From owner-p4-projects@FreeBSD.ORG Thu Oct 2 19:44:48 2008 Return-Path: Delivered-To: p4-projects@freebsd.org Received: by hub.freebsd.org (Postfix, from userid 32767) id 07C07106568D; Thu, 2 Oct 2008 19:44:48 +0000 (UTC) Delivered-To: perforce@FreeBSD.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:4f8:fff6::34]) by hub.freebsd.org (Postfix) with ESMTP id BF2DB106568B for ; Thu, 2 Oct 2008 19:44:47 +0000 (UTC) (envelope-from rene@FreeBSD.org) Received: from repoman.freebsd.org (repoman.freebsd.org [IPv6:2001:4f8:fff6::29]) by mx1.freebsd.org (Postfix) with ESMTP id AC87C8FC0A for ; Thu, 2 Oct 2008 19:44:47 +0000 (UTC) (envelope-from rene@FreeBSD.org) Received: from repoman.freebsd.org (localhost [127.0.0.1]) by repoman.freebsd.org (8.14.3/8.14.3) with ESMTP id m92Jil0d007006 for ; Thu, 2 Oct 2008 19:44:47 GMT (envelope-from rene@FreeBSD.org) Received: (from perforce@localhost) by repoman.freebsd.org (8.14.3/8.14.3/Submit) id m92JilRA007003 for perforce@freebsd.org; Thu, 2 Oct 2008 19:44:47 GMT (envelope-from rene@FreeBSD.org) Date: Thu, 2 Oct 2008 19:44:47 GMT Message-Id: <200810021944.m92JilRA007003@repoman.freebsd.org> X-Authentication-Warning: repoman.freebsd.org: perforce set sender to rene@FreeBSD.org using -f From: Rene Ladan To: Perforce Change Reviews Cc: Subject: PERFORCE change 150812 for review X-BeenThere: p4-projects@freebsd.org X-Mailman-Version: 2.1.5 Precedence: list List-Id: p4 projects tree changes List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Thu, 02 Oct 2008 19:44:48 -0000 http://perforce.freebsd.org/chv.cgi?CH=150812 Change 150812 by rene@rene_self on 2008/10/02 19:44:47 Finish translation of MAC chapter (revision 1.73). Checked build, spelling, whitespace. Affected files ... .. //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/mac/chapter.sgml#8 edit Differences ... ==== //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/mac/chapter.sgml#8 (text+ko) ==== @@ -48,13 +48,13 @@ mandatory access control - In &os; 5.X worden nieuwe beveiligingsuitbreidingen + In &os; 5.X werden nieuwe beveiligingsuitbreidingen geïntroduceerd uit het TrustedBSD project, dat is gebaseerd op de &posix;.1e draft. Twee van de meest significante nieuwe - beveiligingsmechanismen zijn facilititeiten voor + beveiligingsmechanismen zijn faciliteiten voor Toegangscontrolelijsten voor bestandssystemen (ACLs) en Verplichte Toegangscontrole - (Mandatory Access Control of MAC) . Met + (Mandatory Access Control of MAC). Met Verplichte Toegangscontrole kunnen nieuwe toegangscontrolemodules geladen worden, waarmee nieuw beveiligingsbeleid opgelegd kan worden. Een aantal daarvan bieden beveiliging aan hele kleine @@ -65,50 +65,49 @@ wordt gedaan door beheerders en het systeem en niet wordt overgelaten aan de nukken van gebruikers, zoals wel wordt gedaan met toegangscontrole naar goeddunken (discretionary access control - of DAC, de standaard bestands- en System V - IPC rechten in &os;). + of DAC, de standaardrechten voor bestanden en + System V IPC rechten in &os;). In dit hoofdstuk wordt de nadruk gelegd op het Verplichte Toegangscontrole Raamwerk (MAC Framework) en een verzameling van te activeren beveiligingsbeleidsmodules waarmee verschillende soorten - beveiligingmechanismen wordt ingeschakeld. + beveiligingsmechanismen wordt ingeschakeld. - Na het lezen van dit hoofdstuk weet de lezer: + Na het lezen van dit hoofdstuk weet u: Welke MAC beveiligingsbeleidsmodules op dit moment in &os; beschikbaar zijn en welke mechanismen - daarbij horen; + daarbij horen. Wat MAC beveiligingsbeleidsmodules implementeren en het verschil tussen gelabeld en - niet-gelabeld beleid; + niet-gelabeld beleid. Hoe een systeem efficiënt ingesteld kan worden om - met het MAC-raamwerk te werken; + met het MAC-raamwerk te werken. Hoe het beleid van de verschillende beveiligingsbeleidsmodules die in het MAC-raamwerk zitten ingesteld kunnen - worden; + worden. - Hoe een veiliger omgeving gemaakt kan worden met het - MAC-raamwerk en de getoonde - voorbeelden; + Hoe een veiligere omgeving gemaakt kan worden met het + MAC-raamwerk en de getoonde voorbeelden; - Hoe de MAC instellingen getest + Hoe de MAC-instellingen getest kunnen worden om er zeker van te zijn dat het raamwerk juist is geïmplementeerd. @@ -124,8 +123,7 @@ Bekend zijn met de beginselen van het instellen en - compileren van de kernel (); + compileren van de kernel (); @@ -137,24 +135,23 @@ Het verkeerd gebruiken van de informatie die hierin staat kan leiden tot het niet langer toegang hebben tot een systeem, - grote ergernis bij gebruikers of het niet langer kunnen - gebruiken van de mogelijkheden die X11 biedt. Nog belangrijker - is dat niet alleen op MAC vertrouwd moet - worden voor de beveiliging van een systeem. Het + ergernis bij gebruikers, of het niet langer kunnen gebruiken van + de mogelijkheden die X11 biedt. Nog belangrijker is dat niet + alleen op MAC vertrouwd moet worden voor de + beveiliging van een systeem. Het MAC-raamwerk vergroot alleen het bestaande - beveiligingsbeleid. Zonder goede beveiligingsprocedures en + beveiligingsbeleid; zonder goede beveiligingsprocedures en regelmatige beveiligingscontroles is een systeem nooit helemaal veilig. Het is ook van belang op te merken dat de voorbeelden in dit hoofdstuk alleen voorbeelden