diff options
Diffstat (limited to 'mn_MN.UTF-8/books/handbook/mac/chapter.sgml')
| -rw-r--r-- | mn_MN.UTF-8/books/handbook/mac/chapter.sgml | 1746 |
1 files changed, 873 insertions, 873 deletions
diff --git a/mn_MN.UTF-8/books/handbook/mac/chapter.sgml b/mn_MN.UTF-8/books/handbook/mac/chapter.sgml index 91e6a1e809..f83ab52c7a 100644 --- a/mn_MN.UTF-8/books/handbook/mac/chapter.sgml +++ b/mn_MN.UTF-8/books/handbook/mac/chapter.sgml @@ -36,57 +36,57 @@ <see>MAC</see> </indexterm> - <para>&os; 5.X нь &posix;.1e ноорог дээр тулгуурласан TrustedBSD төслийн - аюулгүй байдлын шинэ өргөтгөлүүдийг танилцуулсан. Хамгийн чухал аюулгүй байдлын - шинэ арга замуудын хоёр нь файлын системийн Access Control Lists буюу - Хандалтын Хяналтын Жагсаалтууд (<acronym>ACL</acronym>-үүд) болон - Mandatory Access Control (<acronym>MAC</acronym>) буюу - Албадмал Хандалтын Хяналт боломжууд юм. Албадмал Хандалтын Хяналт нь аюулгүй байдлын - шинэ бодлогуудыг бий болгож хандалтын хяналтын модулиудыг ачаалах боломжийг олгодог. - Зарим нь тухайн үйлчилгээг хатуужуулж системийн нарийн дэд олонлогуудын хамгаалалтуудыг - хангадаг. Бусад нь хаяглагдсан, олон талын аюулгүй байдлыг бүх субьект болон - обьектуудын хувьд хангадаг байна. Тодорхойлолтын албадмал буюу зайлшгүй шаардлагатай - гэж хэлсэн хэсэг нь хяналтуудын албадлагыг администраторууд болон систем - хийдэг бөгөөд discretionary access control (<acronym>DAC</acronym>, - &os; дээрх стандарт файл болон System V <acronym>IPC</acronym> зөвшөөрлүүд) - буюу тусдаа байх хандалтын хяналтаар хийгддэг шиг хэрэглэгчээр өөрөөр нь хийлгэдэггүй гэсэн + <para>&os; 5.X нь &posix;.1e ноорог дээр тулгуурласан TrustedBSD төслийн + аюулгүй байдлын шинэ өргөтгөлүүдийг танилцуулсан. Хамгийн чухал аюулгүй байдлын + шинэ арга замуудын хоёр нь файлын системийн Access Control Lists буюу + Хандалтын Хяналтын Жагсаалтууд (<acronym>ACL</acronym>-үүд) болон + Mandatory Access Control (<acronym>MAC</acronym>) буюу + Албадмал Хандалтын Хяналт боломжууд юм. Албадмал Хандалтын Хяналт нь аюулгүй байдлын + шинэ бодлогуудыг бий болгож хандалтын хяналтын модулиудыг ачаалах боломжийг олгодог. + Зарим нь тухайн үйлчилгээг хатуужуулж системийн нарийн дэд олонлогуудын хамгаалалтуудыг + хангадаг. Бусад нь хаяглагдсан, олон талын аюулгүй байдлыг бүх субьект болон + обьектуудын хувьд хангадаг байна. Тодорхойлолтын албадмал буюу зайлшгүй шаардлагатай + гэж хэлсэн хэсэг нь хяналтуудын албадлагыг администраторууд болон систем + хийдэг бөгөөд discretionary access control (<acronym>DAC</acronym>, + &os; дээрх стандарт файл болон System V <acronym>IPC</acronym> зөвшөөрлүүд) + буюу тусдаа байх хандалтын хяналтаар хийгддэг шиг хэрэглэгчээр өөрөөр нь хийлгэдэггүй гэсэн үг юм.</para> - <para>Энэ бүлэг Mandatory Access Control Framework (<acronym>MAC</acronym> Framework) - буюу Албадмал Хандалтын Хяналт Тогтолцоо болон залгагдаж болох аюулгүй байдлын бодлогын модулиудын - олонлогт анхаарлаа төвлөрүүлж төрөл бүрийн аюулгүй байдлын арга замуудыг идэвхжүүлэх + <para>Энэ бүлэг Mandatory Access Control Framework (<acronym>MAC</acronym> Framework) + буюу Албадмал Хандалтын Хяналт Тогтолцоо болон залгагдаж болох аюулгүй байдлын бодлогын модулиудын + олонлогт анхаарлаа төвлөрүүлж төрөл бүрийн аюулгүй байдлын арга замуудыг идэвхжүүлэх болно.</para> <para>Энэ бүлгийг уншсаны дараа, та дараах зүйлсийг мэдэх болно:</para> <itemizedlist> <listitem> - <para>Одоогоор &os;-д ямар ямар аюулгүй байдлын <acronym>MAC</acronym> + <para>Одоогоор &os;-д ямар ямар аюулгүй байдлын <acronym>MAC</acronym> бодлогын модулиуд орсон болон тэдгээртэй холбоотой арга замуудын талаар.</para> </listitem> <listitem> - <para>Аюулгүй байдлын <acronym>MAC</acronym> бодлогын модулиуд юу шийддэг + <para>Аюулгүй байдлын <acronym>MAC</acronym> бодлогын модулиуд юу шийддэг болон хаяглагдсан болон хаяглагдаагүй бодлогын хоорондын ялгааны талаар.</para> </listitem> <listitem> - <para>Системийг хэрхэн үр ашигтайгаар <acronym>MAC</acronym> тогтолцоог + <para>Системийг хэрхэн үр ашигтайгаар <acronym>MAC</acronym> тогтолцоог ашиглахаар тохируулах талаар.</para> </listitem> <listitem> - <para><acronym>MAC</acronym> тогтолцоонд орсон аюулгүй байдлын өөр өөр + <para><acronym>MAC</acronym> тогтолцоонд орсон аюулгүй байдлын өөр өөр бодлогын модулиудыг хэрхэн тохируулах талаар.</para> </listitem> <listitem> - <para><acronym>MAC</acronym> тогтолцоо болон үзүүлсэн жишээнүүдийг ашиглан + <para><acronym>MAC</acronym> тогтолцоо болон үзүүлсэн жишээнүүдийг ашиглан илүү аюулгүй орчинг хэрхэн бий болгох талаар.</para> </listitem> <listitem> - <para>Тогтолцоо зөв хийгдсэнийг шалгахын тулд <acronym>MAC</acronym> тохиргоог + <para>Тогтолцоо зөв хийгдсэнийг шалгахын тулд <acronym>MAC</acronym> тохиргоог хэрхэн тест хийх талаар.</para> </listitem> </itemizedlist> @@ -100,44 +100,44 @@ </listitem> <listitem> - <para>Цөмийн тохиргоо/эмхэтгэлийн (<xref linkend="kernelconfig"/>) + <para>Цөмийн тохиргоо/эмхэтгэлийн (<xref linkend="kernelconfig"/>) үндсүүдтэй танилцсан байх.</para> </listitem> <listitem> - <para>Аюулгүй байдалтай танилцаж энэ нь &os;-д хэрхэн хамааралтай + <para>Аюулгүй байдалтай танилцаж энэ нь &os;-д хэрхэн хамааралтай болохыг мэдэх (<xref linkend="security"/>).</para> </listitem> </itemizedlist> <warning> - <para>Энд байгаа мэдээллийг буруу ашиглавал системд хандаж чадахгүй - болгох, хэрэглэгчдийн доройтол эсвэл X11-ийн хангадаг боломжуудад хандаж - чадахгүйд хүргэж болох юм. Хамгийн чухал нь <acronym>MAC</acronym> нь - системийг бүр мөсөн аюулгүй болгоно гэж найдаж болохгүй юм. <acronym>MAC</acronym> - тогтолцоо нь байгаа аюулгүй байдлын бодлогыг зөвхөн сайжруулдаг; - аюулгүй байдлын сайн практикгүй, байнгын аюулгүй байдлын шалгалтгүйгээр + <para>Энд байгаа мэдээллийг буруу ашиглавал системд хандаж чадахгүй + болгох, хэрэглэгчдийн доройтол эсвэл X11-ийн хангадаг боломжуудад хандаж + чадахгүйд хүргэж болох юм. Хамгийн чухал нь <acronym>MAC</acronym> нь + системийг бүр мөсөн аюулгүй болгоно гэж найдаж болохгүй юм. <acronym>MAC</acronym> + тогтолцоо нь байгаа аюулгүй байдлын бодлогыг зөвхөн сайжруулдаг; + аюулгүй байдлын сайн практикгүй, байнгын аюулгүй байдлын шалгалтгүйгээр систем хэзээ ч бүрэн аюулгүй байж чадахгүй.</para> - <para>Мөн энэ бүлгийн хүрээнд байгаа жишээнүүд нь зөвхөн жишээнүүд гэдгийг - тэмдэглэх ёстой юм. Ялангуяа эдгээр тухайлсан тохиргоонуудыг жинхэнэ систем - дээр хэрэглэхийг зөвлөдөггүй. Төрөл бүрийн аюулгүй байдлын бодлогын - модулиудыг бүтээх нь ихээхэн бодолт болон тест хийхийг шаарддаг. Бүгд хэрхэн - яаж ажилладгийг бүрэн ойлгоогүй хүнийн хувьд бүхэл системийг дахин үзэж + <para>Мөн энэ бүлгийн хүрээнд байгаа жишээнүүд нь зөвхөн жишээнүүд гэдгийг + тэмдэглэх ёстой юм. Ялангуяа эдгээр тухайлсан тохиргоонуудыг жинхэнэ систем + дээр хэрэглэхийг зөвлөдөггүй. Төрөл бүрийн аюулгүй байдлын бодлогын + модулиудыг бүтээх нь ихээхэн бодолт болон тест хийхийг шаарддаг. Бүгд хэрхэн + яаж ажилладгийг бүрэн ойлгоогүй хүнийн хувьд бүхэл системийг дахин үзэж олон файлууд эсвэл сангуудыг дахин тохируулахад хүргэж болох юм.</para> </warning> <sect2> <title>Юуг хэлэлцэхгүй вэ</title> - <para>Энэ бүлэг нь <acronym>MAC</acronym> тогтолцоотой холбоотой өргөн хүрээний - аюулгүй байдлын асуудлуудыг хамардаг. Шинэ <acronym>MAC</acronym> аюулгүй - байдлын бодлогын модулиудыг хөгжүүлэх талаар хэлэлцэхгүй болно. - <acronym>MAC</acronym> тогтолцоонд орсон хэд хэдэн аюулгүй байдлын бодлогын - модулиуд нь тусгай онцлогуудтай бөгөөд эдгээр нь тест хийх болон шинэ модуль хөгжүүлэхэд - зориулагдсан юм. Эдгээрт &man.mac.test.4;, &man.mac.stub.4; болон - &man.mac.none.4; орно. Эдгээр аюулгүй байдлын бодлогын модулиудын талаар - болон тэдгээрийн хангадаг төрөл бүрийн арга замуудын талаар дэлгэрэнгүй мэдээллийг + <para>Энэ бүлэг нь <acronym>MAC</acronym> тогтолцоотой холбоотой өргөн хүрээний + аюулгүй байдлын асуудлуудыг хамардаг. Шинэ <acronym>MAC</acronym> аюулгүй + байдлын бодлогын модулиудыг хөгжүүлэх талаар хэлэлцэхгүй болно. + <acronym>MAC</acronym> тогтолцоонд орсон хэд хэдэн аюулгүй байдлын бодлогын + модулиуд нь тусгай онцлогуудтай бөгөөд эдгээр нь тест хийх болон шинэ модуль хөгжүүлэхэд + зориулагдсан юм. Эдгээрт &man.mac.test.4;, &man.mac.stub.4; болон + &man.mac.none.4; орно. Эдгээр аюулгүй байдлын бодлогын модулиудын талаар + болон тэдгээрийн хангадаг төрөл бүрийн арга замуудын талаар дэлгэрэнгүй мэдээллийг гарын авлагын хуудаснуудаас лавлана уу.</para> </sect2> </sect1> @@ -145,124 +145,124 @@ <sect1 id="mac-inline-glossary"> <title>Энэ бүлэг дэх түлхүүр ухагдахуунууд</title> - <para>Энэ бүлгийг уншихаасаа өмнө хэд хэдэн түлхүүр ухагдахуунуудыг - тайлбарлах ёстой. Энэ нь учирч болох ямар нэг эндүүрлийг цэгцэлж + <para>Энэ бүлгийг уншихаасаа өмнө хэд хэдэн түлхүүр ухагдахуунуудыг + тайлбарлах ёстой. Энэ нь учирч болох ямар нэг эндүүрлийг цэгцэлж шинэ ухагдахуунууд болон мэдээллийн огцом танилцуулгаас зайлсхийх болно гэж найдаж байна.</para> <itemizedlist> <listitem> - <para><emphasis>compartment</emphasis> буюу тасалгаа: Тасалгаа нь - хэрэглэгчдэд системийн тусгай бүрэлдэхүүн хэсгүүдэд хандах хандалтыг өгдөг - хуваагдах эсвэл тусгаарлагдах програмууд болон өгөгдлийн олонлог юм. - Мөн тасалгаа нь ажлын групп, хэлтэс, төсөл эсвэл сэдэв зэрэг бүлэглэлийг - илэрхийлдэг. Тасалгаануудыг ашиглан мэдэх хэрэгтэй аюулгүй байдлын + <para><emphasis>compartment</emphasis> буюу тасалгаа: Тасалгаа нь + хэрэглэгчдэд системийн тусгай бүрэлдэхүүн хэсгүүдэд хандах хандалтыг өгдөг + хуваагдах эсвэл тусгаарлагдах програмууд болон өгөгдлийн олонлог юм. + Мөн тасалгаа нь ажлын групп, хэлтэс, төсөл эсвэл сэдэв зэрэг бүлэглэлийг + илэрхийлдэг. Тасалгаануудыг ашиглан мэдэх хэрэгтэй аюулгүй байдлын бодлогыг хийж гүйцэтгэх боломжтой байдаг.</para> </listitem> <listitem> - <para><emphasis>high water mark</emphasis> буюу өндөр - түвшин: Өндөр түвшин бодлого нь өндөр түвшний мэдээлэлд хандах зорилгоор - аюулгүй байдлын түвшнүүдийг дээшлүүлэхийг зөвшөөрдөг бодлого юм. - Ихэнх тохиолдолд процесс дууссаны дараа анхдагч түвшин сэргээгддэг. - Одоогоор &os; <acronym>MAC</acronym> тогтолцоо нь үүнд зориулсан + <para><emphasis>high water mark</emphasis> буюу өндөр + түвшин: Өндөр түвшин бодлого нь өндөр түвшний мэдээлэлд хандах зорилгоор + аюулгүй байдлын түвшнүүдийг дээшлүүлэхийг зөвшөөрдөг бодлого юм. + Ихэнх тохиолдолд процесс дууссаны дараа анхдагч түвшин сэргээгддэг. + Одоогоор &os; <acronym>MAC</acronym> тогтолцоо нь үүнд зориулсан бодлогогүй, гэхдээ бүрэн бүтэн байдлын үүднээс тодорхойлолт нь оржээ.</para> </listitem> <listitem> - <para><emphasis>integrity</emphasis> буюу бүрэн бүтэн байдал: Бүрэн - бүтэн байдал нь түлхүүр ойлголт бөгөөд өгөгдөлд тавигдаж болох итгэмжлэлийн - түвшин юм. Өгөгдлийн бүрэн бүтэн байдал дээшлэх тусам тэр өгөгдөлд итгэх + <para><emphasis>integrity</emphasis> буюу бүрэн бүтэн байдал: Бүрэн + бүтэн байдал нь түлхүүр ойлголт бөгөөд өгөгдөлд тавигдаж болох итгэмжлэлийн + түвшин юм. Өгөгдлийн бүрэн бүтэн байдал дээшлэх тусам тэр өгөгдөлд итгэх чадвар бас дээшилдэг.