From 07b9d98163ba6781a6def1a9d5aa39c838c31149 Mon Sep 17 00:00:00 2001 From: Xin LI Date: Sun, 8 Oct 2006 16:22:59 +0000 Subject: A lot of suggestions and fixes for terms used in the MAC chapter, in order to follow commonly used Simplified Chinese language. Submitted by: Ye ZHANG (mostly) Obtained from: The FreeBSD Simplified Chinese Project --- zh_CN.GB2312/books/handbook/mac/chapter.sgml | 253 ++++++++++++++------------- 1 file changed, 128 insertions(+), 125 deletions(-) (limited to 'zh_CN.GB2312/books/handbook') diff --git a/zh_CN.GB2312/books/handbook/mac/chapter.sgml b/zh_CN.GB2312/books/handbook/mac/chapter.sgml index 95bdd64fe2..aea15b7cc9 100644 --- a/zh_CN.GB2312/books/handbook/mac/chapter.sgml +++ b/zh_CN.GB2312/books/handbook/mac/chapter.sgml @@ -17,31 +17,31 @@ - 集权式访问控制 + 强制访问控制 概要 MAC - 集权式访问控制 + 强制访问控制 MAC &os; 5.X 在 &posix;.1e 草案的基础上引入了 TrustedBSD 项目提供的新的安全性扩展。 新安全机制中最重要的两个, 是文件系统访问控制列表 (ACL) - 和集权式访问控制 (MAC) 机制。 - 集权式访问控制允许加载新的访问控制模块, 并借此实施新的安全策略, + 和强制访问控制 (MAC) 机制。 + 强制访问控制允许加载新的访问控制模块, 并借此实施新的安全策略, 其中一部分为一个很小的系统子集提供保护并加强特定的服务, - 其他的则对所有的主体和对象提供全面的标签式安全保护。 - 定义中有关集权的部分源于如下事实, + 其他的则对所有的主体和客体提供全面的标签式安全保护。 + 定义中有关强制的部分源于如下事实, 控制的实现由管理员和系统作出, - 而不像全权式访问控制 (DAC, &os; + 而不像自主访问控制 (DAC, &os; 中的标准文件以及 System V IPC 权限) 那样是按照用户意愿进行的。 - 本章将集中讲述集权式访问控制框架 (MAC 框架) + 本章将集中讲述强制访问控制框架 (MAC 框架) 以及一套用以实施多种安全策略的插件式的安全策略模块。 阅读本章之后, 您将了解: @@ -127,8 +127,11 @@ - 区间: 区间, - 是指一组被划分或隔离的程序和数据, 其中, + 区间(compartment): + (译注: 区间 这一术语, + 在一些文献中也称做类别 (category)。 此外, + 在其它一些翻译文献中, 该术语也翻译为 象限。) + 指一组被划分或隔离的程序和数据, 其中, 用户被明确地赋予了访问特定系统组件的权限。 同时, 区间也能够表达分组, 例如工作组、 部门、 项目, 或话题。 可以通过使用区间来实施 need-to-know 安全策略。 @@ -143,28 +146,28 @@ - 完整性: 作为一个关键概念, + 完整性(integrity): 作为一个关键概念, 完整性是数据可信性的一种程度。 若数据的完整性提高, 则数据的可信性相应提高。 - 标签: 标签是一种可应用于文件、 - 目录或系统其他对象的安全属性, 它也可以被认为是一种机密性印鉴。 + 标签(label): 标签是一种可应用于文件、 + 目录或系统其他客体的安全属性, 它也可以被认为是一种机密性印鉴。 当一个文件被施以标签时, 其标签会描述这一文件的安全参数, 并只允许拥有相似安全性设置的文件、 用户、 资源等访问该文件。 标签值的涵义及解释取决于相应的策略配置: - 某些策略会将标签当作对某一对象的完整性和保密性的表述, + 某些策略会将标签当作对某一客体的完整性和保密性的表述, 而其它一些策略则会用标签保存访问规则。 - 程度: 对某种安全属性加强或削弱的设定。 + 程度(level): 对某种安全属性加强或削弱的设定。 若程度增加, 其安全性也相应增加。 - 低水位线 (low water mark): + 低水位线(low water mark): 低水位线策略允许降低安全级别, 以访问安全性较差的信息。 多数情况下, 在进程结束时, 又会回到原先的安全级别。 目前在 &os; 中唯一实现这一安全策略的是 @@ -172,48 +175,48 @@ - 多重标签 (multilabel) + 多重标签(multilabel): 属性是一个文件系统选项。 该选项可在单用户模式下通过 &man.tunefs.8; 程序进行设置。 可以在引导时使用的 &man.fstab.5; 文件中, 也可在创建新文件系统时进行配置。 - 该选项将允许管理员对不同对象施以不同的 MAC 标签。 + 该选项将允许管理员对不同客体施以不同的 MAC 标签。 该选项仅适用于支持标签的安全策略模块。 - 对象: 对象或系统对象是一种实体, - 信息随 主体 的导向在对象内部流动。 - 对象包括目录、 文件、 区段、 监视器、 键盘、 存储器、 + 客体(object): 客体或系统客体是一种实体, + 信息随 主体 的导向在客体内部流动。 + 客体包括目录、 文件、 区段、 显示器、 键盘、 存储器、 磁存储器、 打印机及其它数据存储/转移设备。 - 基本上, 一个对象就是一个数据容器或一种系统资源。 - 对 对象 的访问实际上意味着对数据的访问。 + 基本上, 客体就是指数据容器或系统资源。 + 对 客体 的访问实际上意味着对数据的访问。 - 策略: 一套用以规定如何达成目标的规则。 - 策略 一般用以描述如何对特定对象进行操作。 + 策略(policy): 一套用以规定如何达成目标的规则。 + 策略 一般用以描述如何对特定客体进行操作。 本章将在安全策略的范畴内讨论策略, 一套用以控制数据和信息流并规定其访问者的规则,就是其中一例。 - 敏感性: 通常在讨论 + 敏感性(sensitivity): 通常在讨论 MLS 时使用。 敏感性程度曾被用来描述数据应该有何等的重要或机密。 若敏感性程度增加, 则保密的重要性或数据的机密性相应增强。 - 单一标签: + 单一标签(single label): 整个文件系统使用一个标签对数据流实施访问控制, 叫做单一标签。 当文件系统使用此设置时, 即无论何时当 选项未被设定时, 所有文件都将遵守相同标签设定。 - 主体: 主体就是引起信息在两个 - 对象间流动的任意活动实体, - 比如用户, 用户处理器, 系统进程等。 + 主体(subject): 主体就是引起信息在两个 + 客体 间流动的任意活动实体, + 比如用户, 用户进程(译注:原文为 processor), 系统进程等。 在 &os; 中, 主体几乎总是代表用户活跃在某一进程中的一个线程。 @@ -225,20 +228,20 @@ 在掌握了所有新术语之后, 我们从整体上来考虑 MAC 是如何加强系统安全性的。 MAC 框架提供的众多安全策略模块可以用来保护网络及文件系统, - 也可以禁止用户访问某些特定的端口、 套接字及其它对象。 + 也可以禁止用户访问某些特定的端口、 套接字及其它客体。 将策略模块组合在一起以构建一个拥有多层次安全性的环境, 也许是其最佳的使用方式, 这可以通过一次性加载多个安全策略模块来实现。 在多层次安全环境中, 多重策略模块可以有效地控制安全性, - 这一点与加强式策略不同。 - 加强式策略一般加强仅具有某些特殊用途的系统对象的安全性。 + 这一点与强化型 (hardening) 策略, + 即那种通常只强化系统中用于特定目的的元素的策略是不同的。 相比之下, 多重策略的唯一不足是需要系统管理员先期设置好参数, - 如多重文件系统安全标志、每一位用户的网络访问权限等等。 + 如多重文件系统安全标志、 每一位用户的网络访问权限等等。 - 与框架长久的效果相比, 这些不足之处微乎其微。 - 例如, 为某种特殊配置选择其所需策略的能力, 会使整体性能下降, - 但减少对无用策略的支持却可以提高系统整体性能, - 同时还可以为选择提供弹性空间。 好的应用应该考虑到整体的安全性要求, - 并有效地实施框架提供的众多安全策略模块。 + 与采用框架方式实现的长期效果相比, 这些不足之处是微不足道的。 + 例如, 让系统具有为特定配置挑选必需的策略的能力, 有助于降低性能开销。 + 而减少对无用策略的支持, 不仅可以提高系统的整体性能, + 而且提供了更灵活的选择空间。 