From owner-p4-projects@FreeBSD.ORG Sat May 3 12:07:29 2008 Return-Path: Delivered-To: p4-projects@freebsd.org Received: by hub.freebsd.org (Postfix, from userid 32767) id 14B5E1065677; Sat, 3 May 2008 12:07:29 +0000 (UTC) Delivered-To: perforce@FreeBSD.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:4f8:fff6::34]) by hub.freebsd.org (Postfix) with ESMTP id C87961065675 for ; Sat, 3 May 2008 12:07:28 +0000 (UTC) (envelope-from pgj@FreeBSD.org) Received: from repoman.freebsd.org (repoman.freebsd.org [IPv6:2001:4f8:fff6::29]) by mx1.freebsd.org (Postfix) with ESMTP id C7FAD8FC13 for ; Sat, 3 May 2008 12:07:28 +0000 (UTC) (envelope-from pgj@FreeBSD.org) Received: from repoman.freebsd.org (localhost [127.0.0.1]) by repoman.freebsd.org (8.14.1/8.14.1) with ESMTP id m43C7S4D082571 for ; Sat, 3 May 2008 12:07:28 GMT (envelope-from pgj@FreeBSD.org) Received: (from perforce@localhost) by repoman.freebsd.org (8.14.1/8.14.1/Submit) id m43C7Sj7082569 for perforce@freebsd.org; Sat, 3 May 2008 12:07:28 GMT (envelope-from pgj@FreeBSD.org) Date: Sat, 3 May 2008 12:07:28 GMT Message-Id: <200805031207.m43C7Sj7082569@repoman.freebsd.org> X-Authentication-Warning: repoman.freebsd.org: perforce set sender to pgj@FreeBSD.org using -f From: Gabor Pali To: Perforce Change Reviews Cc: Subject: PERFORCE change 141089 for review X-BeenThere: p4-projects@freebsd.org X-Mailman-Version: 2.1.5 Precedence: list List-Id: p4 projects tree changes List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sat, 03 May 2008 12:07:29 -0000 http://perforce.freebsd.org/chv.cgi?CH=141089 Change 141089 by pgj@disznohal on 2008/05/03 12:06:55 Cleanup in Chapter 16. Affected files ... .. //depot/projects/docproj_hu/books/handbook/mac/chapter.sgml#3 edit Differences ... ==== //depot/projects/docproj_hu/books/handbook/mac/chapter.sgml#3 (text+ko) ==== @@ -19,7 +19,7 @@ Kötelezõ - hozzáférésvezérlés + hozzáférés-vezérlés Áttekintés @@ -27,23 +27,23 @@ MAC kötelezõ - hozzáférésvezérlés + hozzáférés-vezérlés MAC A &os; 5.X változata új biztonsági - bõvítéseket vett a TrustedBSD projektbõl a - &posix;.1e nyomán. A két legjelentõsebb - új biztonsági mechanizmus az + bõvítéseket vett át a TrustedBSD + projektbõl a &posix;.1e nyomán. A két + legjelentõsebb új biztonsági mechanizmus az állományrendszerekben megtalálható hozzáférés-vezérlési listák (Access Control List, ACL) és a kötelezõ - hozzáférésvezérlés (Mandatory + hozzáférés-vezérlés (Mandatory Access Control, MAC). A kötelezõ - hozzáférésvezérlés + hozzáférés-vezérlés segítségével olyan új - hozzáférésvezérlési modulok + hozzáférés-vezérlési modulok tölthetõek be, amelyek új biztonsági házirendeket implementálnak. Némelyek közülük védelmet nyújtanak a rendszer @@ -61,15 +61,15 @@ állományokra és IPC-re érvényes engedélyeken keresztül a tetszés szerinti - hozzáférésvezérlés + hozzáférés-vezérlés (Discretionary Access Control, DAC) teszi. Ebben a fejezetben a kötelezõ - hozzáférésvezérlést + hozzáférés-vezérlést övezõ keretrendszerre (MAC Framework) és a különbözõ biztonsági - házirendeket megvalósító + házirendeket megvalósító, beilleszthetõ modulokra fogunk összpontosítani. @@ -78,45 +78,45 @@ - a &os; jelen pillanatban milyen modulokat tartalmaz a + hogy a &os; jelen pillanatban milyen modulokat tartalmaz a MAC rendszeren belül és milyen - mechanizmusok tartoznak hozzájuk + mechanizmusok