FreeBSD 中文手册
FreeBSD 中文社区
  • FreeBSD 中文手册
  • 编辑日志
  • 译者说明
  • FreeBSD 中文手册
  • 概述
  • 前言
    • 致读者
    • 第四版
    • 第三版
    • 第二版(2004)
    • 第一版(2001)
    • 本书的组织结构
    • 本书中使用的一些约定
    • 致谢
  • 第一部分:快速开始
  • 第1章 简介
    • 1.1.概述
    • 1.2.欢迎来到 FreeBSD!
    • 1.3.关于 FreeBSD 项目
  • 第2章 安装 FreeBSD
    • 2.1.概述
    • 2.2.最低硬件要求
    • 2.3.安装前的准备工作
    • 2.4.开始安装
    • 2.5.使用 bsdinstall
    • 2.6.分配磁盘空间
    • 2.7.获取安装文件
    • 2.8.账户、时区、服务和安全
    • 2.9.故障排除
    • 2.10.使用 Live CD
  • 第3章 FreeBSD 基础
    • 3.1.概述
    • 3.2.虚拟控制台和终端
    • 3.3.用户和基本账户管理
    • 3.4.权限
    • 3.5.目录结构
    • 3.6.磁盘结构
    • 3.7.文件系统的挂载与卸载
    • 3.8.进程和守护进程
    • 3.9.Shell
    • 3.10.文本编辑器
    • 3.11.设备和设备节点
    • 3.12.手册页
  • 第4章 安装应用程序:软件包和 Ports
    • 4.1.概述
    • 4.2.软件安装的概述
    • 4.3.寻找所需的应用程序
    • 4.4.使用 pkg 管理二进制包
    • 4.5.使用 Ports
    • 4.6.使用 Poudriere 构建软件包
    • 4.7.安装后的注意事项
    • 4.8.如何处理损坏的 port
  • 第5章 X Window 系统
    • 5.1.概述
    • 5.2.安装 Xorg
    • 5.3.显卡驱动
    • 5.4.Xorg 配置
    • 5.5.在 X11 中使用字体
  • 第6章 FreeBSD 中的 Wayland
    • 6.1.简介
    • 6.2.Wayland 概述
    • 6.3.Wayfire 混成器
    • 6.4.Hikari 混成器
    • 6.5.Sway 混成器
    • 6.6.使用 Xwayland
    • 6.7.使用 VNC 进行远程连接
    • 6.8.Wayland 登录管理器
    • 6.9.实用工具
  • 第7章 网络
    • 7.1.概述
    • 7.2.设置网络
    • 7.3.有线网络
    • 7.4.无线网络
    • 7.5.主机名
    • 7.6.DNS
    • 7.7.故障排除
  • 第二部分:常见任务
  • 第8章 桌面环境
    • 8.1.概述
    • 8.2.桌面环境
    • 8.3.浏览器
    • 8.4.开发工具
    • 8.5.桌面办公应用
    • 8.6.文档阅读器
    • 8.7.财务
  • 第9章 多媒体
    • 9.1.概述
    • 9.2.设置声卡
    • 9.3.音频播放器
    • 9.4.视频播放器
    • 9.5.视频会议
    • 9.6.图像扫描仪
  • 第10章 配置 FreeBSD 内核
    • 10.1.概述
    • 10.2.为什么要构建定制内核
    • 10.3.浏览系统硬件
    • 10.4.配置文件
    • 10.5.构建并安装定制内核
    • 10.6.如果发生了错误
  • 第11章 打印
    • 11.1.快速入门
    • 11.2.连接打印机
    • 11.3.常见的页面描述语言(PDL)
    • 11.4.直接打印
    • 11.5.LPD(行式打印机程序)
    • 11.6.其他打印系统
  • 第12章 Linux 二进制兼容层
    • 12.1.概述
    • 12.2.配置 Linux 二进制兼容层
    • 12.3.Linux 用户空间
    • 12.4.高级主题
  • 第13章 WINE
    • 13.1.概述
    • 13.2.WINE 概述和概念
    • 13.3.在 FreeBSD 上安装 WINE
    • 13.4.在 FreeBSD 上运行第一个 WINE 程序
    • 13.5.配置 WINE 安装程序
    • 13.6.WINE 图形化用户管理界面
    • 13.7.多用户 FreeBSD 与 WINE
    • 13.8.FreeBSD 上的 WINE 常见问题
  • 第三部分:系统管理
