Date: Tue, 12 Feb 2008 17:13:12 GMT From: Gabor Pali <pgj@FreeBSD.org> To: Perforce Change Reviews <perforce@FreeBSD.org> Subject: PERFORCE change 135261 for review Message-ID: <200802121713.m1CHDCfS009759@repoman.freebsd.org>
next in thread | raw e-mail | index | archive | help
http://perforce.freebsd.org/chv.cgi?CH=135261 Change 135261 by pgj@disznohal on 2008/02/12 17:12:24 Add initial Hungarian translation of Chapter 16: Mandatory Access Control. Raw translation of Part III is completed =) Affected files ... .. //depot/projects/docproj_hu/books/handbook/mac/chapter.sgml#2 edit Differences ... ==== //depot/projects/docproj_hu/books/handbook/mac/chapter.sgml#2 (text+ko) ==== @@ -3,470 +3,722 @@ $FreeBSD: doc/en_US.ISO8859-1/books/handbook/mac/chapter.sgml,v 1.70 2007/06/27 11:49:40 chinsan Exp $ --> -<chapter id="mac"> +<!-- The FreeBSD Hungarian Documentation Project + Translated by: PALI, Gabor <pgj@FreeBSD.org> + Original Revision: 1.70 --> + +<chapter id="mac" lang="hu"> <chapterinfo> <authorgroup> <author> <firstname>Tom</firstname> <surname>Rhodes</surname> - <contrib>Written by </contrib> + <contrib>Írta: </contrib> </author> </authorgroup> </chapterinfo> - <title>Mandatory Access Control</title> + <title>Kötelezõ + hozzáférésvezérlés</title> <sect1 id="mac-synopsis"> - <title>Synopsis</title> + <title>Áttekintés</title> <indexterm><primary>MAC</primary></indexterm> <indexterm> - <primary>Mandatory Access Control</primary> + <primary>kötelezõ + hozzáférésvezérlés</primary> <see>MAC</see> </indexterm> - <para>&os; 5.X introduced new security extensions from the - TrustedBSD project based on the &posix;.1e draft. Two of the most - significant new security mechanisms are file system Access Control - Lists (<acronym>ACL</acronym>s) and Mandatory Access Control - (<acronym>MAC</acronym>) facilities. Mandatory Access Control allows - new access control modules to be loaded, implementing new security - policies. Some provide protections of a narrow subset of the - system, hardening a particular service. Others provide - comprehensive labeled security across all subjects and objects. - The mandatory part - of the definition comes from the fact that the enforcement of - the controls is done by administrators and the system, and is - not left up to the discretion of users as is done with - discretionary access control (<acronym>DAC</acronym>, the standard - file and System V <acronym>IPC</acronym> permissions on &os;).</para> + <para>A &os; 5.X változata új biztonsági + bõvítéseket vett a TrustedBSD projektbõl a + &posix;.1e nyomán. A két legjelentõsebb + új biztonsági mechanizmus az + állományrendszerekben megtalálható + hozzáférés-vezérlési + listák (Access Control List, <acronym>ACL</acronym>) + és a kötelezõ + hozzáférésvezérlés (Mandatory + Access Control, <acronym>MAC</acronym>). A kötelezõ + hozzáférésvezérlés + segítségével olyan új + hozzáférésvezérlési modulok + tölthetõek be, amelyek új biztonsági + házirendeket implementálnak. Némelyek + közülük védelmet nyújtanak a rendszer + egy szûk részének, amivel így egy adott + szolgáltatást bástyáznak alá. + Mások minden részletre kiterjedõ + címkézett biztonságot szolgáltatnak + alanyokon és objektumokon keresztül. A + meghatározás <quote>kötelezõ</quote> + része onnan fakad, hogy a szabályok + betartatását a rendszergazdák és a + rendszer végzik, és nem bízzák a + felhasználókra, ahogy azt a System V + típusú rendszerekben a szabványos + állományokra és <acronym>IPC</acronym>-re + érvényes engedélyeken keresztül a + tetszés szerinti + hozzáférésvezérlés + (Discretionary Access Control, <acronym>DAC</acronym>) + teszi.</para> - <para>This chapter will focus on the - Mandatory Access Control Framework (<acronym>MAC</acronym> Framework), and a set - of pluggable security policy modules enabling various security - mechanisms.</para> + <para>Ebben a fejezetben a kötelezõ + hozzáférésvezérlést + övezõ keretrendszerre (<acronym>MAC</acronym> Framework) + és a különbözõ biztonsági + házirendeket megvalósító + beilleszthetõ modulokra fogunk + összpontosítani.</para> - <para>After reading this chapter, you will know:</para> + <para>A fejezet elolvasása során + megismerjük:</para> <itemizedlist> <listitem> - <para>What <acronym>MAC</acronym> security policy modules are currently - included in &os; and their associated mechanisms.</para> + <para>a &os; jelen pillanatban milyen modulokat tartalmaz a + <acronym>MAC</acronym> rendszeren belül és milyen + mechanizmusok tartoznak hozzájuk</para> </listitem> <listitem> - <para>What <acronym>MAC</acronym> security policy modules implement as - well as the difference between a labeled and non-labeled - policy.</para> + <para>a <acronym>MAC</acronym> biztonsági + házirendjeit képezõ modulok miket + valósítanak meg, valamint mint a + különbség a címkézett és + címkézetlen házirendek + között</para> </listitem> <listitem> - <para>How to efficiently configure a system to use - the <acronym>MAC</acronym> framework.