence: list List-Id: p4 projects tree changes List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sun, 28 Sep 2008 14:42:44 -0000 http://perforce.freebsd.org/chv.cgi?CH=150598 Change 150598 by rene@rene_self on 2008/09/28 14:41:50 Partial MFen of MAC from 1.49 to 1.73. All changes are processed, English text remains. Affected files ... .. //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/mac/chapter.sgml#6 edit Differences ... ==== //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/mac/chapter.sgml#6 (text+ko) ==== @@ -3,7 +3,9 @@ $FreeBSD: doc/nl_NL.ISO8859-1/books/handbook/mac/chapter.sgml,v 1.3 2008/05/21 21:29:21 remko Exp $ $FreeBSDnl: doc/nl_NL.ISO8859-1/books/handbook/mac/chapter.sgml,v 1.22 2006/01/05 21:13:23 siebrand Exp $ - Gebaseerd op: 1.49 + + %SOURCE% en_US.ISO8859-1/books/handbook/mac/chapter.sgml + %SRCID% 1.73 --> @@ -15,6 +17,20 @@ Geschreven door + + + Siebrand + Mazeland + Vertaald door + + + + + René + Ladan + Vertaling voortgezet door + + Verplichte Toegangscontrole (MAC) @@ -35,27 +51,28 @@ In &os; 5.X worden nieuwe beveiligingsuitbreidingen geïntroduceerd uit het TrustedBSD project, dat is gebaseerd op de &posix;.1e draft. Twee van de meest significante nieuwe - beveiligingsmechanismen zijn bestandssysteem - Toegangscontrolelijsten (ACL's) en - Verplichte Toegangscontrole (Mandatory Access Control of - MAC) facilities. Met Verplichte - Toegangscontrole kunnen nieuwe toegangscontrolemodules geladen - worden, waarmee nieuw beveiligingsbeleid opgelegd kan worden. - Een aantal daarvan bieden beveiliging aan hele kleine onderdelen - van het systeem, waardoor een bepaalde dienst weerbaarder wordt, - terwijl andere allesomvattende gelabelde beveiliging bieden op - alle vlakken en objecten. Het verplichte deel van de definitie - komt van het feit dat het opleggen van de controle wordt gedaan - door beheerders en het systeem en niet wordt overgelaten aan - de nukken van gebruikers, zoals wel wordt gedaan met - toegangscontrole naar goeddunken (discretionary access control of - DAC, de standaard bestands- en System V + beveiligingsmechanismen zijn facilititeiten voor + Toegangscontrolelijsten voor bestandssystemen + (ACLs) en Verplichte Toegangscontrole + (Mandatory Access Control of MAC) . Met + Verplichte Toegangscontrole kunnen nieuwe toegangscontrolemodules + geladen worden, waarmee nieuw beveiligingsbeleid opgelegd kan + worden. Een aantal daarvan bieden beveiliging aan hele kleine + onderdelen van het systeem, waardoor een bepaalde dienst + weerbaarder wordt. Andere bieden allesomvattende gelabelde + beveiliging op alle vlakken en objecten. Het verplichte deel van + de definitie komt van het feit dat het opleggen van de controle + wordt gedaan door beheerders en het systeem en niet wordt + overgelaten aan de nukken van gebruikers, zoals wel wordt gedaan + met toegangscontrole naar goeddunken (discretionary access control + of DAC, de standaard bestands- en System V IPC rechten in &os;). In dit hoofdstuk wordt de nadruk gelegd op het - Verplichte Toegangscontrole Framework (MAC Framework) en een set - van te activeren beveiligingsbeleidsmodules waarmee verschillende - soorten beveiligingmechanismen wordt ingeschakeld. + Verplichte Toegangscontrole Raamwerk (MAC + Framework) en een verzameling van te activeren + beveiligingsbeleidsmodules waarmee verschillende soorten + beveiligingmechanismen wordt ingeschakeld. Na het lezen van dit hoofdstuk weet de lezer: @@ -74,24 +91,25 @@ Hoe een systeem efficiënt ingesteld kan worden om - met het MAC framework te werken; + met het MAC-raamwerk te werken; Hoe het beleid van de verschillende - beveiligingsbeleidsmodules die in het MAC - framework zitten ingesteld kunnen worden; + beveiligingsbeleidsmodules die in het + MAC-raamwerk zitten ingesteld kunnen + worden; Hoe een veiliger omgeving gemaakt kan worden met het - MAC framework en de getoonde + MAC-raamwerk en de getoonde voorbeelden; Hoe de MAC instellingen getest - kunnen worden om er zeker van te