Date: Sat, 3 May 2008 12:07:28 GMT From: Gabor Pali <pgj@FreeBSD.org> To: Perforce Change Reviews <perforce@FreeBSD.org> Subject: PERFORCE change 141089 for review Message-ID: <200805031207.m43C7Sj7082569@repoman.freebsd.org>
next in thread | raw e-mail | index | archive | help
http://perforce.freebsd.org/chv.cgi?CH=141089 Change 141089 by pgj@disznohal on 2008/05/03 12:06:55 Cleanup in Chapter 16. Affected files ... .. //depot/projects/docproj_hu/books/handbook/mac/chapter.sgml#3 edit Differences ... ==== //depot/projects/docproj_hu/books/handbook/mac/chapter.sgml#3 (text+ko) ==== @@ -19,7 +19,7 @@ </chapterinfo> <title>Kötelezõ - hozzáférésvezérlés</title> + hozzáférés-vezérlés</title> <sect1 id="mac-synopsis"> <title>Áttekintés</title> @@ -27,23 +27,23 @@ <indexterm><primary>MAC</primary></indexterm> <indexterm> <primary>kötelezõ - hozzáférésvezérlés</primary> + hozzáférés-vezérlés</primary> <see>MAC</see> </indexterm> <para>A &os; 5.X változata új biztonsági - bõvítéseket vett a TrustedBSD projektbõl a - &posix;.1e nyomán. A két legjelentõsebb - új biztonsági mechanizmus az + bõvítéseket vett át a TrustedBSD + projektbõl a &posix;.1e nyomán. A két + legjelentõsebb új biztonsági mechanizmus az állományrendszerekben megtalálható hozzáférés-vezérlési listák (Access Control List, <acronym>ACL</acronym>) és a kötelezõ - hozzáférésvezérlés (Mandatory + hozzáférés-vezérlés (Mandatory Access Control, <acronym>MAC</acronym>). A kötelezõ - hozzáférésvezérlés + hozzáférés-vezérlés segítségével olyan új - hozzáférésvezérlési modulok + hozzáférés-vezérlési modulok tölthetõek be, amelyek új biztonsági házirendeket implementálnak. Némelyek közülük védelmet nyújtanak a rendszer @@ -61,15 +61,15 @@ állományokra és <acronym>IPC</acronym>-re érvényes engedélyeken keresztül a tetszés szerinti - hozzáférésvezérlés + hozzáférés-vezérlés (Discretionary Access Control, <acronym>DAC</acronym>) teszi.</para> <para>Ebben a fejezetben a kötelezõ - hozzáférésvezérlést + hozzáférés-vezérlést övezõ keretrendszerre (<acronym>MAC</acronym> Framework) és a különbözõ biztonsági - házirendeket megvalósító + házirendeket megvalósító, beilleszthetõ modulokra fogunk összpontosítani.</para> @@ -78,45 +78,45 @@ <itemizedlist> <listitem> - <para>a &os; jelen pillanatban milyen modulokat tartalmaz a + <para>hogy a &os; jelen pillanatban milyen modulokat tartalmaz a <acronym>MAC</acronym> rendszeren belül és milyen - mechanizmusok tartoznak hozzájuk</para> + mechanizmusok tartoznak hozzájuk;</para> </listitem> <listitem> - <para>a <acronym>MAC</acronym> biztonsági + <para>hogy a <acronym>MAC</acronym> biztonsági házirendjeit képezõ modulok miket - valósítanak meg, valamint mint a + valósítanak meg, valamint mi a különbség a címkézett és címkézetlen házirendek - között</para> + között;</para> </listitem> <listitem> <para>hogyan kell hatékonyan beállítani és használni rendszerünkben a - <acronym>MAC</acronym> rendszert</para> + <acronym>MAC</acronym> rendszert;</para> </listitem> <listitem> <para>hogyan állítsuk be a <acronym>MAC</acronym> rendszerben található különféle biztonsági házirendeket képezõ - modulokat</para> + modulokat;</para> </listitem> <listitem> <para>hogyan hozzunk létre a <acronym>MAC</acronym> rendszer segítségével egy biztonságosabb környezetet, amire - példákat is mutatunk</para> + példákat is mutatunk;</para> </listitem> <listitem> <para>hogyan teszteljük le a <acronym>MAC</acronym> rendszer beállításait és bizonyosodjunk meg mûködésének - helyességérõl</para> + helyességérõl.