tartoznak hozzájuk; - a MAC biztonsági + hogy a MAC biztonsági házirendjeit képezõ modulok miket - valósítanak meg, valamint mint a + valósítanak meg, valamint mi a különbség a címkézett és címkézetlen házirendek - között + között; hogyan kell hatékonyan beállítani és használni rendszerünkben a - MAC rendszert + MAC rendszert; hogyan állítsuk be a MAC rendszerben található különféle biztonsági házirendeket képezõ - modulokat + modulokat; hogyan hozzunk létre a MAC rendszer segítségével egy biztonságosabb környezetet, amire - példákat is mutatunk + példákat is mutatunk; hogyan teszteljük le a MAC rendszer beállításait és bizonyosodjunk meg mûködésének - helyességérõl + helyességérõl. @@ -136,19 +136,20 @@ tisztában lenni az alapvetõ biztonsági - kérdésekkel és azok hatásával - a &os;-n belül () + kérdésekkel és azok + hatásával a &os;-n belül () Az itt ismertetésre kerülõ - információk helytelen alkalmazása a rendszer - hozzáférhetõségének teljes - elvesztését, a felhasználók + információk helytelen alkalmazása a + rendszer hozzáférhetõségének + teljes elvesztését, a felhasználók bosszantását vagy az X11 által felkínált lehetõségek - kirekesztését eredményezheti. De ami + kirekesztését eredményezheti. Ami viszont ennél is fontosabb, hogy a MAC rendszerre nem úgy kell tekinteni, mint amitõl a rendszerünk tökéletesen @@ -161,15 +162,14 @@ nélkül a rendszerünk valójában sosem lesz teljesen biztonságos. - Valamint hozzá kell tennünk, hogy a fejezetben - bemutatott példák tényleg csak - példák. Senkinek sem tanácsoljuk, hogy az - itt említett beállításokat egy - éles rendszerre is kiterjessze. A - különbözõ biztonsági modulok - felépítése rengeteg gondolkodást - és próbálgatást igényel. Aki - nem érti meg az egész + Hozzá kell tennünk, hogy a fejezetben bemutatott + példák tényleg csak példák. + Senkinek sem tanácsoljuk, hogy az itt említett + beállításokat egy éles rendszerre is + kiterjessze. A különbözõ biztonsági + modulok felépítése rengeteg + gondolkodást és próbálgatást + igényel. Aki nem érti meg az egész mûködését, könnyen azon kaphatja magát, hogy újra végig kell mennie a rendszeren és egyenként be kell @@ -182,8 +182,8 @@ Ebben a fejezetben a MAC rendszerrel kapcsolatban rengeteg biztonsági kérdéssel - foglalkozni fogunk. Azonban az új MAC - biztonsági modulok kifejlesztését + foglalkozni fogunk. Az új MAC + biztonsági modulok kifejlesztését azonban már nem érintjük. Számos olyan biztonsági modul található a MAC rendszerben, amelyek rendelkeznek az @@ -208,14 +208,14 @@ Segítségükkel vélhetõen sikerül eloszlatni a téma feldolgozása során felmerülõ - félreértéseket illetve elkerülni az + félreértéseket, illetve elkerülni az új fogalmak és információk váratlan felbukkanását. alany: Alanynak tekintünk a - rendszerben minden olyan aktív egyedet, ami + rendszerben minden olyan aktív egyedet, amely információt áramoltat az objektumok, tehát a felhasználók, a processzorok, a rendszerben @@ -289,8 +289,8 @@ házirend: Szabályok - olyan gyûjteménye, ami megadja, hogy miként - kell a célokat teljesíteni. Egy + olyan gyûjteménye, amely megadja, hogy + miként kell a célokat teljesíteni. Egy házirend általában az egyes elemek kezelését rögzíti. Ebben a fejezetben a házirend @@ -324,7 +324,7 @@ irányításával. Ezek lehetnek többek közt könyvtárak, állományok, mezõk, képernyõk, - billentyûzetek, memória, mágneses + billentyûzetek, a memória, mágneses tárolóeszközök, nyomtatók vagy bármilyen más adattároló/hordozó eszköz. Az @@ -404,14 +404,13 @@ és az állományrendszerek védelmére, valamint segítségükkel megakadályozhatjuk, hogy a felhasználók - elérhessenek bizonyos portokat és - csatlakozásokat stb. A házirendeket - formázó modulokat talán együttesen - tudjuk a leghatékonyabban alkalmazni, és ha - egyszerre több modul betöltésével egy - többrétegû védelmi rendszert - alakítunk ki. Ez nem ugyanaz, mint a rendszer - megerõsítése, ahol a rendszer + elérhessenek bizonyos portokat és socketeket stb. A + házirendeket formázó modulokat talán + együttesen tudjuk a leghatékonyabban alkalmazni, + és ha egyszerre több modul + betöltésével egy többrétegû + védelmi rendszert alakítunk ki. Ez nem ugyanaz, + mint a rendszer megerõsítése, ahol a rendszer összetevõit jellemzõ módon csak bizonyos célok tekintetében edzzük meg. A módszer egyedüli hátulütõi a @@ -423,7 +422,7 @@ Ezek a hátrányok azonban eltörpülnek a létrehozott rendszer tartósságával - szemben. Például ha képesek vagyunk + szemben. Például, ha képesek vagyunk megmondani, hogy az adott konfigurációban milyen házirendek alkalmazására van szükség, akkor ezzel az adminisztrációs @@ -434,7 +433,7 @@ összteljesítményét, valamint az így felkínált rugalmasságot. Egy jó kialakításban figyelembe kell venni az - összes biztonsági elõírást + összes biztonsági elõírást, és hatékonyan megvalósítani ezeket a rendszer által felajánlott különféle biztonsági modulokkal. @@ -475,14 +474,14 @@ &man.ssh.1; szolgáltatásain keresztül a hálózathoz vagy az internethez. A &man.mac.portacl.4; pontosan ilyen helyzetekben tud a - segítségünkre sietni. De mit tegyünk az - állományrendszerek esetén? Vágjunk el - adott felhasználókat vagy csoportokat bizonyos + segítségünkre sietni. Mit tegyünk viszont + az állományrendszerek esetén? Vágjunk + el adott felhasználókat vagy csoportokat bizonyos könyvtáraktól? Vagy korlátozzuk a felhasználók vagy segédprogramok hozzáférését adott állományokhoz bizonyos objektumok bizalmassá - nyilvánításával? + tételével? Az állományrendszerek esetében az objektumokat néhány felhasználó @@ -532,8 +531,8 @@ Miközben a MAC rendszerhez készült különbözõ modulok a - saját man oldalaik szerint szintén igénylik - a beépítésüket, vigyázzunk + saját man oldalaik szerint igénylik a + beépítésüket, vigyázzunk velük, mert ezzel a rendszerüket pillanatok alatt ki tudjuk zárni a hálózatból és így tovább. A MAC alapú @@ -585,13 +584,13 @@ címkék egy nagyobb szabályrendszer részeként dolgozódnak fel stb. - Például ha egy állományra + Például, ha egy állományra beállítjuk a biba/low címkét, akkor az arra fog utalni, hogy a címkét a Biba nevû biztonsági modul kezeli és értéke low. - Az a néhány modul, ami a &os;-ben + Az a néhány modul, amely a &os;-ben támogatja a címkézés lehetõségét, három speciális címkét definiál elõre. Ezek rendre a @@ -609,9 +608,9 @@ legmagasabb beállítást jelenti. Az egycímkés állományrendszerek - használata során az egyes objektumonkhoz csak egyetlen - címkét rendelhetünk hozzá. Ezzel az - egész rendszerben csak egyfajta engedélyt + használata során az egyes objektumonkhoz csak + egyetlen címkét rendelhetünk hozzá. + Ezzel az egész rendszerben csak egyfajta engedélyt alkalmazunk, ami sok esetben pontosan elegendõ. Létezik néhány