</para> </listitem> <listitem> - <para><emphasis>label</emphasis> буюу хаяг/шошго: Хаяг/шошго нь - файлууд, сангууд эсвэл систем дэх бусад зүйлсэд хамааруулж болох - аюулгүй байдлын шинж чанар юм. Энэ нь итгэмжлэлийн тамга гэгдэж - болно; хаяг/шошго файлд тавигдсан бол тэр файлын аюулгүй байдлын - өмчүүдийг тайлбарлах бөгөөд зөвхөн ижил аюулгүй байдлын тохиргоотой - файлууд, хэрэглэгчид, эх үүсвэрүүд гэх зэргээс хандалтыг зөвшөөрөх - болно. Хаяг/шошгоны утгуудын утга санаа болон тайлбар нь - бодлогын тохиргооноос хамаардаг: зарим бодлогууд нь хаяг/шошгыг - обьектийн бүрэн бүтэн байдал эсвэл нууцгай байдал гэж ойлгодог бол - бусад бодлогууд хаяг/шошгыг хандалт хийхийн тулд дүрмүүдийг агуулахад + <para><emphasis>label</emphasis> буюу хаяг/шошго: Хаяг/шошго нь + файлууд, сангууд эсвэл систем дэх бусад зүйлсэд хамааруулж болох + аюулгүй байдлын шинж чанар юм. Энэ нь итгэмжлэлийн тамга гэгдэж + болно; хаяг/шошго файлд тавигдсан бол тэр файлын аюулгүй байдлын + өмчүүдийг тайлбарлах бөгөөд зөвхөн ижил аюулгүй байдлын тохиргоотой + файлууд, хэрэглэгчид, эх үүсвэрүүд гэх зэргээс хандалтыг зөвшөөрөх + болно. Хаяг/шошгоны утгуудын утга санаа болон тайлбар нь + бодлогын тохиргооноос хамаардаг: зарим бодлогууд нь хаяг/шошгыг + обьектийн бүрэн бүтэн байдал эсвэл нууцгай байдал гэж ойлгодог бол + бусад бодлогууд хаяг/шошгыг хандалт хийхийн тулд дүрмүүдийг агуулахад ашиглаж болох юм.</para> </listitem> <listitem> - <para><emphasis>level</emphasis> буюу түвшин: Аюулгүй байдлын - шинж чанарын ихэсгэсэн эсвэл багасгасан тохиргоо. Түвшин ихсэх тусам + <para><emphasis>level</emphasis> буюу түвшин: Аюулгүй байдлын + шинж чанарын ихэсгэсэн эсвэл багасгасан тохиргоо. Түвшин ихсэх тусам түүний аюулгүй байдал бас дээшилнэ гэж үздэг.</para> </listitem> <listitem> - <para><emphasis>low water mark</emphasis> буюу доод түвшин: Доод - түвшин нь тийм ч аюулгүй биш мэдээлэлд хандахын тулд аюулгүй байдлын - түвшингүүдийг доошлуулахыг зөвшөөрдөг бодлого юм. Ихэнх тохиолдолд - процесс дууссаны дараа хэрэглэгчийн анхдагч аюулгүй байдлын түвшин сэргээгддэг. - &os;-д үүнийг ашигладаг цорын ганц аюулгүй байдлын бодлогын модуль бол + <para><emphasis>low water mark</emphasis> буюу доод түвшин: Доод + түвшин нь тийм ч аюулгүй биш мэдээлэлд хандахын тулд аюулгүй байдлын + түвшингүүдийг доошлуулахыг зөвшөөрдөг бодлого юм. Ихэнх тохиолдолд + процесс дууссаны дараа хэрэглэгчийн анхдагч аюулгүй байдлын түвшин сэргээгддэг. + &os;-д үүнийг ашигладаг цорын ганц аюулгүй байдлын бодлогын модуль бол &man.mac.lomac.4; юм.</para> </listitem> <listitem> - <para><emphasis>multilabel</emphasis> буюу олон хаяг/шошго: - <option>multilabel</option> өмч нь ганц хэрэглэгчийн горимд - &man.tunefs.8; хэрэгсэл, ачаалалтын үйлдлүүдийн үед - эсвэл шинэ файлын систем үүсгэх үед &man.fstab.5; файл ашиглан - тохируулж болох файлын системийн тохируулга юм. Энэ тохируулга нь - өөр өөр обьектуудад өөр өөр <acronym>MAC</acronym> хаяг/шошгонуудыг - хамааруулахыг администраторт зөвшөөрөх болно. Энэ тохируулга нь - хаяглалтыг дэмждэг аюулгүй байдлын бодлогын модулиудад зөвхөн + <para><emphasis>multilabel</emphasis> буюу олон хаяг/шошго: + <option>multilabel</option> өмч нь ганц хэрэглэгчийн горимд + &man.tunefs.8; хэрэгсэл, ачаалалтын үйлдлүүдийн үед + эсвэл шинэ файлын систем үүсгэх үед &man.fstab.5; файл ашиглан + тохируулж болох файлын системийн тохируулга юм. Энэ тохируулга нь + өөр өөр обьектуудад өөр өөр <acronym>MAC</acronym> хаяг/шошгонуудыг + хамааруулахыг администраторт зөвшөөрөх болно. Энэ тохируулга нь + хаяглалтыг дэмждэг аюулгүй байдлын бодлогын модулиудад зөвхөн хамаардаг.</para> </listitem> <listitem> - <para><emphasis>object</emphasis> буюу обьект: Обьект буюу - системийн обьект нь <emphasis>subject</emphasis> буюу - субьектийн удирдлагын доор мэдээлэл дамжин урсдаг тэр мөн чанар - юм. Үүнд сангууд, файлууд, талбарууд, дэлгэцүүд, - гарууд, санах ой, соронзон хадгалалт, хэвлэгчид эсвэл бусад - дурын хадгалалт/хөдлөх төхөөрөмж ордог. Үндсэндээ - обьект нь өгөгдлийн чингэлэг эсвэл системийн эх үүсвэр юм; - <emphasis>обьект</emphasis>од хандах нь өгөгдөлд хандана + <para><emphasis>object</emphasis> буюу обьект: Обьект буюу + системийн обьект нь <emphasis>subject</emphasis> буюу + субьектийн удирдлагын доор мэдээлэл дамжин урсдаг тэр мөн чанар + юм. Үүнд сангууд, файлууд, талбарууд, дэлгэцүүд, + гарууд, санах ой, соронзон хадгалалт, хэвлэгчид эсвэл бусад + дурын хадгалалт/хөдлөх төхөөрөмж ордог. Үндсэндээ + обьект нь өгөгдлийн чингэлэг эсвэл системийн эх үүсвэр юм; + <emphasis>обьект</emphasis>од хандах нь өгөгдөлд хандана гэсэн үг юм.</para> </listitem> <listitem> - <para><emphasis>policy</emphasis> буюу бодлого: - Зорилгод хэрхэн хүрэхийг тодорхойлох дүрмүүдийн цуглуулга юм. - <emphasis>Бодлого</emphasis> нь ихэвчлэн зарим нэг зүйлүүдтэй - хэрхэн ажиллахыг баримтжуулдаг. Энэ бүлэг нь сэдэв дахь - <emphasis>бодлого</emphasis> гэсэн энэ нэр томъёог - <emphasis>аюулгүй байдлын бодлого</emphasis> гэж үзэх болно; - өөрөөр хэлбэл өгөгдөл болон мэдээллийн урсгалыг хянах дүрмүүдийн - цуглуулга гэж үзэх бөгөөд тэр өгөгдөл болон мэдээлэлд хэн хандалттай байхыг + <para><emphasis>policy</emphasis> буюу бодлого: + Зорилгод хэрхэн хүрэхийг тодорхойлох дүрмүүдийн цуглуулга юм. + <emphasis>Бодлого</emphasis> нь ихэвчлэн зарим нэг зүйлүүдтэй + хэрхэн ажиллахыг баримтжуулдаг. Энэ бүлэг нь сэдэв дахь + <emphasis>бодлого</emphasis> гэсэн энэ нэр томъёог + <emphasis>аюулгүй байдлын бодлого</emphasis> гэж үзэх болно; + өөрөөр хэлбэл өгөгдөл болон мэдээллийн урсгалыг хянах дүрмүүдийн + цуглуулга гэж үзэх бөгөөд тэр өгөгдөл болон мэдээлэлд хэн хандалттай байхыг тодорхойлох болно.</para> </listitem> <listitem> - <para><emphasis>sensitivity</emphasis> буюу мэдрэмтгий байдал: - <acronym>MLS</acronym>-ийг хэлэлцэж байх үед ихэвчлэн хэрэглэдэг. - Мэдрэмтгий байдлын түвшин нь өгөгдөл ямар чухал эсвэл нууцлаг байх ёстой болохыг - тайлбарлахад хэрэглэгддэг нэр томъёо юм. Мэдрэмтгий байдлын түвшин ихсэх - тусам нууцгай байдлын чухал ач холбогдол эсвэл өгөгдлийн итгэмжлэгдсэн байдал + <para><emphasis>sensitivity</emphasis> буюу мэдрэмтгий байдал: + <acronym>MLS</acronym>-ийг хэлэлцэж байх үед ихэвчлэн хэрэглэдэг. + Мэдрэмтгий байдлын түвшин нь өгөгдөл ямар чухал эсвэл нууцлаг байх ёстой болохыг + тайлбарлахад хэрэглэгддэг нэр томъёо юм. Мэдрэмтгий байдлын түвшин ихсэх + тусам нууцгай байдлын чухал ач холбогдол эсвэл өгөгдлийн итгэмжлэгдсэн байдал бас ихэсдэг.</para> </listitem> <listitem> - <para><emphasis>single label</emphasis> буюу ганц хаяг/шошго: - Ганц хаяг/шошго нь өгөгдлийн урсгалд хандалтын хяналт хийхийн тулд бүхэл файлын систем - ганц хаяг/шошгыг хэрэглэх үе юм. <option>multilabel</option> тохируулгыг - тохируулаагүй ямар ч үед файлын систем үүнийг тохируулсан байхад бүх файлууд нь + <para><emphasis>single label</emphasis> буюу ганц хаяг/шошго: + Ганц хаяг/шошго нь өгөгдлийн урсгалд хандалтын хяналт хийхийн тулд бүхэл файлын систем + ганц хаяг/шошгыг хэрэглэх үе юм. <option>multilabel</option> тохируулгыг + тохируулаагүй ямар ч үед файлын систем үүнийг тохируулсан байхад бүх файлууд нь ижил хаяг/шошгоны тохиргоог дагах болно.</para> </listitem> <listitem> - <para><emphasis>subject</emphasis> буюу субьект: субьект нь - хэрэглэгч, хэрэглэгчийн процессор, системийн процесс гэх мэт - <emphasis>обьектууд</emphasis>ийн хооронд мэдээллийг урсгах - идэвхтэй мөн чанар юм. &os; дээр энэ нь бараг үргэлж хэрэглэгчийн өмнөөс + <para><emphasis>subject</emphasis> буюу субьект: субьект нь + хэрэглэгч, хэрэглэгчийн процессор, системийн процесс гэх мэт + <emphasis>обьектууд</emphasis>ийн хооронд мэдээллийг урсгах + идэвхтэй мөн чанар юм. &os; дээр энэ нь бараг үргэлж хэрэглэгчийн өмнөөс процессод үйлчилж байгаа thread буюу урсгал байдаг.</para> </listitem> </itemizedlist> @@ -271,75 +271,75 @@ <sect1 id="mac-initial"> <title>MAC-ийн тайлбар</title> - <para>Энэ бүх шинэ ухагдахуунуудыг санаад <acronym>MAC</acronym> тогтолцоо - хэрхэн системийн аюулгүй байдлыг ерөнхийд нь нэмэгдүүлдэгийг эргэцүүлье. - <acronym>MAC</acronym> тогтолцооны хангадаг төрөл бүрийн аюулгүй байдлын модулиуд нь - сүлжээ болон файлын системүүдийг хамгаалах, зарим портууд болон сокетуудад - хэрэглэгчид хандахыг хаах гэх зэрэгт ашиглагдаж болно. Магадгүй бодлогын модулиудыг - ашиглах хамгийн шилдэг арга нь хэд хэдэн аюулгүй байдлын бодлогын модулиудыг нэг зэрэг - олон давхаргажсан аюулгүй байдлын орчны хувьд дуудаж тэдгээрийг холих явдал байж болох юм. - Олон давхаргажсан аюулгүй байдлын орчинд олон бодлогын модулиуд нь аюулгүй байдлыг - шалгаж ажиллаж байдаг. Энэ нь зөвхөн тусгай зориулалтаар ашиглаж байгаа системийн - элементүүдийг ихэвчлэн хатуужуулдаг чангатгах бодлогоос өөр юм. Цорын ганц сул тал нь - олон файлын системийн хаяг/шошгонууд, сүлжээний хандалтын хяналтыг хэрэглэгч бүр - дээр тохируулах гэх мэт тохиолдлуудад удирдлагын хувьд илүү + <para>Энэ бүх шинэ ухагдахуунуудыг санаад <acronym>MAC</acronym> тогтолцоо + хэрхэн системийн аюулгүй байдлыг ерөнхийд нь нэмэгдүүлдэгийг эргэцүүлье. + <acronym>MAC</acronym> тогтолцооны хангадаг төрөл бүрийн аюулгүй байдлын модулиуд нь + сүлжээ болон файлын системүүдийг хамгаалах, зарим портууд болон сокетуудад + хэрэглэгчид хандахыг хаах гэх зэрэгт ашиглагдаж болно. Магадгүй бодлогын модулиудыг + ашиглах хамгийн шилдэг арга нь хэд хэдэн аюулгүй байдлын бодлогын модулиудыг нэг зэрэг + олон давхаргажсан аюулгүй байдлын орчны хувьд дуудаж тэдгээрийг холих явдал байж болох юм. + Олон давхаргажсан аюулгүй байдлын орчинд олон бодлогын модулиуд нь аюулгүй байдлыг + шалгаж ажиллаж байдаг. Энэ нь зөвхөн тусгай зориулалтаар ашиглаж байгаа системийн + элементүүдийг ихэвчлэн хатуужуулдаг чангатгах бодлогоос өөр юм. Цорын ганц сул тал нь + олон файлын системийн хаяг/шошгонууд, сүлжээний хандалтын хяналтыг хэрэглэгч бүр + дээр тохируулах гэх мэт тохиолдлуудад удирдлагын хувьд илүү ажилтай байдаг явдал юм.</para> - <para>Сул талууд нь тогтолцооны үйлчлэх нөлөөлөлтэй харьцуулахад бага зүйл юм. - Жишээ нь тусгайлсан тохиргоонд ямар бодлогууд шаардлагатайг шилж сонгох - чадвар нь ажиллагааны хувьд илүү ачааллыг багасгадаг. Хэрэгцээгүй бодлогуудын - дэмжлэгийг багасгах нь системийн нийт ажиллагааг нэмэгдүүлэхээс гадна сонголтын уян хатан - байдлыг санал болгодог. Сайн шийдэл нь аюулгүй байдлын ерөнхий шаардлагуудыг - бодолцож энэ тогтолцооны санал болгодог төрөл бүрийн аюулгүй байдлын + <para>Сул талууд нь тогтолцооны үйлчлэх нөлөөлөлтэй харьцуулахад бага зүйл юм. + Жишээ нь тусгайлсан тохиргоонд ямар бодлогууд шаардлагатайг шилж сонгох + чадвар нь ажиллагааны хувьд илүү ачааллыг багасгадаг. Хэрэгцээгүй бодлогуудын + дэмжлэгийг багасгах нь системийн нийт ажиллагааг нэмэгдүүлэхээс гадна сонголтын уян хатан + байдлыг санал болгодог. Сайн шийдэл нь аюулгүй байдлын ерөнхий шаардлагуудыг + бодолцож энэ тогтолцооны санал болгодог төрөл бүрийн аюулгүй байдлын модулиудыг үр ашигтайгаар авч хэрэгжүүлдэг.