</para> </listitem> </itemizedlist> @@ -136,19 +136,20 @@ <listitem> <para>tisztában lenni az alapvetõ biztonsági - kérdésekkel és azok hatásával - a &os;-n belül (<xref linkend="security">)</para> + kérdésekkel és azok + hatásával a &os;-n belül (<xref + linkend="security">)</para> </listitem> </itemizedlist> <warning> <para>Az itt ismertetésre kerülõ - információk helytelen alkalmazása a rendszer - hozzáférhetõségének teljes - elvesztését, a felhasználók + információk helytelen alkalmazása a + rendszer hozzáférhetõségének + teljes elvesztését, a felhasználók bosszantását vagy az X11 által felkínált lehetõségek - kirekesztését eredményezheti. De ami + kirekesztését eredményezheti. Ami viszont ennél is fontosabb, hogy a <acronym>MAC</acronym> rendszerre nem úgy kell tekinteni, mint amitõl a rendszerünk tökéletesen @@ -161,15 +162,14 @@ nélkül a rendszerünk valójában sosem lesz teljesen biztonságos.</para> - <para>Valamint hozzá kell tennünk, hogy a fejezetben - bemutatott példák tényleg csak - példák. Senkinek sem tanácsoljuk, hogy az - itt említett beállításokat egy - éles rendszerre is kiterjessze. A - különbözõ biztonsági modulok - felépítése rengeteg gondolkodást - és próbálgatást igényel. Aki - nem érti meg az egész + <para>Hozzá kell tennünk, hogy a fejezetben bemutatott + példák tényleg csak példák. + Senkinek sem tanácsoljuk, hogy az itt említett + beállításokat egy éles rendszerre is + kiterjessze. A különbözõ biztonsági + modulok felépítése rengeteg + gondolkodást és próbálgatást + igényel. Aki nem érti meg az egész mûködését, könnyen azon kaphatja magát, hogy újra végig kell mennie a rendszeren és egyenként be kell @@ -182,8 +182,8 @@ <para>Ebben a fejezetben a <acronym>MAC</acronym> rendszerrel kapcsolatban rengeteg biztonsági kérdéssel - foglalkozni fogunk. Azonban az új <acronym>MAC</acronym> - biztonsági modulok kifejlesztését + foglalkozni fogunk. Az új <acronym>MAC</acronym> + biztonsági modulok kifejlesztését azonban már nem érintjük. Számos olyan biztonsági modul található a <acronym>MAC</acronym> rendszerben, amelyek rendelkeznek az @@ -208,14 +208,14 @@ Segítségükkel vélhetõen sikerül eloszlatni a téma feldolgozása során felmerülõ - félreértéseket illetve elkerülni az + félreértéseket, illetve elkerülni az új fogalmak és információk váratlan felbukkanását.</para> <itemizedlist> <listitem> <para><emphasis>alany</emphasis>: Alanynak tekintünk a - rendszerben minden olyan aktív egyedet, ami + rendszerben minden olyan aktív egyedet, amely információt áramoltat az <emphasis>objektumok</emphasis>, tehát a felhasználók, a processzorok, a rendszerben @@ -289,8 +289,8 @@ <listitem> <para><emphasis>házirend</emphasis>: Szabályok - olyan gyûjteménye, ami megadja, hogy miként - kell a célokat teljesíteni. Egy + olyan gyûjteménye, amely megadja, hogy + miként kell a célokat teljesíteni. Egy <emphasis>házirend</emphasis> általában az egyes elemek kezelését rögzíti. Ebben a fejezetben a <emphasis>házirend</emphasis> @@ -324,7 +324,7 @@ irányításával. Ezek lehetnek többek közt könyvtárak, állományok, mezõk, képernyõk, - billentyûzetek, memória, mágneses + billentyûzetek, a memória, mágneses tárolóeszközök, nyomtatók vagy bármilyen más adattároló/hordozó eszköz. Az @@ -404,14 +404,13 @@ és az állományrendszerek védelmére, valamint segítségükkel megakadályozhatjuk, hogy a felhasználók - elérhessenek bizonyos portokat és - csatlakozásokat stb. A házirendeket - formázó modulokat talán együttesen - tudjuk a leghatékonyabban alkalmazni, és ha - egyszerre több modul betöltésével egy - többrétegû védelmi rendszert - alakítunk ki. Ez nem ugyanaz, mint a rendszer - megerõsítése, ahol a rendszer + elérhessenek bizonyos portokat és socketeket stb. A + házirendeket formázó modulokat talán + együttesen tudjuk a leghatékonyabban alkalmazni, + és ha egyszerre több modul + betöltésével egy többrétegû + védelmi rendszert alakítunk ki. Ez nem ugyanaz, + mint a rendszer megerõsítése, ahol a rendszer összetevõit jellemzõ módon csak bizonyos célok tekintetében edzzük meg. A módszer egyedüli hátulütõi a @@ -423,7 +422,7 @@ <para>Ezek a hátrányok azonban eltörpülnek a létrehozott rendszer tartósságával - szemben. Például ha képesek vagyunk + szemben. Például, ha képesek vagyunk megmondani, hogy az adott konfigurációban milyen házirendek alkalmazására van szükség, akkor ezzel az adminisztrációs @@ -434,7 +433,7 @@ összteljesítményét, valamint az így felkínált rugalmasságot. Egy jó kialakításban figyelembe kell venni az - összes biztonsági elõírást + összes biztonsági elõírást, és hatékonyan megvalósítani ezeket a rendszer által felajánlott különféle biztonsági modulokkal.