diff options
Diffstat (limited to 'nl_NL.ISO8859-1/books/handbook/mac/chapter.xml')
| -rw-r--r-- | nl_NL.ISO8859-1/books/handbook/mac/chapter.xml | 158 |
1 files changed, 69 insertions, 89 deletions
diff --git a/nl_NL.ISO8859-1/books/handbook/mac/chapter.xml b/nl_NL.ISO8859-1/books/handbook/mac/chapter.xml index 03c15cd617..60968f462f 100644 --- a/nl_NL.ISO8859-1/books/handbook/mac/chapter.xml +++ b/nl_NL.ISO8859-1/books/handbook/mac/chapter.xml @@ -7,35 +7,22 @@ %SOURCE% en_US.ISO8859-1/books/handbook/mac/chapter.xml %SRCID% 40823 --> - -<chapter id="mac"> - <chapterinfo> +<chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" xml:id="mac"> + <info><title>Verplichte Toegangscontrole (MAC)</title> <authorgroup> - <author> - <firstname>Tom</firstname> - <surname>Rhodes</surname> - <contrib>Geschreven door </contrib> - </author> + <author><personname><firstname>Tom</firstname><surname>Rhodes</surname></personname><contrib>Geschreven door </contrib></author> </authorgroup> <authorgroup> - <author> - <firstname>Siebrand</firstname> - <surname>Mazeland</surname> - <contrib>Vertaald door </contrib> - </author> + <author><personname><firstname>Siebrand</firstname><surname>Mazeland</surname></personname><contrib>Vertaald door </contrib></author> </authorgroup> <authorgroup> - <author> - <firstname>René</firstname> - <surname>Ladan</surname> - <contrib>Vertaling voortgezet door </contrib> - </author> + <author><personname><firstname>René</firstname><surname>Ladan</surname></personname><contrib>Vertaling voortgezet door </contrib></author> </authorgroup> - </chapterinfo> + </info> - <title>Verplichte Toegangscontrole (MAC)</title> + - <sect1 id="mac-synopsis"> + <sect1 xml:id="mac-synopsis"> <title>Overzicht</title> <indexterm><primary>MAC</primary></indexterm> @@ -117,8 +104,7 @@ <itemizedlist> <listitem> - <para>Begrip van &unix; en &os; basiskennis (<xref - linkend="basics"/>);</para> + <para>Begrip van &unix; en &os; basiskennis (<xref linkend="basics"/>);</para> </listitem> <listitem> @@ -171,7 +157,7 @@ </sect2> </sect1> - <sect1 id="mac-inline-glossary"> + <sect1 xml:id="mac-inline-glossary"> <title>Sleuteltermen in dit hoofdstuk</title> <para>Voordat dit hoofdstuk gelezen wordt, moeten er een aantal @@ -315,7 +301,7 @@ </itemizedlist> </sect1> - <sect1 id="mac-initial"> + <sect1 xml:id="mac-initial"> <title>Uitleg over MAC</title> <para>Met al deze nieuwe termen in gedachten, kan overdacht worden @@ -428,7 +414,7 @@ </caution> </sect1> - <sect1 id="mac-understandlabel"> + <sect1 xml:id="mac-understandlabel"> <title>MAC-labels begrijpen</title> <para>Een <acronym>MAC</acronym>-label is een beveiligingsattribuut @@ -491,13 +477,13 @@ <para><emphasis>Wacht eens, dat klinkt net als <acronym>DAC</acronym>! <acronym>MAC</acronym> gaf de controle toch strikt aan de beheerder?</emphasis> Dat klopt nog steeds, - <username>root</username> heeft nog steeds de controle in handen + <systemitem class="username">root</systemitem> heeft nog steeds de controle in handen en is degene die het beleid instelt zodat gebruikers in de juiste categorie en/of toegangsniveaus worden geplaatst. Daarnaast kunnen veel beleidsmodules ook de gebruiker - <username>root</username> beperkingen opleggen. Dan wordt de + <systemitem class="username">root</systemitem> beperkingen opleggen. Dan wordt de controle overgedragen aan een groep, maar kan - <username>root</username> de instellingen op ieder gewenst moment + <systemitem class="username">root</systemitem> de instellingen op ieder gewenst moment intrekken of wijzigen. Dit is het hiërarchische of toegangsmodel dat wordt afgedekt door beleidseenheden zoals Biba en <acronym>MLS</acronym>.