</para> - <para>Тиймээс <acronym>MAC</acronym> боломжуудыг ашигладаг систем нь хэрэглэгчийн - хүссэнээрээ аюулгүй байдлын шинж чанаруудыг өөрчлөх боломжийг хамгийн багаар бодоход - зөвшөөрөхгүй байж баталгаажуулах ёстой юм. Хэрэглэгчийн бүх хэрэгслүүд, програмууд - болон скриптүүд нь сонгосон аюулгүй байдлын бодлогын модулиудын хандалтын дүрмүүдийн - шахалтын доор ажиллах ёстой бөгөөд <acronym>MAC</acronym> хандалтын дүрмүүдийн + <para>Тиймээс <acronym>MAC</acronym> боломжуудыг ашигладаг систем нь хэрэглэгчийн + хүссэнээрээ аюулгүй байдлын шинж чанаруудыг өөрчлөх боломжийг хамгийн багаар бодоход + зөвшөөрөхгүй байж баталгаажуулах ёстой юм. Хэрэглэгчийн бүх хэрэгслүүд, програмууд + болон скриптүүд нь сонгосон аюулгүй байдлын бодлогын модулиудын хандалтын дүрмүүдийн + шахалтын доор ажиллах ёстой бөгөөд <acronym>MAC</acronym> хандалтын дүрмүүдийн ерөнхий хяналт нь системийн администраторын гарт байдаг байна.</para> - <para>Аюулгүй байдлын бодлогын модулиудыг анхааралтай сонгох нь системийн администраторын - цорын ганц үүрэг байдаг. Зарим орчнуудын хувьд сүлжээнд хандалтын хяналтыг хязгаарлах + <para>Аюулгүй байдлын бодлогын модулиудыг анхааралтай сонгох нь системийн администраторын + цорын ганц үүрэг байдаг. Зарим орчнуудын хувьд сүлжээнд хандалтын хяналтыг хязгаарлах хэрэгтэй байдаг. Ийм тохиолдлуудад &man.mac.portacl.4;, &man.mac.ifoff.4; болон бүр - &man.mac.biba.4; бодлогын модулиуд зөв эхлэл болж болох юм. Бусад тохиолдлуудад - файлын системийн обьектуудын чанд нууцлал/итгэмжлэлийг шаардаж болох юм. - Энэ зорилгоор &man.mac.bsdextended.4; болон &man.mac.mls.4; зэрэг бодлогын + &man.mac.biba.4; бодлогын модулиуд зөв эхлэл болж болох юм. Бусад тохиолдлуудад + файлын системийн обьектуудын чанд нууцлал/итгэмжлэлийг шаардаж болох юм. + Энэ зорилгоор &man.mac.bsdextended.4; болон &man.mac.mls.4; зэрэг бодлогын модулиуд байдаг.</para> - <para>Сүлжээний тохиргоон дээр үндэслэн бодлогын шийдвэрүүдийг хийдэг. - Магадгүй сүлжээ эсвэл Интернэтэд хандахын тулд &man.ssh.1;-ийн хангадаг - боломжуудад зөвхөн зарим нэг хэрэглэгчдийг хандахыг зөвшөөрөх ёстой - байж болох юм. Эдгээр тохиолдлуудад &man.mac.portacl.4; нь - сонгох бодлогын модуль болох юм. Гэхдээ файлын системүүдийн хувьд - юу хийх ёстой вэ? Зарим нэг сангуудад бусад бүлгүүдээс эсвэл тусгай - хэрэглэгчдээс хандах бүх хандалтыг чангаруулах ёстой юу? Эсвэл - тусгай файлууд уруу хийх хэрэглэгчийн эсвэл хэрэгслийн хандалтыг + <para>Сүлжээний тохиргоон дээр үндэслэн бодлогын шийдвэрүүдийг хийдэг. + Магадгүй сүлжээ эсвэл Интернэтэд хандахын тулд &man.ssh.1;-ийн хангадаг + боломжуудад зөвхөн зарим нэг хэрэглэгчдийг хандахыг зөвшөөрөх ёстой + байж болох юм. Эдгээр тохиолдлуудад &man.mac.portacl.4; нь + сонгох бодлогын модуль болох юм. Гэхдээ файлын системүүдийн хувьд + юу хийх ёстой вэ? Зарим нэг сангуудад бусад бүлгүүдээс эсвэл тусгай + хэрэглэгчдээс хандах бүх хандалтыг чангаруулах ёстой юу? Эсвэл + тусгай файлууд уруу хийх хэрэглэгчийн эсвэл хэрэгслийн хандалтыг зарим обьектуудыг нууц гэж тохируулан бид хязгаарлах ёстой юу?</para> - <para>Файлын системийн тохиолдолд обьектуудад хандах хандалт нь зарим хэрэглэгчдийн - хувьд итгэмжлэгдсэн/нууц, бусдуудын хувьд үгүй байж болох юм. - Жишээ нь хөгжүүлэх том багийг хэд хэдэн хөгжүүлэгчдээс тогтох жижиг бүлгүүдэд - хувааж болох юм. B төсөл дэх хөгжүүлэгчдийн бичсэн обьектуудад A төсөл дэх - хөгжүүлэгчид хандах ёсгүй. Бас тэд C төсөл дэх хөгжүүлэгчдийн үүсгэсэн - обьектуудад хандах хэрэгтэй байж болох юм. Ийм тохиолдол харин ч байж - болох юм. <acronym>MAC</acronym> тогтолцооны өөр өөр аюулгүй - байдлын бодлогын модулиудыг ашиглан хэрэглэгчдийг эдгээр бүлгүүдэд - хувааж мэдээллийн алдагдлаас айлгүйгээр тохирох талбаруудад хандалтыг + <para>Файлын системийн тохиолдолд обьектуудад хандах хандалт нь зарим хэрэглэгчдийн + хувьд итгэмжлэгдсэн/нууц, бусдуудын хувьд үгүй байж болох юм. + Жишээ нь хөгжүүлэх том багийг хэд хэдэн хөгжүүлэгчдээс тогтох жижиг бүлгүүдэд + хувааж болох юм. B төсөл дэх хөгжүүлэгчдийн бичсэн обьектуудад A төсөл дэх + хөгжүүлэгчид хандах ёсгүй. Бас тэд C төсөл дэх хөгжүүлэгчдийн үүсгэсэн + обьектуудад хандах хэрэгтэй байж болох юм. Ийм тохиолдол харин ч байж + болох юм. <acronym>MAC</acronym> тогтолцооны өөр өөр аюулгүй + байдлын бодлогын модулиудыг ашиглан хэрэглэгчдийг эдгээр бүлгүүдэд + хувааж мэдээллийн алдагдлаас айлгүйгээр тохирох талбаруудад хандалтыг өгч болох юм.</para> - <para>Тиймээс аюулгүй байдлын бодлогын модуль бүр нь системийн ерөнхий аюулгүй - байдлыг сайжруулах өвөрмөц аргатай байдаг. Модулийн сонголтыг хийхдээ аюулгүй - байдлын бодлогын хувьд сайн бодож хийх хэрэгтэй. Ихэнх тохиолдлуудад - ерөнхий бодлогыг дахин харж сайжруулан систем дээр дахин хэрэгжүүлэх хэрэгтэй байж - болох юм. <acronym>MAC</acronym> тогтолцооны санал болгодог өөр өөр - аюулгүй байдлын бодлогын модулиудыг ойлгох нь администраторуудад - өөр өөрсдийн нөхцөлдөө тохируулан хамгийн шилдэг бодлогуудыг сонгоход + <para>Тиймээс аюулгүй байдлын бодлогын модуль бүр нь системийн ерөнхий аюулгүй + байдлыг сайжруулах өвөрмөц аргатай байдаг. Модулийн сонголтыг хийхдээ аюулгүй + байдлын бодлогын хувьд сайн бодож хийх хэрэгтэй. Ихэнх тохиолдлуудад + ерөнхий бодлогыг дахин харж сайжруулан систем дээр дахин хэрэгжүүлэх хэрэгтэй байж + болох юм. <acronym>MAC</acronym> тогтолцооны санал болгодог өөр өөр + аюулгүй байдлын бодлогын модулиудыг ойлгох нь администраторуудад + өөр өөрсдийн нөхцөлдөө тохируулан хамгийн шилдэг бодлогуудыг сонгоход туслах болно.</para> - <para>&os;-ийн анхдагч цөм нь <acronym>MAC</acronym> тогтолцоонд зориулсан - тохируулгагүй байдаг, тиймээс энэ бүлэгт байгаа жишээнүүд эсвэл мэдээллийг + <para>&os;-ийн анхдагч цөм нь <acronym>MAC</acronym> тогтолцоонд зориулсан + тохируулгагүй байдаг, тиймээс энэ бүлэгт байгаа жишээнүүд эсвэл мэдээллийг туршихаасаа өмнө дараах цөмийн тохируулгыг нэмэх ёстой:</para> <programlisting>options MAC</programlisting> @@ -347,13 +347,13 @@ <para>Тэгээд цөмийг дахин бүтээж суулгах шаардлагатай болно.</para> <caution> - <para><acronym>MAC</acronym> бодлогын модулиудын төрөл бүрийн гарын - авлагын хуудаснууд нь тэдгээрийг цөмд оруулан бүтээсэн гэж мэдэгддэг боловч - системийг сүлжээнээс гаргаж түгжих зэрэг олон боломжтой байдаг. - <acronym>MAC</acronym>-ийг хэрэгжүүлэх нь галт ханыг хэрэгжүүлэхтэй - бараг адил бөгөөд системээс бүр мөсөн гарч түгжигдэхээс сэргийлэхийн - тулд анхааралтай байх ёстой. Өмнөх тохиргоондоо эргэж буцааж болдог - байх чадварыг бодолцох ёстой бөгөөд <acronym>MAC</acronym> + <para><acronym>MAC</acronym> бодлогын модулиудын төрөл бүрийн гарын + авлагын хуудаснууд нь тэдгээрийг цөмд оруулан бүтээсэн гэж мэдэгддэг боловч + системийг сүлжээнээс гаргаж түгжих зэрэг олон боломжтой байдаг. + <acronym>MAC</acronym>-ийг хэрэгжүүлэх нь галт ханыг хэрэгжүүлэхтэй + бараг адил бөгөөд системээс бүр мөсөн гарч түгжигдэхээс сэргийлэхийн + тулд анхааралтай байх ёстой. Өмнөх тохиргоондоо эргэж буцааж болдог + байх чадварыг бодолцох ёстой бөгөөд <acronym>MAC</acronym> шийдлийг алсаас хийхдээ маш болгоомжтой хийх хэрэгтэй юм.</para> </caution> </sect1> @@ -361,100 +361,100 @@ <sect1 id="mac-understandlabel"> <title>MAC хаяг/шошгонуудыг ойлгох нь</title> - <para><acronym>MAC</acronym> хаяг/шошго нь системийн турш нэлэнхүйд нь - субьектууд болон обьектуудад өгч болох аюулгүй байдлын шинж чанар + <para><acronym>MAC</acronym> хаяг/шошго нь системийн турш нэлэнхүйд нь + субьектууд болон обьектуудад өгч болох аюулгүй байдлын шинж чанар юм.</para> - <para>Хаяг/шошгыг тохируулах үед хэрэглэгч үүнийг яг юу болох, юу хийгдэхийг ойлгож - чадаж байх ёстой. Обьект дээр байдаг шинж чанарууд нь бодлогын модуль - дуудагдсан болон бодлогын модулиуд тэдгээрийн шинж чанаруудыг - өөр аргаар ойлгуулдгаас хамаарна. Дутуу ойлгосноос эсвэл утга санаануудыг нь - ойлгох чадваргүй байдлаас болоод буруу тохируулсан бол үр дүн нь тааж болшгүй + <para>Хаяг/шошгыг тохируулах үед хэрэглэгч үүнийг яг юу болох, юу хийгдэхийг ойлгож + чадаж байх ёстой. Обьект дээр байдаг шинж чанарууд нь бодлогын модуль + дуудагдсан болон бодлогын модулиуд тэдгээрийн шинж чанаруудыг + өөр аргаар ойлгуулдгаас хамаарна. Дутуу ойлгосноос эсвэл утга санаануудыг нь + ойлгох чадваргүй байдлаас болоод буруу тохируулсан бол үр дүн нь тааж болшгүй байх бөгөөд магадгүй системийн хүсээгүй ажиллагаанд хүргэж болох юм.</para> - <para>Обьект дээрх аюулгүй байдлын хаяг/шошго нь бодлогын гаргах аюулгүй байдлын - хандалтын хяналтын шийдвэрийн хэсэг болон хэрэглэгддэг. Зарим бодлогуудад - хаяг/шошго нь өөрөө шийдвэр гаргахад шаардлагатай бүх мэдээллийг - агуулдаг; бусад загваруудад хаяг/шошгонууд нь илүү том дүрмийн олонлогийн хэсэг + <para>Обьект дээрх аюулгүй байдлын хаяг/шошго нь бодлогын гаргах аюулгүй байдлын + хандалтын хяналтын шийдвэрийн хэсэг болон хэрэглэгддэг. Зарим бодлогуудад + хаяг/шошго нь өөрөө шийдвэр гаргахад шаардлагатай бүх мэдээллийг + агуулдаг; бусад загваруудад хаяг/шошгонууд нь илүү том дүрмийн олонлогийн хэсэг болон процесс хийгдэж болох юм. Гэх мэт олныг дурдаж болно.</para> - <para>Жишээ нь файл дээр <literal>biba/low</literal> гэж хаяг/шошгыг тохируулах - нь Biba аюулгүй байдлын бодлогын модулиар хангагдаж байдаг хаяг/шошгыг + <para>Жишээ нь файл дээр <literal>biba/low</literal> гэж хаяг/шошгыг тохируулах + нь Biba аюулгүй байдлын бодлогын модулиар хангагдаж байдаг хаяг/шошгыг <quote>low</quote> гэсэн утгатайгаар илэрхийлж байна гэсэн үг юм.</para> - <para>&os;-д хаяглалтын боломжийг дэмждэг цөөн бодлогын модулиуд нь - урьдчилан тодорхойлсон тусгай гурван хаяг/шошгыг санал болгодог. Эдгээр нь - low буюу доод, high буюу өндөр болон equal буюу тэнцүү гэсэн хаяг/шошгууд юм. - Тэдгээр нь хандалтын хяналтыг бодлогын модуль бүртэй өөр өөрөөр хийдэг боловч - low хаяг/шошго нь хамгийн доод тохиргоо болох ба equal хаяг/шошго нь - субьект эсвэл обьектийг хаах эсвэл хамаарахгүй гэж тохируулах бөгөөд high - хаяг/шошго нь Biba болон <acronym>MLS</acronym> бодлогын модулиудад + <para>&os;-д хаяглалтын боломжийг дэмждэг цөөн бодлогын модулиуд нь + урьдчилан тодорхойлсон тусгай гурван хаяг/шошгыг санал болгодог. Эдгээр нь + low буюу доод, high буюу өндөр болон equal буюу тэнцүү гэсэн хаяг/шошгууд юм. + Тэдгээр нь хандалтын хяналтыг бодлогын модуль бүртэй өөр өөрөөр хийдэг боловч + low хаяг/шошго нь хамгийн доод тохиргоо болох ба equal хаяг/шошго нь + субьект эсвэл обьектийг хаах эсвэл хамаарахгүй гэж тохируулах бөгөөд high + хаяг/шошго нь Biba болон <acronym>MLS</acronym> бодлогын модулиудад байх хамгийн дээд тохиргоог хийх болно.