diff options
| author | Fukang Chen <loader@FreeBSD.org> | 2007-08-09 15:40:40 +0000 |
|---|---|---|
| committer | Fukang Chen <loader@FreeBSD.org> | 2007-08-09 15:40:40 +0000 |
| commit | 9ff15e34ef9aeacbcf009cd1003b218ab2c324fa (patch) | |
| tree | ac88e44d52170a777deb2e429e45dbb47e7d9660 /zh_CN.GB2312/books/handbook/mac | |
| parent | 4b9675c0a4771694619f680fad0e5220aba12134 (diff) | |
Notes
Diffstat (limited to 'zh_CN.GB2312/books/handbook/mac')
| -rw-r--r-- | zh_CN.GB2312/books/handbook/mac/chapter.sgml | 77 |
1 files changed, 1 insertions, 76 deletions
diff --git a/zh_CN.GB2312/books/handbook/mac/chapter.sgml b/zh_CN.GB2312/books/handbook/mac/chapter.sgml index 394aad8294..e98789652c 100644 --- a/zh_CN.GB2312/books/handbook/mac/chapter.sgml +++ b/zh_CN.GB2312/books/handbook/mac/chapter.sgml @@ -2,7 +2,7 @@ The FreeBSD Documentation Project The FreeBSD Simplified Chinese Project - Original Revision: 1.69 + Original Revision: 1.70 $FreeBSD$ --> @@ -610,81 +610,6 @@ test: biba/high</screen> <xref linkend="mac-troubleshoot">。</para> </note> </sect2> - - <sect2> - <title>用系统控制变量控制 MAC</title> - - <para>即使在没有加载任何模块的时候, - 也仍然有一些可以通过 <command>sysctl</command> 接口来控制的 - <acronym>MAC</acronym> 特性。 这些系统控制变量将在下面予以描述, - 在所有的例子中, 数字一 (1) 都表示启用, 而数字零 (0) - 则表示禁用:</para> - - <itemizedlist> - <listitem> - <para><literal>security.mac.enforce_fs</literal> - 表示在文件系统上启用 <acronym>MAC</acronym> - 策略。</para> - </listitem> - - <listitem> - <para><literal>security.mac.enforce_kld</literal> - 表示启用动态内核连接器 (参见 - &man.kld.4;) 上的 <acronym>MAC</acronym> 内核连接策略。</para> - </listitem> - - <listitem> - <para><literal>security.mac.enforce_network</literal> - 表示启用 <acronym>MAC</acronym> 网络策略。</para> - </listitem> - - <listitem> - <para><literal>security.mac.enforce_pipe</literal> - 表示启用 <acronym>MAC</acronym> 管道策略。</para> - </listitem> - - <listitem> - <para><literal>security.mac.enforce_process</literal> - 表示启用使用进程间通讯机制的进程上的 <acronym>MAC</acronym> - 策略。</para> - </listitem> - - <listitem> - <para><literal>security.mac.enforce_socket</literal> - 表示启用 socket 上的 <acronym>MAC</acronym> 策略 - (参见 &man.socket.2; 联机手册)。</para> - </listitem> - - <listitem> - <para><literal>security.mac.enforce_system</literal> - 表示启用系统活动, 如记账和重新启动的 <acronym>MAC</acronym> 策略。</para> - </listitem> - - <listitem> - <para><literal>security.mac.enforce_vm</literal> - 表示启用虚拟内存系统上的 <acronym>MAC</acronym> 策略。</para> - </listitem> - </itemizedlist> - - <note> - <para>每个策略或 <acronym>MAC</acronym> - 选项都支持通过系统控制变量来进行调整。 这些选项通常都位于 - <literal>security.mac.<策略名></literal> 的树状结构之下。 - 要查看所有的 <acronym>MAC</acronym> 系统控制变量, - 可以使用下述命令:</para> - - <screen>&prompt.root; <userinput>sysctl -da | grep mac</userinput></screen> - </note> - - <para>前面的所有基本 - <acronym>MAC</acronym> 策略默认都会启用。 - 如果编入内核的模块被过分锁死, 则可能无法与局域网或 Internet - 进行通讯, 或发生其他严重问题。 - 这也是为什么不完全鼓励将这些模块编入内核的原因。 - 尽管这样做并不妨碍通过使用 <command>sysctl</command> 来禁用这些策略, - 但以模块方式加载可以让管理员更容易地切换是否使用策略, - 而不需要构建和重新安装一套新系统。</para> - </sect2> </sect1> <sect1 id="mac-planning"> |