zijn dat het framework juist + kunnen worden om er zeker van te zijn dat het raamwerk juist is geïmplementeerd. @@ -117,13 +135,13 @@ - Het verkeerd gebruiken van de informatie in dit hoofdstuk + Het verkeerd gebruiken van de informatie die hierin staat kan leiden tot het niet langer toegang hebben tot een systeem, grote ergernis bij gebruikers of het niet langer kunnen gebruiken van de mogelijkheden die X11 biedt. Nog belangrijker is dat niet alleen op MAC vertrouwd moet worden voor de beveiliging van een systeem. Het - MAC framework vergroot alleen het bestaande + MAC-raamwerk vergroot alleen het bestaande beveiligingsbeleid. Zonder goede beveiligingsprocedures en regelmatige beveiligingscontroles is een systeem nooit helemaal veilig. @@ -132,9 +150,9 @@ dit hoofdstuk alleen voorbeelden zijn. Het is niet aan te raden ze uit te rollen op een productiesysteem. Het implementeren van de verschillende beveiligingsbeleidmodules - dient goed overdacht te worden. Iemand die niet helemaal - begrijpt hoe alles werkt, komt er waarschijnlijk achter dat die - het complete systeem van voor naar achter en weer terug + dient goed overdacht en getest te worden. Iemand die niet + helemaal begrijpt hoe alles werkt, komt er waarschijnlijk achter + dat die het complete systeem van voor naar achter en weer terug doorloopt en heel erg veel bestanden en mappen opnieuw moet instellen. @@ -144,10 +162,10 @@ In dit hoofdstuk wordt een brede reeks beveiligingsonderwerpen met betrekking tot het - MAC framework behandeld. De ontwikkeling + MAC-raamwerk behandeld. De ontwikkeling van nieuwe MAC beveiligingsbeleidmodules wordt niet behandeld. Een aantal modules die bij het - MAC framework zitten hebben specifieke + MAC-raamwerk zitten hebben specifieke eigenschappen voor het testen en ontwikkelen van (nieuwe) modules. Daaronder vallen &man.mac.test.4;, &man.mac.stub.4; en &man.mac.none.4;. Meer informatie over deze @@ -178,6 +196,17 @@ + hoogwatermarkering: Een + hoogwatermarkeringsbeleid is een beleid dat toestaat om + beveiligingsniveaus te verhogen met het doel informatie dat op + een hoger niveau aanwezig is te benadaren. In de meeste + gevallen wordt het originele niveau hersteld nadat het proces + voltooid is. Momenteel heeft het + MAC-raamwerk van &os; hier geen beleid + voor, maar de definitie is voor de volledigheid opgenomen. + + + integriteit: integriteit, als sleutelconcept, is het niveau van vertrouwen dat in data gesteld kan worden. Als de integriteit van data wordt @@ -210,6 +239,16 @@ + laagwatermarkering: Een + laagwatermarkeringsbeleid is een beleid dat toestaat om de + beveiligingsniveaus te verlagen met het doel informatie te + benaderen die minder veilig is. In de meeste gevallen wordt + het originele niveau van de gebruiker hersteld nadat het + proces voltooid is. De enige beveiligingsbeleidsmodule die + dit gebruikt is &man.mac.lomac.4;. + + + meervoudig label: de eigenschap is een optie van het bestandssysteem die in single user modus met &man.tunefs.8;, @@ -284,10 +323,10 @@ Uitleg over MAC Met al deze nieuwe termen in gedachten, kan overdacht worden - het MAC framework de complete beveiliging van + het MAC-raamwerk de complete beveiliging van een systeem kan vergroten. De verschillende - beveiligingsbeleidsmodules die het MAC - framework biedt zouden gebruikt kunnen worden om het netwerk en + beveiligingsbeleidsmodules die het MAC-raamwerk + biedt zouden gebruikt kunnen worden om het netwerk en bestandssystemen te beschermen, gebruikers toegang tot bepaalde poorten en sockets kunnen ontzeggen en nog veel meer. Misschien kunnen de beleidsmodules het beste gebruikt worden door ze samen @@ -304,7 +343,7 @@ per gebruiker, enzovoort. De nadelen zijn wel minimaal als ze worden vergeleken met - het immer durende effect van het framework. Zo zorgt + het immer durende effect van het raamwerk. Zo zorgt bijvoorbeeld de mogelijkheid om te kiezen welke beleidseenheden voor een specifiek gebruik nodig zijn voor het zo laag mogelijk houden van