</para> + <para>hogyan kell hatékonyan beállítani + és használni rendszerünkben a + <acronym>MAC</acronym> rendszert</para> </listitem> <listitem> - <para>How to configure the different security policy modules included with the - <acronym>MAC</acronym> framework.</para> + <para>hogyan állítsuk be a <acronym>MAC</acronym> + rendszerben található különféle + biztonsági házirendeket képezõ + modulokat</para> </listitem> <listitem> - <para>How to implement a more secure environment using the - <acronym>MAC</acronym> framework and the examples - shown.</para> + <para>hogyan hozzunk létre a <acronym>MAC</acronym> + rendszer segítségével egy + biztonságosabb környezetet, amire + példákat is mutatunk</para> </listitem> <listitem> - <para>How to test the <acronym>MAC</acronym> configuration - to ensure the framework has been properly implemented.</para> + <para>hogyan teszteljük le a <acronym>MAC</acronym> + rendszer beállításait és + bizonyosodjunk meg mûködésének + helyességérõl</para> </listitem> </itemizedlist> - <para>Before reading this chapter, you should:</para> + <para>A fejezet elolvasásához ajánlott:</para> <itemizedlist> <listitem> - <para>Understand &unix; and &os; basics - (<xref linkend="basics">).</para> + <para>a &unix; és a &os; alapjainak ismerete (<xref + linkend="basics">)</para> </listitem> <listitem> - <para>Be familiar with - the basics of kernel configuration/compilation - (<xref linkend="kernelconfig">).</para> + <para>a rendszermag beállításának + és lefordításának ismerete (<xref + linkend="kernelconfig">)</para> </listitem> <listitem> - <para>Have some familiarity with security and how it - pertains to &os; (<xref linkend="security">).</para> + <para>tisztában lenni az alapvetõ biztonsági + kérdésekkel és azok hatásával + a &os;-n belül (<xref linkend="security">)</para> </listitem> </itemizedlist> <warning> - <para>The improper use of the - information contained herein may cause loss of system access, - aggravation of users, or inability to access the features - provided by X11. More importantly, <acronym>MAC</acronym> should not - be relied upon to completely secure a system. The - <acronym>MAC</acronym> framework only augments - existing security policy; without sound security practices and - regular security checks, the system will never be completely - secure.</para> + <para>Az itt ismertetésre kerülõ + információk helytelen alkalmazása a rendszer + hozzáférhetõségének teljes + elvesztését, a felhasználók + bosszantását vagy az X11 által + felkínált lehetõségek + kirekesztését eredményezheti. De ami + ennél is fontosabb, hogy a <acronym>MAC</acronym> + rendszerre nem úgy kell tekinteni, mint amitõl a + rendszerünk tökéletesen + biztonságossá válik. A + <acronym>MAC</acronym> segítségével + csupán a meglevõ biztonsági + házirendeket gyarapítjuk. A szilárd + biztonsági rutin és a rendszeres + ellenõrzések elvégzése + nélkül a rendszerünk valójában + sosem lesz teljesen biztonságos.</para> - <para>It should also be noted that the examples contained - within this chapter are just that, examples. It is not - recommended that these particular settings be rolled out - on a production system. Implementing the various security policy modules takes - a good deal of thought and testing. One who does not fully understand - exactly how everything works may find him or herself going - back through the entire system and reconfiguring many files - or directories.</para> + <para>Valamint hozzá kell tennünk, hogy a fejezetben + bemutatott példák tényleg csak + példák. Senkinek sem tanácsoljuk, hogy az + itt említett beállításokat egy + éles rendszerre is kiterjessze. A + különbözõ biztonsági modulok + felépítése rengeteg gondolkodást + és próbálgatást igényel. Aki + nem érti meg az egész + mûködését, könnyen azon kaphatja + magát, hogy újra végig kell mennie a + rendszeren és egyenként be kell + állítania minden könyvtárat és + állományt.</para> </warning> <sect2> - <title>What Will Not Be Covered</title> + <title>Amivel itt nem foglalkozunk</title> + + <para>Ebben a fejezetben a <acronym>MAC</acronym> rendszerrel + kapcsolatban rengeteg biztonsági kérdéssel + foglalkozni fogunk. Azonban az új <acronym>MAC</acronym> + biztonsági modulok kifejlesztését + már nem érintjük. Számos olyan + biztonsági modul található a + <acronym>MAC</acronym> rendszerben, amelyek rendelkeznek az + új modulok kialakításához és + teszteléséhez szükséges + jellemzõkkel. Ilyenek többek közt a + &man.mac.test.4;, &man.mac.stub.4; és a &man.mac.none.4;. + Ezekrõl a biztonsági modulokról és az + általuk szolgáltatott mechnanizmusokról a + man oldalaik tudnak bõvebb + tájékoztatást adni.