好的实施方案中应该考虑到整体的安全性要求, + 并有效地利用框架所提供的众多安全策略模块。 这样一个使用 MAC 特性的系统, 至少要保证不允许用户任意更改安全属性; 所有的用户实用工具、 @@ -249,7 +252,7 @@ 某些环境也许需要限制网络的访问控制权, 在这种情况下, 使用 &man.mac.portacl.4;、 &man.mac.ifoff.4; 乃至 &man.mac.biba.4; 安全策略模块都会是不错的开始; 在其他情况下, - 系统对象也许需要严格的机密性, 像 &man.mac.bsdextended.4; 和 + 系统客体也许需要严格的机密性, 像 &man.mac.bsdextended.4; 和 &man.mac.mls.4; 这样的安全策略模块就是为此而设。 对安全策略模块的决定可依据网络配置进行, @@ -257,13 +260,13 @@ 提供的程序以访问网络或互联网, &man.mac.portacl.4; 安全策略模块应该成为这种情况下的选择。 但对文件系统又该作些什么呢? 是由特定的用户或群组来确定某些目录的访问权限, - 抑或是将特定对象设为保密以限制用户或组件访问特定文件? + 抑或是将特定客体设为保密以限制用户或组件访问特定文件? - 在文件系统的例子中, 也许访问对象的权限对某些用户是保密的, + 在文件系统的例子中, 也许访问客体的权限对某些用户是保密的, 但对其他则不是。 比如, 一个庞大的开发团队, 也许会被分成许多由几人组成的小组, A 项目中的开发人员可能不被允许访问 - B 项目开发人员创作的对象, 但同时他们还需要访问由 C - 项目开发人员创作的对象, 这正符合上述情形。 使用由 + B 项目开发人员创作的客体, 但同时他们还需要访问由 C + 项目开发人员创作的客体, 这正符合上述情形。 使用由 MAC 框架提供的不同策略, 用户就可以被分成这种小组, 然后被赋予适当区域的访问权, 由此, 我们就不用担心信息泄漏的问题了。 @@ -293,15 +296,15 @@ 理解 MAC 标签 MAC 标签是一种安全属性, - 它可以被应用于整个系统中的主体和对象。 + 它可以被应用于整个系统中的主体和客体。 配置标签时, 用户必须能够确切理解其所进行的操作。 - 对象所具有的属性取决于被加载的策略模块, + 客体所具有的属性取决于被加载的策略模块, 不同策略模块解释其属性的方式也差别很大。 由于缺乏理解或无法了解其间联系而导致的配置不当, 会引起意想不到的, 也许是不愿看到的系统异常。 - 对象上的安全标签是由安全策略模块决定的安全访问控制的一部分。 + 客体上的安全标签是由安全策略模块决定的安全访问控制的一部分。 在某些策略模块中, 标签本身所包含的所有信息足以使其作出决策, 而在其它一些安全策略模块中, 标签则可能被作为一个庞大规则体系的一部分进行处理。 @@ -312,29 +315,29 @@ 分别是 low、 high 及 equal 标签。 尽管这些标签在不同安全策略模块中会对访问控制采取不同措施, 但有一点是可以肯定的, 那就是 low 标签表示最低限度的设定, - equal 标签会将主体或对象设定为被禁用的或不受影响的, + equal 标签会将主体或客体设定为被禁用的或不受影响的, high 标签则会应用 Biba 及 MLS 安全策略模块中允许的最高级别的设定。 - 在单一标签文件系统的环境中, 同一对象上只会应用一个标签, + 在单一标签文件系统的环境中, 同一客体上只会应用一个标签, 于是, 一套访问权限将被应用于整个系统, 这也是很多环境所全部需要的。 - 另一些应用场景中, 我们需要将多重标签应用于文件系统的对象或主体, + 另一些应用场景中, 我们需要将多重标签应用于文件系统的客体或主体, 如此一来, 就需要使用 &man.tunefs.8; 的 选项。 在使用 Biba 和 MLS 时可以配置数值标签, - 以精确地标示分级控制的中的程度。 + 以标示分级控制中的层级程度。 数值的程度可以用来划分或将信息按组分类, - 从而只允许同程度或更高程度的组对齐进行访问。 + 从而只允许同程度或更高程度的组对其进行访问。 多数情况下, 管理员将仅对整个文件系统设定单一标签。 等一下, 这看起来很像 DAC! 但我认为 MAC 确实只将控制权赋予了管理员。 - 此声明依然有效。 在某种程度上, root 是实施控制的用户, + 此句话依然是正确的。 在某种程度上, root 是实施控制的用户, 他配置安全策略模块以使用户们被分配到适当的类别/访问 levels 中。 