</para> @@ -475,14 +474,14 @@ &man.ssh.1; szolgáltatásain keresztül a hálózathoz vagy az internethez. A &man.mac.portacl.4; pontosan ilyen helyzetekben tud a - segítségünkre sietni. De mit tegyünk az - állományrendszerek esetén? Vágjunk el - adott felhasználókat vagy csoportokat bizonyos + segítségünkre sietni. Mit tegyünk viszont + az állományrendszerek esetén? Vágjunk + el adott felhasználókat vagy csoportokat bizonyos könyvtáraktól? Vagy korlátozzuk a felhasználók vagy segédprogramok hozzáférését adott állományokhoz bizonyos objektumok bizalmassá - nyilvánításával?</para> + tételével?</para> <para>Az állományrendszerek esetében az objektumokat néhány felhasználó @@ -532,8 +531,8 @@ <caution> <para>Miközben a <acronym>MAC</acronym> rendszerhez készült különbözõ modulok a - saját man oldalaik szerint szintén igénylik - a beépítésüket, vigyázzunk + saját man oldalaik szerint igénylik a + beépítésüket, vigyázzunk velük, mert ezzel a rendszerüket pillanatok alatt ki tudjuk zárni a hálózatból és így tovább. A <acronym>MAC</acronym> alapú @@ -585,13 +584,13 @@ címkék egy nagyobb szabályrendszer részeként dolgozódnak fel stb.</para> - <para>Például ha egy állományra + <para>Például, ha egy állományra beállítjuk a <literal>biba/low</literal> címkét, akkor az arra fog utalni, hogy a címkét a Biba nevû biztonsági modul kezeli és értéke <quote>low</quote>.</para> - <para>Az a néhány modul, ami a &os;-ben + <para>Az a néhány modul, amely a &os;-ben támogatja a címkézés lehetõségét, három speciális címkét definiál elõre. Ezek rendre a @@ -609,9 +608,9 @@ legmagasabb beállítást jelenti.</para> <para>Az egycímkés állományrendszerek - használata során az egyes objektumonkhoz csak egyetlen - címkét rendelhetünk hozzá. Ezzel az - egész rendszerben csak egyfajta engedélyt + használata során az egyes objektumonkhoz csak + egyetlen címkét rendelhetünk hozzá. + Ezzel az egész rendszerben csak egyfajta engedélyt alkalmazunk, ami sok esetben pontosan elegendõ. Létezik néhány különleges eset, amikor az állományrendszerben levõ alanyokhoz @@ -621,14 +620,14 @@ &man.tunefs.8; segédprogramnak.</para> <para>A Biba és az <acronym>MLS</acronym> esetében - elõfordulhat, hogy egy numerikus címkével fogjuk - jelölni a hierarchikus irányítás pontos - szintjét. A numerikus szintek használatával - tudjuk az információt különbözõ - csoportokba szétosztani vagy elrendezni, mondjuk - úgy, hogy csak az adott szintû vagy a felette - álló csoportok számára - engedélyezzük a + elõfordulhat, hogy egy numerikus címkével + fogjuk jelölni a hierarchikus irányítás + pontos szintjét. A numerikus szintek + használatával tudjuk az információt + különbözõ csoportokba szétosztani vagy + elrendezni, például úgy, hogy csak az adott + szintû vagy a felette álló csoportok + számára engedélyezzük a hozzáférést.</para> <para>Az esetek többségében a @@ -636,24 +635,25 @@ beállítania az egész állományrendszerre.</para> - <para><emphasis>Hé, álljunk csak meg! De akkor ez - pont olyan, mint a <acronym>DAC</acronym>! Én azt hittem, - hogy a <acronym>MAC</acronym> szigorúan a rendszergazda - kezébe adja az irányítást.</emphasis> - Ez az állítás továbbra is - fennáll, mivel bizonyos értelemben a - <username>root</username> lesz az, aki beállítja a - házirendeket, tehát õ mondja meg, hogy a - felhasználók milyen kategóriákba vagy + <para><emphasis>Hé, álljunk csak meg! Akkor ez + viszont pont olyan, mint a <acronym>DAC</acronym>! Én azt + hittem, hogy a <acronym>MAC</acronym> szigorúan a + rendszergazda kezébe adja az + irányítást.