de beheerslast. Het terugdringen van ondersteuning @@ -312,7 +351,7 @@ verhogen en ook de keuzevrijheid vergroten. Voor een goede implementatie worden alle beveiligingseisen in beschouwing genomen en daarna worden de verschillende - beveiligingsbeleidsmodules effectief door het framework + beveiligingsbeleidsmodules effectief door het raamwerk geïmplementeerd. Een systeem dat gebruik maakt van de mogelijkheden van @@ -356,7 +395,7 @@ hebben tot objecten die zijn geschreven door ontwikkelaars in project C. Dat is nogal wat. Door gebruik te maken van de verschillende beveiligingsbeleidsmodules in het - MAC framework kunnen gebruikers in hun groepen + MAC-raamwerk kunnen gebruikers in hun groepen worden opgedeeld en kan ze toegang gegeven worden tot de juiste locaties zonder dat er angst hoeft te zijn voor het lekken van informatie. @@ -367,12 +406,12 @@ uitgedacht beveiligingsbeleid. In veel gevallen wordt het totale beveiligingsbeleid aangepast en opnieuw toegepast op een systeem. Een goed begrip van de verschillende beveiligingsbeleidsmodules - die het MAC framework biedt helpt beheerders + die het MAC-raamwerk biedt helpt beheerders bij het kiezen van de juiste beleidseenheden voor hun situatie. De standaard &os; kernel kent geen ondersteuning voor het - MAC framework en daarom dient de volgende + MAC-raamwerk en daarom dient de volgende kerneloptie toegevoegd te worden voordat op basis van de voorbeelden of informatie uit dit hoofdstuk wijzigen worden gemaakt: @@ -417,7 +456,7 @@ beleidseenheid. Voor sommige beleidseenheden bevat het label zelf alle informatie die nodig is voor het maken van een beslissing; in andere modellen kunnen de labels als onderdeel van - een grotere set verwerkt worden, enzovoort. + een grotere verzameling verwerkt worden, enzovoort. Zo staat bijvoorbeeld het instellen van het label biba/low op een bestand voor een label dat @@ -437,7 +476,7 @@ Binnen een bestandssysteemomgeving met een enkelvoudig label kan er maar één label gebruikt worden op objecten. - Hiermee wordt een set van toegangsrechten op het hele systeem + Hiermee wordt een verzameling van toegangsrechten op het hele systeem opgelegd en dat is voor veel omgevingen voldoende. Er zijn echter een aantal gevallen waarin het wenselijk is meervoudige label in te stellen op subject of objecten in het @@ -497,7 +536,7 @@ denied zijn en deze ontstaat meestal als het label wordt ingesteld of gewijzigd op een object dat is beperkt. - + Andere condities kunnen andere foutmeldingen veroorzaken. De gebruiker die het object probeert te @@ -571,15 +610,16 @@ inzicht in de precieze eigenschappen van de standaard labelinstellingen. - + Gevorderde labelinstellingen - Dit zijn numerieke graden die gebruikt worden voor - vergelijking:afdeling+afdeling;. + Dit zijn de labels met numerieke graden die gebruikt + worden voor + vergelijking:afdeling+afdeling. biba/10:2+3+6(5:2+3-20:2+3+4+5+6) - Het bovenstaande kan dus geiuml;nterpreteerd worden + Het bovenstaande kan dus geïnterpreteerd worden als: Biba Policy Label/Graad @@ -588,7 +628,7 @@ In dit voorbeeld is de eerste graad de effectieve graad met de effectieve - afdelingen, de tweede graag is is lage graagd en de + afdelingen, de tweede graad is is lage graad en de laatste is de hoge graad. In de meeste instellingen worden deze instellingen niet gebruikt. Ze zijn inderdaad instellingen voor gevorderden. @@ -606,13 +646,14 @@ domineren. Het geval beiden domineren komt voor als de twee labels gelijk zijn. Vanwege de natuur van de informatiestroom van Biba, heeft een gebruiker rechten - op een set van afdelingen, need to know, die - overeen zouden kunnen komen met projecten, maar objecten - hebben ook een set van afdelingen. Gebruikers dienen - wellicht hun rechten te subsetten met su - of setpmac om toegang te krijgen tot - objecten in een afdeling die geen verboden terrein voor - ze zijn. + op een verzameling van afdelingen, + need to know, die overeen zouden kunnen komen + met projecten, maar objecten hebben