különleges eset, amikor az állományrendszerben levõ alanyokhoz @@ -621,14 +620,14 @@ &man.tunefs.8; segédprogramnak. A Biba és az MLS esetében - elõfordulhat, hogy egy numerikus címkével fogjuk - jelölni a hierarchikus irányítás pontos - szintjét. A numerikus szintek használatával - tudjuk az információt különbözõ - csoportokba szétosztani vagy elrendezni, mondjuk - úgy, hogy csak az adott szintû vagy a felette - álló csoportok számára - engedélyezzük a + elõfordulhat, hogy egy numerikus címkével + fogjuk jelölni a hierarchikus irányítás + pontos szintjét. A numerikus szintek + használatával tudjuk az információt + különbözõ csoportokba szétosztani vagy + elrendezni, például úgy, hogy csak az adott + szintû vagy a felette álló csoportok + számára engedélyezzük a hozzáférést. Az esetek többségében a @@ -636,24 +635,25 @@ beállítania az egész állományrendszerre. - Hé, álljunk csak meg! De akkor ez - pont olyan, mint a DAC! Én azt hittem, - hogy a MAC szigorúan a rendszergazda - kezébe adja az irányítást. - Ez az állítás továbbra is - fennáll, mivel bizonyos értelemben a - root lesz az, aki beállítja a - házirendeket, tehát õ mondja meg, hogy a - felhasználók milyen kategóriákba vagy + Hé, álljunk csak meg! Akkor ez + viszont pont olyan, mint a DAC! Én azt + hittem, hogy a MAC szigorúan a + rendszergazda kezébe adja az + irányítást. Ez az + állítás továbbra is fennáll, + mivel bizonyos értelemben a root lesz + az, aki beállítja a házirendeket, + tehát õ mondja meg, hogy a felhasználók + milyen kategóriákba vagy hozzáférési szintekbe sorolódnak. - Sajna sok biztonsági modul még magát a + Sajnos, sok biztonsági modul még magát a root felhasználót is korlátozza. Az objektumok feletti irányítás ilyenkor a csoportra száll, de a root bármikor visszavonhatja vagy módosíthatja a beállításokat. Ezzel a hierarchikus/engedély alapú modellel a Biba - és MLS nevû házirendek + és az MLS nevû házirendek foglalkoznak. @@ -679,9 +679,9 @@ MAC-címkéket, míg a setpmac paranccsal a rendszerben levõ alanyokhoz tudunk címkéket rendelni. Vegyük - mondjuk ezt: + például ezt: - &prompt.root; setfmac biba/high test + &prompt.root; setfmac biba/high próba Amennyiben az iménti parancs hibátlanul lefutott, visszakapjuk a paranccsort. Ezek a parancsok csak @@ -689,16 +689,17 @@ történt. Mûködésük hasonló a &man.chmod.1; és &man.chown.8; parancsokéhoz. Bizonyos esetekben Permission - denied (Nem engedélyezett) - hibát kapunk, ami általában akkor bukkan - fel, ha egy korlátozott objektummal kapcsolatban + denied (A hozzáférés + nem engedélyezett) hibát kapunk, ami + általában akkor bukkan fel, ha egy + korlátozott objektummal kapcsolatban próbálunk meg címkét - beállítani vagy módosítani. + beállítani vagy módosítani Más feltételek mellett másmilyen - hibák keletkezhetnek. Például ha egy + hibák keletkezhetnek. Például, ha egy olyan objektumot próbálunk - újracímkézni, ami nincs a + újracímkézni, amely nincs a felhasználó birtokában, esetleg nem is létezik vagy írásvédett. Adódhat, hogy a kötelezõ házirend az @@ -714,17 +715,17 @@ állomány címkéjét. Vagy egy kevésbé sértetlen felhasználó sokkal sértetlenebbre - akarja állítani egy kevésbe + akarja állítani egy kevésbé sértetlen állomány - címkéjét. - A rendszergazda a következõ paranccsal tudja feloldani - az ilyen helyzeteket: + címkéjét. + . A rendszergazda a következõ paranccsal + tudja feloldani az ilyen helyzeteket: - &prompt.root; setfmac biba/high test + &prompt.root; setfmac biba/high próba Permission denied -&prompt.root; setpmac biba/low setfmac biba/high test -&prompt.root; getfmac test -test: biba/high +&prompt.root; setpmac biba/low setfmac biba/high próba +&prompt.root; getfmac próba +próba: biba/high Ahogy az itt tetten is érhetõ, a setpmac használható a modul @@ -744,8 +745,9 @@ próbálnak meg módosítani, akkor a betöltött modulok szabályainak megfelelõen a mac_set_link függvény - Operation not permitted hibát fog - adni. + Operation not permitted (A + mûvelet nem engedélyezett) hibát + fog adni. Gyakori címketípusok @@ -770,7 +772,7 @@ Az equal címke használható minden olyan objektum vagy alany - esetében, amiket ki akarunk vonni az adott + esetében, amelyeket ki akarunk vonni az adott házirend hatálya alól. @@ -791,14 +793,14 @@ beállításának jellegzetességeit. - + A címkék beállításáról részletesebben A numerikus osztályozó címkék - összehasonlítás:rekesz+rekesz + összehasonlítás:rekesz+rekesz alakban használatosak, tehát a biba/10:2+3+6(5:2+3-20:2+3+4+5+6) @@ -807,13 +809,14 @@ értelmezhetõ: A Biba házirend - címkéje/10 osztály - :2, 3 és 6 rekeszek: (5 + címkéje/10 + osztály :2, 3 és 6 + rekeszek: (5 osztály...) Ebben a példában az elsõ osztály tekinthetõ valódi - osztálynak, ami a valódi + osztálynak, amely a valódi rekeszeket jelenti, a második osztály egy alacsonyabb besorolás, míg az utolsó egy magasabb szintû. A legtöbb @@ -828,7 +831,7 @@ számítanak, mivel a rendszerben és hálózati csatolófelületeken elérhetõ - hozzáférésvezérlési + hozzáférés-vezérlési jogokat tükrözi. Az alany-objektum párokban megadott @@ -876,7 +879,7 @@ címkéjük. Lentebb látható egy ilyen minta - bejegyzés, ami minden modulhoz tartalmaz + bejegyzés, amely minden modulhoz tartalmaz beállítást: default:\ @@ -904,8 +907,9 @@ :label=partition/13,mls/5,biba/10(5-15),lomac/10[2]: Itt a label opciót - használtuk a felhasználói osztályhoz - tartozó alapértelmezett címkék + használtuk a felhasználói + osztályhoz tartozó alapértelmezett + címkék beállításához, amit majd a MAC betartat. A felhasználók nem módosíthatják ezt az @@ -926,18 +930,19 @@ bejelentkezés után, de csak a házirend keretein belül. A fenti példában úgy állítjuk be a Biba - házirendet, hogy a futó programok legkisebb - sértetlenségi foka 5, legfeljebb 15 lehet, de - az alapértéke 10. Tehát a programok - egészen addig 10-es szinten futnak, amíg a - programok a Biba bejelentkezéskor megadott - tartományában meg nem - változtatják ezt a címkét, - feltehetõen a setpmac parancs + házirendet, hogy a futó programok + sértetlenségi foka legalább 5, + legfeljebb 15 lehet, de az alapértéke 10. + Tehát a programok egészen addig 10-es szinten + futnak, amíg a programok a Biba + bejelentkezéskor megadott tartományában + meg nem változtatják ezt a + címkét, feltehetõen a + setpmac parancs hatására. - Mindig amikor megváltozatjuk a + Mindig, amikor megváltozatjuk a login.conf beállításait, a cap_mkdb paranccsal újra kell @@ -955,8 +960,8 @@ felhasználók kezelése, ezért soha ne felejtsünk el komolyan elõre tervezni. - A &os; következõ változataiban majd meg - fognak jelenni más módszerek is a + A &os; következõ változataiban meg fognak + jelenni más módszerek is a felhasználók és címkék közti kapcsolatok kezelésére. A &os; 5.3 