zijn. Het is niet aan te raden ze uit te rollen op een productiesysteem. Het - implementeren van de verschillende beveiligingsbeleidmodules + implementeren van de verschillende beveiligingsbeleidsmodules dient goed overdacht en getest te worden. Iemand die niet helemaal begrijpt hoe alles werkt, komt er waarschijnlijk achter dat die het complete systeem van voor naar achter en weer terug - doorloopt en heel erg veel bestanden en mappen opnieuw moet - instellen. + doorloopt en vele bestanden en mappen opnieuw moet instellen. @@ -163,12 +160,12 @@ In dit hoofdstuk wordt een brede reeks beveiligingsonderwerpen met betrekking tot het MAC-raamwerk behandeld. De ontwikkeling - van nieuwe MAC beveiligingsbeleidmodules + van nieuwe MAC-beveiligingsbeleidsmodules wordt niet behandeld. Een aantal modules die bij het MAC-raamwerk zitten hebben specifieke - eigenschappen voor het testen en ontwikkelen van (nieuwe) - modules. Daaronder vallen &man.mac.test.4;, &man.mac.stub.4; - en &man.mac.none.4;. Meer informatie over deze + eigenschappen voor het testen en ontwikkelen van nieuwe modules. + Daaronder vallen &man.mac.test.4;, &man.mac.stub.4; en + &man.mac.none.4;. Meer informatie over deze beveiligingsbeleidsmodules en de mogelijkheden die ze bieden staan in de hulppagina's. @@ -177,29 +174,28 @@ Sleuteltermen in dit hoofdstuk - Voordat het lezen van dit hoofdstuk zonder voorkennis - mogelijk is, moeten er eerst een aantal sleuteltermen toegelicht - worden. Hiermee wordt hopelijk mogelijke verwarring en de - abrupte introductie van nieuwe termen en informatie - voorkomen. + Voordat dit hoofdstuk gelezen wordt, moeten er een aantal + sleuteltermen toegelicht worden. Hiermee wordt hopelijk mogelijke + verwarring en de abrupte introductie van nieuwe termen en + informatie voorkomen. - compartiment: een compartiment is - een verzameling van programma's en data die gepartitioneerd - of gescheiden dient te worden en waartoe gebruikers expliciet - toegang moeten krijgen op een systeem. Een compartiment - staat ook voor een groep - werkgroep, afdeling, project of + compartiment: een compartiment is een + verzameling van programma's en gegevens die gepartitioneerd of + gescheiden dient te worden en waartoe gebruikers expliciet + toegang moeten krijgen op een systeem. Een compartiment staat + ook voor een groep, zoals een werkgroep, afdeling, project, of onderwerp. Door gebruik te maken van compartimenten is het - mogelijk om need-to-know beveiligingsbeleid in - te stellen. + mogelijk om een need-to-know beveiligingsbeleid + in te stellen. hoogwatermarkering: Een hoogwatermarkeringsbeleid is een beleid dat toestaat om beveiligingsniveaus te verhogen met het doel informatie dat op - een hoger niveau aanwezig is te benadaren. In de meeste + een hoger niveau aanwezig is te benaderen. In de meeste gevallen wordt het originele niveau hersteld nadat het proces voltooid is. Momenteel heeft het MAC-raamwerk van &os; hier geen beleid @@ -208,10 +204,10 @@ integriteit: integriteit, als - sleutelconcept, is het niveau van vertrouwen dat in data - gesteld kan worden. Als de integriteit van data wordt + sleutelconcept, is het niveau van vertrouwen dat in gegevens + gesteld kan worden. Als de integriteit van gegevens wordt vergroot, dan geldt dat ook voor het vertrouwen dat in die - data gesteld kan worden. + gegevens gesteld kan worden. @@ -222,13 +218,13 @@ een bestand is geplaatst, beschrijft dat de beveiligingseigenschappen voor dat specifieke bestand en is daarop alleen toegang voor bestanden, gebruikers, bronnen, - enzovoort, met gelijke beveiligingsinstellingen. De - betekenis en interpretatie van labelwaarden hangt af van de - instelling van de beleidseeneheid: hoewel sommige + enzovoort, met gelijke beveiligingsinstellingen. De betekenis + en interpretatie van labelwaarden hangt af van de + beleidsinstellingen: hoewel sommige beleidseenheden een label beschouwen als representatie van de - integriteit of het geheimhoudingsniveau van een object, - kunnen andere beleidseenheden label gebruik om regels voor - toegang in op te slaan. + integriteit of het geheimhoudingsniveau van een object, kunnen + andere beleidseenheden labels gebruiken om regels voor toegang + in op te slaan. @@ -243,35 +239,36 @@ laagwatermarkeringsbeleid is een beleid dat toestaat om de beveiligingsniveaus te verlagen met het doel informatie te benaderen die minder veilig is. In de meeste gevallen wordt - het originele niveau van de gebruiker hersteld nadat het - proces voltooid is. De enige beveiligingsbeleidsmodule die - dit gebruikt is &man.mac.lomac.4;. + het originele beveiligingsniveau van de gebruiker hersteld + nadat het proces voltooid is. De enige + beveiligingsbeleidsmodule in &os; die dit gebruikt is + &man.mac.lomac.4;. meervoudig label: de eigenschap is een optie van het - bestandssysteem die in single user modus met &man.tunefs.8;, - tijdens het opstarten via het bestand &man.fstab.5; of - tijdens het maken van een nieuw bestandssysteem ingesteld kan - worden. Met deze optie wordt het voor een beheerder mogelijk - om verschillende MAC labels op - verschillende objecten toe te passen. Deze optie is alleen - van toepassing op beveiligingsbeleidsmodules die labels - ondersteunen. + bestandssysteem die in enkelegebruikersmodus met + &man.tunefs.8;, tijdens