ook een verzameling van + afdelingen. Gebruikers dienen wellicht hun rechten onder te + verdelen met su of + setpmac om toegang te krijgen tot + objecten in een afdeling die geen verboden terrein voor ze + zijn. @@ -653,7 +694,7 @@ :passwordtime=91d:\ :umask=022:\ :ignoretime@:\ - :label=partition/13,mls/5,biba/10(5-15),lomac10[2]: + :label=partition/13,mls/5,biba/10(5-15),lomac/10[2]: De optie label wordt gebruikt om het standaardlabel voor aanmeldklasse in te stellen dat door @@ -768,7 +809,7 @@ &os; webserver die gebruik maakt van het - MAC framework en een mengeling van + MAC-raamwerk en een mengeling van verschillende beleidseenheden. @@ -822,102 +863,82 @@ Sommige gebruikers hebben problemen ondervonden met het instelling van de vlag op de rootpartitie. Als dit het geval is, kijk dan naar . + linkend="mac-troubleshoot"> van dit hoofdstuk. + - - MAC beheren met tunables + + De beveiligingsconfiguratie plannen - Zonder dat er modules zijn geladen, kunnen er al onderdelen - van MAC ingesteld worden met de - sysctl interface. Deze tunables worden - hieronder beschreven en in alle gevallen betekent het getal een - (1) ingeschakeld en nul (0) betekent uitgeschakeld: + Wanneer een nieuwe technologie wordt geïmplementeerd is + een planningsfase altijd een goed idee. Tijdens de planningsfases + zou een beheerder in het algemeen naar de big + picture moeten kijken, en daarbij minstens het volgende + in de gaten proberen te houden: - - - security.mac.enforce_fs staat - standaard op een (1) en dwingt MAC - bestandssysteembeleid af op bestandssystemen. - + + + De implementatiebenodigdheden; + - - security.mac.enforce_kld staat - standaard op een (1) en dwingt MAC - kernellinkingbeleid af op de dynamische kernellinker (zie - &man.kld.4;). - + + De implementatiedoelen; + + - - security.mac.enforce_network staat - standaard op een (1) en dwingt MAC - netwerkbeleid af. - + Voor MAC-installaties houden deze in: - - security.mac.enforce_pipe staat - standaard op een (1) en dwingt MAC - beleid op pipes af. - + + + Hoe de beschikbare informatie en bronnen die op het + doelsysteem aanwezig zijn te classificeren. + - - security.mac.enforce_process staat - standaard op een (1) en dwingt MAC - beleid af op processen die gebruik maken van inter-proces - communicatie. - + + Voor wat voor soort informatie of bronnen de toegang te + beperken samen met het type van de beperkingen die dienen te + worden toegepast. + - - security.mac.enforce_socket staat - standaard op een (1) en dwingt MAC - beleid op sockets af (zie &man.socket.2;). - + + Welke MAC-module(s) nodig zullen zijn + om dit doel te bereiken. + + - - security.mac.enforce_system staat - standaard op een (1) en dwingt MAC - beleid af op op systeemactiviteit zoals accounting en - herstarten. - + Het is altijd mogelijk om de systeembronnen en de + beveiligingsinstellingen te veranderen en te herconfigureren, het + komt vaak erg ongelegen om het systeem te doorzoeken en bestaande + bestanden en gebruikersaccounts te repareren. Plannen helpt om + zeker te zijn van een probleemloze en efficiënte + systeemimplementatie. Het is vaak vitaal en zeker in uw voordeel + om een proefronde van het vertrouwde systeem, inclusief de + configuratie, te draaien + vóórdat een + MAC-implementatie wordt gebruikt op + productiesystemen. Het idee om een systeem met + MAC gewoon los te laten is als het plannen van + mislukkingen. - - security.mac.enforce_vm staat - standaard op een (1) en dwingt MAC - beleid af op het virtuele geheugensysteem. - - - - - Ieder beleid of MAC optie ondersteunt - tunables. Die zijn in het algemeen te vinden in de - boomstructuur - security.mac.