  • 第14章 配置与优化
    • 14.1.概述
    • 14.2.配置文件
    • 14.3.管理 FreeBSD 中的服务
    • 14.4.Cron 和 Periodic
    • 14.5.配置系统日志
    • 14.6.电源和资源管理
    • 14.7.添加交换空间
  • 第15章 FreeBSD 的引导过程
    • 15.1.概述
    • 15.2.FreeBSD 的引导过程
    • 15.3.Device Hints
    • 15.4.关机流程
  • 第16章 安全
    • 16.1.概述
    • 16.2.简介
    • 16.3.账户安全
    • 16.4.入侵检测系统(IDS)
    • 16.5.安全等级
    • 16.6.文件标志位
    • 16.7.OpenSSH
    • 16.8.OpenSSL
    • 16.9.Kerberos
    • 16.10.TCP 封装器(TCP Wrapper)
    • 16.11.访问控制列表(ACL)
    • 16.12.Capsicum
    • 16.13.进程记账
    • 16.14.资源限制
    • 16.15.监控第三方安全问题
    • 16.16.FreeBSD 安全公告
  • 第17章 jail 与容器
    • 17.1.概述
    • 17.2.jail 的类型
    • 17.3.主机配置
    • 17.4.传统 jail(厚 jail)
    • 17.5.瘦 jail
    • 17.6.管理 jail
    • 17.7.更新 jail
    • 17.8.jail 资源限制
    • 17.9.jail 管理器与容器
  • 第18章 强制访问控制
    • 18.1.概述
    • 18.2.关键术语
    • 18.3.了解 MAC 标签
    • 18.4.规划安全配置
    • 18.5.可用的 MAC 策略
    • 18.6.用户锁定
    • 18.7.MAC Jail 中的 Nagios
    • 18.8.MAC 框架的故障排除
  • 第19章 安全事件审计
    • 19.1.概述
    • 19.2.关键术语
    • 19.3.审计配置
    • 19.4.使用审计跟踪
  • 第20章 存储
    • 20.1.概述
    • 20.2.添加磁盘
    • 20.3.调整和增加磁盘大小
    • 20.4.USB 存储设备
    • 20.5.创建和使用 CD
    • 20.6.创建和使用 DVD
    • 20.7.创建和使用软盘
    • 20.8.备份的基础知识
    • 20.9.内存盘
    • 20.10.文件系统快照
    • 20.11.磁盘配额
    • 20.12.加密磁盘分区
    • 20.13.加密交换分区
    • 20.14.高可用性存储(HAST)
  • 第21章 GEOM: 模块化磁盘转换框架
    • 21.1.概述
    • 21.2.RAID0——条带
    • 21.3.RAID1——镜像
    • 21.4.RAID3——带有专用奇偶校验的字节级条带
    • 21.5.软件 RAID 设备
    • 21.6.GEOM Gate 网络设备
    • 21.7.为磁盘设备添加卷标
    • 21.8.通过 GEOM 实现 UFS 日志
  • 第22章 Z 文件系统(ZFS)
    • 22.1.是什么使 ZFS 与众不同
    • 22.2.快速入门指南
    • 22.3.zpool 管理
    • 22.4.zfs 管理
    • 22.5.委托管理
    • 22.6.高级主题
    • 22.7.更多资源
    • 22.8.ZFS 特性和术语
  • 第23章 其他文件系统
    • 23.1.概述
    • 23.2.Linux® 文件系统
    • 23.3.Windows® 文件系统
    • 23.4.MacOS® 文件系统
  • 第24章 虚拟化
    • 24.1.概述
    • 24.2.使用 macOS® 上的 Parallels Desktop 安装 FreeBSD
    • 24.3.使用 macOS® 上的 VMware Fusion 安装 FreeBSD
    • 24.4.使用 VirtualBox™ 安装 FreeBSD
    • 24.5.在 FreeBSD 上安装 VirtualBox™
    • 24.6.使用 FreeBSD 上的 QEMU 虚拟化
    • 24.7.使用 FreeBSD 上的 bhyve 虚拟机
    • 24.8.基于 FreeBSD 的 Xen™ 虚拟机
  • 第25章 本地化——i18n/L10n 的使用和设置
    • 25.1.概述
    • 25.2.使用本地化
    • 25.3.寻找 i18n 应用程序
    • 25.4.特定语言的区域配置
  • 第26章 FreeBSD 更新与升级
    • 26.1.概述
    • 26.2.更新 FreeBSD
    • 26.3.更新 Bootcode
    • 26.4.更新文档
    • 26.5.追踪开发分支
    • 26.6.从源代码更新 FreeBSD
    • 26.7.多台机器的追踪
    • 26.8.在非 FreeBSD 主机上进行构建
  • 第27章 DTrace
    • 27.1.概述
    • 27.2.实现上的差异
    • 27.3.开启 DTrace 支持
    • 27.4.启用内核外部模块 DTrace
    • 27.5.使用 DTrace
  • 第28章 USB 设备模式/USB OTG
    • 28.1.概述
    • 28.2.USB 虚拟串行端口
    • 28.3.USB 设备模式网络接口
    • 28.4.USB 虚拟存储设备
  • 第四部分:网络通讯
  • 第29章 串行通信
    • 29.1.概述
    • 29.2.串行术语和硬件
    • 29.3.终端
    • 29.4.拨入服务
    • 29.5.拨出服务
    • 29.6.设置串行控制台
  • 第30章 PPP
    • 30.1.概述
    • 30.2.配置 PPP
    • 30.3.PPP 连接的故障排除
    • 30.4.使用以太网 PPP(PPPoE)
    • 30.5.使用 ATM 上的 PPP (PPPoA)
  • 第31章 电子邮件
    • 31.1.概述
    • 31.2.邮件组件
    • 31.3.DragonFly 邮件代理(DMA)
    • 31.4.Sendmail
    • 31.5.修改邮件传输代理
    • 31.6.邮件用户代理
    • 31.7.高级主题
  • 第32章 网络服务器
    • 32.1.概述
    • 32.2.inetd 超级服务器
    • 32.3.网络文件系统(NFS)
    • 32.4.网络信息系统(NIS)
    • 32.5.轻型目录访问协议(LDAP)
    • 32.6.动态主机设置协议(DHCP)
    • 32.7.域名系统(DNS)
    • 32.8.零配置网络(mDNS/DNS-SD)
    • 32.9.Apache HTTP 服务器
    • 32.10.文件传输协议(FTP)
    • 32.11.用于 Microsoft® Windows® 客户端的文件和打印服务(Samba)
    • 32.12.用 NTP 进行时钟同步
    • 32.13.iSCSI target 和 initiator 的配置
  • 第33章 防火墙
    • 33.1.概述
    • 33.2.防火墙的概念
    • 33.3.PF
    • 33.4.IPFW
    • 33.5.IPFILTER(IPF)
    • 33.6.Blacklistd
  • 第34章 高级网络
    • 34.1.概述
    • 34.2.网关和路由
    • 34.3.虚拟主机
    • 34.4.无线高级身份验证
    • 34.5.无线自组织(Ad-hoc)模式
    • 34.6.USB 网络共享
    • 34.7.蓝牙
    • 34.8.桥接
    • 34.9.链路聚合与故障转移
    • 34.10.使用 PXE 进行无盘操作
    • 34.11.共用地址冗余协议(CARP)
    • 34.12.VLAN
  • 第五部分:附录
  • 附录 A.获取 FreeBSD
    • A.1.镜像站
    • A.2.使用 Git
    • A.3.使用 Subversion
    • A.4.光盘
  • 附录 B.书目
    • B.1.FreeBSD 相关书籍
    • B.2.安全性参考文献
    • B.3.UNIX 历史
    • B.4.期刊与杂志
  • 附录 C.网络资源
    • C.1.网站
    • C.2.邮件列表
    • C.3.Usenet 新闻组
  • 附录 D.OpenPGP 密钥
    • D.1.官方成员
  • 术语表
  • 后记
由 GitBook 提供支持
在本页
  • 18.5.1. MAC See Other UID 策略
  • 18.5.2. MAC BSD Extended 策略
  • 18.5.3. MAC 接口静默策略
  • 18.5.4. MAC 端口访问控制列表策略
  • 18.5.5. MAC 分区策略
  • 18.5.6. MAC 多级安全模块
  • 18.5.7. MAC Biba 模块
  • 18.5.8. MAC Low-watermark 模块