</para> - <para>This chapter covers a broad range of security issues relating - to the <acronym>MAC</acronym> framework. The - development of new <acronym>MAC</acronym> security policy modules - will not be covered. A number of security policy modules included with the - <acronym>MAC</acronym> framework have specific characteristics - which are provided for both testing and new module - development. These include the &man.mac.test.4;, - &man.mac.stub.4; and &man.mac.none.4;. - For more information on these security policy modules and the various - mechanisms they provide, please review the manual pages.</para> </sect2> </sect1> <sect1 id="mac-inline-glossary"> - <title>Key Terms in this Chapter</title> + <title>A fejezet fontosabb fogalmai</title> - <para>Before reading this chapter, a few key terms must be - explained. This will hopefully clear up any confusion that - may occur and avoid the abrupt introduction of new terms - and information.</para> + <para>A fejezet tartalmának kifejtéséhez + szükségünk lesz néhány fontosabb + alapfogalom tisztázására. + Segítségükkel vélhetõen + sikerül eloszlatni a téma feldolgozása + során felmerülõ + félreértéseket illetve elkerülni az + új fogalmak és információk + váratlan felbukkanását.</para> <itemizedlist> - <listitem> - <para><emphasis>compartment</emphasis>: A compartment is a - set of programs and data to be partitioned or separated, - where users are given explicit access to specific components - of a system. Also, a compartment represents a grouping, - such as a work group, department, project, or topic. Using - compartments, it is possible to implement a need-to-know - security policy.</para> + <listitem> + <para><emphasis>alany</emphasis>: Alanynak tekintünk a + rendszerben minden olyan aktív egyedet, ami + információt áramoltat az + <emphasis>objektumok</emphasis>, tehát a + felhasználók, a processzorok, a rendszerben + futó programok stb. között. A &os;-ben + majdnem minden esetben a felhasználók egy + szálon keresztül vezérlik a futó + programokat.</para> </listitem> - <listitem> - <para><emphasis>high water mark</emphasis>: A high water mark - policy is one which permits the raising of security levels - for the purpose of accessing higher level information. In - most cases, the original level is restored after the process - is complete. Currently, the &os; <acronym>MAC</acronym> - framework does not have a policy for this, but the definition - is included for completeness.</para> + <listitem> + <para><emphasis>címke</emphasis>: A címke egy + olyan biztonsági tulajdonság, ami vonatkozhat + állományokra, könyvtárakra vagy a + rendszer más elemeire. Egy címke + tekinthetõ a bizalmasságot jelzõ + pecsétnek is: ha egy állományra + címkét teszünk, akkor benne megadjuk a + rá vonatkozó biztonsági jellemzõket, + és csak a hozzá hasonló biztonsági + beállításokkal rendelkezõ + állományok, felhasználók, + erõforrások stb. érhetik el. A + címkék jelentését és + értelmezését a házirendek + beállítása határozza meg: + míg egyes házirendek a címkéket + egy objektum sértetlenségének vagy + titkosságának tekintik, addig mások a + hozzáféréssel kapcsolatos + szabályokat rögzítik bennük.</para> </listitem> <listitem> - <para><emphasis>integrity</emphasis>: Integrity, as a key - concept, is the level of trust which can be placed on data. - As the integrity of the data is elevated, so does the ability - to trust that data.</para> + <para><emphasis>egycímkés</emphasis>: + Egycímkés esetrõl akkor + beszélünk, amikor az adat + áramlásának + szabályozására az egész + állományrendszer egyetlen címkét + alkalmaz. Ha ezt beállítjuk egy + állományrendszernél, de nem adjuk meg + vele együtt a <option>multilabel</option> opciót, + akkor az összes állományra ugyanaz a + címke érvényes.</para> </listitem> - <listitem> - <para><emphasis>label</emphasis>: A label is a security - attribute which can be applied to files, directories, or - other items in the system. It could be considered - a confidentiality stamp; when a label is placed on - a file it describes the security properties for that specific - file and will only permit access by files, users, resources, - etc. with a similar security setting. The meaning and - interpretation of label values depends on the policy configuration: while - some policies might treat a label as representing the - integrity or secrecy of an object, other policies might use - labels to hold rules for access.</para> + <listitem> + <para><emphasis>erõs vízjel</emphasis>: Az erõs + vízjel házirendje szerint a biztonsági + szint akkor növelhetõ, ha magasabb szintû + információkhoz akarunk hozzájutni. A + legtöbb esetben a folyamatok befejezõdése + után visszaállítódik az eredeti + szint. A &os; <acronym>MAC</acronym> rendszere pillanatnyilag + ehhez nem tartalmaz házirendet, de a teljesség + kedvéért megadtuk ennek a + definícióját is.</para> </listitem> - <listitem> - <para><emphasis>level</emphasis>: The increased or decreased - setting of a security attribute. As the level increases, - its security is considered to elevate as well.