</para> - <para>Ганц хаяг/шошго бүхий файлын системийн орчинд обьектууд дээр зөвхөн - нэг хаяг/шошго хэрэглэгдэх болно. Энэ нь хандалтын зөвшөөрлүүдийн - нэг олонлогийг бүхэл бүтэн системийн дагуу ашиглах бөгөөд олон орчны - хувьд энэ нь хангалттай байж болох юм. Файлын систем дэх обьектууд - эсвэл субьектууд дээр олон хаяг/шошгонууд тавих цөөн тохиолдлууд - байдаг. Ийм тохиолдолд <option>multilabel</option> + <para>Ганц хаяг/шошго бүхий файлын системийн орчинд обьектууд дээр зөвхөн + нэг хаяг/шошго хэрэглэгдэх болно. Энэ нь хандалтын зөвшөөрлүүдийн + нэг олонлогийг бүхэл бүтэн системийн дагуу ашиглах бөгөөд олон орчны + хувьд энэ нь хангалттай байж болох юм. Файлын систем дэх обьектууд + эсвэл субьектууд дээр олон хаяг/шошгонууд тавих цөөн тохиолдлууд + байдаг. Ийм тохиолдолд <option>multilabel</option> тохируулгыг &man.tunefs.8; уруу дамжуулж өгч болох юм.</para> - <para>Biba болон <acronym>MLS</acronym>-ийн хувьд тоон хаяг/шошгыг - шаталсан хяналтын тодорхой түвшинг заахын тулд тохируулж болно. + <para>Biba болон <acronym>MLS</acronym>-ийн хувьд тоон хаяг/шошгыг + шаталсан хяналтын тодорхой түвшинг заахын тулд тохируулж болно. Энэ тоон түвшин нь мэдээллийг ангиллын өөр өөр бүлгүүдэд хуваах буюу - эрэмбэлж тэр бүлэг эсвэл илүү өндөр бүлгийн түвшинд хандах хандалтыг + эрэмбэлж тэр бүлэг эсвэл илүү өндөр бүлгийн түвшинд хандах хандалтыг зөвхөн зөвшөөрөхөд хэрэглэгддэг.</para> - <para>Ихэнх тохиолдлуудад администратор нь файлын системийн дагуу + <para>Ихэнх тохиолдлуудад администратор нь файлын системийн дагуу хэрэглэхийн тулд зөвхөн ганц хаяг/шошгыг тохируулдаг.</para> - <para><emphasis>Хөөе хүлээгээрэй, энэ нь <acronym>DAC</acronym>-тай - адил юм байна! <acronym>MAC</acronym> нь хяналтыг зөвхөн - администраторт өгдөг гэж бодсон.</emphasis> Энэ өгүүлбэр нь + <para><emphasis>Хөөе хүлээгээрэй, энэ нь <acronym>DAC</acronym>-тай + адил юм байна! <acronym>MAC</acronym> нь хяналтыг зөвхөн + администраторт өгдөг гэж бодсон.</emphasis> Энэ өгүүлбэр нь зарим талаараа үнэн хэвээр байгаа, учир нь <username>root</username> - хэрэглэгчид хяналт байгаа бөгөөд тэрээр хэрэглэгчдийг тохирох зэрэглэл/хандалтын - түвшингүүдэд байрлуулахаар бодлогуудыг тохируулдаг. Харамсалтай нь - бодлогын олон модулиуд нь <username>root</username> хэрэглэгчийг - бас хязгаарлаж чадна. Обьектууд дээрх үндсэн хяналт нь тэгээд бүлэгт - суллагдах боловч <username>root</username> нь тохиргоонуудыг - ямар ч үед буцааж эсвэл өөрчилж болох юм. Энэ нь Biba болон - <acronym>MLS</acronym> зэрэг бодлогуудын хамардаг + хэрэглэгчид хяналт байгаа бөгөөд тэрээр хэрэглэгчдийг тохирох зэрэглэл/хандалтын + түвшингүүдэд байрлуулахаар бодлогуудыг тохируулдаг. Харамсалтай нь + бодлогын олон модулиуд нь <username>root</username> хэрэглэгчийг + бас хязгаарлаж чадна. Обьектууд дээрх үндсэн хяналт нь тэгээд бүлэгт + суллагдах боловч <username>root</username> нь тохиргоонуудыг + ямар ч үед буцааж эсвэл өөрчилж болох юм. Энэ нь Biba болон + <acronym>MLS</acronym> зэрэг бодлогуудын хамардаг шаталсан/цэвэрлэгээ загвар юм.</para> <sect2> <title>Хаяг/шошгоны тохиргоо</title> - <para>Хаяг/шошгоны бодлогын модулийн тохиргооны бараг л бүх зүйлсийг - үндсэн системийн хэрэгслүүдийг ашиглан гүйцэтгэдэг. Эдгээр тушаалууд нь + <para>Хаяг/шошгоны бодлогын модулийн тохиргооны бараг л бүх зүйлсийг + үндсэн системийн хэрэгслүүдийг ашиглан гүйцэтгэдэг. Эдгээр тушаалууд нь обьект эсвэл субьектийн тохиргоо эсвэл тохиргооны удирдлага болон шалгалтын хувьд энгийн интерфэйсээр хангадаг.</para> - <para>Бүх тохиргоог &man.setfmac.8; болон &man.setpmac.8; - хэрэгслүүдийг ашиглан хийнэ. <command>setfmac</command> - тушаал нь системийн обьектууд дээр <acronym>MAC</acronym> - хаяг/шошгонуудыг тохируулахад хэрэглэгддэг бол <command>setpmac</command> - тушаал нь системийн субьектууд дээр хаяг/шошгонуудыг тохируулахад + <para>Бүх тохиргоог &man.setfmac.8; болон &man.setpmac.8; + хэрэгслүүдийг ашиглан хийнэ. <command>setfmac</command> + тушаал нь системийн обьектууд дээр <acronym>MAC</acronym> + хаяг/шошгонуудыг тохируулахад хэрэглэгддэг бол <command>setpmac</command> + тушаал нь системийн субьектууд дээр хаяг/шошгонуудыг тохируулахад хэрэглэгддэг. Дараах тушаалыг ажиглаарай:</para> <screen>&prompt.root; <userinput>setfmac biba/high test</userinput></screen> - <para>Дээрх тушаалыг ажиллуулсны дараа хэрэв ямар ч алдаа гараагүй бол - хүлээх мөр буцаагдах болно. Эдгээр тушаалууд нь хөдөлгөөнгүй биш байх - цорын ганц үе нь алдаа гарах үе юм; &man.chmod.1; болон &man.chown.8; - тушаалуудтай адил юм. Зарим тохиолдолд энэ алдаа нь - <errorname>Permission denied</errorname> гэсэн байж болох бөгөөд - энэ нь ихэвчлэн хязгаарласан обьект дээр хаяг/шошгыг тохируулах буюу засах - үед гардаг.<footnote><para>Өөр бусад нөхцлүүд бас өөр амжилтгүйтлүүдийг - бий болгож болох юм. Жишээ нь хэрэглэгч обьектийг дахин хаяглахыг оролдоход - файл нь түүний эзэмшээгүй файл байж болох юм. Энэ обьект нь байхгүй юм уу эсвэл - зөвхөн уншигдахаар байж болох юм. Албадмал бодлого нь файлыг процесс дахин - хаяглахыг зөвшөөрөхгүй, энэ нь магадгүй файлын өмч, процессийн өмч эсвэл - санал болгосон шинэ хаяг/шошгоны утгын өмчөөс болсон байж болох юм. - Жишээ нь: доод бүрэн бүтэн байдалд ажиллаж байгаа хэрэглэгч өндөр бүрэн - бүтэн байдлын файлын хаяг/шошгыг өөрчлөхөөр оролджээ. Эсвэл магадгүй - доод бүрэн бүтэн байдалд ажиллаж байгаа хэрэглэгч доод бүрэн бүтэн - байдлын файлын хаяг/шошгыг дээд бүрэн бүтэн байдлын хаяг/шошго уруу - өөрчлөхөөр оролджээ.</para></footnote> Системийн администратор + <para>Дээрх тушаалыг ажиллуулсны дараа хэрэв ямар ч алдаа гараагүй бол + хүлээх мөр буцаагдах болно. Эдгээр тушаалууд нь хөдөлгөөнгүй биш байх + цорын ганц үе нь алдаа гарах үе юм; &man.chmod.1; болон &man.chown.8; + тушаалуудтай адил юм. Зарим тохиолдолд энэ алдаа нь + <errorname>Permission denied</errorname> гэсэн байж болох бөгөөд + энэ нь ихэвчлэн хязгаарласан обьект дээр хаяг/шошгыг тохируулах буюу засах + үед гардаг.<footnote><para>Өөр бусад нөхцлүүд бас өөр амжилтгүйтлүүдийг + бий болгож болох юм. Жишээ нь хэрэглэгч обьектийг дахин хаяглахыг оролдоход + файл нь түүний эзэмшээгүй файл байж болох юм. Энэ обьект нь байхгүй юм уу эсвэл + зөвхөн уншигдахаар байж болох юм. Албадмал бодлого нь файлыг процесс дахин + хаяглахыг зөвшөөрөхгүй, энэ нь магадгүй файлын өмч, процессийн өмч эсвэл + санал болгосон шинэ хаяг/шошгоны утгын өмчөөс болсон байж болох юм. + Жишээ нь: доод бүрэн бүтэн байдалд ажиллаж байгаа хэрэглэгч өндөр бүрэн + бүтэн байдлын файлын хаяг/шошгыг өөрчлөхөөр оролджээ. Эсвэл магадгүй + доод бүрэн бүтэн байдалд ажиллаж байгаа хэрэглэгч доод бүрэн бүтэн + байдлын файлын хаяг/шошгыг дээд бүрэн бүтэн байдлын хаяг/шошго уруу + өөрчлөхөөр оролджээ.</para></footnote> Системийн администратор үүнийг давж гарахын тулд дараах тушаалуудыг ашиглаж болно:</para> <screen>&prompt.root; <userinput>setfmac biba/high test</userinput> @@ -463,58 +463,58 @@ &prompt.root; <userinput>getfmac test</userinput> test: biba/high</screen> - <para>Дээрхээс харахад ажиллуулсан процессод өөр хаяг/шошго зааж бодлогын модулийн - тохиргоонуудыг өөрчлөхөд <command>setpmac</command> тушаалыг - хэрэглэж болох юм байна. <command>getpmac</command> хэрэгсэл нь - ихэвчлэн тухайн үед ажиллаж байгаа <application>sendmail</application> зэрэг - процессуудад хэрэглэгддэг. Хэдийгээр энэ нь тушаалын оронд процессийн ID-г - авдаг боловч логик нь туйлын төстэй юм. Хэрэв хэрэглэгчид өөрийн хандалтад - байхгүй файлыг удирдахыг оролдвол дуудагдсан бодлогын модулиудын дүрмүүдээс - болоод <errorname>Operation not permitted</errorname> алдаа - <function>mac_set_link</function> функцээр харуулагдах + <para>Дээрхээс харахад ажиллуулсан процессод өөр хаяг/шошго зааж бодлогын модулийн + тохиргоонуудыг өөрчлөхөд <command>setpmac</command> тушаалыг + хэрэглэж болох юм байна. <command>getpmac</command> хэрэгсэл нь + ихэвчлэн тухайн үед ажиллаж байгаа <application>sendmail</application> зэрэг + процессуудад хэрэглэгддэг. Хэдийгээр энэ нь тушаалын оронд процессийн ID-г + авдаг боловч логик нь туйлын төстэй юм. Хэрэв хэрэглэгчид өөрийн хандалтад + байхгүй файлыг удирдахыг оролдвол дуудагдсан бодлогын модулиудын дүрмүүдээс + болоод <errorname>Operation not permitted</errorname> алдаа + <function>mac_set_link</function> функцээр харуулагдах болно.</para> <sect3> <title>Нийтлэг хаяг/шошгоны төрлүүд</title> <para>&man.mac.biba.4;, &man.mac.mls.4; болон - &man.mac.lomac.4; бодлогын модулиудын хувьд энгийн хаяг/шошгонуудыг - зааж өгөх боломж олгогдсон байдаг. Эдгээр нь high буюу өндөр/дээд, - equal буюу тэнцүү болон low буюу доод гэсэн хэлбэрийг авах бөгөөд - эдгээр хаяг/шошгонуудын юу хангадаг талаар товч тайлбарыг доор + &man.mac.lomac.4; бодлогын модулиудын хувьд энгийн хаяг/шошгонуудыг + зааж өгөх боломж олгогдсон байдаг. Эдгээр нь high буюу өндөр/дээд, + equal буюу тэнцүү болон low буюу доод гэсэн хэлбэрийг авах бөгөөд + эдгээр хаяг/шошгонуудын юу хангадаг талаар товч тайлбарыг доор дурдав:</para> <itemizedlist> <listitem> - <para><literal>low</literal> хаяг/шошго нь обьект эсвэл субьектийн - авч болох хамгийн доод хаяг/шошгоны тохиргоо гэгддэг. - Үүнийг обьектууд эсвэл субьектууд дээр тохируулах нь өндөр гэж - тэмдэглэгдсэн обьектууд эсвэл субьектууд уруу хандах тэдгээрийн + <para><literal>low</literal> хаяг/шошго нь обьект эсвэл субьектийн + авч болох хамгийн доод хаяг/шошгоны тохиргоо гэгддэг. + Үүнийг обьектууд эсвэл субьектууд дээр тохируулах нь өндөр гэж + тэмдэглэгдсэн обьектууд эсвэл субьектууд уруу хандах тэдгээрийн хандалтыг хаах болно.</para> </listitem> <listitem> - <para><literal>equal</literal> хаяг/шошго нь бодлогоос чөлөөлөгдөх + <para><literal>equal</literal> хаяг/шошго нь бодлогоос чөлөөлөгдөх обьектууд дээр зөвхөн тавигдах ёстой.</para> </listitem> <listitem> - <para><literal>high</literal> хаяг/шошго нь обьект эсвэл субьектэд + <para><literal>high</literal> хаяг/шошго нь обьект эсвэл субьектэд хамгийн их боломжит тохиргоог зөвшөөрдөг.</para> </listitem> </itemizedlist> - <para>Бодлогын модуль бүрийн хувьд тэдгээр тохиргоо бүр өөр өөр мэдээллийн - урсгалын зааврыг хийх болно. Тохирох гарын авлагын хуудаснуудыг унших нь - эдгээр ерөнхий хаяг/шошгоны тохиргоонуудын төрх байдлыг цаашид + <para>Бодлогын модуль бүрийн хувьд тэдгээр тохиргоо бүр өөр өөр мэдээллийн + урсгалын зааврыг хийх болно. Тохирох гарын авлагын хуудаснуудыг унших нь + эдгээр ерөнхий хаяг/шошгоны тохиргоонуудын төрх байдлыг цаашид тайлбарлах болно.</para> <sect4> <title>Хаяг/шошгоны илүү нарийн тохиргоо</title> - <para>Тоон зэргээр илэрхийлсэн хаяг/шошгонууд нь + <para>Тоон зэргээр илэрхийлсэн хаяг/шошгонууд нь <literal>comparison:compartment+compartment</literal> - буюу <literal>харьцуулалт:тасалгаа+тасалгаа</literal> гэсэнд + буюу <literal>харьцуулалт:тасалгаа+тасалгаа</literal> гэсэнд зориулагдаж хэрэглэгддэг, тиймээс дараах нь:</para> <programlisting>biba/10:2+3+6(5:2+3-20:2+3+4+5+6)</programlisting> @@ -525,29 +525,29 @@ test: biba/high</screen> :<quote>Тасалгаанууд 2, 3 болон 6</quote>: (<quote>зэрэг 5 ...