<policyname>. Alle - tunables voor MAC zijn met het volgende - commando zichtbaar te maken: - - &prompt.root; sysctl -da | grep mac - - - Dit moet opgevat worden als dat alle basis - MAC beleidseenheden standaard worden - afgedwonen. Als de modules in de kernel zouden zijn gebouwd, - zou een systeem bijzonder sterk zijn dichtgetimmerd en zeer - waarschijnlijk niet kunnen communiceren met een lokaal netwerk - of verbonden kunnen worden met internet, enzovoort. Om deze - reden is het inbouwen van modules in de kernel niet volledig - aan te raden. Niet omdat het de mogelijkheid om opties direct - uit te schakelen met sysctl limiteert, maar - het stelt een beheerder in staat om beleid direct aan of uit te - schakelen zonder dat een nieuw systeem gebouwd en - geïnstalleerd hoeft te worden. - + Verschillende omgevingen kunnen verschillende behoeften en + benodidheden nodig hebben. Het opzetten van een diegaand en + compleet beveiligingsprofiel zal de noodzaak van verandering + verminderen wanneer het systeem in gebruik wordt genomen. + Zodoende zullen de toekomstige secties de verschillende modules + die beschikbaar zijn voor beheerders behandelen; hun gebruik en + configuratie beschrijven; en in sommige gevallen inzicht bieden in + welke situaties ze het beste tot hun recht komen. Een webserver + bijvorbeeld zou de beleiden &man.mac.biba.4; en + &man.mac.bsdextended.4; in gebruik nemen. In andere gevallen kan + voor een machine met erg weinig lokale gebruikers + &man.mac.partition.4; een goede keuze zijn. Module-instellingen - Iedere module uit het MAC framework kan + Iedere module uit het MAC-raamwerk kan zoals zojuist aangegeven in de kernel worden gecompileerd of als runtime kernelmodule geladen worden. De geadviseerde methode is de naam van een module toevoegen aan het bestand @@ -941,68 +962,66 @@ één label over een heel systeem afdwingen, daarom wordt de optie tunefs genoemd. + - - MAC module seeotheruids + + MAC-module seeotheruids - MAC zie andere UID's beleidsinstelling + MAC zie andere UID's beleidsinstelling - Modulenaam: mac_seeotheruids.ko + Modulenaam: mac_seeotheruids.ko - Kernelinstelling: options - MAC_SEEOTHERUIDS + Kernelinstelling: options + MAC_SEEOTHERUIDS - Bootoptie: - mac_seeotheruids_load="YES" + Opstartoptie: + mac_seeotheruids_load="YES" - De module &man.mac.seeotheruids.4; imiteert de - sysctl tunables - security.bsd.see_other_uids en - security.bsd.see_other_gids en bereidt deze - uit. Voor deze optie hoeven geen labels ingesteld te worden - voor de instelling en hij werkt transparant met de andere - modules. + De module &man.mac.seeotheruids.4; imiteert de + sysctl-tunables + security.bsd.see_other_uids en + security.bsd.see_other_gids en bereidt deze + uit. Voor deze optie hoeven geen labels ingesteld te worden voor + de instelling en hij werkt transparant met de andere modules. - Na het laden van de module kunnen de volgende - sysctl tunables gebruikt worden om de opties - in te stellen: + Na het laden van de module kunnen de volgende + sysctl-tunables gebruikt worden om de opties in + te stellen: - - - security.mac.seeotheruids.enabled - schakelt de opties van de module in en gebruikt de - standaardinstellingen. Deze standaardinstellingen - ontzeggen gebruikt de mogelijkheid processen en sockets te - zien die in eigendom zijn van andere gebruikers. - + + + security.mac.seeotheruids.enabled + schakelt de opties van de module in en gebruikt de + standaardinstellingen. Deze standaardinstellingen ontzeggen + gebruikt de mogelijkheid processen en sockets te zien die + eigendom zijn van andere gebruikers. + - - security.mac.seeotheruids.specificgid_enabled - staat toe dat een bepaalde groep niet onder dit beleid - valt. Om bepaalde groepen van dit beleid uit te sluiten, - kan de sysctl tunable - security.mac.seeotheruids.specificgid=XXX - gebruikt worden. In het bovenstaande voorbeeld dient - XXX vervangen te worden door het - numerieke ID van een groep die uitgesloten moet worden van - de beleidsinstelling. - + + security.mac.seeotheruids.specificgid_enabled + staat toe dat een bepaalde groep niet onder dit beleid valt. + Om bepaalde groepen van dit beleid uit te sluiten, kan de + sysctl-tunable + security.mac.seeotheruids.specificgid=XXX + gebruikt worden. In het bovenstaande voorbeeld dient + XXX vervangen te worden door het + numerieke ID van