het opstarten via het bestand + &man.fstab.5; of tijdens het maken van een nieuw + bestandssysteem ingesteld kan worden. Met deze optie wordt + het voor een beheerder mogelijk om verschillende + MAC-labels op verschillende objecten toe te + passen. Deze optie is alleen van toepassing op + beveiligingsbeleidsmodules die labels ondersteunen. object: een object of systeemobject is een entiteit waar informatie doorheen stroomt op aanwijzing van een subject. Hieronder - valleen mappen, bestanden, velden, schermen, toetsenborden, - geheugen, maganetische opslag, printers en alle andere - denkbare apparaten waarmee data kan worden vervoerd of data - op kan worden opgeslagen. In de basis is een object een - opslageenheid voor data of een systeembron; toegang tot een - object betekent in feite toegang tot de - data. + vallen mappen, bestanden, velden, schermen, toetsenborden, + geheugen, magnetische opslag, printers en alle andere + denkbare apparaten waarmee gegevens kunnen worden vervoerd of + kunnen worden opgeslagen. In de basis is een object een + opslageenheid voor gegevens of een systeembron; toegang tot + een object betekent in feite toegang tot + de gegevens. @@ -283,38 +280,37 @@ beleidseenheid in deze context gezien als een beveiligingsbeleidseenheid, wat zoveel wil zeggen als een verzameling regels die bepaalt hoe - data en informatie stroomt en aangeeft wie toegang tot welke - data en informatie heeft. + gegevens en informatie stroomt en aangeeft wie toegang tot + welke gegevens en informatie heeft. gevoeligheid: meestal gebruikt bij - het bespreken vna MLS. Een + het bespreken van MLS. Een gevoeligheidsniveau is een term die gebruikt wordt om te - beschrijven hoe belangrijk of geheim de data hoort te zijn. - Met het stijgen van het gevoeligheidsniveau stijgt ook het - belang van de geheimhouding of de confidentialiteit van de - data. + beschrijven hoe belangrijk of geheim de gegevens horen te + zijn. Met het stijgen van het gevoeligheidsniveau stijgt ook + het belang van de geheimhouding of de vertrouwelijkheid van de + gegevens. enkelvoudig label: een enkelvoudig label wordt gebruikt als een heel bestandssysteem gebruik maakt van één label om het toegangsbeleid over - de datastromen af te dwingen. Als dit voor een + de gegevensstromen af te dwingen. Als dit voor een bestandssysteem is ingesteld, wat geldt als er geen gebruik gemaakt wordt van de optie , dan - gehoorzamen alle bestanden aan dezelfde - labelinstelling. + gehoorzamen alle bestanden aan dezelfde labelinstelling. subject: een subject is een gegeven actieve entiteit die het stromen van informatie tussen - objects veroorzaakt, bijvoorbeekd een - gebruiker, gebruikersprocessortijd, systeemproces, enzovoort. - Op &os; is dit bijna altijd een thread die in een proces - namens een gebruiker optreedt. + objecten veroorzaakt, bijvoorbeeld een + gebruiker, gebruikersprocessor, systeemproces, enzovoort. Op + &os; is dit bijna altijd een thread die in een proces namens + een gebruiker optreedt. @@ -323,74 +319,72 @@ Uitleg over MAC Met al deze nieuwe termen in gedachten, kan overdacht worden - het MAC-raamwerk de complete beveiliging van - een systeem kan vergroten. De verschillende + hoe het MAC-raamwerk de complete beveiliging + van een systeem kan vergroten. De verschillende beveiligingsbeleidsmodules die het MAC-raamwerk biedt zouden gebruikt kunnen worden om het netwerk en bestandssystemen te beschermen, gebruikers toegang tot bepaalde - poorten en sockets kunnen ontzeggen en nog veel meer. Misschien + poorten en sockets kunnen ontzeggen, en nog veel meer. Misschien kunnen de beleidsmodules het beste gebruikt worden door ze samen - in te zetten, door meerdere beveiligingsbeleidsmodules te laden - om te komen tot een omgeving waarin de beveiliging uit meerdere - lagen is opgebouwd. In een omgeving waarin de beveiliging uit - meerdere lagen is opgebouwd zijn meedere beleidsmodules actief - om de beveiliging in de hand te houden. Deze aanpak is anders - dan een beleid om de beveiliging sec beter te maken, omdat - daarmee in het algemeen elementen in een systeem beveiligd worden - dat voor een specifiek doel wordt gebruikt. Het enige nadeel is - het benodigde beheer in het geval van meervoudige - bestandssysteemlabels, het instellen van toegang tot het netwerk - per gebruiker, enzovoort. + in te zetten, door meerdere beveiligingsbeleidsmodules te laden om + te komen tot een omgeving waarin de beveiliging uit meerdere lagen + is opgebouwd. In een omgeving waarin de beveiliging uit meerdere + lagen is opgebouwd zijn meerdere beleidsmodules actief om de + beveiliging in de hand te houden. Deze aanpak is anders dan een + beleid om de beveiliging sec beter te maken, omdat daarmee in het + algemeen elementen in een systeem beveiligd worden dat voor een + specifiek doel wordt gebruikt. Het enige nadeel is het benodigde + beheer in het geval van meervoudige bestandssysteemlabels, het + instellen van toegang tot het netwerk per gebruiker, enzovoort. - De nadelen zijn wel minimaal als ze worden vergeleken met - het immer durende effect van het raamwerk. Zo zorgt - bijvoorbeeld de mogelijkheid om te kiezen welke beleidseenheden - voor een specifiek gebruik nodig zijn voor het zo laag mogelijk - houden van de beheerslast. Het terugdringen