</para> @@ -843,13 +829,12 @@ test: biba/high</screen> <note> <para>Sommige gebruikers hebben problemen ondervonden met het instellen van de vlag <option>multilabel</option> op de - rootpartitie. Als dit het geval is, kijk dan naar <xref - linkend="mac-troubleshoot"/> van dit hoofdstuk.</para> + rootpartitie. Als dit het geval is, kijk dan naar <xref linkend="mac-troubleshoot"/> van dit hoofdstuk.</para> </note> </sect2> </sect1> - <sect1 id="mac-planning"> + <sect1 xml:id="mac-planning"> <title>De beveiligingsconfiguratie plannen</title> <para>Wanneer een nieuwe technologie wordt geďmplementeerd is @@ -916,7 +901,7 @@ test: biba/high</screen> &man.mac.partition.4; een goede keuze zijn.</para> </sect1> - <sect1 id="mac-modules"> + <sect1 xml:id="mac-modules"> <title>Module-instellingen</title> <para>Iedere module uit het <acronym>MAC</acronym>-raamwerk kan @@ -945,7 +930,7 @@ test: biba/high</screen> <option>multilabel</option> genoemd.</para> </sect1> - <sect1 id="mac-seeotheruids"> + <sect1 xml:id="mac-seeotheruids"> <title>MAC-module seeotheruids</title> <indexterm><primary>MAC zie andere UID's @@ -982,7 +967,7 @@ test: biba/high</screen> staat toe dat een bepaalde groep niet onder dit beleid valt. Om bepaalde groepen van dit beleid uit te sluiten, kan de <command>sysctl</command>-tunable - <literal>security.mac.seeotheruids.specificgid=<replaceable>XXX</replaceable></literal> + <literal>security.mac.seeotheruids.specificgid=XXX</literal> gebruikt worden. In het bovenstaande voorbeeld dient <replaceable>XXX</replaceable> vervangen te worden door het numerieke ID van een groep die uitgesloten moet worden van de @@ -1000,7 +985,7 @@ test: biba/high</screen> </itemizedlist> </sect1> - <sect1 id="mac-bsdextended"> + <sect1 xml:id="mac-bsdextended"> <title>MAC-module bsdextended</title> <indexterm> @@ -1055,7 +1040,7 @@ test: biba/high</screen> <para>Zoals verwacht zijn er geen regels ingesteld. Dit betekent dat alles nog steeds volledig toegankelijk is. Om een regel te maken die alle toegang voor alle gebruikers behalve - <username>root</username> ontzegt:</para> + <systemitem class="username">root</systemitem> ontzegt:</para> <screen>&prompt.root; <userinput>ugidfw add subject not uid root new object not uid root mode n</userinput></screen> @@ -1064,22 +1049,22 @@ test: biba/high</screen> uitvoeren, zoals <command>ls</command>. Een betere lijst met regels zou kunnen zijn:</para> - <screen>&prompt.root; <userinput>ugidfw set 2 subject uid <replaceable>gebruiker1</replaceable> object uid <replaceable>gebruiker2</replaceable> mode n</userinput> -&prompt.root; <userinput>ugidfw set 3 subject uid <replaceable>gebruiker1</replaceable> object gid <replaceable>gebruiker2</replaceable> mode n</userinput></screen> + <screen>&prompt.root; <userinput>ugidfw set 2 subject uid gebruiker1 object uid gebruiker2 mode n</userinput> +&prompt.root; <userinput>ugidfw set 3 subject uid gebruiker1 object gid gebruiker2 mode n</userinput></screen> <para>Hiermee wordt alle toegang, inclusief het tonen van mapinhoud, tot de thuismap van - <username><replaceable>gebruiker2</replaceable></username> - ontzegd voor de gebruikersnaam <username>gebruiker1</username>.