</quote>)</para> - <para>Энэ жишээн дээр эхний зэрэг нь <quote>эффектив тасалгаанууд</quote>тай - <quote>эффектив зэрэг</quote> гэж тооцогддог, хоёр дахь зэрэг - нь доод зэрэг бөгөөд хамгийн сүүлийнх нь өндөр зэрэг юм. - Ихэнх тохиргоонуудад эдгээр тохируулгуудыг ашигладаггүй, харин + <para>Энэ жишээн дээр эхний зэрэг нь <quote>эффектив тасалгаанууд</quote>тай + <quote>эффектив зэрэг</quote> гэж тооцогддог, хоёр дахь зэрэг + нь доод зэрэг бөгөөд хамгийн сүүлийнх нь өндөр зэрэг юм. + Ихэнх тохиргоонуудад эдгээр тохируулгуудыг ашигладаггүй, харин тэдгээрийг илүү нарийн тохиргоонд зориулж санал болгодог.</para> - <para>Системийн обьектуудад хамааруулахад тэдгээр нь системийн субьектуудтай - харьцуулах юм бол зөвхөн тухайн үеийн зэрэг/тасалгаануудтай байдаг. - Системийн субьектууд нь систем болон сүлжээний интерфэйсүүдэд байгаа - эрхүүдийн хүрээг тусгадаг. Сүлжээний интерфэйсүүд дээр хандалтын + <para>Системийн обьектуудад хамааруулахад тэдгээр нь системийн субьектуудтай + харьцуулах юм бол зөвхөн тухайн үеийн зэрэг/тасалгаануудтай байдаг. + Системийн субьектууд нь систем болон сүлжээний интерфэйсүүдэд байгаа + эрхүүдийн хүрээг тусгадаг. Сүлжээний интерфэйсүүд дээр хандалтын хяналтын хувьд хаяг/шошгонууд нь ашиглагддаг.</para> - <para>Субьект болон обьект хослол дахь зэрэг болон тасалгаанууд нь - <quote>давамгайлал</quote> гэгддэг харилцааг бүтээхэд хэрэглэгддэг. + <para>Субьект болон обьект хослол дахь зэрэг болон тасалгаанууд нь + <quote>давамгайлал</quote> гэгддэг харилцааг бүтээхэд хэрэглэгддэг. Энэ харилцаанд субьект нь обьектийг давамгайлдаг, эсвэл обьект нь субьектийг - давамгайлдаг, эсвэл аль нэг нь нөгөөгөө давамгайлахгүй, эсвэл - хоёулаа нэг нэгнийгээ давамгайлдаг. <quote>хоёулаа давамгайлах</quote> - тохиолдол нь хоёр хаяг/шошго тэнцүү байхад тохиолддог. Biba-ийн - мэдээллийн урсгалын мөн чанараас болоод төсөлд тохирох <quote>мэдэх хэрэгтэй</quote> - тасалгаануудын олонлогийн эрхүүд танд байдаг. Гэхдээ обьектууд нь бас - тасалгаануудын олонлогтой байна. Хэрэглэгчид нь - өөрсдөө хязгаарлалтгүй байдаг тасалгаа дахь обьектуудад хандахын тулд - <command>su</command> эсвэл <command>setpmac</command> тушаалуудыг + давамгайлдаг, эсвэл аль нэг нь нөгөөгөө давамгайлахгүй, эсвэл + хоёулаа нэг нэгнийгээ давамгайлдаг. <quote>хоёулаа давамгайлах</quote> + тохиолдол нь хоёр хаяг/шошго тэнцүү байхад тохиолддог. Biba-ийн + мэдээллийн урсгалын мөн чанараас болоод төсөлд тохирох <quote>мэдэх хэрэгтэй</quote> + тасалгаануудын олонлогийн эрхүүд танд байдаг. Гэхдээ обьектууд нь бас + тасалгаануудын олонлогтой байна. Хэрэглэгчид нь + өөрсдөө хязгаарлалтгүй байдаг тасалгаа дахь обьектуудад хандахын тулд + <command>su</command> эсвэл <command>setpmac</command> тушаалуудыг ашиглан өөрсдийнхөө эрхүүдийг дэд эрхүүд болгож болох юм.</para> </sect4> </sect3> @@ -555,13 +555,13 @@ test: biba/high</screen> <sect3> <title>Хэрэглэгчид болон хаяг/шошгоны тохиргоонууд</title> - <para>Хэрэглэгчдийн өөрсдийнх нь файлууд болон процессууд систем дээр тодорхойлсон - аюулгүй байдлын бодлоготой зөв харилцан ажилладаг байхын тулд хэрэглэгчид нь өөрсдөө - хаяг/шошгонуудтай байх шаардлагатай байдаг. Үүнийг <filename>login.conf</filename> - файлд нэвтрэлтийн ангиллуудыг ашиглан тохируулдаг. Хаяг/шошгонуудыг ашигладаг + <para>Хэрэглэгчдийн өөрсдийнх нь файлууд болон процессууд систем дээр тодорхойлсон + аюулгүй байдлын бодлоготой зөв харилцан ажилладаг байхын тулд хэрэглэгчид нь өөрсдөө + хаяг/шошгонуудтай байх шаардлагатай байдаг. Үүнийг <filename>login.conf</filename> + файлд нэвтрэлтийн ангиллуудыг ашиглан тохируулдаг. Хаяг/шошгонуудыг ашигладаг бодлогын модуль бүр хэрэглэгчийн ангиллын тохиргоог хийх болно.</para> - <para>Бодлогын модуль бүрийн тохиргоог агуулах жишээ оруулгыг доор + <para>Бодлогын модуль бүрийн тохиргоог агуулах жишээ оруулгыг доор үзүүлэв:</para> <programlisting>default:\ @@ -589,64 +589,64 @@ test: biba/high</screen> :label=partition/13,mls/5,biba/10(5-15),lomac/10[2]:</programlisting> <para><literal>label</literal> тохируулга нь хэрэглэгчийн ангиллын - <acronym>MAC</acronym>-ийн үйлчлэх анхдагч хаяг/шошгыг тохируулахад - хэрэглэгддэг. Хэрэглэгчид энэ утгыг өөрчлөх зөвшөөрөл хэзээ ч өгөгдөхгүй - учраас энэ нь хэрэглэгчийн хувьд сонгох боломжгүй юм. Гэхдээ жинхэнэ тохиргоон дээр - администратор нь бодлогын модуль бүрийг идэвхжүүлэхийг хэзээ ч хүсэхгүй. - Энэ тохиргоонуудаас аль нэгийг нь хийж гүйцэтгэхээсээ өмнө энэ бүлгийн үлдсэнийг + <acronym>MAC</acronym>-ийн үйлчлэх анхдагч хаяг/шошгыг тохируулахад + хэрэглэгддэг. Хэрэглэгчид энэ утгыг өөрчлөх зөвшөөрөл хэзээ ч өгөгдөхгүй + учраас энэ нь хэрэглэгчийн хувьд сонгох боломжгүй юм. Гэхдээ жинхэнэ тохиргоон дээр + администратор нь бодлогын модуль бүрийг идэвхжүүлэхийг хэзээ ч хүсэхгүй. + Энэ тохиргоонуудаас аль нэгийг нь хийж гүйцэтгэхээсээ өмнө энэ бүлгийн үлдсэнийг дахин шалгаж уншихыг зөвлөж байна.</para> <note> - <para>Хэрэглэгчид нь эхний нэвтрэлтийнхээ дараа өөрсдийн хаяг/шошгыг - өөрчилж болох юм. Гэхдээ энэ өөрчлөлт нь бодлогын шахалтуудын - эрхшээлд байдаг. Дээрх жишээ нь процессийн хамгийн бага бүрэн - бүтэн байдлыг 5, түүний хамгийн их утга нь 15, гэхдээ анхдагч - эффектив хаяг/шошго нь 10 гэж Biba бодлогод хэлж байна. - Процесс нь магадгүй хэрэглэгч setpmac тушаалыг ажиллуулснаас - болоод хаяг/шошгоо өөрчлөхөөр сонгох хүртэл 10 дээр ажиллах болно. - setpmac тушаал нь нэвтрэлтийн үед хүрээг тохируулах Biba-ийн + <para>Хэрэглэгчид нь эхний нэвтрэлтийнхээ дараа өөрсдийн хаяг/шошгыг + өөрчилж болох юм. Гэхдээ энэ өөрчлөлт нь бодлогын шахалтуудын + эрхшээлд байдаг. Дээрх жишээ нь процессийн хамгийн бага бүрэн + бүтэн байдлыг 5, түүний хамгийн их утга нь 15, гэхдээ анхдагч + эффектив хаяг/шошго нь 10 гэж Biba бодлогод хэлж байна. + Процесс нь магадгүй хэрэглэгч setpmac тушаалыг ажиллуулснаас + болоод хаяг/шошгоо өөрчлөхөөр сонгох хүртэл 10 дээр ажиллах болно. + setpmac тушаал нь нэвтрэлтийн үед хүрээг тохируулах Biba-ийн шахалтад байх болно.</para> </note> - <para>Бүх тохиолдлуудад <filename>login.conf</filename>-д - өөрчлөлт хийсний дараа нэвтрэлтийн ангиллын боломжийн мэдээллийн баазыг - <command>cap_mkdb</command> тушаал ашиглан дахин бүтээх ёстой + <para>Бүх тохиолдлуудад <filename>login.conf</filename>-д + өөрчлөлт хийсний дараа нэвтрэлтийн ангиллын боломжийн мэдээллийн баазыг + <command>cap_mkdb</command> тушаал ашиглан дахин бүтээх ёстой бөгөөд энэ нь ойртож байгаа жишээ эсвэл хэлэлцүүлэг бүрт тусгагдах болно.</para> - <para>Олон сайтууд нь хэд хэдэн өөр өөр хэрэглэгчийн ангиллуудыг шаарддаг - ялангуяа асар их тооны хэрэглэгчидтэй байж болохыг тэмдэглэх хэрэгтэй юм. + <para>Олон сайтууд нь хэд хэдэн өөр өөр хэрэглэгчийн ангиллуудыг шаарддаг + ялангуяа асар их тооны хэрэглэгчидтэй байж болохыг тэмдэглэх хэрэгтэй юм. Маш сайн төлөвлөх хэрэгтэй бөгөөд удирдахад туйлын хэцүү болж болох юм.</para> </sect3> <sect3> <title>Сүлжээний интерфэйсүүд болон хаяг/шошгоны тохиргоонууд</title> - <para>Хаяг/шошгонууд нь сүлжээний дагуух өгөгдлийн урсгалыг хянахад туслах - зорилгоор сүлжээний интерфэйсүүд дээр бас тавигдаж болно. Бүх тохиолдолд - тэдгээр нь бодлогууд обьектуудад үйлчилдэг шигээр үйлчилдэг. - <literal>biba</literal> дээрх өндөр тохиргоонуудтай хэрэглэгчдийг - жишээ нь доод хаяг/шошготой сүлжээний интерфэйсүүдэд хандахыг + <para>Хаяг/шошгонууд нь сүлжээний дагуух өгөгдлийн урсгалыг хянахад туслах + зорилгоор сүлжээний интерфэйсүүд дээр бас тавигдаж болно. Бүх тохиолдолд + тэдгээр нь бодлогууд обьектуудад үйлчилдэг шигээр үйлчилдэг. + <literal>biba</literal> дээрх өндөр тохиргоонуудтай хэрэглэгчдийг + жишээ нь доод хаяг/шошготой сүлжээний интерфэйсүүдэд хандахыг зөвшөөрдөггүй.</para> - <para>Сүлжээний интерфэйсүүд дээр <acronym>MAC</acronym> хаяг/шошгыг - тохируулахдаа <option>maclabel</option> тохируулгыг <command>ifconfig</command> + <para>Сүлжээний интерфэйсүүд дээр <acronym>MAC</acronym> хаяг/шошгыг + тохируулахдаа <option>maclabel</option> тохируулгыг <command>ifconfig</command> тушаал уруу өгч болох юм. Жишээ нь:</para> <screen>&prompt.root; <userinput>ifconfig bge0 maclabel biba/equal</userinput></screen> - <para>тушаал нь <literal>biba/equal</literal>-ийн <acronym>MAC</acronym> - хаяг/шошгыг &man.bge.4; интерфэйс дээр тохируулах болно. - <literal>biba/high(low-high)</literal>-тай төстэй - тохиргоог ашиглаж байх үед бүх хаяг/шошгыг тэр чигээр нь хаалтанд ("") + <para>тушаал нь <literal>biba/equal</literal>-ийн <acronym>MAC</acronym> + хаяг/шошгыг &man.bge.4; интерфэйс дээр тохируулах болно. + <literal>biba/high(low-high)</literal>-тай төстэй + тохиргоог ашиглаж байх үед бүх хаяг/шошгыг тэр чигээр нь хаалтанд ("") хийх ёстой, тэгэхгүй бол алдаа буцаагдах болно.</para> - <para>Хаяглалтыг дэмждэг бодлогын модуль бүр тааруулах боломжтой - хувьсагчтай байдаг бөгөөд тэдгээрийг сүлжээний интерфэйсүүд дээр - <acronym>MAC</acronym> хаяг/шошгыг хаахдаа хэрэглэж - болох юм. Хаяг/шошгыг <option>equal</option> буюу тэнцүү гэж - тохируулах нь ижил нөлөөлөлтэй байх болно. Тэдгээр тааруулах боломжтой - хувьсагчуудын хувьд <command>sysctl</command>-ийн - тушаалын гаралт, бодлогын гарын авлагын хуудаснууд эсвэл бүр + <para>Хаяглалтыг дэмждэг бодлогын модуль бүр тааруулах боломжтой + хувьсагчтай байдаг бөгөөд тэдгээрийг сүлжээний интерфэйсүүд дээр + <acronym>MAC</acronym> хаяг/шошгыг хаахдаа хэрэглэж + болох юм. Хаяг/шошгыг <option>equal</option> буюу тэнцүү гэж + тохируулах нь ижил нөлөөлөлтэй байх болно. Тэдгээр тааруулах боломжтой + хувьсагчуудын хувьд <command>sysctl</command>-ийн + тушаалын гаралт, бодлогын гарын авлагын хуудаснууд эсвэл бүр энэ бүлгийн үлдсэн хэсэг дэх мэдээллийг дахин үзээрэй.</para> </sect3> </sect2> @@ -654,74 +654,74 @@ test: biba/high</screen> <sect2> <title>Ганц хаяг/шошго уу эсвэл олон хаяг/шошго уу?</title> <!-- Stopped here with my edits --> - <para>Анхдагчаар систем нь <option>singlelabel</option> + <para>Анхдагчаар систем нь <option>singlelabel</option> тохируулгыг ашиглах болно. Гэхдээ энэ нь администраторт юу гэж ойлгогдох - вэ? Хэд хэдэн ялгаанууд байдаг бөгөөд тэдгээр нь системийн аюулгүй байдлын + вэ? Хэд хэдэн ялгаанууд байдаг бөгөөд тэдгээр нь системийн аюулгүй байдлын загварт уян хатан чанарын хувьд давуу болон сул талуудыг үзүүлдэг.</para> - <para><option>singlelabel</option> нь зөвхөн нэг хаяг/шошгоны хувьд - зөвшөөрөх бөгөөд жишээлбэл <literal>biba/high</literal>-ийг - субьект эсвэл обьект бүрийн хувьд ашиглах юм. Энэ нь удирдлагын хувьд бага - ажиллагааг өгдөг боловч хаяглалтыг дэмждэг бодлогуудын уян хатан чанарыг - бууруулдаг. Олон администраторууд өөрсдийн аюулгүй байдлын бодлогодоо - <option>multilabel</option> тохируулгыг ашиглахыг хүсэж болох + <para><option>singlelabel</option> нь зөвхөн нэг хаяг/шошгоны хувьд + зөвшөөрөх бөгөөд жишээлбэл <literal>biba/high</literal>-ийг + субьект эсвэл обьект бүрийн хувьд ашиглах юм. Энэ нь удирдлагын хувьд бага + ажиллагааг өгдөг боловч хаяглалтыг дэмждэг бодлогуудын уян хатан чанарыг + бууруулдаг. Олон администраторууд өөрсдийн аюулгүй байдлын бодлогодоо + <option>multilabel</option> тохируулгыг ашиглахыг хүсэж болох юм.