1 files changed, 22 insertions, 14 deletions

diff --git a/zh_CN.GB2312/books/handbook/mac/chapter.sgml b/zh_CN.GB2312/books/handbook/mac/chapter.sgml
index 251c19c16c..e017158df9 100644
--- a/zh_CN.GB2312/books/handbook/mac/chapter.sgml
+++ b/zh_CN.GB2312/books/handbook/mac/chapter.sgml
@@ -2,7 +2,7 @@
      The FreeBSD Documentation Project
      The FreeBSD Simplified Chinese Project
 
-     Original Revision: 1.49
+     Original Revision: 1.53
      $FreeBSD$
 -->
 
@@ -100,7 +100,7 @@
 
       <para>此外还需要注意的是， 本章中所包含的例子仅仅是例子。
 	我们并不建议在一个生产用系统上进行这些特别的设置。
-        实施各种安全策略模块需要谨慎的考虑，
+        实施各种安全策略模块需要谨慎的考虑与测试，
         因为那些并不完全理解所有机制如何工作的人，
         可能会发现需要对整个系统中很多的文件或目录进行重新配置。</para>
     </warning>
@@ -757,9 +757,15 @@ test: biba/high</screen>
     <para>&man.mac.bsdextended.4; 模块能够强制文件系统防火墙策略。
       这一模块的策略提供了标准文件系统权限模型的一种扩展，
       使得管理员能够建立一种类似防火墙的规则集，
-      以文件系统层次结构中的保护文件、 实用程序，以及目录。</para>
-
-    <para>这类策略可以通过工具 &man.ugidfw.8; 工具来创建，
+      以文件系统层次结构中的保护文件、 实用程序，以及目录。
+      在尝试访问文件系统对象时， 会遍历规则表，
+      直至找到匹配的规则， 或到达表尾。 这一行为可以通过使用
+      &man.sysctl.8; 参数，
+      security.mac.bsdextended.firstmatch_enabled 来进行设置。
+      与 &os; 中的其他防火墙设置类似， 也可以建一个文件来配置访问控制策略，
+      并通过 &man.rc.conf.5; 变量的配置在系统引导时加载它。</para>
+
+    <para>规则表可以通过工具 &man.ugidfw.8; 工具来创建，
       其语法类似 &man.ipfw.8;。 此外还可以通过使用
       &man.libugidfw.3; 库来开发其他的工具。</para>
 
@@ -1033,7 +1039,7 @@ test: biba/high</screen>
 	:passwordtime=91d:\
 	:umask=022:\
 	:ignoretime@:\
-	:label=partition/13,mls/5,biba/low:</programlisting>
+	:label=partition/13,mls/5,biba/10:</programlisting>
 
 	  <para>需要在
 	    &man.login.conf.5; 上执行 &man.cap.mkdb.1; 之后，
@@ -1102,11 +1108,12 @@ test: biba/high</screen>
       </listitem>
     </itemizedlist>
 
-    <para>当启用了这个规则时， 用户将只被允许看到他们自己的进程，
-      而无法使用某些工具。 例如， 在前面提到的
+    <para>当启用了这个规则时， 用户将只能看到他们自己的，
+      以及其他与他们同处一个 partition 的进程，
+      而不能使用能够越过 partition 的工具。 例如，
       <literal>insecure</literal> class 中的用户，
-      将无法使用 <command>top</command> 命令，
-      以及其他必需生成进程的命令。</para>
+      就无法使用 <command>top</command> 命令，
+      以及其他需要产生新进程的工具。</para>
 
     <para>要设置或删除 partition 标签中的工具， 需要使用
       <command>setpmac</command>：</para>
@@ -1366,7 +1373,8 @@ test: biba/high</screen>
 test: biba/low</screen>
 
     <para>观察： 较低完整性级别的 subject 不能向较高完整性级别的 subject 写；
-      较高完整性级别的 subject 也不能观察或读取较低完整性级别的对象。</para>
+      较高完整性级别的 subject 也不能观察或读取较低完整性级别的对象。
+      设置最低级别的 label 能够使 subject 无法访问它。</para>
   </sect1>
 
   <sect1 id="mac-lomac">
@@ -1750,7 +1758,7 @@ cat: test4: Permission denied</screen>
       <para>可以很快地完成这个工作。</para>
 
       <para>接下来建立另一个 class， web， 它是 default 的一个副本，
-	但将标签设置为 <literal>biba/low</literal>。</para>
+	但将标签设置为 <literal>biba/10</literal>。</para>
 
       <para>建立一个用于在 <application>cvs</application> 中的主 web
 	库的数据上工作的用户。 这个用户必须被放到我们新建立的那个登录
@@ -1796,8 +1804,8 @@ exit;</programlisting>
       <programlisting>command="setpmac biba/low /usr/local/sbin/httpd"</programlisting>
 
       <para><application>Apache</application> 配置必须进行修改，
-	以便在 <literal>biba/low</literal> 策略下工作。
-	因为这时软件必须配置为在设置了 <literal>biba/low</literal>
+	以便在 <literal>biba/10</literal> 策略下工作。
+	因为这时软件必须配置为在设置了 <literal>biba/10</literal>
 	的目录中记录日志， 否则将返回 <errorname>access denied</errorname>
 	错误。</para>