</emphasis> Ez az + állítás továbbra is fennáll, + mivel bizonyos értelemben a <username>root</username> lesz + az, aki beállítja a házirendeket, + tehát õ mondja meg, hogy a felhasználók + milyen kategóriákba vagy hozzáférési szintekbe sorolódnak. - Sajna sok biztonsági modul még magát a + Sajnos, sok biztonsági modul még magát a <username>root</username> felhasználót is korlátozza. Az objektumok feletti irányítás ilyenkor a csoportra száll, de a <username>root</username> bármikor visszavonhatja vagy módosíthatja a beállításokat. Ezzel a hierarchikus/engedély alapú modellel a Biba - és <acronym>MLS</acronym> nevû házirendek + és az <acronym>MLS</acronym> nevû házirendek foglalkoznak.</para> <sect2> @@ -679,9 +679,9 @@ <acronym>MAC</acronym>-címkéket, míg a <command>setpmac</command> paranccsal a rendszerben levõ alanyokhoz tudunk címkéket rendelni. Vegyük - mondjuk ezt:</para> + például ezt:</para> - <screen>&prompt.root; <userinput>setfmac biba/high test</userinput></screen> + <screen>&prompt.root; <userinput>setfmac biba/high <replaceable>próba</replaceable></userinput></screen> <para>Amennyiben az iménti parancs hibátlanul lefutott, visszakapjuk a paranccsort. Ezek a parancsok csak @@ -689,16 +689,17 @@ történt. Mûködésük hasonló a &man.chmod.1; és &man.chown.8; parancsokéhoz. Bizonyos esetekben <errorname>Permission - denied</errorname> (<quote>Nem engedélyezett</quote>) - hibát kapunk, ami általában akkor bukkan - fel, ha egy korlátozott objektummal kapcsolatban + denied</errorname> (<errorname>A hozzáférés + nem engedélyezett</errorname>) hibát kapunk, ami + általában akkor bukkan fel, ha egy + korlátozott objektummal kapcsolatban próbálunk meg címkét - beállítani vagy módosítani. + beállítani vagy módosítani <footnote> <para>Más feltételek mellett másmilyen - hibák keletkezhetnek. Például ha egy + hibák keletkezhetnek. Például, ha egy olyan objektumot próbálunk - újracímkézni, ami nincs a + újracímkézni, amely nincs a felhasználó birtokában, esetleg nem is létezik vagy írásvédett. Adódhat, hogy a kötelezõ házirend az @@ -714,17 +715,17 @@ állomány címkéjét. Vagy egy kevésbé sértetlen felhasználó sokkal sértetlenebbre - akarja állítani egy kevésbe + akarja állítani egy kevésbé sértetlen állomány - címkéjét.</para></footnote> - A rendszergazda a következõ paranccsal tudja feloldani - az ilyen helyzeteket:</para> + címkéjét.</para> + </footnote>. A rendszergazda a következõ paranccsal + tudja feloldani az ilyen helyzeteket:</para> - <screen>&prompt.root; <userinput>setfmac biba/high test</userinput> + <screen>&prompt.root; <userinput>setfmac biba/high <replaceable>próba</replaceable></userinput> <errorname>Permission denied</errorname> -&prompt.root; <userinput>setpmac biba/low setfmac biba/high test</userinput> -&prompt.root; <userinput>getfmac test</userinput> -test: biba/high</screen> +&prompt.root; <userinput>setpmac biba/low setfmac biba/high <replaceable>próba</replaceable></userinput> +&prompt.root; <userinput>getfmac <replaceable>próba</replaceable></userinput> +<replaceable>próba</replaceable>: biba/high</screen> <para>Ahogy az itt tetten is érhetõ, a <command>setpmac</command> használható a modul @@ -744,8 +745,9 @@ próbálnak meg módosítani, akkor a betöltött modulok szabályainak megfelelõen a <function>mac_set_link</function> függvény - <errorname>Operation not permitted</errorname> hibát fog - adni.</para> + <errorname>Operation not permitted</errorname> (<errorname>A + mûvelet nem engedélyezett</errorname>) hibát + fog adni.</para> <sect3> <title>Gyakori címketípusok</title> @@ -770,7 +772,7 @@ <listitem> <para>Az <literal>equal</literal> címke használható minden olyan objektum vagy alany - esetében, amiket ki akarunk vonni az adott + esetében, amelyeket ki akarunk vonni az adott házirend hatálya alól.</para> </listitem> @@ -791,14 +793,14 @@ beállításának jellegzetességeit.