</para> + <listitem> + <para><emphasis>gyenge vízjel</emphasis>: A gyenge + vízjel házirendje szerint a biztonsági + szint csökkenthetõ az alacsonyabb szintû + információk elérése + érdekében. A legtöbb esetben a folyamatok + befejezõdése után + visszaállítódik az eredeti szint. A + &os;-ben ezt a házirendet egyedül a + &man.mac.lomac.4; alkalmazza.</para> </listitem> <listitem> - <para><emphasis>low water mark</emphasis>: A low water mark - policy is one which permits lowering of the security levels - for the purpose of accessing information which is less - secure. In most cases, the original security level of the - user is restored after the process is complete. The only - security policy module in &os; to use this is - &man.mac.lomac.4;.</para> + <para><emphasis>házirend</emphasis>: Szabályok + olyan gyûjteménye, ami megadja, hogy miként + kell a célokat teljesíteni. Egy + <emphasis>házirend</emphasis> általában + az egyes elemek kezelését rögzíti. + Ebben a fejezetben a <emphasis>házirend</emphasis> + kifejezés alatt a <emphasis>biztonsági + házirendet</emphasis> értjük, tehát + olyan szabályok gyûjteményét, + amelyek az adatok és az információ + áramlását határozzák meg, + továbbá megadják, hogy + közülük ki mihez férhet + hozzá.</para> </listitem> <listitem> - <para><emphasis>multilabel</emphasis>: The - <option>multilabel</option> property is a file system option - which can be set in single user mode using the - &man.tunefs.8; utility, during the boot operation - using the &man.fstab.5; file, or during the creation of - a new file system. This option will permit an administrator - to apply different <acronym>MAC</acronym> labels on different - objects. This option - only applies to security policy modules which support labeling.</para> + <para><emphasis>kényesség</emphasis>: + Általában az <acronym>MLS</acronym> + tárgyalásakor kerül elõ. Az + kényesség szintjével az adatok + fontosságát vagy titkosságát + szokták jelölni. A kényességi szint + növekedésével növekszik az adat + titkosságának vagy bizalmasságának + szintje.</para> </listitem> - <listitem> - <para><emphasis>object</emphasis>: An object or system - object is an entity through which information flows - under the direction of a <emphasis>subject</emphasis>. - This includes directories, files, fields, screens, keyboards, - memory, magnetic storage, printers or any other data - storage/moving device. Basically, an object is a data container or - a system resource; access to an <emphasis>object</emphasis> - effectively means access to the data.</para> + <listitem> + <para><emphasis>objektum</emphasis>: Objektum vagy + rendszerobjektum minden olyan egyed, amelyen + információ folyik keresztül az + <emphasis>alanyok</emphasis> + irányításával. Ezek lehetnek + többek közt könyvtárak, + állományok, mezõk, képernyõk, + billentyûzetek, memória, mágneses + tárolóeszközök, nyomtatók vagy + bármilyen más + adattároló/hordozó eszköz. Az + objektumok alapvetõen adattárolók vagy a + rendszer erõforrásai. Egy + <emphasis>objektum</emphasis> elérésén + gyakorlatilag az adatok elérését + értjük.</para> </listitem> <listitem> - <para><emphasis>policy</emphasis>: A collection of rules - which defines how objectives are to be achieved. A - <emphasis>policy</emphasis> usually documents how certain - items are to be handled. This chapter will - consider the term <emphasis>policy</emphasis> in this - context as a <emphasis>security policy</emphasis>; i.e. - a collection of rules which will control the flow of data - and information and define whom will have access to that - data and information.</para> + <para><emphasis>rekesz</emphasis>: Egy rekeszbe soroljuk az + elrekeszteni vagy elkülöníteni + kívánt programok és adatok + összeségét, ahol a + felhasználók explicit módon + képesek hozzáférni a rendszer bizonyos + komponenseihez. Emellett a rekesz utalhat egy + tetszõleges csoportosításra is, + például munkacsoportra, osztályra, + projektre vagy témára. A rekeszek + használata elengedhetetlen a biztonsági + házirendek kialakításához.</para> </listitem> <listitem> - <para><emphasis>sensitivity</emphasis>: Usually used when - discussing <acronym>MLS</acronym>. A sensitivity level is - a term used to describe how important or secret the data - should be. As the sensitivity level increases, so does the - importance of the secrecy, or confidentiality of the data.</para> + <para><emphasis>sértetlenség</emphasis>: A + sértetlenség, mint kulcsfogalom, az adatok + megbízhatóságának szintje. + Minél sértetlenebb az adat, annál + inkább tekinthetjük + megbízhatónak.</para> </listitem> <listitem> - <para><emphasis>single label</emphasis>: A single label is - when the entire file system uses one label to - enforce access control over the flow of data. When a file - system has this set, which is any time when the - <option>multilabel</option> option is not set, all - files will conform to the same label setting.