</para> + <systemitem class="username"><replaceable>gebruiker2</replaceable></systemitem> + ontzegd voor de gebruikersnaam <systemitem class="username">gebruiker1</systemitem>.</para> - <para>In plaats van <username>gebruiker1</username>, zou + <para>In plaats van <systemitem class="username">gebruiker1</systemitem>, zou <option>not uid <replaceable>gebruiker2</replaceable></option> kunnen worden opgegeven. Hierdoor worden dezelfde restricties als hierboven actief voor alle gebruikers in plaats van voor slechts één gebruiker.</para> <note> - <para>De gebruiker <username>root</username> blijft onaangetast + <para>De gebruiker <systemitem class="username">root</systemitem> blijft onaangetast door deze wijzigingen.</para> </note> @@ -1090,7 +1075,7 @@ test: biba/high</screen> </sect2> </sect1> - <sect1 id="mac-ifoff"> + <sect1 xml:id="mac-ifoff"> <title>MAC-module ifoff</title> <indexterm><primary>MAC Interface Silencing @@ -1134,13 +1119,12 @@ test: biba/high</screen> <para>&man.mac.ifoff.4; wordt het meest gebruikt om netwerken te monitoren in een omgeving waar netwerkverkeer niet toegestaan zou moeten zijn tijdens het opstarten. Een ander voorgesteld gebruik - zou het schrijven van een script zijn dat <filename - role="package">security/aide</filename> gebruikt om automatisch + zou het schrijven van een script zijn dat <package>security/aide</package> gebruikt om automatisch netwerkverkeer te blokkeren wanneer het nieuwe of veranderde bestanden in beschermde mappen vindt.</para> </sect1> - <sect1 id="mac-portacl"> + <sect1 xml:id="mac-portacl"> <title>MAC-module portacl</title> <indexterm><primary>MAC poorttoegangscontrolelijst @@ -1158,7 +1142,7 @@ test: biba/high</screen> te begrenzen door een waaier aan <command>sysctl</command>-variabelen te gebruiken. In essentie maakt &man.mac.portacl.4; het mogelijk om - niet-<username>root</username>-gebruikers in staat te stellen om + niet-<systemitem class="username">root</systemitem>-gebruikers in staat te stellen om aan gespecificeerde geprivilegieerde poorten te binden, dus poorten lager dan 1024.</para> @@ -1180,7 +1164,7 @@ test: biba/high</screen> <listitem> <para><literal>security.mac.portacl.suser_exempt</literal> sluit - de gebruiker <username>root</username> uit van dit beleid + de gebruiker <systemitem class="username">root</systemitem> uit van dit beleid wanneer het op een waarde anders dan nul wordt ingesteld.</para> </listitem> @@ -1218,7 +1202,7 @@ test: biba/high</screen> <para>Standaard kunnen op &unix;-achtige systemen poorten lager dan 1024 alleen aan geprivilegieerde processen gebonden worden, dus - diegenen die als <username>root</username> draaien. Om + diegenen die als <systemitem class="username">root</systemitem> draaien. Om &man.mac.portacl.4; toe te laten staan om ongeprivilegieerde processen aan poorten lager dan 1024 te laten binden moet deze standaard &unix;-beperking uitgezet worden. Dit kan bereikt @@ -1245,7 +1229,7 @@ test: biba/high</screen> <screen>&prompt.root; <userinput>sysctl security.mac.portacl.suser_exempt=1</userinput></screen> - <para>De gebruiker <username>root</username> zou niet beperkt + <para>De gebruiker <systemitem class="username">root</systemitem> zou niet beperkt moeten worden door dit beleid, stel <literal>security.mac.portacl.suser_exempt</literal> dus in op een waarde anders dan nul. De module &man.mac.portacl.4; is nu @@ -1255,10 +1239,10 @@ test: biba/high</screen> <screen>&prompt.root; <userinput>sysctl security.mac.portacl.rules=uid:80:tcp:80</userinput></screen> <para>Sta de gebruiker met <acronym>UID</acronym> 80 (normaliter - de gebruiker <username>www</username>) toe om zich aan poort 80 + de gebruiker <systemitem class="username">www</systemitem>) toe om zich aan poort 80 te binden. Dit kan gebruikt worden om de gebruiker - <username>www</username> toe te staan een webserver te draaien - zonder ooit <username>root</username>-rechten te hebben.