这有帮助吗?

在GitHub上编辑
导出为 PDF
  1. 第18章 强制访问控制

18.5.可用的 MAC 策略

上一页18.4.规划安全配置下一页18.6.用户锁定

最后更新于6天前

这有帮助吗?

FreeBSD 中文社区

默认的 FreeBSD 内核包含 options MAC。这意味着每个与 MAC 框架一起提供的模块都可以通过 kldload 作为运行时内核模块加载。在测试模块后,将模块名称添加到 /boot/loader.conf 中,以便在引导时加载。对于选择自己编译内核的管理员,每个模块也提供了一个内核选项。

FreeBSD 包含一组可以覆盖大多数安全需求的策略。每个策略在下文中进行了总结。最后三个策略支持整数设置,可以替代三个默认标签。

18.5.1. MAC See Other UID 策略

模块名称:mac_seeotheruids.ko

内核配置行:options MAC_SEEOTHERUIDS

引导选项:mac_seeotheruids_load="YES"

模块扩展了 security.bsd.see_other_uids 和 security.bsd.see_other_gids sysctl 可调项。此选项在配置之前不需要设置任何标签,并且可以与其他模块透明地一起工作。

加载该模块后,可以使用以下 sysctl 可调项来控制其功能:

  • security.mac.seeotheruids.enabled 启用该模块并实施默认设置,拒绝用户查看由其他用户拥有的进程和套接字。

  • security.mac.seeotheruids.specificgid_enabled 允许指定的组免除此策略。要免除特定组,可以使用 security.mac.seeotheruids.specificgid=XXX sysctl 可调项,将 XXX 替换为要免除的数字组 ID。

  • security.mac.seeotheruids.primarygroup_enabled 用于免除特定的主组。使用此可调项时,不能设置 security.mac.seeotheruids.specificgid_enabled。

18.5.2. MAC BSD Extended 策略

模块名称:mac_bsdextended.ko

内核配置行:options MAC_BSDEXTENDED

引导选项:mac_bsdextended_load="YES"

# ugidfw list
0 slots, 0 rules

默认情况下,没有定义规则,所有内容都是完全可访问的。要创建一个规则,阻止所有用户的访问,但不影响 root:

# ugidfw add subject not uid root new object not uid root mode n

虽然此规则很简单,但它是一个非常糟糕的主意,因为它阻止了所有用户执行任何命令。一个更现实的示例是阻止 user1 对 user2 的主目录进行所有访问,包括目录列出:

# ugidfw set 2 subject uid user1 object uid user2 mode n
# ugidfw set 3 subject uid user1 object gid user2 mode n

除了 user1,还可以使用 not uid user2 来强制对所有用户实施相同的访问限制。然而,root 用户不受这些规则的影响。

注意

使用此模块时应极为小心,因为不正确的使用可能会阻止访问文件系统的某些部分。

18.5.3. MAC 接口静默策略

模块名称:mac_ifoff.ko

内核配置行:options MAC_IFOFF

引导选项:mac_ifoff_load="YES"