</para> + <para><emphasis>szint</emphasis>: Egy biztonsági + tulajdonság megnövelt vagy lecsökkentett + beállítása. A szint + növekedésével együtt a + biztonság mértéke is + növekszik.</para> </listitem> <listitem> - <para><emphasis>subject</emphasis>: a subject is any - active entity that causes information to flow between - <emphasis>objects</emphasis>; e.g. a user, user processor, - system process, etc. On &os;, this is almost always a thread - acting in a process on behalf of a user.</para> + <para><emphasis>többcímkés</emphasis>: A + <option>multilabel</option> vagyis + többcímkés jellemzõ az + állományrendszerek esetén fordulhat + elõ, és a &man.tunefs.8; segédprogrammal + állítható be + egyfelhasználós módban vagy a rendszer + indítása során az &man.fstab.5; + állományon keresztül, esetleg egy új + állományrendszer létrehozásakor. + Ezzel a beállítással a rendszergazda + különféle <acronym>MAC</acronym> + címkéket rendelhet különbözõ + objektumokhoz. Ez a beállítás + természetesen csak olyan biztonsági modulok + esetén él, amelyek tudnak + címkézni.</para> </listitem> - </itemizedlist> + + </itemizedlist> </sect1> <sect1 id="mac-initial"> - <title>Explanation of MAC</title> + <title>A MAC ismertetése</title> - <para>With all of these new terms in mind, consider how the - <acronym>MAC</acronym> framework augments the security of - the system as a whole. The various security policy modules provided by - the <acronym>MAC</acronym> framework could be used to - protect the network and file systems, block users from - accessing certain ports and sockets, and more. Perhaps - the best use of the policy modules is to blend them together, by loading - several security policy modules at a time for a multi-layered - security environment. In a multi-layered security environment, - multiple policy modules are in effect to keep security in check. This - is different to a hardening policy, which typically hardens - elements of a system that is used only for specific purposes. - The only downside is administrative overhead in cases of - multiple file system labels, setting network access control - user by user, etc.</para> + <para>Az imént definiált új fogalmak + tükrében most nézzük meg, hogy a + <acronym>MAC</acronym> rendszer alkalmazásával + miként javíthatunk rendszerünk + biztonságán. A <acronym>MAC</acronym> rendszerhez + készített különbözõ + biztonsági modulok alkalmasak a hálózat + és az állományrendszerek + védelmére, valamint segítségükkel + megakadályozhatjuk, hogy a felhasználók + elérhessenek bizonyos portokat és + csatlakozásokat stb. A házirendeket + formázó modulokat talán együttesen + tudjuk a leghatékonyabban alkalmazni, és ha + egyszerre több modul betöltésével egy + többrétegû védelmi rendszert + alakítunk ki. Ez nem ugyanaz, mint a rendszer + megerõsítése, ahol a rendszer + összetevõit jellemzõ módon csak bizonyos + célok tekintetében edzzük meg. A + módszer egyedüli hátulütõi a + többszörös állományrendszeri + címkékkel, a felhasználónként + beállítandó hálózati + eléréssel stb. járó + adminisztrációs költségek.</para> - <para>These downsides are minimal when compared to the lasting - effect of the framework; for instance, the ability to pick and choose - which policies are required for a specific configuration keeps - performance overhead down. The reduction of support for unneeded - policies can increase the overall performance of the system as well as - offer flexibility of choice. A good implementation would - consider the overall security requirements and effectively implement - the various security policy modules offered by the framework.</para> + <para>Ezek a hátrányok azonban eltörpülnek a + létrehozott rendszer tartósságával + szemben. Például ha képesek vagyunk + megmondani, hogy az adott konfigurációban milyen + házirendek alkalmazására van + szükség, akkor ezzel az adminisztrációs + költségek visszaszoríthatóak. A + szükségtelen házirendek + eltávolításával még + növelhetjük is a rendszer + összteljesítményét, valamint az + így felkínált rugalmasságot. Egy + jó kialakításban figyelembe kell venni az + összes biztonsági elõírást + és hatékonyan megvalósítani ezeket a + rendszer által felajánlott + különféle biztonsági modulokkal.</para> - <para>Thus a system utilizing <acronym>MAC</acronym> features - should at least guarantee that a user will not be permitted - to change security attributes at will; all user utilities, - programs and scripts must work within the constraints of - the access rules provided by the selected security policy modules; and - that total control of the <acronym>MAC</acronym> access - rules are in the hands of the system administrator.</para> + <para>Ezért tehát a <acronym>MAC</acronym> + lehetõségeit kihasználó rendszerekben + legalább annyit meg kell tudni oldani, hogy a + felhasználók ne változtathassák + kedvükre a biztonsági tulajdonságokat. Az + összes felhasználói segédprogramnak, + programnak és szkriptnek a kiválasztott + biztonsági modulokban szereplõ + hozzáférési szabályokkal + kifeszített kereten belül kell mozognia. A + <acronym>MAC</acronym> totális + irányítása pedig a rendszergazda + kezében van.