</para> + <systemitem class="username">www</systemitem> toe te staan een webserver te draaien + zonder ooit <systemitem class="username">root</systemitem>-rechten te hebben.</para> <screen>&prompt.root; <userinput>sysctl security.mac.portacl.rules=uid:1001:tcp:110,uid:1001:tcp:995</userinput></screen> @@ -1270,7 +1254,7 @@ test: biba/high</screen> </sect2> </sect1> - <sect1 id="mac-partition"> + <sect1 xml:id="mac-partition"> <title>MAC-module partition</title> <indexterm><primary>MAC procespartitionering @@ -1340,7 +1324,7 @@ test: biba/high</screen> <note> <para>Gebruikers kunnen processen in het label van - <username>root</username> zien tenzij het beleid + <systemitem class="username">root</systemitem> zien tenzij het beleid &man.mac.seeotheruids.4; is geladen.</para> </note> @@ -1357,7 +1341,7 @@ test: biba/high</screen> </sect2> </sect1> - <sect1 id="mac-mls"> + <sect1 xml:id="mac-mls"> <title>MAC-module Multi-Level Security</title> <indexterm><primary>MAC meerlaagse beveiliging @@ -1487,8 +1471,7 @@ test: biba/high</screen> <para>Dit is een samenvatting van de mogelijkheden van het beleid <acronym>MLS</acronym>. Een andere manier is om een - meesterbeleidsbestand in <filename - class="directory">/etc</filename> aan te maken dat de + meesterbeleidsbestand in <filename>/etc</filename> aan te maken dat de <acronym>MLS</acronym>-informatie bevat en om dat bestand aan het commando <command>setfmac</command> te geven. Deze methode wordt uitgelegd nadat alle beleiden zijn behandeld.</para> @@ -1525,7 +1508,7 @@ test: biba/high</screen> </sect2> </sect1> - <sect1 id="mac-biba"> + <sect1 xml:id="mac-biba"> <title>MAC-module Biba</title> <indexterm><primary>MAC Biba integriteit @@ -1684,7 +1667,7 @@ test: biba/low</screen> </sect2> </sect1> - <sect1 id="mac-lomac"> + <sect1 xml:id="mac-lomac"> <title>MAC-module LOMAC</title> <indexterm><primary>MAC LOMAC</primary></indexterm> @@ -1738,7 +1721,7 @@ test: biba/low</screen> </sect2> </sect1> - <sect1 id="mac-implementing"> + <sect1 xml:id="mac-implementing"> <title>Nagios in een MAC-jail</title> <indexterm><primary>Nagios in een MAC-jail</primary></indexterm> @@ -1755,9 +1738,8 @@ test: biba/low</screen> <literal>multilabel</literal> zijn geactiveerd op elk bestandssysteem zoals vermeld aan het begin van dit hoofdstuk. Nalatigheid zal in fouten resulteren. Zorg er ook voor dat de - ports <filename role="package">net-mgmt/nagios-plugins</filename>, - <filename role="package">net-mgmt/nagios</filename>, en <filename - role="package">www/apache22</filename> allemaal + ports <package>net-mgmt/nagios-plugins</package>, + <package>net-mgmt/nagios</package>, en <package>www/apache22</package> allemaal geďnstalleerde en geconfigureerd zijn en correct werken.