# 18.2.关键术语 以下是与 MAC 框架相关的关键术语: * **compartment(隔离区)**:一组程序和数据需要进行分区或分隔,在这里,用户可以明确访问系统的特定组件。隔离区代表一种分组,例如工作组、部门、项目或主题。隔离区使得基于需要知道的安全策略得以实施。 * **integrity(完整性)**:可以信任数据的程度。随着数据完整性的提升,信任这些数据的能力也随之增加。 * **level(级别)**:安全属性的增加或减少设置。随着级别的提升,其安全性也被认为会提升。 * **label(标签)**:可以应用于文件、目录或系统中其他项的安全属性。它可以视为一种机密性标记。当一个标签被放置到文件上时,它描述了该文件的安全属性,并且只允许具有类似安全设置的文件、用户和资源进行访问。标签值的意义和解释取决于策略配置。有些策略将标签视为表示对象的完整性或保密性,而其他策略则可能使用标签来保存访问控制规则。 * **multilabel(多标签)**:这是一个文件系统选项,可以在单用户模式下使用 [tunefs(8)](https://man.freebsd.org/cgi/man.cgi?query=tunefs\&sektion=8\&format=html)、在启动时使用 [fstab(5)](https://man.freebsd.org/cgi/man.cgi?query=fstab\&sektion=5\&format=html),或者在创建新文件系统时设置。此选项允许管理员在不同对象上应用不同的 MAC 标签。该选项仅适用于支持标签的安全策略模块。 * **single label(单标签)**:一种策略,其中整个文件系统使用一个标签来执行对数据流的访问控制。当未设置 `multilabel` 时,所有文件将遵循相同的标签设置。 * **object(对象)**:一个通过 **subject(主体)** 引导信息流动的实体。这包括目录、文件、字段、屏幕、键盘、内存、磁盘存储、打印机或任何其他数据存储或移动设备。对象是数据容器或系统资源。访问一个对象实质上意味着访问其数据。 * **subject(主体)**:任何引导信息在 **objects(对象)** 之间流动的活动实体,例如用户、用户进程或系统进程。在 FreeBSD 上,这几乎总是代表用户的进程中的线程。 * **policy(策略)**:一组定义如何达成目标的规则。策略通常记录如何处理特定项目。本章将策略视为一组控制数据和信息流动的规则,并定义谁可以访问这些数据和信息。 * **high-watermark(高水位标记)**:这种类型的策略允许提升安全级别以便访问更高等级的信息。在大多数情况下,处理完成后会恢复原来的级别。目前,FreeBSD 的 MAC 框架不包含此类策略。 * **low-watermark(低水位标记)**:这种类型的策略允许降低安全级别以便访问较不安全的信息。在大多数情况下,处理完成后会恢复用户的原始安全级别。FreeBSD 中唯一使用此类策略的安全策略模块是 [mac\_lomac(4)](https://man.freebsd.org/cgi/man.cgi?query=mac_lomac\&sektion=4\&format=html)。 * **sensitivity(敏感性)**:通常用于讨论多级安全(MLS)。敏感性级别描述数据应该多么重要或机密。随着敏感性级别的提升,数据的保密性或机密性的重要性也随之增加。 --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://handbook.bsdcn.org/di-18-zhang-qiang-zhi-fang-wen-kong-zhi/18.2.-guan-jian-shu-yu.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.