</para> - <para>It is the sole duty of the system administrator to - carefully select the correct security policy modules. Some environments - may need to limit access control over the network; in these - cases, the &man.mac.portacl.4;, &man.mac.ifoff.4; and even - &man.mac.biba.4; policy modules might make good starting points. In other - cases, strict confidentiality of file system objects might - be required. Policy modules such as &man.mac.bsdextended.4; - and &man.mac.mls.4; exist for this purpose.</para> + <para>A rendszergazda így egyedül csak a megfelelõ + biztonsági modulok gondos + összeválogatásáért felelõs. + Bizonyos környezetekben szükséges lehet a + hálózaton keresztüli + hozzáférések korlátozása is. + Ilyen esetekben a &man.mac.portacl.4;, &man.mac.ifoff.4; vagy a + &man.mac.biba.4; moduloktól érdemes elindulnunk. + Más esetekben az állományrendszerek + objektumainak bizalmasságát kell csupán + megõriznünk. Erre a célra a + &man.mac.bsdextended.4; és &man.mac.mls.4; modulok a + legalkalmasabbak.</para> - <para>Policy decisions could be made based on network - configuration. Perhaps only certain users should be permitted - access to facilities provided by &man.ssh.1; to access the - network or the Internet. The &man.mac.portacl.4; would be - the policy module of choice for these situations. But what should be - done in the case of file systems? Should all access to certain - directories be severed from other groups or specific - users? Or should we limit user or utility access to specific - files by setting certain objects as classified?</para> + <para>A házirendekhez kapcsolódó + döntések a hálózati + beállítások alapján is + meghozhatóak. Elképzelhetõ, hogy csak bizonyos + felhasználók férhetnek hozzá az + &man.ssh.1; szolgáltatásain keresztül a + hálózathoz vagy az internethez. A + &man.mac.portacl.4; pontosan ilyen helyzetekben tud a + segítségünkre sietni. De mit tegyünk az + állományrendszerek esetén? Vágjunk el + adott felhasználókat vagy csoportokat bizonyos + könyvtáraktól? Vagy korlátozzuk a + felhasználók vagy segédprogramok + hozzáférését adott + állományokhoz bizonyos objektumok bizalmassá + nyilvánításával?</para> - <para>In the file system case, access to objects might be - considered confidential to some users, but not to others. - For an example, a large development team might be broken - off into smaller groups of individuals. Developers in - project A might not be permitted to access objects written - by developers in project B. Yet they might need to access - objects created by developers in project C; that is quite a - situation indeed. Using the different security policy modules provided by - the <acronym>MAC</acronym> framework; users could - be divided into these groups and then given access to the - appropriate areas without fear of information - leakage.</para> + <para>Az állományrendszerek esetében az + objektumokat néhány felhasználó + elérheti, mások pedig nem. Például + egy nagyobb fejlesztõcsapat kisebb csoportokra + bontható. Az A projektben résztvevõ + fejlesztõk nem férhetnek hozzá a B projektben + dolgozó fejlesztõk munkájához. Ellenben + szükségük lehet a C projekten + munkálkodó fejlesztõk által + létrehozott objektumokra. Ez egy igen érdekes + helyzet. A <acronym>MAC</acronym> rendszer által + felkínált különbözõ + biztonsági modulokra építkezve azonban + könnyedén csoportokba tudjuk szervezni a + felhasználókat, és a megfelelõ + területekhez az információ + kiszivárgása nélkül hozzá tudjuk + õket engedni.</para> - <para>Thus, each security policy module has a unique way of dealing with - the overall security of a system. Module selection should be based - on a well thought out security policy. In many cases, the - overall policy may need to be revised and reimplemented on - the system. Understanding the different security policy modules offered by - the <acronym>MAC</acronym> framework will help administrators - choose the best policies for their situations.</para> + <para>Ennek következtében minden egyes biztonsági + modul a maga módján gondoskodik az egész + rendszer biztonságáról. A céljainknak + megfelelõ modulokat egy jól átgondolt + biztonsági házirend alapján válasszuk + ki. Sok esetben az egész házirendet át kell + tekinteni és újra kell alkalmazni a rendszerben. A + <acronym>MAC</acronym> által felajánlott + különbözõ biztonsági modulok + megértése segít a rendszergazdáknak + megválasztani az adott helyzetben legjobban + alkalmazható házirendeket.