</para> - <sect4> + <sect4> <title>A címkék beállításáról részletesebben</title> <para>A numerikus osztályozó címkék - <literal>összehasonlítás:rekesz+rekesz</literal> + <literal><replaceable>összehasonlítás</replaceable>:<replaceable>rekesz</replaceable>+<replaceable>rekesz</replaceable></literal> alakban használatosak, tehát a</para> <programlisting>biba/10:2+3+6(5:2+3-20:2+3+4+5+6)</programlisting> @@ -807,13 +809,14 @@ értelmezhetõ:</para> <para><quote>A Biba házirend - címkéje</quote>/<quote>10 osztály</quote> - :<quote>2, 3 és 6 rekeszek</quote>: (<quote>5 + címkéje</quote>/<quote>10 + osztály</quote> :<quote>2, 3 és 6 + rekeszek</quote>: (<quote>5 osztály...</quote>)</para> <para>Ebben a példában az elsõ osztály tekinthetõ <quote>valódi - osztálynak</quote>, ami a <quote>valódi + osztálynak</quote>, amely a <quote>valódi rekeszeket</quote> jelenti, a második osztály egy alacsonyabb besorolás, míg az utolsó egy magasabb szintû. A legtöbb @@ -828,7 +831,7 @@ számítanak, mivel a rendszerben és hálózati csatolófelületeken elérhetõ - hozzáférésvezérlési + hozzáférés-vezérlési jogokat tükrözi.</para> <para>Az alany-objektum párokban megadott @@ -876,7 +879,7 @@ címkéjük.</para> <para>Lentebb látható egy ilyen minta - bejegyzés, ami minden modulhoz tartalmaz + bejegyzés, amely minden modulhoz tartalmaz beállítást:</para> <programlisting>default:\ @@ -904,8 +907,9 @@ :label=partition/13,mls/5,biba/10(5-15),lomac/10[2]:</programlisting> <para>Itt a <literal>label</literal> opciót - használtuk a felhasználói osztályhoz - tartozó alapértelmezett címkék + használtuk a felhasználói + osztályhoz tartozó alapértelmezett + címkék beállításához, amit majd a <acronym>MAC</acronym> betartat. A felhasználók nem módosíthatják ezt az @@ -926,18 +930,19 @@ bejelentkezés után, de csak a házirend keretein belül. A fenti példában úgy állítjuk be a Biba - házirendet, hogy a futó programok legkisebb - sértetlenségi foka 5, legfeljebb 15 lehet, de - az alapértéke 10. Tehát a programok - egészen addig 10-es szinten futnak, amíg a - programok a Biba bejelentkezéskor megadott - tartományában meg nem - változtatják ezt a címkét, - feltehetõen a <command>setpmac</command> parancs + házirendet, hogy a futó programok + sértetlenségi foka legalább 5, + legfeljebb 15 lehet, de az alapértéke 10. + Tehát a programok egészen addig 10-es szinten + futnak, amíg a programok a Biba + bejelentkezéskor megadott tartományában + meg nem változtatják ezt a + címkét, feltehetõen a + <command>setpmac</command> parancs hatására.</para> </note> - <para>Mindig amikor megváltozatjuk a + <para>Mindig, amikor megváltozatjuk a <filename>login.conf</filename> beállításait, a <command>cap_mkdb</command> paranccsal újra kell @@ -955,8 +960,8 @@ felhasználók kezelése, ezért soha ne felejtsünk el komolyan elõre tervezni.</para> - <para>A &os; következõ változataiban majd meg - fognak jelenni más módszerek is a + <para>A &os; következõ változataiban meg fognak + jelenni más módszerek is a felhasználók és címkék közti kapcsolatok kezelésére. A &os; 5.3 elõtt azonban ez még @@ -984,8 +989,8 @@ <para>Ha <acronym>MAC</acronym>-címkéket akarunk rendelni egy hálózati felülethez, akkor az <command>ifconfig</command> parancsnak adjuk meg a - <option>maclabel</option> paramétert. Mint - például a</para> + <option>maclabel</option> paramétert. + Például a</para> <screen>&prompt.root; <userinput>ifconfig bge0 maclabel biba/equal</userinput></screen> @@ -1000,17 +1005,17 @@ <para>Minden címkézést támogató modulhoz tartoznak futási idõben állítható paraméterek, - amikkel akár le is tudjuk tiltani a + amelyekkel akár le is tudjuk tiltani a <acronym>MAC</acronym>-címkéket a - hálózati csatolófelületeken. De - ugyanezt jelenti, ha <option>equal</option> - értéket adunk meg a címkének. Ezt - behatóbban úgy ismerhetjük meg, ha - kielemezzük a <command>sysctl</command> parancs - kimenetét, a megfelelõ modul man oldalát - vagy a fejezetben további részében - található, erre vonatkozó - információkat.</para> + hálózati csatolófelületeken. + Ugyanezt jelenti egyébként, ha + <option>equal</option> értéket adunk meg a + címkének. Ezt behatóbban úgy + ismerhetjük meg, ha kielemezzük a + <command>sysctl</command> parancs kimenetét, a + megfelelõ modul man oldalát vagy a fejezetben + további részében található, + erre vonatkozó információkat.