</para> <sect2> @@ -1814,12 +1796,12 @@ mac_seeotheruids_load="YES"</programlisting> <sect2> <title>Gebruikers instellen</title> - <para>Stel de gebruiker <username>root</username> in op de + <para>Stel de gebruiker <systemitem class="username">root</systemitem> in op de standaardklasse met:</para> <screen>&prompt.root; <userinput>pw usermod root -L default</userinput></screen> - <para>Alle gebruikersaccounts die geen <username>root</username> + <para>Alle gebruikersaccounts die geen <systemitem class="username">root</systemitem> of systeemgebruikers zijn hebben nu een aanmeldklasse nodig. De aanmeldklasse is nodig om te voorkomen dat gebruikers geen toegang hebben tot gewone commando's als &man.vi.1;. Het @@ -1828,8 +1810,8 @@ mac_seeotheruids_load="YES"</programlisting> <screen>&prompt.root; <userinput>for x in `awk -F: '($3 >= 1001) && ($3 != 65534) { print $1 }' \</userinput> <userinput>/etc/passwd`; do pw usermod $x -L default; done;</userinput></screen> - <para>Laat de gebruikers <username>nagios</username> en - <username>www</username> in de klasse insecure vallen:</para> + <para>Laat de gebruikers <systemitem class="username">nagios</systemitem> en + <systemitem class="username">www</systemitem> in de klasse insecure vallen:</para> <screen>&prompt.root; <userinput>pw usermod nagios -L insecure</userinput></screen> @@ -1878,7 +1860,7 @@ mac_seeotheruids_load="YES"</programlisting> <para>Dit beleid zal beveiliging afdwingen door beperkingen aan de informatiestroom te stellen. In deze specifieke configuratie - mogen gebruikers, inclusief <username>root</username>, nooit + mogen gebruikers, inclusief <systemitem class="username">root</systemitem>, nooit toegang hebben tot <application>Nagios</application>. Instellingenbestanden en processen die deel zijn van <application>Nagios</application> zullen geheel in zichzelf @@ -1930,10 +1912,10 @@ default_labels socket ?biba</programlisting> <para>Controleer dat de webserver en <application>Nagios</application> niet tijdens de systeeminitialisatie worden gestart, en start opnieuw op. - Controleer dat de gebruiker <username>root</username> geen enkel + Controleer dat de gebruiker <systemitem class="username">root</systemitem> geen enkel bestand in de instellingenmap van <application>Nagios</application> kan benaderen. Als - <username>root</username> het commando &man.ls.1; op + <systemitem class="username">root</systemitem> het commando &man.ls.1; op <filename>/var/spool/nagios</filename> kan uitvoeren, is er iets verkeerd. Anders zou er een fout <quote>Permission denied</quote> teruggegeven moeten worden.</para> @@ -1956,7 +1938,7 @@ setpmac biba/10\(10-10\) /usr/local/etc/rc.d/nagios.sh forcestart</userinput></s probeer om alles opnieuw op te starten, zoals gewoonlijk.</para> <note> - <para>De gebruiker <username>root</username> kan zonder angst de + <para>De gebruiker <systemitem class="username">root</systemitem> kan zonder angst de afgedwongen beveiliging veranderen en de instellingenbestanden bewerken. Het volgende commando staat toe om het beveiligingsbeleid naar een lagere graad te degraderen voor @@ -1974,7 +1956,7 @@ setpmac biba/10\(10-10\) /usr/local/etc/rc.d/nagios.sh forcestart</userinput></s </sect2> </sect1> - <sect1 id="mac-userlocked"> + <sect1 xml:id="mac-userlocked"> <title>Gebruikers afsluiten</title> <para>Dit voorbeeld gaat over een relatief klein opslagsysteem met @@ -2011,7 +1993,7 @@ setpmac biba/10\(10-10\) /usr/local/etc/rc.d/nagios.sh forcestart</userinput></s thuismap van een andere gebruiker, dit zou moeten mislukken.</para> <para>Probeer niet te testen met de gebruiker - <username>root</username> tenzij de specifieke + <systemitem class="username">root</systemitem> tenzij de specifieke <command>sysctl</command>'s om supergebruikertoegang te blokkeren zijn aangepast.