van ondersteuning - voor onnodige beleidseenheden kan de beschikbaarheid van systemen - verhogen en ook de keuzevrijheid vergroten. Voor een goede - implementatie worden alle beveiligingseisen in beschouwing - genomen en daarna worden de verschillende - beveiligingsbeleidsmodules effectief door het raamwerk - geïmplementeerd. + De nadelen zijn wel minimaal als ze worden vergeleken met het + immer durende effect van het raamwerk. Zo zorgt bijvoorbeeld de + mogelijkheid om te kiezen welke beleidseenheden voor een specifiek + gebruik nodig zijn voor het zo laag mogelijk houden van de + beheerslast. Het terugdringen van ondersteuning voor onnodige + beleidseenheden kan de beschikbaarheid van systemen verhogen en + ook de keuzevrijheid vergroten. Voor een goede implementatie + worden alle beveiligingseisen in beschouwing genomen en daarna + worden de verschillende beveiligingsbeleidsmodules effectief door + het raamwerk geïmplementeerd. Een systeem dat gebruik maakt van de mogelijkheden van - MAC dient dus tenminste de garantie te hebben + MAC dient dus tenminste de garantie te bieden dat een gebruiker niet de mogelijkheid heeft naar eigen inzicht - beveiligingsattributen te wijzigen. Alle gebruikersprogramma's - en scripts moeten werken binnen de beperkingen die de - toegangsregels voorschrijven volgens de geselecteerde - beveiligingsbeleidsmodules. Het voorgaande impliceert ook dat de - volledige controle over de MAC toegangsregels - bij de systeembeheerder ligt. + beveiligingsattributen te wijzigen. Alle gebruikersprogramma's en + scripts moeten werken binnen de beperkingen die de toegangsregels + voorschrijven volgens de geselecteerde beveiligingsbeleidsmodules. + Het voorgaande impliceert ook dat de volledige controle over de + MAC-toegangsregels bij de systeembeheerder + ligt. - Het is de taak van de systeembeheerder om zorgvuldig de - juiste beveiligingsbeleidsmodules te kiezen. Voor sommige - omgevingen kan het nodig zijn dat de toegang tot het netwerk - wordt beperkt. In dat soort gevallen zijn de beleidsmodules - &man.mac.portacl.4;, &man.mac.ifoff.4; en zelfs &man.mac.biba.4; - goede startpunten. In andere gevallen kan het nodig zijn dat - alleen de vertrouwelijkheid van bestandssysteemobjecten van - belang is. Dan zijn beleidsmodules zoals &man.mac.bsdextended.4; - en &man.mac.mls.4; voor dit doel gemaakt. + Het is de taak van de systeembeheerder om zorgvuldig de juiste + beveiligingsbeleidsmodules te kiezen. Voor sommige omgevingen kan + het nodig zijn dat de toegang tot het netwerk wordt beperkt. In + dat soort gevallen zijn de beleidsmodules &man.mac.portacl.4;, + &man.mac.ifoff.4; en zelfs &man.mac.biba.4; goede startpunten. In + andere gevallen kan de strikte vertrouwelijkheid van + bestandssysteemobjecten van belang zijn. Dan zijn beleidsmodules + zoals &man.mac.bsdextended.4; en &man.mac.mls.4; voor dit doel + gemaakt. - Beslissingen over beleid zouden gemaakt kunnen worden op - basis van het netwerkontwerp. Wellicht wordt alleen bepaalde - gebruikers toegestaan gebruik te maken van de mogelijkheden van - &man.ssh.1; om toegang te krijgen tot het netwerk of internet. - In dat geval is de juiste beleidsmodule &man.mac.portacl.4;. - Maar wat te doen voor bestandssystemen? Moet alle toegang tot - bepaalde mappen worden afgesneeden van andere gebruikersgroepen - of specifieke gebruikers, of moeten de toegang voor gebruikers - of programma's tot bespaalde bestanden worden ingesteld door - bepaalde objecten als geheim te bestempelen? + Beslissingen over beleid zouden gemaakt kunnen worden op basis + van het netwerkontwerp. Wellicht wordt alleen bepaalde gebruikers + toegestaan gebruik te maken van de mogelijkheden van &man.ssh.1; + om toegang te krijgen tot het netwerk of Internet. In dat geval + is de juiste beleidsmodule &man.mac.portacl.4;. Maar wat te doen + voor bestandssystemen? Moet alle toegang tot bepaalde mappen + worden afgesneden van andere gebruikersgroepen of specifieke + gebruikers, of moeten de toegang voor gebruikers of programma's + tot bepaalde bestanden worden ingesteld door bepaalde objecten + als geheim te bestempelen? In het geval van het bestandssysteem, kan ervoor gekozen worden om de toegang voor sommige objecten voor bepaalde gebruikers als geheim te bestempelen, maar voor andere niet. - Bijvoorbeeld: een groot ontwikkelteam wordt opgedeeld in - kleinere eenheden individuen. Ontwikkelaars in project A horen - geen toegang te hebben tot objecten die zijn geschreven door + Bijvoorbeeld: een groot ontwikkelteam wordt opgedeeld in kleinere + eenheden van individuen. Ontwikkelaars in project A horen geen + toegang te hebben tot objecten die zijn geschreven door ontwikkelaars in project B. Maar misschien moeten ze wel toegang hebben tot objecten die zijn geschreven door ontwikkelaars in project C. Dat is nogal wat. Door gebruik te maken van de @@ -400,17 +394,16 @@ locaties zonder dat er angst hoeft te zijn voor het lekken van informatie. - Zo heeft dus iedere beveiligingsbeleidsmodule een unieke - wijze om om te gaan met de totale beveiliging van een systeem. - Het kiezen van modules hoort gebaseerd te zijn op een zorgvuldig + Zo heeft dus iedere beveiligingsbeleidsmodule een unieke wijze + om om te gaan met de totale beveiliging van een systeem. Het + kiezen van