</para> </sect3> </sect2> @@ -1020,7 +1025,7 @@ <para>Alapértelmezés szerint a rendszer a <option>singlelabel</option> beállítást - használja. De ez mit tartogat a rendszergazda + használja. Ez vajon mit tartogat a rendszergazda számára? Számos olyan eltérést, aminek megvannak a saját elõnyei és hátrányai a rendszer @@ -1062,14 +1067,14 @@ <itemizedlist> <listitem> - <para>Adott egy &os; webszerver, ahol <acronym>MAC</acronym> - rendszert ésbenne több biztonsági - házirendet alkalmazunk.</para> + <para>Adott egy &os; webszerver, ahol a <acronym>MAC</acronym> + rendszert több biztonsági házirenddel + alkalmazzuk.</para> </listitem> <listitem> - <para>A gépen csak egyetlen címkére, a - <literal>biba/high</literal>-ra van + <para>A gépen egyedül csak a + <literal>biba/high</literal> címkére van szükségünk mindenhez a rendszerben. Itt egyszerûen csak nem adjuk meg az állományrendszernek a @@ -1079,9 +1084,10 @@ </listitem> <listitem> - <para>De mivel erre a gépre telepíteni akarunk - egy webszervert is, ilyenkor a <literal>biba/low</literal> - címke használatával igyekszünk + <para>Mivel azonban erre a gépre telepíteni + akarunk egy webszervert is, ilyenkor a + <literal>biba/low</literal> címke + használatával igyekszünk korlátozni a szerver feldolgozási képességeit. A Biba házirendrõl és annak mûködésérõl @@ -1112,8 +1118,7 @@ <literal>portacl</literal> és <literal>partition</literal> házirendek.</para> - <para>Hozzá kell tennünk, hogy a - <option>multilabel</option> opció használata + <para>A <option>multilabel</option> opció használata és így speciális, többcímkés védelmi modell létrehozása képes elbonyolítani a @@ -1159,11 +1164,11 @@ <itemizedlist> <listitem> - <para>elvárások a modell felé</para> + <para>Elvárások a modell felé</para> </listitem> <listitem> - <para>a modell célkitûzései</para> + <para>A modell célkitûzései</para> </listitem> </itemizedlist> @@ -1172,21 +1177,21 @@ <itemizedlist> <listitem> - <para>miként osztályozzuk a célrendszeren + <para>Miként osztályozzuk a célrendszeren rendelkezésre álló információt és erõforrásokat</para> </listitem> <listitem> - <para>milyen információt vagy - erõforrást kell korlátoznunk és milyen - típusú korlátozást alkalmazzunk - rájuk</para> + <para>Milyen információt vagy + erõforrást kell korlátoznunk és + milyen típusú korlátozást + alkalmazzunk rájuk</para> </listitem> <listitem> - <para>a <acronym>MAC</acronym> melyik moduljain keresztül + <para>A <acronym>MAC</acronym> melyik moduljain keresztül tudjuk elérni céljainkat</para> </listitem> </itemizedlist> @@ -1197,7 +1202,7 @@ és biztonsági beállításokat, sokszor azért igen kényelmetlen utánanézni a rendszerben és - állítgatni az állományok illetve + állítgatni az állományok, illetve felhasználói hozzáférések paramétereit. A beállításainkat valamint azok konfigurációját @@ -1223,7 +1228,7 @@ képességeik. Például egy webszerver esetén hasznos lehet a &man.mac.biba.4; és &man.mac.bsdextended.4; házirendek alkalmazása. - Más esetekben, mondjuk egy kevés + Más esetekben, például egy kevés felhasználóval mûködõ számítógépen, a &man.mac.partition.4; modul lehet jó választás.</para> @@ -1236,7 +1241,7 @@ <para>A <acronym>MAC</acronym> rendszerben megtalálható összes modul a korábban leírtak szerint beépíthetõ a - rendszermagba vagy menetközben is betölthetõ + rendszermagba vagy menet közben is betölthetõ modulként. A használni kívánt modulokat a <filename>/boot/loader.conf</filename> állományba javasolt felvenni, így azok be @@ -1244,8 +1249,8 @@ folyamán.</para> <para>A soron következõ szakaszokban a - különbözõ <acronym>MAC</acronym> modulokat - dolgozzuk fel és összefoglaljuk a + különbözõ <acronym>MAC</acronym>-modulokat + dolgozzuk fel és foglaljuk össze a lehetõségeiket. Továbbá a fejezet szeretne szólni ezek alkalmazásáról speciális helyzetekben is. Egyes modulokkal @@ -1263,7 +1268,7 @@ állíthatjuk be az állományonkénti vagy partíciónkénti - hozzáférésvezérlést.