</para> - <para>The default &os; kernel does not include the option for - the <acronym>MAC</acronym> framework; thus the following - kernel option must be added before trying any of the examples or - information in this chapter:</para> + <para>A &os; rendszermagja alapból nem tartalmazza a + <acronym>MAC</acronym> rendszert. Ezért a fejezetben + szereplõ példák vagy az itt leírtak + kipróbálásához az alábbi + beállítást kell hozzátennünk a + rendszermag beállításait tartalmazó + állományhoz:</para> <programlisting>options MAC</programlisting> - <para>And the kernel will require a rebuild and a reinstall.</para> + <para>Majd fordítsuk és telepítsük + újra a rendszermagot.</para> <caution> - <para>While the various manual pages for <acronym>MAC</acronym> - policy modules state that they may be built into the kernel, - it is possible to lock the system out of - the network and more. Implementing <acronym>MAC</acronym> - is much like implementing a firewall, care must be taken - to prevent being completely locked out of the system. The - ability to revert back to a previous configuration should be - considered while the implementation of <acronym>MAC</acronym> - remotely should be done with extreme caution.</para> + <para>Miközben a <acronym>MAC</acronym> rendszerhez + készült különbözõ modulok a + saját man oldalaik szerint szintén igénylik + a beépítésüket, vigyázzunk + velük, mert ezzel a rendszerüket pillanatok alatt ki + tudjuk zárni a hálózatból és + így tovább. A <acronym>MAC</acronym> alapú + védelem felépítése leginkább + egy tûzfal + összeállításához + hasonlítható, ahol ugyanígy számolni + kell azzal, hogy egy óvatlan paranccsal + kizárhatjuk magunkat a rendszerbõl. Valamilyen + módon mindig próbáljunk gondoskodni a + rendszer elõzõ állapotának + visszaállíthatóságáról, + és a <acronym>MAC</acronym> távoli + adminisztrációját mindig nagyfokú + körültekintéssel végezzük.</para> </caution> + </sect1> <sect1 id="mac-understandlabel"> - <title>Understanding MAC Labels</title> + <title>Bõvebben a MAC címkéirõl</title> - <para>A <acronym>MAC</acronym> label is a security attribute - which may be applied to subjects and objects throughout - the system.</para> + <para>A <acronym>MAC</acronym>-címke egy olyan + biztonsági tulajdonság, amelyet a rendszerben + található alanyokhoz és objektumokhoz + rendelhetünk.</para> - <para>When setting a label, the user must be able to comprehend - what it is, exactly, that is being done. The attributes - available on an object depend on the policy module loaded, and that - policy modules interpret their attributes in different - ways. If improperly configured due to lack of comprehension, or - the inability to understand the implications, the result will - be the unexpected and perhaps, undesired, behavior of the - system.</para> + <para>Egy címke beállításához a + felhasználónak pontosan ismernie kell, hogy ilyenkor + mi történik. Az objektumokhoz tartozó + tulajdonságok a betöltött moduloktól + függenek, és az egyes modulok eltérõ + módon értelmezik ezeket a tulajdonságokat. + Ha a precíz megértésük + hiányában helytelenül állítjuk be + ezeket, vagy nem vagyunk képesek tisztázni a + velük járó következményeket, akkor + az a rendszerünk kiszámíthatatlan és + valószínûleg kedvezõtlen + viselkedését eredményezi.</para> - <para>The security label on an object is used as a part of a - security access control decision by a policy. With some - policies, the label by itself contains all information necessary - to make a decision; in other models, the labels may be processed - as part of a larger rule set, etc.</para> + <para>A házirendek az objektumhoz rendelt biztonsági + címkéket a hozzáféréssel + kapcsolatos döntések meghozásában + használják fel. Bizonyos házirendek + esetében már maga a címke elegendõ + információt tartalmaz a döntés + megformálásához. Máshol viszont a + címkék egy nagyobb szabályrendszer + részeként dolgozódnak fel stb.</para> - <para>For instance, setting the label of <literal>biba/low</literal> - on a file will represent a label maintained by the Biba security policy module, - with a value of <quote>low</quote>.</para> + <para>Például ha egy állományra + beállítjuk a <literal>biba/low</literal> + címkét, akkor az arra fog utalni, hogy a + címkét a Biba nevû biztonsági modul + kezeli és értéke <quote>low</quote>.</para> - <para>A few policy modules which support the labeling feature in - &os; offer three specific predefined labels. These - are the low, high, and equal labels. Although they enforce - access control in a different manner with each policy module, you - can be sure that the low label will be the lowest setting, - the equal label will set the subject or object to be disabled - or unaffected, and the high label will enforce the highest - setting available in the Biba and <acronym>MLS</acronym> - policy modules.