modules hoort gebaseerd te zijn op een zorgvuldig uitgedacht beveiligingsbeleid. In veel gevallen wordt het totale - beveiligingsbeleid aangepast en opnieuw toegepast op een systeem. + beveiligingsbeleid aangepast en opnieuw toegepast op het systeem. Een goed begrip van de verschillende beveiligingsbeleidsmodules - die het MAC-raamwerk biedt helpt beheerders - bij het kiezen van de juiste beleidseenheden voor hun - situatie. + die het MAC-raamwerk biedt helpt beheerders bij + het kiezen van de juiste beleidseenheden voor hun situatie. - De standaard &os; kernel kent geen ondersteuning voor het + De standaard &os;-kernel kent geen ondersteuning voor het MAC-raamwerk en daarom dient de volgende kerneloptie toegevoegd te worden voordat op basis van de voorbeelden of informatie uit dit hoofdstuk wijzigen worden @@ -418,12 +411,12 @@ options MAC - Hierna dient de kernel herbouwd en geïnstalleerd te - worden. + Hierna dient de kernel herbouwd en opnieuw geïnstalleerd + te worden. Hoewel in de verschillende hulppagina's voor - MAC beleidsmodules staat dat ze in de kernel + MAC-beleidsmodules staat dat ze in de kernel gebouwd kunnen worden, is het mogelijk het systeem van het netwerk af te sluiten en meer. Het implementeren van MAC is net zoiets als het implementeren van @@ -436,10 +429,10 @@ - MAC labels begrijpen + MAC-labels begrijpen - Een MAC label is een beveiligingsattribuut - dat toegepast kan worden op subjects en objecten die door het + Een MAC-label is een beveiligingsattribuut + dat toegepast kan worden op subjecten en objecten die door het systeem gaan. Bij het instellen van een label moet de gebruiker in staat @@ -447,16 +440,15 @@ voor een object beschikbaar zijn hangen af van de geladen beleidsmodule en die interpreteren hun attributen op nogal verschillende manieren. Het resultaat kan resulteren in - onverwacht en wellicht ongewenst gedrag van een systeem als - het beleid door een gebrek aan begrip verkeerd is - ingesteld. + onverwacht en wellicht ongewenst gedrag van een systeem als het + beleid door een gebrek aan begrip verkeerd is ingesteld. - Het beveiligingslaven op een object wordt gebruikt als + Het beveiligingslabel op een object wordt gebruikt als onderdeel van een beveiligingstoegangscontrolebeslissing door een - beleidseenheid. Voor sommige beleidseenheden bevat het label - zelf alle informatie die nodig is voor het maken van een - beslissing; in andere modellen kunnen de labels als onderdeel van - een grotere verzameling verwerkt worden, enzovoort. + beleidseenheid. Voor sommige beleidseenheden bevat het label zelf + alle informatie die nodig is voor het maken van een beslissing; + in andere modellen kunnen de labels als onderdeel van een grotere + verzameling verwerkt worden, enzovoort. Zo staat bijvoorbeeld het instellen van het label biba/low op een bestand voor een label dat @@ -476,21 +468,21 @@ Binnen een bestandssysteemomgeving met een enkelvoudig label kan er maar één label gebruikt worden op objecten. - Hiermee wordt een verzameling van toegangsrechten op het hele systeem - opgelegd en dat is voor veel omgevingen voldoende. Er zijn - echter een aantal gevallen waarin het wenselijk is meervoudige - label in te stellen op subject of objecten in het + Hiermee wordt een verzameling van toegangsrechten op het hele + systeem opgelegd en dat is voor veel omgevingen voldoende. Er + zijn echter een aantal gevallen waarin het wenselijk is + meervoudige labels in te stellen op subjecten of objecten in het bestandssysteem. In die gevallen kan de optie - meergegeven worden aan + meegegeven worden aan &man.tunefs.8;. - In het geval van Biba en MLS, kan er een + In het geval van Biba en MLS kan er een numeriek label gezet worden om het precieze niveau van de - hiërarchische controle kan worden aangegeven. Dit - numerieke niveau wordt gebruikt om informatie in verschillende - groepen te partitioneren of te sorteren voor het klassificeren - voor het geven van toegang voor een bepaalde groep of een groep - van een hoger niveau. + hiërarchische controle aan te geven. Dit numerieke niveau + wordt gebruikt om informatie in verschillende groepen te + partitioneren of te sorteren voor het classificeren voor het geven + van toegang voor een bepaalde groep of een groep van een hoger + niveau. In de meeste gevallen stelt een beheerder alleen maar een enkelvoudig label in dat door het hele bestandssysteem wordt @@ -500,15 +492,15 @@ DAC! MAC gaf de controle toch strikt aan de beheerder? Dat klopt nog steeds, root heeft nog steeds de controle in handen - en is degene die het beleid instelt zodat gebruikers in de - juiste categorie en/of toegangsniveau's worden geplaatst. - Daarnaast kunnen veel beleidsmodules ook de gebruiker + en is degene die het beleid instelt zodat gebruikers in de juiste + categorie en/of toegangsniveaus worden geplaatst. Daarnaast + kunnen veel beleidsmodules ook de gebruiker root beperkingen opleggen. Dan wordt de controle overgedragen aan een groep, maar kan - root de instellingen op ieder gewenst - moment intrekken of wijzigen. Dit is het - hiërarchische/toegangsmodel dat wordt afgedekt door - beleidseenheden zoals Biba en MLS. + root de instellingen op ieder gewenst moment + intrekken of wijzigen. Dit is het hiërarchische of + toegangsmodel dat wordt afgedekt door