een groep die uitgesloten moet worden van de + beleidsinstelling. + - - - security.mac.seeotheruids.primarygroup_enabled - wordt gebruikt om specifieke primaire groepen uit te - sluiten van dit beleid. Als deze tunable wordt gebruikt, - mag - security.mac.seeotheruids.specificgid_enabled - niet gebruikt worden. - - - + + + security.mac.seeotheruids.primarygroup_enabled + wordt gebruikt om specifieke primaire groepen uit te sluiten + van dit beleid. Als deze tunable wordt gebruikt, mag + security.mac.seeotheruids.specificgid_enabled + niet gebruikt worden. + + - MAC module bsdextended + MAC-module bsdextended MAC @@ -1015,17 +1034,27 @@ Kernelinstelling: options MAC_BSDEXTENDED - Bootoptie: + Opstartoptie: mac_bsdextended_load="YES" De module &man.mac.bsdextended.4; dwingt de bestandssysteemfirewall af. Het beleid van deze module biedt een uitbreiding van het standaard rechtenmodel voor bestandssystemen, - waardoor een beheerder een firewallachtige set met regels kan - maken om bestanden, programma's en mappen in de - bestandssysteemhierarchie te beschermen. + waardoor een beheerder een firewallachtige verzameling met regels + kan maken om bestanden, programma's en mappen in de + bestandssysteemhiërarchie te beschermen. Wanneer geprobeerd + wordt om toegang tot een object in het bestandssysteem te krijgen, + wordt de lijst met regels afgelopen totdat er òf een + overeenkomstige regel is gevonden òf het einde van de lijst + is bereikt. Dit gedrag kan veranderd worden door het gebruik van + de &man.sysctl.8;-parameter + security.mac.bsdextended.firstmatch_enabled. Net zoals andere + firewall-modules in &os; kan een bestand dat regels voor + toegangscontrole bevat tijdens het opstarten door het systeem + worden aangemaakt en gelezen door een &man.rc.conf.5;-variabele te + gebruiken. - Het beleid kan gemaakt worden met het hulpprogramma + De lijst met regels kan ingevoerd worden met het hulpprogramma &man.ugidfw.8;, dat een syntaxis heeft die lijkt op die van &man.ipfw.8;. Meer hulpprogramma's kunnen geschreven worden met de functies in de bibliotheek &man.libugidfw.3;. @@ -1091,7 +1120,7 @@ - MAC module ifoff + MAC-module ifoff MAC Interface Silencing beleidsinstelling @@ -1100,7 +1129,7 @@ Kernelinstelling: options MAC_IFOFF - Bootoptie: mac_ifoff_load="YES" + Opstartoptie: mac_ifoff_load="YES" !!!The &man.mac.ifoff.4; module exists solely to disable network interfaces on the fly and keep network interfaces from being @@ -1140,7 +1169,7 @@ - MAC module portacl + MAC-module portacl MAC poort toegangscontrolelijst beleidsinstelling @@ -1149,7 +1178,7 @@ Kernelinstelling: MAC_PORTACL - Bootoptie: mac_portacl_load="YES" + Opstartoptie: mac_portacl_load="YES" The &man.mac.portacl.4; module is used to limit binding to local TCP and UDP ports @@ -1165,10 +1194,7 @@ security.mac.portacl.enabled will - enable/disable the policy completely.Due to - a bug the security.mac.portacl.enabled - sysctl variable will not work on - &os; 5.2.1 or previous releases. + enable/disable the policy completely. @@ -1266,111 +1292,8 @@ - - MAC beleidsinstellingen met labelmogelijkheden - - The next few sections will discuss MAC - policies which use labels. - - From here on this chapter will focus on the features - of &man.mac.biba.4;, &man.mac.lomac.4;, - &man.mac.partition.4;, and &man.mac.mls.4;. - - - This is an example configuration only and should not be - considered for a production implementation. The goal is - to document and show the syntax as well as examples for - implementation and testing. - - - For these policies to work correctly several - preparations must be made. - - - Voorbereiding voor labelbeleidsinstellingen - - The following changes are required in the - login.conf file: - - - - An insecure class, or another - class of similar type, must be - added. The login class of insecure - is not required and just used as an example here; different - configurations may use another class name. - - - - The insecure class should have - the following