该模块的大部分控制是通过以下 sysctl 可调项来完成的:

  • security.mac.ifoff.other_enabled 启用或禁用所有其他接口上的流量。

18.5.4. MAC 端口访问控制列表策略

模块名称:mac_portacl.ko

内核配置行:MAC_PORTACL

引导选项:mac_portacl_load="YES"

加载该模块后,会在所有套接字上启用 MAC 策略。以下可调项可用:

  • security.mac.portacl.enabled 启用或禁用整个策略。

  • security.mac.portacl.suser_exempt 当设置为非零值时,免除 root 用户不受此策略的影响。

  • security.mac.portacl.rules 指定策略的文本字符串,形式为 rule[,rule,…],规则的数量可以根据需要进行调整,每个规则的形式为 idtype:id:protocol:port。idtype 可以是 uid 或 gid,protocol 参数可以是 tcp 或 udp,port 参数是允许指定用户或组绑定的端口号。用户 ID、组 ID 和端口参数只能使用数字值。

默认情况下,1024 以下的端口只能由以 root 身份运行的特权进程使用。为了允许非特权进程绑定到低于 1024 的端口,可以按如下方式设置以下可调项:

# sysctl security.mac.portacl.port_high=1023
# sysctl net.inet.ip.portrange.reservedlow=0
# sysctl net.inet.ip.portrange.reservedhigh=0

为了防止 root 用户受此策略的影响,将 security.mac.portacl.suser_exempt 设置为非零值:

# sysctl security.mac.portacl.suser_exempt=1

要允许 www 用户(UID 为 80)在不需要 root 权限的情况下绑定到端口 80:

# sysctl security.mac.portacl.rules=uid:80:tcp:80

以下示例允许 UID 为 1001 的用户绑定到 TCP 端口 110(POP3)和 995(POP3s):

# sysctl security.mac.portacl.rules=uid:1001:tcp:110,uid:1001:tcp:995

18.5.5. MAC 分区策略

模块名称:mac_partition.ko

内核配置行:options MAC_PARTITION

引导选项:mac_partition_load="YES"

  • security.mac.partition.enabled 启用或禁用 MAC 进程分区的执行。

启用此策略时,用户只能看到自己的进程以及自己所在分区内的进程,无法使用超出该分区范围的实用程序。例如,属于 insecure 类别的用户将无法访问 top,以及许多其他必须生成进程的命令。

以下示例将 top 命令添加到 insecure 类用户的标签集中。所有由 insecure 类用户生成的进程将保持在 partition/13 标签中:

# setpmac partition/13 top

此命令显示分区标签和进程列表:

# ps Zax

此命令显示另一个用户的进程分区标签以及该用户当前运行的进程:

# ps -ZU trhodes

注意

18.5.6. MAC 多级安全模块

模块名称:mac_mls.ko

内核配置行:options MAC_MLS

引导选项:mac_mls_load="YES"

在 MLS 环境中,每个主体或对象的标签中都会设置一个“许可”级别,以及相应的隔离区。由于这些许可级别可以达到数千的数量,配置每个主体或对象可能会变得非常繁琐。为简化管理员的工作,政策中包含了三个标签:mls/low、mls/equal 和 mls/high,它们的定义如下:

  • 标有 mls/low 的对象具有低的许可级别,并且不允许访问更高许可级别的信息。此标签还防止更高许可级别的对象向较低许可级别的对象写入或传递信息。

  • mls/equal 应该用于那些应豁免于该政策的对象。

  • mls/high 是可能的最高许可级别。分配此标签的对象将对系统中的所有其他对象具有支配权;然而,它们不会允许信息泄露到较低级别的对象。

MLS 提供:

  • 一个具有非层次类别集的层次安全级别。

  • 固定的 no read up, no write down 规则。这意味着主体可以读取其自身级别或以下的对象,但不能读取更高的对象。同样,主体可以写入其自身级别或以上的对象,但不能写入较低级别的对象。