</para> - <para><option>multilabel</option> тохируулга нь субьект эсвэл обьект бүрийг - хуваалтад зөвхөн нэг хаяг/шошгыг зөвшөөрөх стандарт <option>singlelabel</option> - тохируулгын оронд өөрийн гэсэн тусдаа <acronym>MAC</acronym> хаягтай байхыг - зөвшөөрөх болно. <option>multilabel</option> болон <option>single</option> - хаяг/шошгоны тохируулгууд нь Biba, Lomac, <acronym>MLS</acronym> болон - <acronym>SEBSD</acronym> зэрэг хаяглалтын боломжийг хийж гүйцэтгэдэг + <para><option>multilabel</option> тохируулга нь субьект эсвэл обьект бүрийг + хуваалтад зөвхөн нэг хаяг/шошгыг зөвшөөрөх стандарт <option>singlelabel</option> + тохируулгын оронд өөрийн гэсэн тусдаа <acronym>MAC</acronym> хаягтай байхыг + зөвшөөрөх болно. <option>multilabel</option> болон <option>single</option> + хаяг/шошгоны тохируулгууд нь Biba, Lomac, <acronym>MLS</acronym> болон + <acronym>SEBSD</acronym> зэрэг хаяглалтын боломжийг хийж гүйцэтгэдэг бодлогуудад зөвхөн шаардлагатай байдаг.</para> - - <para>Ихэнх тохиолдолд <option>multilabel</option>-ийг тохируулах - ерөөсөө хэрэггүй байж болох юм. Дараах тохиолдол болон аюулгүй байдлын + + <para>Ихэнх тохиолдолд <option>multilabel</option>-ийг тохируулах + ерөөсөө хэрэггүй байж болох юм. Дараах тохиолдол болон аюулгүй байдлын загварыг авч үзье:</para> <itemizedlist> <listitem> - <para><acronym>MAC</acronym> тогтолцоо болон төрөл бүрийн бодлогуудын + <para><acronym>MAC</acronym> тогтолцоо болон төрөл бүрийн бодлогуудын холимгийг ашигладаг &os; вэб сервер.</para> </listitem> <listitem> - <para>Энэ машин нь зөвхөн нэг хаяг/шошго <literal>biba/high</literal>-ийг - системийн бүх юмандаа шаарддаг. Энд ганц хаяг/шошго нь үргэлж нөлөөлөх болохоор - файлын систем нь <option>multilabel</option> тохируулгыг + <para>Энэ машин нь зөвхөн нэг хаяг/шошго <literal>biba/high</literal>-ийг + системийн бүх юмандаа шаарддаг. Энд ганц хаяг/шошго нь үргэлж нөлөөлөх болохоор + файлын систем нь <option>multilabel</option> тохируулгыг шаардахгүй.</para> </listitem> <listitem> - <para>Гэхдээ энэ машин нь вэб сервер болох бөгөөд бичих боломжоос хамгаалахын - тулд вэб серверийг <literal>biba/low</literal>-д ажиллуулах - ёстой. Biba бодлого болон энэ нь хэрхэн ажилладаг талаар сүүлд - хэлэлцэх болно. Тэгэхээр хэрэв өмнөх тайлбар ойлгоход хэцүү байгаа - бол зүгээр л цааш үргэлжлүүлэн уншаад буцаж эргэж ирээрэй. - Сервер нь ажиллаж байх үеийн төлвийнхээ ихэнх үед - <literal>biba/low</literal> тавигдсан тусдаа хуваалтыг ашиглаж - болох юм. Энэ жишээн дээр нэлээн их зүйл байхгүй байгаа, жишээ нь - өгөгдөл, тохиргоо болон хэрэглэгчийн тохиргоонууд дээр хязгаарлалтууд - байхгүй; гэхдээ энэ нь зөвхөн дээр дурдсаныг батлах хурдхан жишээ + <para>Гэхдээ энэ машин нь вэб сервер болох бөгөөд бичих боломжоос хамгаалахын + тулд вэб серверийг <literal>biba/low</literal>-д ажиллуулах + ёстой. Biba бодлого болон энэ нь хэрхэн ажилладаг талаар сүүлд + хэлэлцэх болно. Тэгэхээр хэрэв өмнөх тайлбар ойлгоход хэцүү байгаа + бол зүгээр л цааш үргэлжлүүлэн уншаад буцаж эргэж ирээрэй. + Сервер нь ажиллаж байх үеийн төлвийнхээ ихэнх үед + <literal>biba/low</literal> тавигдсан тусдаа хуваалтыг ашиглаж + болох юм. Энэ жишээн дээр нэлээн их зүйл байхгүй байгаа, жишээ нь + өгөгдөл, тохиргоо болон хэрэглэгчийн тохиргоонууд дээр хязгаарлалтууд + байхгүй; гэхдээ энэ нь зөвхөн дээр дурдсаныг батлах хурдхан жишээ юм.</para> </listitem> </itemizedlist> - <para>Хэрэв хаягладаггүй бодлогуудын аль нэг ашиглагдах бол - <option>multilabel</option> тохируулга хэзээ ч шаардагдахгүй. + <para>Хэрэв хаягладаггүй бодлогуудын аль нэг ашиглагдах бол + <option>multilabel</option> тохируулга хэзээ ч шаардагдахгүй. Эдгээрт <literal>seeotheruids</literal>, - <literal>portacl</literal> болон <literal>partition</literal> + <literal>portacl</literal> болон <literal>partition</literal> бодлогууд ордог.</para> - <para>Хуваалтад <option>multilabel</option> тохируулгыг ашиглаж - <option>multilabel</option>-ийн ажиллагаан дээр тулгуурласан - аюулгүй байдлын загварыг байгуулах нь удирдлагын хувьд илүү ажиллагаанд - хүргэж болох юм. Учир нь файлын систем дэх бүх зүйлс хаяг/шошготой болох - юм. Эдгээр зүйлсэд сангууд, файлууд, болон бүр төхөөрөмжийн цэгүүд хүртэл + <para>Хуваалтад <option>multilabel</option> тохируулгыг ашиглаж + <option>multilabel</option>-ийн ажиллагаан дээр тулгуурласан + аюулгүй байдлын загварыг байгуулах нь удирдлагын хувьд илүү ажиллагаанд + хүргэж болох юм. Учир нь файлын систем дэх бүх зүйлс хаяг/шошготой болох + юм. Эдгээр зүйлсэд сангууд, файлууд, болон бүр төхөөрөмжийн цэгүүд хүртэл орно.</para> - <para>Дараах тушаал нь файлын системүүд дээр олон хаяг/шошготой байхаар - <option>multilabel</option>-ийг тохируулна. Үүнийг зөвхөн ганц хэрэглэгчийн + <para>Дараах тушаал нь файлын системүүд дээр олон хаяг/шошготой байхаар + <option>multilabel</option>-ийг тохируулна. Үүнийг зөвхөн ганц хэрэглэгчийн горимд хийж болно:</para> <screen>&prompt.root; <userinput>tunefs -l enable /</userinput></screen> @@ -729,9 +729,9 @@ test: biba/high</screen> <para>Энэ нь swap файлын системийн хувьд шаардлагатай биш юм.</para> <note> - <para>Зарим хэрэглэгчид <option>multilabel</option> тугийг root - хуваалт дээр тохируулахад асуудлуудтай тулгарсан байж болох юм. - Хэрэв ийм тохиолдол бол энэ бүлгийн <xref linkend="mac-troubleshoot"/> + <para>Зарим хэрэглэгчид <option>multilabel</option> тугийг root + хуваалт дээр тохируулахад асуудлуудтай тулгарсан байж болох юм. + Хэрэв ийм тохиолдол бол энэ бүлгийн <xref linkend="mac-troubleshoot"/> хэсгийг дахин үзнэ үү.</para> </note> <!-- @@ -740,83 +740,83 @@ test: biba/high</screen> <sect2> <title>Тааруулах боломжтой хувьсагчуудаар MAC-ийг хянах нь</title> - <para>Ямар ч модулийг дуудалгүйгээр <acronym>MAC</acronym>-ийн зарим - хэсгүүдийг <command>sysctl</command> интерфэйс ашиглан тохируулж - болно. Эдгээр тааруулах боломжтой хувьсагчуудыг доор тайлбарласан - бөгөөд бүх тохиолдолд нэг (1) нь идэвхжүүлэхийг илтгэдэг бол + <para>Ямар ч модулийг дуудалгүйгээр <acronym>MAC</acronym>-ийн зарим + хэсгүүдийг <command>sysctl</command> интерфэйс ашиглан тохируулж + болно. Эдгээр тааруулах боломжтой хувьсагчуудыг доор тайлбарласан + бөгөөд бүх тохиолдолд нэг (1) нь идэвхжүүлэхийг илтгэдэг бол тэг (0) нь хаахыг илтгэнэ:</para> <itemizedlist> <listitem> - <para><literal>security.mac.enforce_fs</literal> нь - анхдагчаар нэг (1) байх бөгөөд <acronym>MAC</acronym> файлын системийн + <para><literal>security.mac.enforce_fs</literal> нь + анхдагчаар нэг (1) байх бөгөөд <acronym>MAC</acronym> файлын системийн бодлогуудыг файлын системүүд дээр идэвхжүүлдэг.</para> </listitem> <listitem> - <para><literal>security.mac.enforce_kld</literal> нь - анхдагчаар нэг (1) байх бөгөөд <acronym>MAC</acronym> цөмийн холбох - бодлогуудыг динамик цөмийн холбогчид (&man.kld.4;-г харна уу) + <para><literal>security.mac.enforce_kld</literal> нь + анхдагчаар нэг (1) байх бөгөөд <acronym>MAC</acronym> цөмийн холбох + бодлогуудыг динамик цөмийн холбогчид (&man.kld.4;-г харна уу) идэвхжүүлдэг.</para> </listitem> <listitem> - <para><literal>security.mac.enforce_network</literal> нь - анхдагчаар нэг (1) байдаг бөгөөд <acronym>MAC</acronym> сүлжээний + <para><literal>security.mac.enforce_network</literal> нь + анхдагчаар нэг (1) байдаг бөгөөд <acronym>MAC</acronym> сүлжээний бодлогуудыг идэвхжүүлдэг.</para> </listitem> <listitem> - <para><literal>security.mac.enforce_pipe</literal> нь - анхдагчаар нэг (1) байдаг бөгөөд хоолойнууд дээр <acronym>MAC</acronym> + <para><literal>security.mac.enforce_pipe</literal> нь + анхдагчаар нэг (1) байдаг бөгөөд хоолойнууд дээр <acronym>MAC</acronym> бодлогуудыг идэвхжүүлдэг.</para> </listitem> <listitem> - <para><literal>security.mac.enforce_process</literal> нь - анхдагчаар нэг (1) байдаг бөгөөд процесс хоорондын холбоог хэрэглэдэг - процессууд дээр <acronym>MAC</acronym> + <para><literal>security.mac.enforce_process</literal> нь + анхдагчаар нэг (1) байдаг бөгөөд процесс хоорондын холбоог хэрэглэдэг + процессууд дээр <acronym>MAC</acronym> бодлогуудыг идэвхжүүлдэг.</para> </listitem> <listitem> - <para><literal>security.mac.enforce_socket</literal> нь - анхдагчаар нэг (1) байдаг бөгөөд сокетууд (&man.socket.2; гарын авлагын - хуудсыг үзнэ үү) дээр <acronym>MAC</acronym> + <para><literal>security.mac.enforce_socket</literal> нь + анхдагчаар нэг (1) байдаг бөгөөд сокетууд (&man.socket.2; гарын авлагын + хуудсыг үзнэ үү) дээр <acronym>MAC</acronym> бодлогуудыг идэвхжүүлдэг.</para> </listitem> <listitem> - <para><literal>security.mac.enforce_system</literal> нь - анхдагчаар нэг (1) байдаг бөгөөд бүртгэл хөтлөх болон дахин ачаалах зэрэг системийн - үйлдлүүд дээр <acronym>MAC</acronym> + <para><literal>security.mac.enforce_system</literal> нь + анхдагчаар нэг (1) байдаг бөгөөд бүртгэл хөтлөх болон дахин ачаалах зэрэг системийн + үйлдлүүд дээр <acronym>MAC</acronym> бодлогуудыг идэвхжүүлдэг.</para> </listitem> <listitem> - <para><literal>security.mac.enforce_vm</literal> нь - анхдагчаар нэг (1) байдаг бөгөөд виртуал санах ойн систем дээр <acronym>MAC</acronym> + <para><literal>security.mac.enforce_vm</literal> нь + анхдагчаар нэг (1) байдаг бөгөөд виртуал санах ойн систем дээр <acronym>MAC</acronym> бодлогуудыг идэвхжүүлдэг.</para> </listitem> </itemizedlist> <note> - <para>Бодлого бүр эсвэл <acronym>MAC</acronym> тохируулга нь тааруулах - боломжтой хувьсагчуудыг дэмждэг. Эдгээр нь ихэвчлэн - <literal>security.mac.<policyname></literal> модны нэг - хэсэг байдаг. <acronym>MAC</acronym>-ийн бүх тааруулах боломжтой хувьсагчуудыг + <para>Бодлого бүр эсвэл <acronym>MAC</acronym> тохируулга нь тааруулах + боломжтой хувьсагчуудыг дэмждэг. Эдгээр нь ихэвчлэн + <literal>security.mac.<policyname></literal> модны нэг + хэсэг байдаг. <acronym>MAC</acronym>-ийн бүх тааруулах боломжтой хувьсагчуудыг харахын тулд дараах тушаалыг ашиглана:</para> <screen>&prompt.root; <userinput>sysctl -da | grep mac</userinput></screen> </note> - <para>Энэ нь бүх үндсэн <acronym>MAC</acronym> бодлогуудыг анхдагчаар - идэвхжүүлсэн гэж тайлбарлагдах ёстой. Хэрэв модуль нь цөмд цуг бүтээгдсэн бол - систем нь туйлын түгжигдсэн байх бөгөөд локал сүлжээнд холбогдож чадахгүй - эсвэл Интернэтэд холбогдохгүй зэрэг байх байсан. Модулиудыг цөмд оруулж - бүтээхийг зөвлөдөггүйн учир энэ юм. <command>sysctl</command>-оор - боломжуудыг шууд хаах чадварыг энэ нь зөвхөн хязгаарлаад зогсохгүй - шинэ системийг дахин бүтээж суулгах шаардлагагүйгээр администраторт агшин + <para>Энэ нь бүх үндсэн <acronym>MAC</acronym> бодлогуудыг анхдагчаар + идэвхжүүлсэн гэж тайлбарлагдах ёстой. Хэрэв модуль нь цөмд цуг бүтээгдсэн бол + систем нь туйлын түгжигдсэн байх бөгөөд локал сүлжээнд холбогдож чадахгүй + эсвэл Интернэтэд холбогдохгүй зэрэг байх байсан. Модулиудыг цөмд оруулж + бүтээхийг зөвлөдөггүйн учир энэ юм. <command>sysctl</command>-оор + боломжуудыг шууд хаах чадварыг энэ нь зөвхөн хязгаарлаад зогсохгүй + шинэ системийг дахин бүтээж суулгах шаардлагагүйгээр администраторт агшин зуур системийн бодлогуудыг солих боломжийг зөвшөөрдөг.