settings and definitions. Several of these - can be altered but the line which defines the default - label is a requirement and must remain. - - insecure:\ - :copyright=/etc/COPYRIGHT:\ - :welcome=/etc/motd:\ - :setenv=MAIL=/var/mail/$,BLOCKSIZE=K:\ - :path=~/bin:/sbin:/bin:/usr/sbin:/usr/bin:/usr/local/sbin:/usr/local/bin:\ - :manpath=/usr/share/man /usr/local/man:\ - :nologin=/usr/sbin/nologin:\ - :cputime=1h30m:\ - :datasize=8M:\ - :vmemoryuse=100M:\ - :stacksize=2M:\ - :memorylocked=4M:\ - :memoryuse=8M:\ - :filesize=8M:\ - :coredumpsize=8M:\ - :openfiles=24:\ - :maxproc=32:\ - :priority=0:\ - :requirehome:\ - :passwordtime=91d:\ - :umask=022:\ - :ignoretime@:\ - :label=partition/13,mls/5,biba/low: - - The &man.cap.mkdb.1; command needs to be ran on - &man.login.conf.5; before any of the - users can be switched over to the new class. - - The root username should also be placed - into a login class; otherwise, almost every command - executed by root will require the - use of setpmac. - - - Rebuilding the login.conf - database may cause some errors later with the daemon - class. Simply uncommenting the daemon account and - rebuilding the database should alleviate these - issues. - - - - - Ensure that all partitions on which - MAC labeling will be implemented support - the . We must do this because - many of the examples here contain different labels for - testing purposes. Review the output from the - mount command as a precautionary - measure. - - - - Switch any users who will have the higher security - mechanisms enforced over to the new user class. A quick - run of &man.pw.8; or &man.vipw.8; should do the - trick. - - - - - - MAC module partition + MAC-module partition MAC procespartitionering beleidsinstelling @@ -1379,7 +1302,7 @@ Kernelinstelling: options MAC_PARTITION - Bootoptie: + Opstartoptie: mac_partition_load="YES" The &man.mac.partition.4; policy will drop processes into @@ -1405,12 +1328,12 @@ - When this policy is enabled, users will only be permitted - to see their processes but will not be permitted to work with - certain utilities. For instance, a user in the - insecure class above will not be permitted - to access the top command as well as many - other commands that must spawn a process. + Wanneer dit beleid aanstaat, mogen gebruikers alleen hun eigen + processen zien, en elke andere in hun patitie, maar mogen niet met + gereedschappen buiten deze partitie werken. Bijvoorbeeld, een + gebruiker in de klasse insecure heeft geen + toegang tot het commando top noch tot vele + andere commando's die een proces moeten draaien. To set or drop utilities into a partition label, use the setpmac utility: @@ -1458,7 +1381,7 @@ - MAC module meerlagen beveiliging + MAC-module Multi-Level Security MAC Multi-Level Security Policy @@ -1469,7 +1392,7 @@ Kernelinstelling: options MAC_MLS - Bootoptie: mac_mls_load="YES" + Opstartoptie: mac_mls_load="YES" The &man.mac.mls.4; policy controls access between subjects and objects in the system by enforcing a strict information @@ -1590,19 +1513,40 @@ feed that file into the setfmac command. This method will be explained after all policies are covered. - Observations: an object with lower clearance is unable to - observe higher clearance processes. A basic policy would be - to enforce mls/high on everything not to be - read, even if it needs to be written. Enforce - mls/low on everything not to be written, even - if it needs to be read. And finally enforce - mls/equal on the rest. All users marked - insecure should be set at - mls/low. + + Verplichte Gevoeligheid plannen + + Met de beleidsmodule voor meerlaagse beveiliging plant een + beheerder het beheren van gevoelige informatiestromen. + Standaard zet het systeem met zijn natuur van lezen naar boven + blokkeren en schrijven naar beneden blokkeren alles in een lage + toestand. Alles is beschikbaar en een beheerder verandert dit + langzaam tijdens de configuratiefase; waarbij de + vertrouwelijkheid van de informatie