</para> + hozzáférés-vezérlést.</para> <para>Az egycímkés konfigurációban az egész rendszerben csupán egyetlen címke @@ -1275,12 +1280,11 @@ <sect2 id="mac-seeotheruids"> <title>A seeotheruids MAC-modul</title> - <indexterm> - <primary><quote>Lássak másokat</quote> - MAC-házirend</primary> - </indexterm> + <indexterm><primary><quote>Lássak + másokat</quote>MAC-házirend</primary></indexterm> - <para>A modul neve: <filename>mac_seeotheruids.ko</filename></para> + <para>A modul neve: + <filename>mac_seeotheruids.ko</filename></para> <para>A rendszermag konfigurációs beállítása: <literal>options @@ -1296,9 +1300,9 @@ <command>sysctl</command>-változókat utánozza és terjeszti ki. A használatához semmilyen címkét nem - kell beállítani és transparens módon - képes együttmûködni a többi - modullal.</para> + kell beállítani és transzparens + módon képes együttmûködni a + többi modullal.</para> <para>A modult betöltése után az alábbi <command>sysctl</command>-változókkal tudjuk @@ -1317,7 +1321,7 @@ <listitem> <para>A - <literal>security.mac.seeotheruids.specificgid_enabled</literal> + <literal>security.mac.seeotheruids.specificgid_enabled</literal> egy adott csoportot mentesít a házirend szabályozásai alól. Tehát ki akarunk vonni egy csoportot a házirend @@ -1332,7 +1336,7 @@ <listitem> <para>A - <literal>security.mac.seeotheruids.primarygroup_enabled</literal> + <literal>security.mac.seeotheruids.primarygroup_enabled</literal> segítségével adott elsõdleges csoportokat vonhatunk ki a házirend hatálya alól. Ezt a változót nem @@ -1364,17 +1368,17 @@ <literal>mac_bsdextended_load="YES"</literal></para> <para>A &man.mac.bsdextended.4; modul - segítségével egy állományrendszer - szintjén mûködõ tûzfalat tudunk - kialakítani. Ez a modul a szabványos - állományrendszeri engedély alapú - modelljét bõvíti ki, lehetõvé - téve, hogy a rendszergazda tûzfalszerû - szabályokkal nyújtson védelmet a - könyvtárszerkezetben található - állományoknak, segédprogramoknak és - könyvtáraknak. Amikor egy - állományrendszerbeli objektumhoz + segítségével egy + állományrendszer szintjén + mûködõ tûzfalat tudunk kialakítani. Ez + a modul a szabványos állományrendszeri + engedély alapú modelljét bõvíti + ki, lehetõvé téve, hogy a rendszergazda + tûzfalszerû szabályokkal nyújtson + védelmet a könyvtárszerkezetben + található állományoknak, + segédprogramoknak és könyvtáraknak. + Amikor egy állományrendszerbeli objektumhoz próbálunk meg hozzáférni, a modul illeszti ezt egy szabályrendszerre, amiben vagy talál egy hozzátartozó szabályt vagy @@ -1389,8 +1393,8 @@ változóból olvasódnak be.</para> <para>A szabályokat a &man.ugidfw.8; segédprogrammal - adhatjuk meg, aminek a formai szabályai hasonlóak az - &man.ipfw.8; programéhoz. A &man.libugidfw.3; + adhatjuk meg, amelynek a formai szabályai hasonlóak + az &man.ipfw.8; programéhoz. A &man.libugidfw.3; függvénykönyvtár felhasználásával azonban további segédprogramok is írhatóak @@ -1429,7 +1433,7 @@ <parameter>add</parameter> paraméter nem létezett. Ezeknél ehelyett a <parameter>set</parameter> paramétert kell majd - használnunk, ld. lentebb.</para> + használnunk, lásd lentebb.</para> </note> <para>Ez egyébként egy nagyon buta ötlet, mivel @@ -1459,14 +1463,15 @@ <note> <para>A <username>root</username> felhasználóra - ezek a beállítások nem vonatkoznak.</para> + ezek a beállítások nem + vonatkoznak.</para> </note> <para>Ezzel felvázoltuk, miként lehet a &man.mac.bsdextended.4; modult felhasználni az állományrendszerek megerõsítésére. Részletesebb - információkat járuljunk a + információkért járuljunk a &man.mac.bsdextended.4; és &man.ugidfw.8; man oldalakhoz.