第21章 其他文件系统
附录 D. OpenPGP 密钥
16.1.概述
FreeBSD 支持基于 POSIX.1e® 草案的安全扩展。这些安全机制包括文件系统访问控制列表(“访问控制列表”)和强制访问控制(MAC)。MAC 允许加载访问控制模块以实现安全策略。某些模块为系统的一小部分提供保护,从而强化特定服务。其他的则为所有主体和对象提供全面的标记安全性。定义的强制部分指示控制措施由管理员和操作系统执行。这与自由访问控制(DAC) 的默认安全机制形成鲜明对比,在该机制中,强制措施由用户自行决定。
本章重点介绍 MAC 框架和 FreeBSD 提供的一组可插拔的安全策略模块,用于启用各种安全机制。
读完本章,你就会知道:
  • 与 MAC 框架相关的术语。
  • MAC 安全策略模块的功能以及标记策略和非标记策略之间的区别。
  • 在配置系统使用 MAC 框架之前要考虑的事项。
  • 哪些 MAC 安全策略模块包含在 FreeBSD 中以及如何配置它们。
  • 如何使用 MAC 框架实现更安全的环境。
  • 如何测试 MAC 配置以确保框架已正确实现。
在阅读本章之前,你应该:
警告:
错误的 MAC 配置可能会导致系统无法访问、激怒用户或无法访问 Xorg 提供的功能。更重要的是,不应完全依赖 MAC 保护系统。MAC 框架仅增强现有的安全策略。如果没有健全的安全措施和定期的安全检查,系统将永远不会完全安全。本章中包含的示例仅用于演示目的,不应 在生产系统上实现示例设置。实施任何安全策略都需要大量理解、适当的设计和彻底的测试。
虽然本章涵盖了与 MAC 框架相关的广泛安全问题,但新的 MAC 安全策略模块的开发将不包括在内。MAC 框架中包含的许多安全策略模块具有特定特征,这些特征用于测试和新模块开发。有关这些安全策略模块及其提供的各种机制的更多信息,请参阅 mac_test(4)mac_stub(4)mac_none(4)
Copy link
Edit on GitHub