beleidseenheden zoals Biba + en MLS. Labelinstellingen @@ -520,35 +512,34 @@ instellingen. Alle instellingen kunnen gemaakt worden met de - hulpprogramma's &man.setfmac.8; and &man.setpmac.8;. + hulpprogramma's &man.setfmac.8; en &man.setpmac.8;. Het commando setfmac wordt gebruikt om MAC labels op systeemobjecten in te stellen en setpmac voor het instellen van de labels - op on systeemsubjects: + op systeemsubjecten: &prompt.root; setfmac biba/high test Als het bovenstaande commando geen foutmeldingen heeft veroorzaakt, dan komt er een prompt terug. Deze commando's - geven altijd geen uitvoer, tenzij er een fout is tegengekomen; - net als bij &man.chmod.1; en &man.chown.8;. In sommige + geven nooit uitvoer, tenzij er een fout is opgetreden; net als + bij de commando's &man.chmod.1; en &man.chown.8;. In sommige gevallen kan de foutmelding Permission - denied zijn en deze ontstaat meestal als het - label wordt ingesteld of gewijzigd op een object dat is - beperkt. + denied zijn en deze treedt meestal op als het label + wordt ingesteld of gewijzigd op een object dat is beperkt. Andere condities kunnen andere foutmeldingen veroorzaken. De gebruiker die het object probeert te - herlabelen kan bijvoorbeeld niet de eigenaar zijn, het - object kan niet bestaan of alleen-lezen zijn. Een - verplichte beleidsinstelling kan het proces niet toestaan - om een bestand te herlabelen, misschien om een + herlabelen kan bijvoorbeeld niet de eigenaar zijn van het + bestand, het object kan niet bestaan of alleen-lezen zijn. + Een verplichte beleidsinstelling zal het proces niet + toestaan om een bestand te herlabelen, misschien om een eigenschap van het bestand, een eigenschap van het proces of een eigenschap van de voorgestelde nieuwe waarde van het label. Een gebruiker die met een lage integriteit draait, - probeert bijvoorbeeld het label van een bestand met een - hoge integriteit te veranderen of diezelfde gebruiker kan + probeert bijvoorbeeld het label van een bestand met een hoge + integriteit te veranderen of zo'n zelfde gebruiker kan proberen het label van een bestand met lage integriteit te wijzigen in een label van een hoge integriteit. @@ -562,34 +553,34 @@ &prompt.root; getfmac test test: biba/high - Hierboven is te zien dat setpmac - gebruikt kan worden om aan de instellingen van een - beleidsmodules voorbij te gaan door een ander label toe te - wijzen aan het aangeroepen proces. Het hulpprogramma - getpmac wordt meestal toegepast op processen - die al draaien, zoals sendmail: - hoewel er een proces ID nodig is in plaats van een commando, is - de logica gelijk. Als gebruikers proberen een bestand te - manipuleren waar ze geen toegang to hebben, onderhevig aan de - regels van een geladen beleidsmodule, dan wordt de foutmelding - Operation not permitted weergegeven door - de functie mac_set_link. + Hierboven is te zien dat setpmac gebruikt + kan worden om aan de instellingen van een beleidsmodules voorbij + te gaan door een ander label toe te wijzen aan het aangeroepen + proces. Het hulpprogramma getpmac wordt + meestal toegepast op processen die al draaien, zoals + sendmail: hoewel er een proces-ID + nodig is in plaats van een commando, is de logica gelijk. Als + gebruikers proberen een bestand te manipuleren waar ze geen + toegang tot hebben, onderhevig aan de regels van de geladen + beleidsmodules, dan wordt de foutmelding Operation + not permitted weergegeven door de functie + mac_set_link. Labeltypen - Met de beleidsmodules &man.mac.biba.4;, &man.mac.mls.4; - en &man.mac.lomac.4; is het mogelijk eenvoudige labels toe te + Met de beleidsmodules &man.mac.biba.4;, &man.mac.mls.4; en + &man.mac.lomac.4; is het mogelijk eenvoudige labels toe te wijzen. Die kunnen hoog, gelijk aan en laag zijn. Hieronder een beschrijving van wat die labels betekenen: Het label low is de laagst - mogelijke labelinstellingen die een object of subject kan - hebben. Deze instelling op objecten of subjects blokkeert - hun toegang tot objecten or subjects met de markering - hoog. + mogelijke labelinstelling die een object of subject kan + hebben. Deze instelling op objecten of subjecten + blokkeert hun toegang tot objecten of subjecten met de + markering hoog. @@ -622,38 +613,37 @@ Het bovenstaande kan dus geïnterpreteerd worden als: - Biba Policy Label/Graad - 10:Afdelingen 2, 3 en 6: + Biba-beleidslabel/Graad + 10:Afdelingen 2, 3 en 6: (graad 5 ...) In dit voorbeeld is de eerste graad de effectieve graad met de effectieve - afdelingen, de tweede graad is is lage graad en de + afdelingen, de tweede graad is de lage graad en de laatste is de hoge graad. In de meeste instellingen worden deze instellingen niet gebruikt. Ze zijn inderdaad instellingen voor gevorderden. Als ze worden toegepast op systeemobjecten, hebben ze alleen een huidige graad/afdeling in vergelijking met - systeemsubjects, omdat ze de reikwijdte van rechten in het + systeemsubjecten, omdat ze de reikwijdte van rechten in het systeem en op netwerkinterfaces aangeven, waar ze gebruikt - worden door toegangscontrole. + worden voor toegangscontrole. De graad en afdelingen in een subject en object paar - wordt gebruikt om een relatie te construeren die ook wel + wordt gebruikt om een relatie te construeren die dominantie heet, waar een subject een object domineert, geen