</para> @@ -1476,10 +1481,9 @@ <sect1 id="mac-ifoff"> <title>Az ifoff MAC-modul</title> - <indexterm> - <primary><quote>a csatolófelületek - elfojtása</quote> MAC-házirend</primary> - </indexterm> + <indexterm><primary><quote>a csatolófelületek + elfojtása</quote> + MAC-házirend</primary></indexterm> <para>A modul neve: <filename>mac_ifoff.ko</filename></para> @@ -1492,9 +1496,9 @@ <para>A &man.mac.ifoff.4; modul kizárólag abból a célból készült, hogy - segítségével menet közben le tudunk + segítségével menet közben le tudjuk tiltani bizonyos hálózati - csatolófelületeket + csatolófelületek beállítását a rendszerindítás közben. Sem címkékre, sem pedig a többi MAC-modulra nincs @@ -1507,8 +1511,8 @@ <itemizedlist> <listitem> <para>A <literal>security.mac.ifoff.lo_enabled</literal> - engedélyezi vagy letiltja a (&man.lo.4;) helyi hurkolt - (loopback) felületen az összes forgalmat.</para> + engedélyezi vagy letiltja a (&man.lo.4;) helyi loopback + felületen az összes forgalmat.</para> </listitem> <listitem> @@ -1541,11 +1545,9 @@ <sect1 id="mac-portacl"> <title>A portacl MAC-modul</title> - <indexterm> - <primary>Port + <indexterm><primary>Port hozzáférés-vezérlési lista - MAC-házirend</primary> - </indexterm> + MAC-házirend</primary></indexterm> <para>A modul neve: <filename>mac_portacl.ko</filename></para> @@ -1576,20 +1578,21 @@ <listitem> <para>A <literal>security.mac.portacl.enabled</literal> totálisan engedélyezi vagy letiltja a - házirend használatát. <footnote> + házirend használatát + <footnote> <para>A <literal>security.mac.portacl.enabled</literal> <command>sysctl</command>-változó kezelésében levõ hiba miatt ez a beállítás nem fog mûködni a - &os; 5.2.1 vagy korábbi változatai + &os; 5.2.1 vagy korábbi változatai esetében.</para> - </footnote></para> + </footnote>.</para> </listitem> <listitem> <para>A <literal>security.mac.portacl.port_high</literal> - megadja azt a legmagasabb portot, amire még kiterjed a - &man.mac.portacl.4; védelme.</para> + megadja azt a legmagasabb portot, amelyre még kiterjed + a &man.mac.portacl.4; védelme.</para> </listitem> <listitem> @@ -1603,7 +1606,7 @@ <listitem> <para>A <literal>security.mac.portacl.rules</literal> az érvényes mac_portacl házirendet adja meg, - ld. lentebb.</para> + lásd lentebb.</para> </listitem> </itemizedlist> @@ -1614,9 +1617,12 @@ <literal>szabály[,szabály,...]</literal>, ahol ezen a módon tetszõleges számú szabályt adhatunk meg. Az egyes szabályok pedig - így írhatóak fel: - <literal>azonosítótípus:azonosító:protokoll:port</literal>. - Az <parameter>azonosítótípus</parameter> + így írhatóak fel: <literal> + <replaceable>azonosítótípus</replaceable>: + <replaceable>azonosító</replaceable>: + <replaceable>protokoll</replaceable>: + <replaceable>port</replaceable></literal>. Az + <parameter>azonosítótípus</parameter> értéke <literal>uid</literal> vagy <literal>gid</literal> lehet, amivel megadjuk, hogy az <parameter>azonosító</parameter> paraméter @@ -1628,8 +1634,8 @@ <literal>tcp</literal> vagy <literal>udp</literal> lehet. A sort végül a <parameter>port</parameter> paraméter zárja, ahol annak a portnak számát adjuk meg, - amihez az adott felhasználót vagy csoportot akarjuk - kötni.</para> + amelyhez az adott felhasználót vagy csoportot + akarjuk kötni.</para> <note> <para>Mivel a szabályokat közvetlenül maga a @@ -1643,10 +1649,11 @@ </note> <para>A &unix;-szerû rendszereken alapértelmezés - szerint az 1024 alatti portokat csak privilegizált programok - kaphatják meg és használhatják, - tehát a <username>root</username> felhasználó - neve alatt kell futniuk. A &man.mac.portacl.4; azonban a nem + szerint az 1024 alatti portokat csak privilegizált + programok kaphatják meg és + használhatják, tehát a + <username>root</username> felhasználó neve alatt + kell futniuk. A &man.mac.portacl.4; azonban a nem privilegizált programok számára is lehetõvé teszi, hogy elfoglalhassanak 1024 alatti portokat, amihez viszont elõször le kell tiltani ezt a @@ -1691,7 +1698,7 @@ <screen>&prompt.root; <userinput>sysctl security.mac.portacl.rules=uid:80:tcp:80</userinput></screen> >>> TRUNCATED FOR MAIL (1000 lines) <<<
Want to link to this message? Use this URL: <https://mail-archive.FreeBSD.org/cgi/mid.cgi?200805031207.m43C7Sj7082569>