  • 保密性,或防止不当泄露数据。

  • 为处理具有多个敏感级别的数据的系统提供了设计基础,确保机密与保密信息之间不发生信息泄漏。

以下是可用的 sysctl 可调项:

  • security.mac.mls.enabled 用于启用或禁用 MLS 策略。

  • security.mac.mls.revocation_enabled 在对象的标签更改为较低级别的标签后,撤销对该对象的访问。

  • security.mac.mls.max_compartments 设置系统上允许的最大隔离级别数。

# setfmac mls/5 test

要获取文件 test 的 MLS 标签:

# getfmac test

另一种方法是创建一个主策略文件 /etc/,该文件指定 MLS 策略信息,并将该文件传递给 setfmac。

使用 MLS 策略模块时,管理员计划控制敏感信息的流动。默认的 block read up block write down 将所有信息设置为低级别。所有信息都是可访问的,管理员会逐步增加信息的保密性。

除了三个基本标签选项外,管理员还可以根据需要将用户和组分组,以阻止它们之间的信息流动。可以通过使用描述性词语(如 Confidential、Secret 和 Top Secret)来查看许可级别中的信息。一些管理员会根据项目级别创建不同的组。无论采用何种分类方法,都必须在实施限制性政策之前制定出合理的计划。

MLS 策略模块的一些示例应用场景包括电子商务 Web 服务器、存储关键公司信息的文件服务器以及金融机构环境。

18.5.7. MAC Biba 模块

模块名称:mac_biba.ko

内核配置行:options MAC_BIBA

引导选项:mac_biba_load="YES"

在 Biba 环境中,每个主体或对象都会设置一个“完整性”标签。这些标签由分层的等级和非分层的组件组成。随着等级的升高,其完整性也会提高。

支持的标签有 biba/low、biba/equal 和 biba/high,具体如下:

  • biba/low 被认为是主体或对象可能拥有的最低完整性。将其设置在对象或主体上会阻止它们写入标记为 biba/high 的对象或主体,但不会阻止读取访问。

  • biba/equal 应该只用于那些被认为豁免于该政策的对象。

  • biba/high 允许写入低标签的对象,但不允许读取该对象。建议将此标签用于影响整个系统完整性的对象。

Biba 提供:

  • 具有一组非层次完整性类别的层次完整性级别。

  • 固定规则为 no write up, no read down,与 MLS 相反。主体可以写入其自身级别或以下的对象,但不能写入更高的对象。同样,主体可以读取其自身级别或以上的对象,但不能读取较低级别的对象。

  • 通过防止数据的不当修改来确保完整性。

  • 使用完整性级别,而不是 MLS 敏感性级别。

以下可调项可用于操作 Biba 策略:

  • security.mac.biba.enabled 用于启用或禁用在目标机器上执行 Biba 策略。

  • security.mac.biba.revocation_enabled 强制在标签变化为主导主体时撤销对对象的访问。

要访问系统对象上的 Biba 策略设置,使用 setfmac 和 getfmac:

# setfmac biba/low test
# getfmac test
test: biba/low

在初始规划阶段,管理员必须准备好将用户划分为等级、级别和区域。启用此策略模块后,系统将默认设置为高标签,管理员需要配置不同的等级和级别。除了使用许可级别外,一个好的规划方法可以是使用主题。例如,仅允许开发人员修改源代码仓库、源代码编译器和其他开发工具。其他用户可以分组为测试人员、设计人员或最终用户,并仅被允许访问读取权限。

较低完整性的主体无法写入较高完整性的主体,而较高完整性的主体无法列出或读取较低完整性的对象。将标签设置为最低等级可能会使对象无法访问。该安全策略模块的一些应用环境包括受限的 Web 服务器、开发与测试机器以及源代码仓库。较不常见的应用场景包括个人工作站、路由器或网络防火墙。

18.5.8. MAC Low-watermark 模块

模块名称:mac_lomac.ko

内核配置行:options MAC_LOMAC

引导选项:mac_lomac_load="YES"