van beiden domineert, of beiden elkaar domineren. Het geval beiden domineren komt voor als de twee labels gelijk zijn. Vanwege de natuur van de informatiestroom van Biba, heeft een gebruiker rechten - op een verzameling van afdelingen, - need to know, die overeen zouden kunnen komen - met projecten, maar objecten hebben ook een verzameling van - afdelingen. Gebruikers dienen wellicht hun rechten onder te - verdelen met su of - setpmac om toegang te krijgen tot - objecten in een afdeling die geen verboden terrein voor ze - zijn. + op een verzameling van afdelingen, need to + know, die overeen zouden kunnen komen met projecten, + maar objecten hebben ook een verzameling van afdelingen. + Gebruikers dienen wellicht hun rechten onder te verdelen met + su of setpmac om + toegang te krijgen tot objecten in een afdeling die geen + verboden terrein voor ze zijn. @@ -662,12 +652,11 @@ Gebruikers moeten zelf labels hebben, zodat hun bestanden en processen juist kunnen samenwerken met het - beveiligingsbeleid dat op een systeem is ingesteld. Dit - wordt ingesteld via het bestand - login.conf door gebruik te maken van - aanmeldklassen. Iedere beleidsmodule die labels gebruikt - maakt ook gebruik van de instelling voor - aanmeldklasse. + beveiligingsbeleid dat op een systeem is ingesteld. Dit wordt + ingesteld via het bestand login.conf door + gebruik te maken van aanmeldklassen. Iedere beleidsmodule die + labels gebruikt implementeert ook de instelling van de + gebruikersklasse. Een voorbeeld dat iedere instelling uit de beleidsmodule bevat is hieronder te zien: @@ -708,30 +697,28 @@ implementeren. - Gebruikers kunnen hun label wijzigen na het aanmelden, - maar dit is wel afhankelijk van de beperkingen van een - beleidsinstelling. De instelling in het bovenstaande - voorbeeld is zodanig in de beleidseenheid Biba, dat de - minimale integriteit van een proces 5 en het maximum 15 is. - Standaard is het effectieve label 10. Het proces draait - op niveau 10, totdat het label wordt gewijzigd, misschien - door een gebruiker die setpmac gebruikt, - bij het aanmelden beperkt tot de door Biba ingestelde - reeks. + Gebruikers kunnen hun label wijzigen na het + initiële aanmelden, maar dit is wel afhankelijk van de + beperkingen van een beleidsinstelling. Het bovenstaande + voorbeeld vertelt de beleidseenheid Biba dat de minimale + integriteit van een proces 5 en het maximum 15, maar dat het + effectieve label standaard 10 is. Het proces draait op + niveau 10, totdat het het label wijzigt, misschien door een + gebruiker die setpmac gebruikt, bij het + aanmelden beperkt tot de door Biba ingestelde reeks. - In alle gevallen die de aanmeldklasse mogelijkheden - database opnieuw gebouwd te worden met + In alle gevallen dient de database met + aanmeldklassemogelijkheden opnieuw gebouwd te worden met cap_mkdb na het wijzigen van login.conf. Dit wordt ook in alle - komende voorbeelden en beschijvingen gedaan. + komende voorbeelden en beschrijvingen gedaan. - Het is belangrijk op te merken dat in veel gevallen - implementaties te maken hebben met bijzonder grote aantallen - gebruikers waardoor er een aantal verschillende - aanmeldklassen nodig zijn. Het is dan nodig gedetailleerd - te plannen omdat de implementatie anders bijzonder complex - wordt om te onderhouden. + Het is belangrijk op te merken dat in veel gevallen sites + te maken hebben met bijzonder grote aantallen gebruikers + waardoor er een aantal verschillende aanmeldklassen nodig + zijn. Het is dan nodig gedetailleerd te plannen omdat dit + anders bijzonder complex wordt om te onderhouden. Toekomstige versies van &os; kennen een nieuwe manier om om te gaan met het koppelen van gebruikers aan labels. Dit @@ -742,33 +729,33 @@ Netwerkinterfaces en labelinstellingen - Labels kunnen ook ingesteld worden op netwerkinterfaces - om te assisteren bij het controleren van het stromen van - gegevens over het netwerk. In alle gevallen werken ze op - dezelfde wijze als het beleid werkt ten aanzien van objecten. + Labels kunnen ook ingesteld worden op netwerkinterfaces om + te assisteren bij het controleren van het stromen van gegevens + over het netwerk. In alle gevallen werken ze op dezelfde + wijze als het beleid werkt ten aanzien van objecten. Gebruikers met bijvoorbeeld een hoge instelling in biba krijgen geen toegang tot interfaces met een laag label. Het kan meegegeven worden aan - ifconfig als het MAC - label op netwerkinterfaces wordt ingesteld: + ifconfig als het + MAC-label op netwerkinterfaces wordt + ingesteld: &prompt.root; ifconfig bge0 maclabel biba/equal In het bovenstaande voorbeeld wordt het - MAC label van - biba/equal ingesteld op de &man.bge.4; - interface. Als er een instelling wordt gebruikt die - gelijkvormig is aan biba/high(low-high), - dan moet het volledige label worden ingegeven, anders treedt - er een fout op. + MAC-label biba/equal + ingesteld op de interface &man.bge.4;. Als er een instelling + wordt gebruikt die gelijkvormig is aan + biba/high(low-high), dan moet het volledige + label worden ingegeven, anders treedt er een fout op. - Iedere beleidsmodule die labels ondersteunt een - instelling waarmee het MAC op - netwerkinterfaces kan worden uitgeschakeld. Het label - instellen op heeft hetzelfde effect. - Deze instellingen zijn na te kijken