toeneemt. + + Buiten de bovengenoemde drie basisopties voor labels, kan + een beheerder gebruikers en groepen indelen als nodig om de + informatiestroom tussen hun te blokkeren. Het is misschien + gemakkeluijer om naar de informatie te kijken in + toestemmingsniveaus waarvoor bekende woorden bestaan, zoals + Vertrouwelijk, Geheim en + Strikt Geheim. Sommige beheerders zullen + verschillende groepen aanmaken gebaseerd op verschillende + projecten. Ongeacht de classificatiemethode moet er een goed + overwogen plan bestaan voordat zo'n berperkend beleid wordt + geïmplementeerd. + + Wat voorbeelsituaties voor deze beveiligingsbeleidsmodule + kunnen een e-commerce webserver, een bestandsserver die kritieke + bedrijfsinformatie, en omgevingen van financiële + instellingen zijn. De meest onwaarschijnlijke plaats zou een + persoonlijk werkstation met slechts twee of drie gebruikers + zijn. + - MAC module Biba + MAC-module Biba MAC Biba Integrity Policy @@ -1612,7 +1556,7 @@ Kernelinstelling: options MAC_BIBA - Bootoptie: mac_biba_load="YES" + Opstartoptie: mac_biba_load="YES" The &man.mac.biba.4; module loads the MAC Biba policy. This policy works much like that of the @@ -1714,20 +1658,63 @@ &prompt.root; getfmac test test: biba/low - Observations: a lower integrity subject is unable to write - to a higher integrity subject; a higher integrity subject cannot - observe or read a lower integrity object. + + Verplichte Integriteit plannen + + Integriteit, anders dan gevoeligheid, garandeert dat de + informatie nooitdoor onvertrouwde gebruikers zal worden + gemanipuleerd. Dit geldt ook voor informatie die tussen + subjecten, objecten, of beiden wordt doorgegeven. Het verzekert + dat gebruikers alleen de informatie kunnen wijzigen en in + sommige gevallen zelfs benaderen die ze expliciet nodig hebben. + + De beveiligingsbeleidsmodule &man.mac.biba.4; staat een + beheerder in staat om te bepalen welke bestanden en programma's + een gebruiker of gebruikers mogen zien en draaien terwijl het + verzekert dat de programma's en bestanden vrij zijn van + dreigingen en vertrouwt zijn door het systeem voor die gebruiker + of groep van gebruikers. + + Tijdens de initiële planningsfase moet een beheerder + bereid zijn om gebruikers in gradaties, niveaus, en gebieden in + te delen. Gebruikers zal toegang tot niet alleen gegevens maar + ook tot programma's en hulpmiddelen ontzegt worden zowel voordat + en nadat ze beginnen. Het systeem zal standaard een hoog label + instellen nadat deze beleidsmodule is ingeschakeld, en het is + aan de beheerder om de verschillende gradaties en niveaus voor + gebruikers in te stellen. In plaats van toestemmingsniveaus + zoals boven beschreven te gebruiken, kan een goede + planningsmethode onderwerpen bevatten. Bijvoorbeeld, geef + alleen ontwikkelaars veranderingstoegang tot het + broncoderepository, de broncodecompiler, en andere + ontwikkelgereedschappen. Andere gebruikers zouden in andere + groepen zoals testers, ontwerpers, of gewone gebruikers worden + ingedeeld en zouden alleen leestoegang hebben. + + + Met zijn natuurlijke beveiligingssbeheer kan een subject van + lagere integriteit niet schijven naar een subject van hogere + integriteit; een subject van hogere integriteit kan geen subject + van lagere integriteit observeren of lezen. Een label op de + laagst mogelijke graad instellen kan het ontoegankelijk voor + subjects maken. Sommige succesvolle omgevingen voor deze + beveiligingsbeheermodule zijn een beperkte webserver, een + ontwikkel- en testmachine, en broncoderepositories. Minder + nuttige implementaties zouden een persoonlijk werkstation, een + machine gebruikt als router, of een netwerkfirewall zijn. + - MAC module LOMAC + MAC-module LOMAC MAC LOMAC Modulenaam: mac_lomac.ko Kernelinstelling: options MAC_LOMAC - Bootoptie: mac_lomac_load="YES" + + Opstartoptie: mac_lomac_load="YES" Unlike the MAC Biba policy, the &man.mac.lomac.4; policy permits access to lower integrity >>> TRUNCATED FOR MAIL (1000 lines) <<<