</para> @@ -2025,7 +2007,7 @@ setpmac biba/10\(10-10\) /usr/local/etc/rc.d/nagios.sh forcestart</userinput></s </note> </sect1> - <sect1 id="mac-troubleshoot"> + <sect1 xml:id="mac-troubleshoot"> <title>Problemen oplossen met het MAC-raamwerk</title> <indexterm><primary>MAC-problemen oplossen</primary></indexterm> @@ -2107,15 +2089,13 @@ setpmac biba/10\(10-10\) /usr/local/etc/rc.d/nagios.sh forcestart</userinput></s <step> <para>Controleer de labelbeleidseenheden nog een keer. Stel zeker dat het beleid voor de bewuste gebruiker, de - X11-applicatie, en de onderdelen van <filename - class="directory">/dev</filename> juist zijn ingesteld.</para> + X11-applicatie, en de onderdelen van <filename>/dev</filename> juist zijn ingesteld.</para> </step> <step> <para>Als geen van beide methodes het probleem oplossen, stuur dan de foutmelding en een beschrijving van de omgeving naar - de TrustedBSD-discussielijsten van de <ulink - url="http://www.TrustedBSD.org">TrustedBSD</ulink> + de TrustedBSD-discussielijsten van de <link xlink:href="http://www.TrustedBSD.org">TrustedBSD</link> website of naar de &a.questions; mailinglijst.</para> </step> </procedure> @@ -2125,32 +2105,32 @@ setpmac biba/10\(10-10\) /usr/local/etc/rc.d/nagios.sh forcestart</userinput></s <title>Error: &man..secure.path.3; cannot stat <filename>.login_conf</filename></title> - <para>Bij het wisselen van de gebruiker <username>root</username> + <para>Bij het wisselen van de gebruiker <systemitem class="username">root</systemitem> naar een andere gebruiker in het systeem, verschijnt de foutmelding <errorname>_secure_path: unable to state .login_conf</errorname>.</para> <para>Deze melding komt meestal voor als de gebruiker een hogere labelinstelling heeft dan de gebruiker waarnaar wordt - gewisseld. Als bijvoorbeeld gebruiker <username>joe</username> + gewisseld. Als bijvoorbeeld gebruiker <systemitem class="username">joe</systemitem> een standaardlabel <option>biba/low</option> heeft, dan kan - gebruiker <username>root</username>, die een label + gebruiker <systemitem class="username">root</systemitem>, die een label <option>biba/high</option> heeft, de thuismap van - <username>joe</username> niet zien. Dit gebeurt zonder + <systemitem class="username">joe</systemitem> niet zien. Dit gebeurt zonder rekening te houden met de mogelijkheid dat - <username>root</username> met <command>su</command> de - identiteit van <username>joe</username> heeft aangenomen. In + <systemitem class="username">root</systemitem> met <command>su</command> de + identiteit van <systemitem class="username">joe</systemitem> heeft aangenomen. In dit scenario staat het integriteitsmodel van Biba niet toe dat - <username>root</username> objecten kan zien van een lager + <systemitem class="username">root</systemitem> objecten kan zien van een lager integriteitsniveau.</para> </sect2> <sect2> - <title>De gebruikersnaam <username>root</username> is + <title>De gebruikersnaam <systemitem class="username">root</systemitem> is stuk!</title> <para>In normale, of zelfs in enkelegebruikersmodus, wordt - <username>root</username> niet herkend. Het commando + <systemitem class="username">root</systemitem> niet herkend. Het commando <command>whoami</command> geeft 0 (nul) terug en <command>su</command> heeft als resultaat <errorname>who are you?</errorname>. Wat is er aan de hand?</para> |