elõtt azonban ez még @@ -984,8 +989,8 @@ Ha MAC-címkéket akarunk rendelni egy hálózati felülethez, akkor az ifconfig parancsnak adjuk meg a - paramétert. Mint - például a + paramétert. + Például a &prompt.root; ifconfig bge0 maclabel biba/equal @@ -1000,17 +1005,17 @@ Minden címkézést támogató modulhoz tartoznak futási idõben állítható paraméterek, - amikkel akár le is tudjuk tiltani a + amelyekkel akár le is tudjuk tiltani a MAC-címkéket a - hálózati csatolófelületeken. De - ugyanezt jelenti, ha - értéket adunk meg a címkének. Ezt - behatóbban úgy ismerhetjük meg, ha - kielemezzük a sysctl parancs - kimenetét, a megfelelõ modul man oldalát - vagy a fejezetben további részében - található, erre vonatkozó - információkat. + hálózati csatolófelületeken. + Ugyanezt jelenti egyébként, ha + értéket adunk meg a + címkének. Ezt behatóbban úgy + ismerhetjük meg, ha kielemezzük a + sysctl parancs kimenetét, a + megfelelõ modul man oldalát vagy a fejezetben + további részében található, + erre vonatkozó információkat. @@ -1020,7 +1025,7 @@ Alapértelmezés szerint a rendszer a beállítást - használja. De ez mit tartogat a rendszergazda + használja. Ez vajon mit tartogat a rendszergazda számára? Számos olyan eltérést, aminek megvannak a saját elõnyei és hátrányai a rendszer @@ -1062,14 +1067,14 @@ - Adott egy &os; webszerver, ahol MAC - rendszert ésbenne több biztonsági - házirendet alkalmazunk. + Adott egy &os; webszerver, ahol a MAC + rendszert több biztonsági házirenddel + alkalmazzuk. - A gépen csak egyetlen címkére, a - biba/high-ra van + A gépen egyedül csak a + biba/high címkére van szükségünk mindenhez a rendszerben. Itt egyszerûen csak nem adjuk meg az állományrendszernek a @@ -1079,9 +1084,10 @@ - De mivel erre a gépre telepíteni akarunk - egy webszervert is, ilyenkor a biba/low - címke használatával igyekszünk + Mivel azonban erre a gépre telepíteni + akarunk egy webszervert is, ilyenkor a + biba/low címke + használatával igyekszünk korlátozni a szerver feldolgozási képességeit. A Biba házirendrõl és annak mûködésérõl @@ -1112,8 +1118,7 @@ portacl és partition házirendek. - Hozzá kell tennünk, hogy a - opció használata + A opció használata és így speciális, többcímkés védelmi modell létrehozása képes elbonyolítani a @@ -1159,11 +1164,11 @@ - elvárások a modell felé + Elvárások a modell felé - a modell célkitûzései + A modell célkitûzései @@ -1172,21 +1177,21 @@ - miként osztályozzuk a célrendszeren + Miként osztályozzuk a célrendszeren rendelkezésre álló információt és erõforrásokat - milyen információt vagy - erõforrást kell korlátoznunk és milyen - típusú korlátozást alkalmazzunk - rájuk + Milyen információt vagy + erõforrást kell korlátoznunk és + milyen típusú korlátozást + alkalmazzunk rájuk - a MAC melyik moduljain keresztül + A MAC melyik moduljain keresztül tudjuk elérni céljainkat @@ -1197,7 +1202,7 @@ és biztonsági beállításokat, sokszor azért igen kényelmetlen utánanézni a rendszerben és - állítgatni az állományok illetve + állítgatni az állományok, illetve felhasználói hozzáférések paramétereit. A beállításainkat valamint azok konfigurációját @@ -1223,7 +1228,7 @@ képességeik. Például egy webszerver esetén hasznos lehet a &man.mac.biba.4; és &man.mac.bsdextended.4; házirendek alkalmazása. - Más esetekben, mondjuk egy kevés + Más esetekben, például egy kevés felhasználóval mûködõ számítógépen, a &man.mac.partition.4; modul lehet jó választás. @@ -1236,7 +1241,7 @@ A MAC rendszerben megtalálható összes modul a korábban leírtak szerint beépíthetõ a - rendszermagba vagy menetközben is betölthetõ + rendszermagba vagy menet közben is betölthetõ modulként. A használni kívánt modulokat a /boot/loader.conf állományba javasolt felvenni, így azok be @@ -1244,8 +1249,8 @@ folyamán. A soron következõ szakaszokban a - különbözõ MAC modulokat - dolgozzuk fel és összefoglaljuk a + különbözõ MAC-modulokat + dolgozzuk fel és foglaljuk össze a lehetõségeiket. Továbbá a fejezet szeretne szólni ezek alkalmazásáról speciális helyzetekben is. Egyes modulokkal @@ -1263,7 +1268,7 @@ állíthatjuk be az állományonkénti vagy partíciónkénti - hozzáférésvezérlést. + hozzáférés-vezérlést. Az egycímkés konfigurációban az egész rendszerben csupán egyetlen címke @@ -1275,12 +1280,11 @@ A seeotheruids MAC-modul - - Lássak másokat - MAC-házirend - + Lássak + másokatMAC-házirend - A modul neve: mac_seeotheruids.ko + A modul neve: + mac_seeotheruids.ko A rendszermag konfigurációs beállítása: options @@ -1296,9 +1300,9 @@ sysctl-változókat utánozza és terjeszti ki. A használatához semmilyen címkét nem - kell beállítani és transparens módon - képes együttmûködni a többi - modullal. + kell beállítani és transzparens + módon képes együttmûködni a + többi modullal. A modult betöltése után az alábbi sysctl-változókkal tudjuk @@ -1317,7 +1321,7 @@ A - security.mac.seeotheruids.specificgid_enabled + security.mac.seeotheruids.specificgid_enabled egy adott csoportot mentesít a házirend szabályozásai alól. Tehát ki akarunk vonni egy csoportot a házirend @@ -1332,7 +1336,7 @@ A - security.mac.seeotheruids.primarygroup_enabled + security.mac.seeotheruids.primarygroup_enabled segítségével adott elsõdleges csoportokat vonhatunk ki a házirend hatálya alól. Ezt a változót nem @@ -1364,17 +1368,17 @@ mac_bsdextended_load="YES" A &man.mac.bsdextended.4; modul - segítségével egy állományrendszer - szintjén mûködõ tûzfalat tudunk - kialakítani. Ez a modul a szabványos - állományrendszeri engedély alapú - modelljét bõvíti ki, lehetõvé - téve, hogy a rendszergazda tûzfalszerû - szabályokkal nyújtson védelmet a - könyvtárszerkezetben található - állományoknak, segédprogramoknak és - könyvtáraknak. Amikor egy - állományrendszerbeli objektumhoz + segítségével egy + állományrendszer szintjén + mûködõ tûzfalat tudunk kialakítani. Ez + a modul a szabványos állományrendszeri + engedély alapú modelljét bõvíti + ki, lehetõvé téve, hogy a rendszergazda + tûzfalszerû szabályokkal nyújtson + védelmet a könyvtárszerkezetben + található állományoknak, + segédprogramoknak és könyvtáraknak. + Amikor egy állományrendszerbeli objektumhoz próbálunk meg hozzáférni, a modul illeszti ezt egy szabályrendszerre, amiben vagy talál egy hozzátartozó szabályt vagy @@ -1389,8 +1393,8 @@ változóból olvasódnak be. A szabályokat a &man.ugidfw.8; segédprogrammal - adhatjuk meg, aminek a formai szabályai hasonlóak az - &man.ipfw.8; programéhoz. A &man.libugidfw.3; + adhatjuk meg, amelynek a formai szabályai hasonlóak + az &man.ipfw.8; programéhoz. A &man.libugidfw.3; függvénykönyvtár felhasználásával azonban további segédprogramok is írhatóak @@ -1429,7 +1433,7 @@ add paraméter nem létezett. Ezeknél ehelyett a set paramétert kell majd - használnunk, ld. lentebb. + használnunk, lásd