低水位完整性策略几乎与 Biba 相同,唯一的不同是使用浮动标签来支持通过辅助等级分区对主体进行降级。这个次级分区的形式是 [auxgrade]。当为带有辅助等级的策略分配标签时,使用语法 lomac/10[2],其中 2 为辅助等级。

该策略依赖于所有系统对象使用完整性标签的普遍标记,允许主体从低完整性对象读取,然后通过 [auxgrade] 将标签降级,以防止未来对高完整性对象进行写操作。该策略可能提供更好的兼容性,并且比 Biba 策略需要更少的初始配置。

像 Biba 和 MLS 策略一样,setfmac 和 setpmac 用于将标签应用于系统对象:

# setfmac /usr/home/trhodes lomac/high[low]
# getfmac /usr/home/trhodes lomac/high[low]

辅助等级 low 是 MACLOMAC 策略专有的功能。

模块强制实施文件系统防火墙。它扩展了标准的文件系统权限模型,允许管理员创建类似防火墙的规则集来保护文件、工具和目录的文件系统层次结构。当尝试访问文件系统对象时,规则列表会依次遍历,直到找到匹配的规则或遍历到末尾。可以使用 security.mac.bsdextended.firstmatch_enabled 更改此行为。与 FreeBSD 中的其他防火墙模块类似,可以创建一个包含访问控制规则的文件,并通过 变量在启动时读取该文件。

规则列表可以使用 进行输入,语法类似于 。更多工具可以通过使用 库中的函数编写。

加载 模块后,可以使用以下命令列出当前的规则配置:

模块用于实时禁用网络接口,并防止在系统启动期间启用网络接口。它不使用标签,并且不依赖于任何其他 MAC 模块。

security.mac.ifoff.lo_enabled 启用或禁用所有环回 接口的流量。

security.mac.ifoff.bpfrecv_enabled 启用或禁用所有 Berkeley 数据包过滤器接口 的流量。

的一个常见用途是在不允许网络流量通过启动序列的环境中进行网络监控。另一个用法是编写一个脚本,使用如 之类的应用程序,自动阻止网络流量,如果它发现受保护目录中的新文件或被更改的文件。

模块用于限制本地 TCP 和 UDP 端口的绑定,使得非 root 用户能够绑定到指定的特权端口(低于 1024)。

security.mac.portacl.port_high 设置 所保护的最高端口号。

策略根据进程的 MAC 标签将其划分到特定的“分区”中。大部分配置通过 完成。此策略有一个可调项:

用户可以查看 root 标签中的进程,除非加载了 策略。

策略通过执行严格的信息流策略来控制系统中主体与对象之间的访问。

security.mac.mls.ptys_equal 在创建时将所有 设备标记为 mls/equal。

要操作 MLS 标签,请使用 。要为对象分配标签:

模块加载了 MAC Biba 策略。此策略与 MLS 策略类似,唯一不同的是信息流的规则稍微相反。MAC Biba 策略用于防止敏感信息向下流动,而 MLS 策略则防止敏感信息向上流动。

security.mac.biba.ptys_equal 用于禁用 设备上的 Biba 策略。

完整性与敏感性不同,用于保证信息不被不可信方篡改。这包括主体与对象之间传递的信息。它确保用户只能修改或访问他们被明确授权的信息。 安全策略模块允许管理员配置用户可以查看和调用的文件和程序,同时确保这些程序和文件对该用户是系统信任的。

与 MAC Biba 策略不同, 策略仅在将完整性级别降低后,允许访问较低完整性的对象,以免破坏任何完整性规则。

mac_seeotheruids(4)
mac_bsdextended(4)
rc.conf(5)
ugidfw(8)
ipfw(8)
libugidfw(3)
mac_bsdextended(4)
mac_ifoff(4)
lo(4)
bpf(4)
mac_ifoff(4)
security/aide
mac_portacl(4)
mac_portacl(4)
mac_partition(4)
setpmac(8)
mac_seeotheruids(4)
mac_mls(4)
pty(4)
setfmac(8)
mac_biba(4)
pty(4)
mac_biba(4)
mac_lomac(4)