唉, 很多安全策略模块同样可以限制 root 用户。 - 对于对象的基本控制可能会下放给群组, 但 root + 对于客体的基本控制可能会下放给群组, 但 root 用户随时可以废除或更改这些设定。 这就是如 Biba 及 MLS 这样一些安全策略模块所包含的 hierarchal/clearance 模型。 @@ -343,10 +346,10 @@ 配置标签 实际上, 有关标签式安全策略模块配置的各种问题都是用基础系统组件实现的。 - 这些命令为对象和主体配置以及配置的实施和验证提供了一个简便的接口。 + 这些命令为客体和主体配置以及配置的实施和验证提供了一个简便的接口。 所有的配置都应该通过 &man.setfmac.8; 及 &man.setpmac.8; 组件实施。 - setfmac 命令是用来对系统对象设置 + setfmac 命令是用来对系统客体设置 MAC 标签的, 而 setpmac 则是用来对系统主体设置标签的。 例如: @@ -357,12 +360,12 @@ &man.chmod.1; 和 &man.chown.8; 命令类似。 某些情况下, 以上命令产生的错误可能是 Permission denied, - 一般在受限对象上设置或修改设置时会产生此错误。 + 一般在受限客体上设置或修改设置时会产生此错误。 其它情况也能导致不同的执行失败。 例如, 文件可能并不隶属于尝试重标签该文件的用户, - 对象可能不存在或着是只读的。 文件的某一属性、 + 客体可能不存在或着是只读的。 文件的某一属性、 进程的某一属性或新的自定义标签值的某一属性, - 将使集权式策略不允许进程重标签文件。 例如: + 将使强制式策略不允许进程重标签文件。 例如: 低完整性的用户试图修改高完整性文件的标签, 或者低完整性的用户试图将低完整性文件的标签改为高完整性标签。 系统管理员可使用以下命令解决此问题: @@ -392,16 +395,16 @@ test: biba/high low - 标签被认为是主体或对象所具有的最低层次的标签设定。 - 对主体或对象采用此设定, 将阻止其访问标签为 high 的对象或主体。 + 标签被认为是主体或客体所具有的最低层次的标签设定。 + 对主体或客体采用此设定, 将阻止其访问标签为 high 的客体或主体。 - equal 标签只能被用于不希望受策略控制的对象上。 + equal 标签只能被用于不希望受策略控制的客体上。 - high 标签对对象或主体采用可能的最高设定。 + high 标签对客体或主体采用可能的最高设定。 @@ -411,33 +414,34 @@ test: biba/high 标签高级配置 - 如下所示, 用于 comparison:compartment+compartment 的标签等级数: + 如下所示, 用于 比较方式:区间+区间 + (comparison:compartment+compartment) 的标签等级数: biba/10:2+3+6(5:2+3-20:2+3+4+5+6) - 可被解释为: + 其含义为: - Biba 策略标签/等级10 - : 区间 2、 3及6: + Biba 策略标签/等级 10 + :区间 2、 3及6: (等级5 ...) 本例中, 第一个等级将被认为是 有效区间有效等级, 第二个等级是低级等级, - 最后一个则是高级等级。 大多数配置中不会使用这些设置, + 最后一个则是高级等级。 大多数配置中并不使用这些设置, 实际上, 它们是为更高级的配置准备的。 - 当把它们应用在系统对象上时, 则只有当前的等级/区间, + 当把它们应用在系统客体上时, 则只有当前的等级/区间, 因为它们反映可以实施访问控制的系统中可用的范围, 以及网络接口。 - 等级和区间, 可以用来在一对主体和对象之间建立一种称为 - 支配 的关系, 这中关系可能是主体支配对象, - 对象支配主体, 互不支配或互相支配。 + 等级和区间, 可以用来在一对主体和客体之间建立一种称为 + 支配 (dominance) 的关系, 这种关系可能是主体支配客体, + 客体支配主体, 互不支配或互相支配。 互相支配 这种情况会在两个标签相等时发生。 由于 Biba 的信息流特性, 您可以设置一系列区间, need to know, 这可能发生于项目之间, - 而对象也由其对应的区间。 用户可以使用 + 而客体也由其对应的区间。 用户可以使用 susetpmac - 来将他们的权限进一步细分, 以便在没有限制的区间里访问对象。 + 来将他们的权限进一步细分, 以便在没有限制的区间里访问客体。 @@ -508,7 +512,7 @@ test: biba/high 网络接口和标签设定 也可以在网络接口上配置标签, 以控制进出网络的数据流。 - 在所有情况下, 策略都会以适应对象的方式运作。 例如, 在 + 在所有情况下, 策略都会以适应客体的方式运作。 例如, 在 biba 中设置为高的用户, 就不能访问标记为低的网络接口。 @@ -539,13 +543,13 @@ test: biba/high 两种策略之间存在很多的不同之处, 它们在系统安全模型的灵活性方面, 提供了不同的选择。 - 只允许在每个 subject - 或对象上使用一个标签, 如 biba/high。 + 只允许在每个主体或客体上使用一个标签, + 如 biba/high。 这降低了管理的开销, 但也同时降低了支持标签的策略的灵活性。 许多管理员可能更希望在安全策略中使用 - 选项允许每一个 subject - 或对象拥有各自独立的 MAC 标签, + 选项允许每一个主体或客体拥有各自独立的 + MAC 标签, 起作用与标准的、 只允许整个分区上使用一个的 选项类似。 标签选项只有对实现了标签功能的那些策略, @@ -589,7 +593,7 @@ test: biba/high 另一个需要注意的事情是, 在分区上使用 并建立基于 - 可能会提高系统管理的开销, 因为文件系统中的所有对象都需要指定标签。 + 可能会提高系统管理的开销, 因为文件系统中的所有客体都需要指定标签。 这包括对目录、文件, 甚至设备节点。 接下来的命令将在需要使用多个标签的文件系统上设置 @@ -824,7 +828,7 @@ test: biba/high 这一模块的策略提供了标准文件系统权限模型的一种扩展, 使得管理员能够建立一种类似防火墙的规则集, 以文件系统层次结构中的保护文件、 实用程序,以及目录。 - 在尝试访问文件系统对象时, 会遍历规则表, + 在尝试访问文件系统客体时, 会遍历规则表, 直至找到匹配的规则, 或到达表尾。 这一行为可以通过修改 &man.sysctl.8; 参数, security.mac.bsdextended.firstmatch_enabled 来进行设置。 @@ -1125,10 +1129,10 @@ test: biba/high - MAC Multi-Level 安全模块 + MAC 多级 (Multi-Level) 安全模块 - MAC Multi-Level 安全策略 + MAC 多级 (Multi-Level) 安全策略 模块名: mac_mls.ko @@ -1138,12 +1142,12 @@ test: biba/high 引导选项: mac_mls_load="YES" &man.mac.mls.4; 策略, - 通过严格控制信息流向来控制系统中主体和对象的访问。 + 通过严格控制信息流向来控制系统中主体和客体的访问。 MLS 环境中, - clearance(透明度) 级别会在每一个主体或对象标签上进行设置, + 许可 (clearance) 级别会在每一个主体或客体标签上进行设置, 连同对应的区间。 由于这些透明度或敏感度可以有六千多个层次, - 因此为每一个主体或对象进行配置将是一件让任何系统管理员都感到头疼的任务。 + 因此为每一个主体或客体进行配置将是一件让任何系统管理员都感到头疼的任务。 所幸的是, 这个策略中已经包含了三个 立即可用的 标签。 @@ -1154,19 +1158,19 @@ test: biba/high mls/low 标签包含了最低配置, - 从而允许其他对象支配它。 任何标记为 mls/low - 的对象将是地透明度的, 从而不允许访问更高级别的信息。 - 此外, 这个标签也阻止拥有较高透明度的对象向其写入或传递信息。 + 从而允许其他客体支配它。 任何标记为 mls/low + 的客体将是地透明度的, 从而不允许访问更高级别的信息。 + 此外, 这个标签也阻止拥有较高透明度的客体向其写入或传递信息。 - mls/equal 标签应放到不希望使用这一策略的对象上。 + mls/equal 标签应放到不希望使用这一策略的客体上。 mls/high 标签是允许的最高级别透明度。 - 指定了这个标签的对象将支配系统中的其他对象; 但是, - 它们将不允许向较低级别的对象泄露信息。 + 指定了这个标签的客体将支配系统中的其他客体; 但是, + 它们将不允许向较低级别的客体泄露信息。 @@ -1179,7 +1183,7 @@ test: biba/high 固定规则: 不允许向上读, 不允许向下写 - (主体可以读取同级或较低级别的对象, 但不能读取高级别的。 + (主体可以读取同级或较低级别的客体, 但不能读取高级别的。 类似地, 主体可以向同级或较高级写, 而不能向下写); @@ -1208,18 +1212,18 @@ test: biba/high security.mac.mls.revocation_enabled - 可以用来在标签转为较低 grade 时撤销对象访问权。 + 可以用来在标签转为较低 grade 时撤销客体访问权。 security.mac.mls.max_compartments - 可以用来设置对象的最大区间层次; 基本上, + 可以用来设置客体的最大区间层次; 基本上, 这也就是系统中所允许的最大区间数。 要管理 MLS 标签, 可以使用 - &man.setfmac.8; 命令。 要在对象上指定标签, + &man.setfmac.8; 命令。 要在客体上指定标签, 需要使用下面的命令: &prompt.root; setfmac mls/5 test @@ -1241,8 +1245,8 @@ test: biba/high 通过使用多级安全策略模块, 管理员可以规划如何控制敏感信息的流向。 默认情况下, 由于其默认的禁止向上读以及向下写的性质, - 系统会默认将所有对象置于较低的状态。 这样, - 所有的对象都可以访问, + 系统会默认将所有客体置于较低的状态。 这样, + 所有的客体都可以访问, 而管理员则可以在配置阶段慢慢地进行提高信息的敏感度这样的修改。 除了前面介绍的三种基本标签选项之外, @@ -1280,8 +1284,8 @@ test: biba/high 这一节的许多内容都可以同时应用于两种策略。 在 Biba 环境中, integrity (完整性) 标签, - 将设置在每一个 subject 或对象上。 这些标签是按照层次级别建立的。 - 如果对象或 subject 的级别被提升, 其完整性也随之提升。 + 将设置在每一个主体或客体上。 这些标签是按照层次级别建立的。 + 如果客体或主体的级别被提升, 其完整性也随之提升。 被支持的标签是 biba/lowbiba/equal 以及 biba/high; @@ -1289,21 +1293,21 @@ test: biba/high - biba/low 标签被认为是对象或 subject - 所能拥有的最低完整性级别。 在对象或 subject 上设置它, - 将阻止其在更高级别对象或 subject 的写操作, + biba/low 标签是客体或主体所能拥有的最低完整性级别。 + 在客体或主体上设置它, + 将阻止其在更高级别客体或主体对其进行的写操作, 虽然读仍被允许。 biba/equal - 标签只应在那些希望排除在策略之外的对象上设置。 + 标签只应在那些希望排除在策略之外的客体上设置。 - biba/high 允许向较低标签的对象上写, - 但不允许读那些对象。 - 推荐在那些可能影响整个系统完整性的对象上设置这个标签。 + biba/high 允许向较低标签的客体上写, + 但不允许读那些客体。 + 推荐在那些可能影响整个系统完整性的客体上设置这个标签。 @@ -1316,9 +1320,9 @@ test: biba/high 固定规则: 不允许向上写, 不允许向下读 (与 - MLS 相反)。 subject 可以在它自己和较低的级别写, - 但不能向更高级别实施写操作。 类似地, subject 也可以读在其自己的, - 或更高级别的对象, 但不能读取较低级别的对象; + MLS 相反)。 主体可以在它自己和较低的级别写, + 但不能向更高级别实施写操作。 类似地, 主体也可以读在其自己的, + 或更高级别的客体, 但不能读取较低级别的客体; @@ -1345,11 +1349,11 @@ test: biba/high security.mac.biba.revocation_enabled - 将在支配 subject 发生变化时强制撤销对对象的访问权。 + 将在支配主体发生变化时强制撤销对客体的访问权。 - 要操作系统对象上的 Biba 策略, + 要操作系统客体上的 Biba 策略, 需要使用 setfmacgetfmac 命令: @@ -1361,14 +1365,14 @@ test: biba/low 规划托管完整性 与敏感性不同, 完整性是要确保不受信方不能对信息进行篡改。 - 这包括了在 subject 以及 object 之间传递的信息。 + 这包括了在主体和客体之间传递的信息。 这能够确保用户只能修改甚至访问需要他们的信息。 &man.mac.biba.4; 安全策略模块允许管理员指定用户能够看到和执行的文件和程序, 并确保这些文件能够为系统及用户或用户组所信任, 而免受其他威胁。 在最初的规划阶段, 管理员必须做好将用户分成不同的等级、 - 级别和区域的准备。 在启动前后, 包括数据以及程序和使用工具在内的对象, + 级别和区域的准备。 在启动前后, 包括数据以及程序和使用工具在内的客体, 用户都会无法访问。 一旦启用了这个策略模块, 系统将默认使用高级别的标签, 而划分用户级别和等级的工作则交由管理员来进行配置。 与前面介绍的级别限界不同, 好的规划方法可能还包括 topic。 @@ -1379,7 +1383,7 @@ test: biba/low 通过其自然的安全控制, 完整性级别较低的主体, 就会无法向完整性级别高的主体进行写操作; 而完整性级别较高的主体, - 也不能观察或读较低完整性级别的对象。 通过将对象的标签设为最低级, + 也不能观察或读较低完整性级别的客体。 通过将客体的标签设为最低级, 可以阻止所有主体对其进行的访问操作。 这一安全策略模块预期的应用场合包括受限的 web 服务器、 开发和测试机, 以及源代码库。 而对于个人终端、 @@ -1401,20 +1405,19 @@ test: biba/low MAC Biba 策略不同, &man.mac.lomac.4; 策略只允许在降低了完整性级别之后, - 才允许在不破坏完整性规则的前提下访问较低完整性级别的对象。 + 才允许在不破坏完整性规则的前提下访问较低完整性级别的客体。 MAC 版本的 Low-watermark 完整性策略不应与较早的 &man.lomac.4; 实现相混淆, - 除了使用浮动的标签来支持 subject 通过辅助级别 compartment 降级之外, - 其工作方式与 Biba 大体相似。 这一词要的 - compartment 以 [auxgrade] 的形式出现。 + 除了使用浮动的标签来支持主体通过辅助级别区间降级之外, + 其工作方式与 Biba 大体相似。 这一次要的区间以 [auxgrade] 的形式出现。 当指定包含辅助级别的 lomac 策略时, 其形式应类似于: lomac/10[2] 这里数字二 (2) 就是辅助级别。 - MAC LOMAC 策略依赖于系统对象上存在普适的标签, - 这样就允许 subject 来从较低完整性级别的对象读取, 并对 subject - 的标签降级, 以防止其在之后写高完整性级别的对象。 这就是前面讨论的 + MAC LOMAC 策略依赖于系统客体上存在普适的标签, + 这样就允许主体从较低完整性级别的客体读取, 并对主体的标签降级, + 以防止其在之后写高完整性级别的客体。 这就是前面讨论的 [auxgrade] 选项, 因此这个策略能够提供更大的兼容性, 而所需要的初始配置也要比 Biba 少。 @@ -1423,7 +1426,7 @@ test: biba/low 与 Biba 和 MLS 策略类似; setfmacsetpmac - 工具可以用来在系统对象上放置标签: + 工具可以用来在系统客体上放置标签: &prompt.root; setfmac /usr/home/trhodes lomac/high[low] &prompt.root; getfmac /usr/home/trhodes lomac/high[low] @@ -1677,7 +1680,7 @@ setpmac biba/10\(10-10\) /usr/local/etc/rc.d/nagios.sh forcestart/etc/rc.bsdextended 中, 并在系统初始化时加载; 但是, 其中的默认项可能需要进行一些改动。 因为这台机器只为获得了授权的用户提供服务, 因此除了最后两项之外, - 其它内容都应保持注释的状态。 这两项规则将默认强制加载属于用户的系统对象。 + 其它内容都应保持注释的状态。 这两项规则将默认强制加载属于用户的系统客体。 在这台机器上添加需要的用户并重新启动。 出于测试的目的, 请在两个控制台上分别以不同的用户身份登录。 @@ -1808,7 +1811,7 @@ setpmac biba/10\(10-10\) /usr/local/etc/rc.d/nagios.sh forcestartroot 是否使用了 su 来成为 joe。 这种情况下, Biba 完整性模型, - 就不会允许 root 查看在较低完整性级别中的对象。 + 就不会允许 root 查看在较低完整性级别中的客体。 -- cgit v1.2.3