</para> + <para>Az a néhány modul, ami a &os;-ben + támogatja a címkézés + lehetõségét, három speciális + címkét definiál elõre. Ezek rendre a + <quote>low</quote> (alacsony), <quote>high</quote> (magas) + és <quote>equal</quote> (egyezõ) címkék. + Habár az egyes modulok esetén eltérõ + módon képesek vezérelni a + hozzáférést, azt mindig biztosra + vehetjük, hogy a <quote>low</quote> a legalacsonyabb + érték, az <quote>equal</quote> címke + hatására az adott alanyt vagy objektumot + érintetlenül hagyják, és a + <quote>high</quote> értékû címke a Biba + és <acronym>MLS</acronym> modulok esetében a + legmagasabb beállítást jelenti.</para> - <para>Within single label file system environments, only one label may be - used on objects. This will enforce one set of - access permissions across the entire system and in many - environments may be all that is required. There are a few - cases where multiple labels may be set on objects - or subjects in the file system. For those cases, the - <option>multilabel</option> option may be passed to - &man.tunefs.8;.</para> + <para>Az egycímkés állományrendszerek + használata során az egyes objektumonkhoz csak egyetlen + címkét rendelhetünk hozzá. Ezzel az + egész rendszerben csak egyfajta engedélyt + alkalmazunk, ami sok esetben pontosan elegendõ. + Létezik néhány különleges eset, + amikor az állományrendszerben levõ alanyokhoz + vagy objektumokhoz egyszerre több címkét is + hozzá kell rendelnünk. Ilyenkor a + <option>multilabel</option> opciót kell átadnunk a + &man.tunefs.8; segédprogramnak.</para> - <para>In the case of Biba and <acronym>MLS</acronym>, a numeric - label may be set to indicate the precise level of hierarchical - control. This numeric level is used to partition or sort - information into different groups of say, classification only - permitting access to that group or a higher group level.</para> + <para>A Biba és az <acronym>MLS</acronym> esetében + elõfordulhat, hogy egy numerikus címkével fogjuk + jelölni a hierarchikus irányítás pontos + szintjét. A numerikus szintek használatával + tudjuk az információt különbözõ + csoportokba szétosztani vagy elrendezni, mondjuk + úgy, hogy csak az adott szintû vagy a felette + álló csoportok számára + engedélyezzük a + hozzáférést.</para> - <para>In most cases the administrator will only be setting up a - single label to use throughout the file system.</para> + <para>Az esetek többségében a + rendszergazdának csak egyetlen címkét kell + beállítania az egész + állományrendszerre.</para> - <para><emphasis>Hey wait, this is similar to <acronym>DAC</acronym>! - I thought <acronym>MAC</acronym> gave control strictly to the - administrator.</emphasis> That statement still holds true, to some - extent as <username>root</username> is the one in control and who - configures the policies so that users are placed in the - appropriate categories/access levels. Alas, many policy modules can - restrict the <username>root</username> user as well. Basic - control over objects will then be released to the group, but - <username>root</username> may revoke or modify the settings - at any time. This is the hierarchal/clearance model covered - by policies such as Biba and <acronym>MLS</acronym>.</para> + <para><emphasis>Hé, álljunk csak meg! De akkor ez + pont olyan, mint a <acronym>DAC</acronym>! Én azt hittem, + hogy a <acronym>MAC</acronym> szigorúan a rendszergazda + kezébe adja az irányítást.</emphasis> + Ez az állítás továbbra is + fennáll, mivel bizonyos értelemben a + <username>root</username> lesz az, aki beállítja a + házirendeket, tehát õ mondja meg, hogy a + felhasználók milyen kategóriákba vagy + hozzáférési szintekbe sorolódnak. + Sajna sok biztonsági modul még magát a + <username>root</username> felhasználót is + korlátozza. Az objektumok feletti + irányítás ilyenkor a csoportra száll, + de a <username>root</username> bármikor visszavonhatja vagy + módosíthatja a beállításokat. + Ezzel a hierarchikus/engedély alapú modellel a Biba + és <acronym>MLS</acronym> nevû házirendek + foglalkoznak.</para> <sect2> - <title>Label Configuration</title> + <title>A címkék + beállítása</title> - <para>Virtually all aspects of label policy module configuration - will be performed using the base system utilities. These - commands provide a simple interface for object or subject - configuration or the manipulation and verification of - the configuration.</para> + <para>A címkézéshez kapcsolódó + összes beállítást gyakorlatilag az + alapvetõ rendszerprogramokkal végezhetjük el. + Ezek a parancsok az objektumok és az alanyok + szabályozásához, valamint a + konfiguráció + módosításához és + ellenõrzéséhez adnak egy egyszerû + kezelõfelületet.</para> - <para>All configuration may be done by use of the - &man.setfmac.8; and &man.setpmac.8; utilities. - The <command>setfmac</command> command is used to set - <acronym>MAC</acronym> labels on system objects while the - <command>setpmac</command> command is used to set the labels - on system subjects. Observe:</para> + <para>Az összes konfigurációs >>> TRUNCATED FOR MAIL (1000 lines) <<<
Want to link to this message? Use this URL: <https://mail-archive.FreeBSD.org/cgi/mid.cgi?200802121713.m1CHDCfS009759>