</para> --> </sect2> @@ -825,9 +825,9 @@ test: biba/high</screen> <sect1 id="mac-planning"> <title>Аюулгүй байдлын тохиргоог төлөвлөх нь</title> - <para>Шинэ технологи хийгдэх болгонд төлөвлөлтийн үе шат үргэлж зөв зүйтэй санаа - байдаг. Төлөвлөх шатуудын үеэр администратор ерөнхийд нь - <quote>том дүр зургийг</quote> харах ёстой бөгөөд ядаж дараах зүйлүүдийг + <para>Шинэ технологи хийгдэх болгонд төлөвлөлтийн үе шат үргэлж зөв зүйтэй санаа + байдаг. Төлөвлөх шатуудын үеэр администратор ерөнхийд нь + <quote>том дүр зургийг</quote> харах ёстой бөгөөд ядаж дараах зүйлүүдийг хараандаа байлгаж байх хэрэгтэй:</para> <itemizedlist> @@ -844,41 +844,41 @@ test: biba/high</screen> <itemizedlist> <listitem> - <para>Системүүд дээр байгаа мэдээлэл болон эх үүсвэрүүдийг хэрхэн + <para>Системүүд дээр байгаа мэдээлэл болон эх үүсвэрүүдийг хэрхэн ангилах.</para> </listitem> <listitem> - <para>Мэдээлэл ба эх үүсвэрүүдийн ямар төрлүүдэд хандахыг + <para>Мэдээлэл ба эх үүсвэрүүдийн ямар төрлүүдэд хандахыг хийгдэх ёстой хязгаарлалтуудын төрлийн хамтаар хязгаарлах.</para> </listitem> <listitem> - <para>Энэ зорилгод хүрэхийн тулд аль <acronym>MAC</acronym> + <para>Энэ зорилгод хүрэхийн тулд аль <acronym>MAC</acronym> модуль эсвэл модулиуд шаардлагатай болох.</para> </listitem> </itemizedlist> - <para>Системийн эх үүсвэрүүд болон аюулгүй байдлын тохиргоонуудыг - дахин тохируулж өөрчлөх боломж үргэлж байдаг бөгөөд системээс хайж файлууд болон - хэрэглэгчийн бүртгэлүүдийг засах нь ихэвчлэн маш тохиромжгүй байдаг. - Төлөвлөх нь ямар нэг асуудалгүй, үр ашигтай итгэгдсэн системийг бүтээхэд - туслах юм. Тохиргоо бүхий итгэгдсэн системийн туршилт нь ихэвчлэн - амин чухал байдаг бөгөөд <acronym>MAC</acronym> шийдлийг жинхэнэ ажиллах - системүүд дээр ашиглахаас <emphasis>өмнө</emphasis> лавтай ашигтай - байдаг билээ. <acronym>MAC</acronym> бүхий систем дээр сул тохируулж + <para>Системийн эх үүсвэрүүд болон аюулгүй байдлын тохиргоонуудыг + дахин тохируулж өөрчлөх боломж үргэлж байдаг бөгөөд системээс хайж файлууд болон + хэрэглэгчийн бүртгэлүүдийг засах нь ихэвчлэн маш тохиромжгүй байдаг. + Төлөвлөх нь ямар нэг асуудалгүй, үр ашигтай итгэгдсэн системийг бүтээхэд + туслах юм. Тохиргоо бүхий итгэгдсэн системийн туршилт нь ихэвчлэн + амин чухал байдаг бөгөөд <acronym>MAC</acronym> шийдлийг жинхэнэ ажиллах + системүүд дээр ашиглахаас <emphasis>өмнө</emphasis> лавтай ашигтай + байдаг билээ. <acronym>MAC</acronym> бүхий систем дээр сул тохируулж орхих нь амжилтгүй байдлыг тохируулж байна гэсэн үг юм.</para> - <para>Өөр өөр орчнууд өөр тусгай хэрэгцээ болон шаардлагуудтай байж болох - юм. Гүнзгий, бүрэн гүйцэд аюулгүй байдлын хувийн тохируулгыг үүсгэх нь - систем ажиллагаанд орсны дараа өөрчлөлтүүдийн хэрэгцээг багасгах - болно. Тиймээс дараа дараагийн хэсгүүд администраторуудад байдаг - өөр өөр модулиудын талаар өгүүлэх бөгөөд тэдгээрийн хэрэглээ болон тохиргоог - тайлбарлаж зарим тохиолдолд тэдгээр нь ямар нөхцөл байдлын үед хамгийн - тохиромжтой байхыг харуулах болно. Жишээ нь вэб сервер нь - &man.mac.biba.4; болон &man.mac.bsdextended.4; бодлогуудыг - ашиглаж болох юм. Бусад тохиолдлуудад жишээ нь маш цөөн локал хэрэглэгчидтэй - машины хувьд &man.mac.partition.4; магадгүй зөв сонголт болж + <para>Өөр өөр орчнууд өөр тусгай хэрэгцээ болон шаардлагуудтай байж болох + юм. Гүнзгий, бүрэн гүйцэд аюулгүй байдлын хувийн тохируулгыг үүсгэх нь + систем ажиллагаанд орсны дараа өөрчлөлтүүдийн хэрэгцээг багасгах + болно. Тиймээс дараа дараагийн хэсгүүд администраторуудад байдаг + өөр өөр модулиудын талаар өгүүлэх бөгөөд тэдгээрийн хэрэглээ болон тохиргоог + тайлбарлаж зарим тохиолдолд тэдгээр нь ямар нөхцөл байдлын үед хамгийн + тохиромжтой байхыг харуулах болно. Жишээ нь вэб сервер нь + &man.mac.biba.4; болон &man.mac.bsdextended.4; бодлогуудыг + ашиглаж болох юм. Бусад тохиолдлуудад жишээ нь маш цөөн локал хэрэглэгчидтэй + машины хувьд &man.mac.partition.4; магадгүй зөв сонголт болж болох юм.</para> </sect1> @@ -886,25 +886,25 @@ test: biba/high</screen> <title>Модулийн тохиргоо</title> <para><acronym>MAC</acronym> тогтолцоонд орсон модуль бүр дээр дурдсан - шиг цөмд эмхэтгэгдэж эсвэл цөмийн ажиллах үеийн модуль хэлбэрээр дуудагдаж - болно. Бидний зөвлөдөг арга бол модулийг эхний ачаалалтын үйлдлийн үеэр - дуудагдахаар болгож модулийн нэрийг <filename>/boot/loader.conf</filename> + шиг цөмд эмхэтгэгдэж эсвэл цөмийн ажиллах үеийн модуль хэлбэрээр дуудагдаж + болно. Бидний зөвлөдөг арга бол модулийг эхний ачаалалтын үйлдлийн үеэр + дуудагдахаар болгож модулийн нэрийг <filename>/boot/loader.conf</filename> файлд нэмэх явдал юм.</para> - <para>Дараах хэсгүүд нь төрөл бүрийн <acronym>MAC</acronym> модулиудыг - хэлэлцэж тэдгээрийн боломжуудыг тайлбарлах болно. Тэдгээрийг тусгай - орчинд хийж гүйцэтгэхийг энэ бүлэг бас хамрах болно. Зарим модулиуд - хаяглалтын хэрэглээг дэмждэг бөгөөд хаяглалт нь - <quote>энийг зөвшөөрсөн, харин энийг зөвшөөрөөгүй</quote> гэх - зэрэг хаяг/шошгыг хэрэгжүүлж хандалтыг хянадаг байна. Хаяг/шошгоны - тохиргооны файл нь файлуудад хэрхэн хандаж болох, сүлжээний холболтыг - хэрхэн солилцож болох гэх зэрэг олон асуудлуудыг хянадаг. Өмнөх хэсэг нь - файл бүрийн эсвэл хуваалт бүрийн хандалтын хяналтыг идэвхжүүлэхийн тулд - <option>multilabel</option> тугийг файлын системүүдэд хэрхэн + <para>Дараах хэсгүүд нь төрөл бүрийн <acronym>MAC</acronym> модулиудыг + хэлэлцэж тэдгээрийн боломжуудыг тайлбарлах болно. Тэдгээрийг тусгай + орчинд хийж гүйцэтгэхийг энэ бүлэг бас хамрах болно. Зарим модулиуд + хаяглалтын хэрэглээг дэмждэг бөгөөд хаяглалт нь + <quote>энийг зөвшөөрсөн, харин энийг зөвшөөрөөгүй</quote> гэх + зэрэг хаяг/шошгыг хэрэгжүүлж хандалтыг хянадаг байна. Хаяг/шошгоны + тохиргооны файл нь файлуудад хэрхэн хандаж болох, сүлжээний холболтыг + хэрхэн солилцож болох гэх зэрэг олон асуудлуудыг хянадаг. Өмнөх хэсэг нь + файл бүрийн эсвэл хуваалт бүрийн хандалтын хяналтыг идэвхжүүлэхийн тулд + <option>multilabel</option> тугийг файлын системүүдэд хэрхэн тохируулах талаар үзүүлсэн.</para> - <para>Ганц хаяг/шошго бүхий тохиргоо нь системийн дагуу зөвхөн нэг хаяг/шошгыг - хэрэглэх бөгөөд ийм учраас <command>tunefs</command>-ийн + <para>Ганц хаяг/шошго бүхий тохиргоо нь системийн дагуу зөвхөн нэг хаяг/шошгыг + хэрэглэх бөгөөд ийм учраас <command>tunefs</command>-ийн тохируулга <option>multilabel</option> гэж нэрлэгдсэн юм.</para> </sect1> @@ -922,43 +922,43 @@ test: biba/high</screen> <para>Ачаалалтын тохируулга: <literal>mac_seeotheruids_load="YES"</literal></para> - <para>&man.mac.seeotheruids.4; модуль нь - <command>sysctl</command>-ийн тааруулах боломжтой - <literal>security.bsd.see_other_uids</literal> болон - <literal>security.bsd.see_other_gids</literal> хувьсагчуудыг - дуурайж өргөтгөдөг. Энэ тохируулга нь тохиргооноос өмнө ямар ч - хаяг/шошгонуудыг тохируулахыг шаарддаггүй бөгөөд бусад модулиудтай + <para>&man.mac.seeotheruids.4; модуль нь + <command>sysctl</command>-ийн тааруулах боломжтой + <literal>security.bsd.see_other_uids</literal> болон + <literal>security.bsd.see_other_gids</literal> хувьсагчуудыг + дуурайж өргөтгөдөг. Энэ тохируулга нь тохиргооноос өмнө ямар ч + хаяг/шошгонуудыг тохируулахыг шаарддаггүй бөгөөд бусад модулиудтай хамааралгүйгээр ажиллаж чаддаг.</para> - <para>Модулийг дуудаж ачаалсны дараа боломжуудыг хянахын тулд дараах - <command>sysctl</command>-ийн тааруулах боломжтой хувьсагчуудыг + <para>Модулийг дуудаж ачаалсны дараа боломжуудыг хянахын тулд дараах + <command>sysctl</command>-ийн тааруулах боломжтой хувьсагчуудыг ашиглаж болно:</para> <itemizedlist> <listitem> <para><literal>security.mac.seeotheruids.enabled</literal> - нь модулийн боломжуудыг идэвхжүүлж анхдагч тохируулгуудыг - ашиглана. Эдгээр анхдагч тохируулгууд нь бусад хэрэглэгчдийн - эзэмшиж байгаа процессууд болон сокетуудыг харах боломжийг + нь модулийн боломжуудыг идэвхжүүлж анхдагч тохируулгуудыг + ашиглана. Эдгээр анхдагч тохируулгууд нь бусад хэрэглэгчдийн + эзэмшиж байгаа процессууд болон сокетуудыг харах боломжийг хэрэглэгчдийн хувьд хаах болно.</para> </listitem> <listitem> <para> <literal>security.mac.seeotheruids.specificgid_enabled</literal> - нь зарим нэг бүлгүүдийг энэ бодлогоос чөлөөлж тэдгээрийг зөвшөөрөх болно. - Энэ бодлогоос зарим нэг бүлгүүдийг чөлөөлөхийн тулд - <command>sysctl</command> тушаалын - <literal>security.mac.seeotheruids.specificgid=<replaceable>XXX</replaceable></literal> - хувьсагчийг ашиглана. Дээрх жишээн дээрх <replaceable>XXX</replaceable>-ийг + нь зарим нэг бүлгүүдийг энэ бодлогоос чөлөөлж тэдгээрийг зөвшөөрөх болно. + Энэ бодлогоос зарим нэг бүлгүүдийг чөлөөлөхийн тулд + <command>sysctl</command> тушаалын + <literal>security.mac.seeotheruids.specificgid=<replaceable>XXX</replaceable></literal> + хувьсагчийг ашиглана. Дээрх жишээн дээрх <replaceable>XXX</replaceable>-ийг чөлөөлөх бүлгийн тоон ID-аар солих хэрэгтэй.</para> </listitem> <listitem> <para> <literal>security.mac.seeotheruids.primarygroup_enabled</literal> - нь тусгай анхдагч бүлгүүдийг энэ бодлогоос чөлөөлөхийн тулд ашигладаг. - Энэ хувьсагчийг хэрэглэхэд <literal>security.mac.seeotheruids.specificgid_enabled</literal> + нь тусгай анхдагч бүлгүүдийг энэ бодлогоос чөлөөлөхийн тулд ашигладаг. + Энэ хувьсагчийг хэрэглэхэд <literal>security.mac.seeotheruids.specificgid_enabled</literal> хувьсагч тохируулагдаагүй байж болно.</para> </listitem> </itemizedlist> @@ -979,59 +979,59 @@ test: biba/high</screen> <para>Ачаалалтын тохируулга: <literal>mac_bsdextended_load="YES"</literal></para> - <para>&man.mac.bsdextended.4; модуль файлын системийн галт ханыг - идэвхжүүлдэг. Энэ модулийн бодлого нь стандарт файлын системийн - зөвшөөрлүүдийн загварын өргөтгөл болж файлын систем дэх файлууд, - хэрэгслүүд болон сангуудыг хамгаалахын тулд администраторт галт - ханатай адил дүрмийн олонлогийг үүсгэх боломжийг олгодог. - Файлын системийн обьектод хандахыг оролдоход дүрмүүдийн - жагсаалтаас тохирох дүрэм таарах хүртэл эсвэл төгсгөл хүртэл шалгадаг. - Энэ ажиллагааг &man.sysctl.8;-ийн хувьсагч - security.mac.bsdextended.firstmatch_enabled параметрийг - хэрэглэж өөрчилж болно. &os; дэх бусад галт ханын модулиудтай адилаар - хандалтын хяналтын дүрмүүдийг агуулах файлыг үүсгэж &man.rc.conf.5;-ийн + <para>&man.mac.bsdextended.4; модуль файлын системийн галт ханыг + идэвхжүүлдэг. Энэ модулийн бодлого нь стандарт файлын системийн + зөвшөөрлүүдийн загварын өргөтгөл болж файлын систем дэх файлууд, + хэрэгслүүд болон сангуудыг хамгаалахын тулд администраторт галт + ханатай адил дүрмийн олонлогийг үүсгэх боломжийг олгодог. + Файлын системийн обьектод хандахыг оролдоход дүрмүүдийн + жагсаалтаас тохирох дүрэм таарах хүртэл эсвэл төгсгөл хүртэл шалгадаг. + Энэ ажиллагааг &man.sysctl.8;-ийн хувьсагч + security.mac.bsdextended.firstmatch_enabled параметрийг + хэрэглэж өөрчилж болно. &os; дэх бусад галт ханын модулиудтай адилаар + хандалтын хяналтын дүрмүүдийг агуулах файлыг үүсгэж &man.rc.conf.5;-ийн хувьсагчийн тусламжтайгаар ачаалах үед системээр уншуулж болно.