lentebb. Ez egyébként egy nagyon buta ötlet, mivel @@ -1459,14 +1463,15 @@ A root felhasználóra - ezek a beállítások nem vonatkoznak. + ezek a beállítások nem + vonatkoznak. Ezzel felvázoltuk, miként lehet a &man.mac.bsdextended.4; modult felhasználni az állományrendszerek megerõsítésére. Részletesebb - információkat járuljunk a + információkért járuljunk a &man.mac.bsdextended.4; és &man.ugidfw.8; man oldalakhoz. @@ -1476,10 +1481,9 @@ Az ifoff MAC-modul - - a csatolófelületek - elfojtása MAC-házirend - + a csatolófelületek + elfojtása + MAC-házirend A modul neve: mac_ifoff.ko @@ -1492,9 +1496,9 @@ A &man.mac.ifoff.4; modul kizárólag abból a célból készült, hogy - segítségével menet közben le tudunk + segítségével menet közben le tudjuk tiltani bizonyos hálózati - csatolófelületeket + csatolófelületek beállítását a rendszerindítás közben. Sem címkékre, sem pedig a többi MAC-modulra nincs @@ -1507,8 +1511,8 @@ A security.mac.ifoff.lo_enabled - engedélyezi vagy letiltja a (&man.lo.4;) helyi hurkolt - (loopback) felületen az összes forgalmat. + engedélyezi vagy letiltja a (&man.lo.4;) helyi loopback + felületen az összes forgalmat. @@ -1541,11 +1545,9 @@ A portacl MAC-modul - - Port + Port hozzáférés-vezérlési lista - MAC-házirend - + MAC-házirend A modul neve: mac_portacl.ko @@ -1576,20 +1578,21 @@ A security.mac.portacl.enabled totálisan engedélyezi vagy letiltja a - házirend használatát. + házirend használatát + A security.mac.portacl.enabled sysctl-változó kezelésében levõ hiba miatt ez a beállítás nem fog mûködni a - &os; 5.2.1 vagy korábbi változatai + &os; 5.2.1 vagy korábbi változatai esetében. - + . A security.mac.portacl.port_high - megadja azt a legmagasabb portot, amire még kiterjed a - &man.mac.portacl.4; védelme. + megadja azt a legmagasabb portot, amelyre még kiterjed + a &man.mac.portacl.4; védelme. @@ -1603,7 +1606,7 @@ A security.mac.portacl.rules az érvényes mac_portacl házirendet adja meg, - ld. lentebb. + lásd lentebb. @@ -1614,9 +1617,12 @@ szabály[,szabály,...], ahol ezen a módon tetszõleges számú szabályt adhatunk meg. Az egyes szabályok pedig - így írhatóak fel: - azonosítótípus:azonosító:protokoll:port. - Az azonosítótípus + így írhatóak fel: + azonosítótípus: + azonosító: + protokoll: + port. Az + azonosítótípus értéke uid vagy gid lehet, amivel megadjuk, hogy az azonosító paraméter @@ -1628,8 +1634,8 @@ tcp vagy udp lehet. A sort végül a port paraméter zárja, ahol annak a portnak számát adjuk meg, - amihez az adott felhasználót vagy csoportot akarjuk - kötni. + amelyhez az adott felhasználót vagy csoportot + akarjuk kötni. Mivel a szabályokat közvetlenül maga a @@ -1643,10 +1649,11 @@ A &unix;-szerû rendszereken alapértelmezés - szerint az 1024 alatti portokat csak privilegizált programok - kaphatják meg és használhatják, - tehát a root felhasználó - neve alatt kell futniuk. A &man.mac.portacl.4; azonban a nem + szerint az 1024 alatti portokat csak privilegizált + programok kaphatják meg és + használhatják, tehát a + root felhasználó neve alatt + kell futniuk. A &man.mac.portacl.4; azonban a nem privilegizált programok számára is lehetõvé teszi, hogy elfoglalhassanak 1024 alatti portokat, amihez viszont elõször le kell tiltani ezt a @@ -1691,7 +1698,7 @@ &prompt.root; sysctl security.mac.portacl.rules=uid:80:tcp:80 >>> TRUNCATED FOR MAIL (1000 lines) <<<