in de uitvoer van + Iedere beleidsmodule die labels ondersteunt een instelling + waarmee het MAC-label op netwerkinterfaces + kan worden uitgeschakeld. Het label instellen op + heeft hetzelfde effect. Deze + instellingen zijn na te kijken in de uitvoer van sysctl, de hulppagina van het beleid en zelfs later in dit hoofdstuk. @@ -778,43 +765,43 @@ Enkelvoudig label of meervoudig label? Standaard gebruikt een systeem de optie - option. Wat betekent dit voor een + . Wat betekent dit voor een beheerder? Er zijn een aantal verschillen die allemaal hun eigen voor- en nadelen hebben voor de flexibiliteit in het beveiligingsmodel voor een systeem. Bij gebruik van kan er maar één label, bijvoorbeeld - biba/high, gebruikt worden voor ieder - subject of object. Hierdoor is er minder beheer nodig, maar de + biba/high, gebruikt worden voor ieder subject + of object. Hierdoor is er minder beheer nodig, maar de flexibiliteit voor beleid dat labels ondersteunt daalt erdoor. Veel beheerders willen de optie gebruiken in hun beveiligingsmodel. De optie staat ieder subject of - object toe om zijn eigen onafhankelijke MAC - label te hebben in plaats van de standaardoptie - , die maar één label - toestaat op een hele partitie. De labelopties - en zijn - alleen verplicht voor de beleidseenheden die de mogelijkheid - bieden om te labelen, waaronder de beleidsmorgelijkheden van - Biba, Lomac, MLS en - SEBSD. + object toe om zijn eigen onafhankelijke + MAC-label te hebben in plaats van de + standaardoptie , die maar + één label toestaat op een hele partitie. De + labelopties en + zijn alleen verplicht voor de + beleidseenheden die de mogelijkheid bieden om te labelen, + waaronder de beleidsmogelijkheden van Biba, Lomac, + MLS en SEBSD. - In veel gevallen hoeft niet\ - eens ingesteld te worden. Stel er is de volgende situatie en + In veel gevallen hoeft niet eens + ingesteld te worden. Stel er is de volgende situatie en beveiligingsmodel: - &os; webserver die gebruik maakt van het + &os;-webserver die gebruik maakt van het MAC-raamwerk en een mengeling van verschillende beleidseenheden. - De webserver heeft maar een label nodig, + De webserver heeft maar één label nodig, biba/high, voor alles in het systeem. Hier is de optie voor het bestandssysteem niet nodig, omdat een enkelvoudig label @@ -824,44 +811,44 @@ Maar omdat de machine als webserver dienst gaat doen, dient de webserver te draaien als - biba/low om ****write up capabilities**** - te voorkomen. Later wordt beschreven hoe de Biba - beleidseenheid werkt, dus als de voorgaande opmerking wat - lastig te begrijpen is, lees dan verder en kom later nog - een keer terug. De server zou een aparte partitie kunnen - gebruiken waarop biba/low van toepassing - kan zijn voor de meeste, zo niet alle, runtime statussen. - Er ontbreekt veel in dit voorbeeld, bijvoorbeeld de - restricties op gegevens en (gebruikers)instellingen. Dit - was slechts een snel voorbeeld om de hiervoor aangehaalde - stelling te ondersteunen. + biba/low om administratiemogelijkheden te + voorkomen. Later wordt beschreven hoe de beleidseenheid + Biba werkt, dus als de voorgaande opmerking wat lastig te + begrijpen is, lees dan verder en kom later nog een keer + terug. De server zou een aparte partitie kunnen gebruiken + waarop biba/low van toepassing kan zijn + voor de meeste, zo niet alle, runtime-statussen. Er + ontbreekt veel in dit voorbeeld, bijvoorbeeld de restricties + op gegevens en (gebruikers)instellingen. Dit was slechts + een snel voorbeeld om de hiervoor aangehaalde stelling te + ondersteunen. - Als er een niet-labelende beleidseenheid wordt gebruikt, - dan is de optie nooit verplicht. + Als er een niet-labelende beleidseenheid wordt gebruikt, dan + is de optie nooit verplicht. Hieronder vallen de beleidseenheden seeotheruids, portacl en partition. Bij gebruik van voor een partitie en het neerzetten van een beveiligingsmodel gebaseerd - op functionaliteit gaat de deur - open voor hogere administratieve overhead, omdat alles in een + op functionaliteit gaat de deur open + voor hogere administratieve rompslomp, omdat alles in een bestandssysteem een label krijgt. Hieronder vallen mappen, - bestanden en zelfs apparaatnodes. + bestanden en zelfs apparaatknooppunten. Het volgende commando stelt in - op de bestandssystemen om meerdere labels te kunnen kringen. - Dit kan alleen uitgevoerd worden in single user modus: + op de bestandssystemen om meerdere labels te kunnen krijgen. + Dit kan alleen uitgevoerd worden in enkele gebruikersmodus: &prompt.root; tunefs -l enable / - Dit is geen criterium voor het swap bestandssysteem. + Dit is geen criterium voor het wisselbestandssysteem. Sommige gebruikers hebben problemen ondervonden met het - instelling van de vlag op de + instellen van de vlag op de rootpartitie. Als dit het geval is, kijk dan naar van dit hoofdstuk. @@ -922,14 +909,14 @@ mislukkingen. Verschillende omgevingen kunnen verschillende behoeften en - benodidheden nodig hebben. Het opzetten van een diegaand en + benodigdheden nodig hebben. Het opzetten van een diepgaand en compleet beveiligingsprofiel zal de noodzaak van verandering verminderen wanneer het systeem in gebruik wordt genomen. Zodoende zullen de toekomstige secties de verschillende modules >>> TRUNCATED FOR MAIL (1000 lines) <<<