</para> - <para>Дүрмийн жагсаалтыг &man.ipfw.8;-ийн синтакстай төстэйгөөр бичигддэг - &man.ugidfw.8; хэрэгслийг ашиглан оруулж болно. Илүү хэрэгслүүдийг + <para>Дүрмийн жагсаалтыг &man.ipfw.8;-ийн синтакстай төстэйгөөр бичигддэг + &man.ugidfw.8; хэрэгслийг ашиглан оруулж болно. Илүү хэрэгслүүдийг &man.libugidfw.3; сан дахь функцуудыг ашиглан бичиж болно.</para> - <para>Энэ модультай ажиллаж байхдаа маш болгоомжтой байх хэрэгтэй; учир нь - буруу хэрэглээ файлын системийн зарим хэсэгт хандах боломжгүй болгож + <para>Энэ модультай ажиллаж байхдаа маш болгоомжтой байх хэрэгтэй; учир нь + буруу хэрэглээ файлын системийн зарим хэсэгт хандах боломжгүй болгож болох юм.</para> <sect2> <title>Жишээнүүд</title> - <para>&man.mac.bsdextended.4; модуль ачаалагдсаны дараа - тухайн үед байгаа дүрмийн тохиргоог жагсаахад дараах тушаал ашиглагдаж + <para>&man.mac.bsdextended.4; модуль ачаалагдсаны дараа + тухайн үед байгаа дүрмийн тохиргоог жагсаахад дараах тушаал ашиглагдаж болно:</para> <screen>&prompt.root; <userinput>ugidfw list</userinput> 0 slots, 0 rules</screen> - <para>Яг бодож байсны дагуу ямар ч дүрмүүд тодорхойлогдоогүй байна. - Энэ нь бүгд хандах боломжтой байна гэсэн үг юм. <username>root</username>-ийг - орхиж бусад хэрэглэгчдийн бүх хандалтыг хаах дүрмийг үүсгэхийн тулд + <para>Яг бодож байсны дагуу ямар ч дүрмүүд тодорхойлогдоогүй байна. + Энэ нь бүгд хандах боломжтой байна гэсэн үг юм. <username>root</username>-ийг + орхиж бусад хэрэглэгчдийн бүх хандалтыг хаах дүрмийг үүсгэхийн тулд ердөө л дараах тушаалыг ажиллуулна:</para> <screen>&prompt.root; <userinput>ugidfw add subject not uid root new object not uid root mode n</userinput></screen> - <para>Энэ нь бүх хэрэглэгчдийг <command>ls</command> зэрэг хамгийн энгийн тушаалуудыг - ажиллуулахыг хаах учраас маш буруу санаа юм. Илүү эх оронч дүрмүүдийн + <para>Энэ нь бүх хэрэглэгчдийг <command>ls</command> зэрэг хамгийн энгийн тушаалуудыг + ажиллуулахыг хаах учраас маш буруу санаа юм. Илүү эх оронч дүрмүүдийн жагсаалт иймэрхүү байж болно:</para> <screen>&prompt.root; <userinput>ugidfw set 2 subject uid <replaceable>user1</replaceable> object uid <replaceable>user2</replaceable> mode n</userinput> &prompt.root; <userinput>ugidfw set 3 subject uid <replaceable>user1</replaceable> object gid <replaceable>user2</replaceable> mode n</userinput></screen> - <para>Энэ нь <username>user1</username> хэрэглэгчээс - <username><replaceable>user2</replaceable></username>-ийн гэрийн - сан уруу хандах сангийн жагсаалт үзүүлэх зэрэг дурын болон бүх хандалтыг + <para>Энэ нь <username>user1</username> хэрэглэгчээс + <username><replaceable>user2</replaceable></username>-ийн гэрийн + сан уруу хандах сангийн жагсаалт үзүүлэх зэрэг дурын болон бүх хандалтыг хаах болно.</para> - <para><username>user1</username>-ийн оронд - <option>not uid <replaceable>user2</replaceable></option> тохируулгыг - дамжуулж болно. Энэ нь дээрхийн адил хандалтын хязгаарлалтуудыг зөвхөн нэг + <para><username>user1</username>-ийн оронд + <option>not uid <replaceable>user2</replaceable></option> тохируулгыг + дамжуулж болно. Энэ нь дээрхийн адил хандалтын хязгаарлалтуудыг зөвхөн нэг хэрэглэгчийн хувьд биш бүх хэрэглэгчийн хувьд тавих болно.</para> <note> @@ -1039,10 +1039,10 @@ test: biba/high</screen> нөлөөлөхгүй.</para> </note> - <para>Энэ нь файлын системийг бэхэлж батжуулахад туслахын тулд - &man.mac.bsdextended.4; модулийг хэрхэн ашиглаж болох - ерөнхий санааг харуулах ёстой. Илүү дэлгэрэнгүй мэдээллийг - &man.mac.bsdextended.4; болон &man.ugidfw.8; гарын + <para>Энэ нь файлын системийг бэхэлж батжуулахад туслахын тулд + &man.mac.bsdextended.4; модулийг хэрхэн ашиглаж болох + ерөнхий санааг харуулах ёстой. Илүү дэлгэрэнгүй мэдээллийг + &man.mac.bsdextended.4; болон &man.ugidfw.8; гарын авлагын хуудаснуудаас үзнэ үү.</para> </sect2> </sect1> @@ -1060,39 +1060,39 @@ test: biba/high</screen> <para>Ачаалалтын тохируулга: <literal>mac_ifoff_load="YES"</literal></para> - <para>&man.mac.ifoff.4; модуль нь сүлжээний интерфэйсүүдийг шууд идэвхгүй болгож - системийн эхний ачаалалтын үеэр идэвхжүүлэхгүй байлгах зорилгоор байдаг. Энэ нь - систем дээр ямар ч хаяг/шошгуудыг тохируулахыг шаарддаггүйгээс гадна бас бусад + <para>&man.mac.ifoff.4; модуль нь сүлжээний интерфэйсүүдийг шууд идэвхгүй болгож + системийн эхний ачаалалтын үеэр идэвхжүүлэхгүй байлгах зорилгоор байдаг. Энэ нь + систем дээр ямар ч хаяг/шошгуудыг тохируулахыг шаарддаггүйгээс гадна бас бусад <acronym>MAC</acronym> модулиудаас хамааралгүй юм.</para> - <para>Хяналтын ихэнх нь доор дурдсан <command>sysctl</command>-ийн тааруулж болох + <para>Хяналтын ихэнх нь доор дурдсан <command>sysctl</command>-ийн тааруулж болох хувьсагчуудаар хийгддэг.</para> <itemizedlist> <listitem> - <para><literal>security.mac.ifoff.lo_enabled</literal> нь - loopback (&man.lo.4;) буюу буцах интерфэйс дээрх бүх урсгалыг + <para><literal>security.mac.ifoff.lo_enabled</literal> нь + loopback (&man.lo.4;) буюу буцах интерфэйс дээрх бүх урсгалыг нээнэ/хаана.</para> </listitem> <listitem> - <para><literal>security.mac.ifoff.bpfrecv_enabled</literal> нь - Berkeley Packet Filter буюу Беркли Пакет шүүгч интерфэйс (&man.bpf.4;) + <para><literal>security.mac.ifoff.bpfrecv_enabled</literal> нь + Berkeley Packet Filter буюу Беркли Пакет шүүгч интерфэйс (&man.bpf.4;) дээрх бүх урсгалыг нээнэ/хаана.</para> </listitem> <listitem> - <para><literal>security.mac.ifoff.other_enabled</literal> нь + <para><literal>security.mac.ifoff.other_enabled</literal> нь бусад бүх интерфэйсүүд дээр бүх урсгалыг нээнэ/хаана.</para> </listitem> </itemizedlist> - <para>&man.mac.ifoff.4;-ийн хамгийн нийтлэг хэрэглээний нэг бол - ачаалах дарааллын үеэр сүлжээний урсгалыг зөвшөөрөх ёсгүй орчинд сүлжээг - монитор хийх явдал юм. Өөр нэг санал болгох хэрэглээ бол - хамгаалагдсан сангуудад шинэ эсвэл өөрчлөгдсөн файлуудыг олсон тохиолдолд - сүлжээний урсгалыг автоматаар хаахын тулд - <filename role="package">security/aide</filename>-г + <para>&man.mac.ifoff.4;-ийн хамгийн нийтлэг хэрэглээний нэг бол + ачаалах дарааллын үеэр сүлжээний урсгалыг зөвшөөрөх ёсгүй орчинд сүлжээг + монитор хийх явдал юм. Өөр нэг санал болгох хэрэглээ бол + хамгаалагдсан сангуудад шинэ эсвэл өөрчлөгдсөн файлуудыг олсон тохиолдолд + сүлжээний урсгалыг автоматаар хаахын тулд + <filename role="package">security/aide</filename>-г ашигладаг скриптийг бичих байж болох юм.</para> </sect1> @@ -1109,111 +1109,111 @@ test: biba/high</screen> <para>Ачаалалтын тохируулга: <literal>mac_portacl_load="YES"</literal></para> - <para>&man.mac.portacl.4; модулийг төрөл бүрийн <command>sysctl</command> - хувьсагчуудыг ашиглан локал <acronym>TCP</acronym> болон - <acronym>UDP</acronym> портуудыг холбохыг хязгаарлахад хэрэглэдэг. - Мөн чанартаа &man.mac.portacl.4; нь заагдсан эрх бүхий портуудыг - өөрөөр хэлбэл 1024-оос бага портуудыг холбох боломжийг + <para>&man.mac.portacl.4; модулийг төрөл бүрийн <command>sysctl</command> + хувьсагчуудыг ашиглан локал <acronym>TCP</acronym> болон + <acronym>UDP</acronym> портуудыг холбохыг хязгаарлахад хэрэглэдэг. + Мөн чанартаа &man.mac.portacl.4; нь заагдсан эрх бүхий портуудыг + өөрөөр хэлбэл 1024-оос бага портуудыг холбох боломжийг <username>root</username> биш хэрэглэгчдэд зөвшөөрдөг.</para> - <para>Ачаалагдсаны дараа энэ модуль нь бүх сокетууд дээр <acronym>MAC</acronym> + <para>Ачаалагдсаны дараа энэ модуль нь бүх сокетууд дээр <acronym>MAC</acronym> бодлогыг идэвхжүүлдэг. Дараах тааруулж болох хувьсагчууд байдаг:</para> <itemizedlist> <listitem> - <para><literal>security.mac.portacl.enabled</literal> нь + <para><literal>security.mac.portacl.enabled</literal> нь бодлогыг бүр мөсөн нээнэ/хаана.</para> </listitem> <listitem> - <para><literal>security.mac.portacl.port_high</literal> нь - &man.mac.portacl.4;-ийн хамгаалалтыг нь идэвхжүүлдэг хамгийн дээд + <para><literal>security.mac.portacl.port_high</literal> нь + &man.mac.portacl.4;-ийн хамгаалалтыг нь идэвхжүүлдэг хамгийн дээд портын дугаарыг тохируулдаг.</para> </listitem> <listitem> - <para><literal>security.mac.portacl.suser_exempt</literal> нь - тэгээс ялгаатай утгаар тохируулагдсан үедээ <username>root</username> + <para><literal>security.mac.portacl.suser_exempt</literal> нь + тэгээс ялгаатай утгаар тохируулагдсан үедээ <username>root</username> хэрэглэгчийг энэ бодлогоос чөлөөлнө.</para> </listitem> <listitem> - <para><literal>security.mac.portacl.rules</literal> нь + <para><literal>security.mac.portacl.rules</literal> нь яг mac_portacl бодлогыг заадаг; доорхоос харна уу.</para> </listitem> </itemizedlist> - <para><literal>mac_portacl</literal> бодлого нь - <literal>security.mac.portacl.rules</literal> sysctl-д - заагдсаны дагуу хэрэгцээнээсээ хамааран хэдэн ч дүрмүүдтэй байж болох - <literal>rule[,rule,...]</literal> текст хэлбэрийн байдаг. - Дүрэм бүр <literal>idtype:id:protocol:port</literal> - гэсэн хэлбэрийн байдаг. <parameter>idtype</parameter> - параметр нь <literal>uid</literal> эсвэл <literal>gid</literal> - байж болох бөгөөд <parameter>id</parameter> параметрийг - хэрэглэгчийн id эсвэл бүлгийн id гэж тайлбарладаг. - <parameter>protocol</parameter> параметр нь - <literal>tcp</literal> эсвэл <literal>udp</literal> - гэж заагдан дүрмийг <acronym>TCP</acronym> эсвэл - <acronym>UDP</acronym>-ийн алинд хамаарахыг тодорхойлоход - хэрэглэгддэг. Сүүлийн <parameter>port</parameter> параметр нь - заагдсан хэрэглэгч эсвэл бүлэгт холбохыг зөвшөөрөх портын дугаар + <para><literal>mac_portacl</literal> бодлого нь + <literal>security.mac.portacl.rules</literal> sysctl-д + заагдсаны дагуу хэрэгцээнээсээ хамааран хэдэн ч дүрмүүдтэй байж болох + <literal>rule[,rule,...]</literal> текст хэлбэрийн байдаг. + Дүрэм бүр <literal>idtype:id:protocol:port</literal> + гэсэн хэлбэрийн байдаг. <parameter>idtype</parameter> + параметр нь <literal>uid</literal> эсвэл <literal>gid</literal> + байж болох бөгөөд <parameter>id</parameter> параметрийг + хэрэглэгчийн id эсвэл бүлгийн id гэж тайлбарладаг. + <parameter>protocol</parameter> параметр нь + <literal>tcp</literal> эсвэл <literal>udp</literal> + гэж заагдан дүрмийг <acronym>TCP</acronym> эсвэл + <acronym>UDP</acronym>-ийн алинд хамаарахыг тодорхойлоход + хэрэглэгддэг. Сүүлийн <parameter>port</parameter> параметр нь + заагдсан хэрэглэгч эсвэл бүлэгт холбохыг зөвшөөрөх портын дугаар юм.</para> <note> - <para>Дүрмийн олонлог нь цөмөөр шууд тайлбарлагддаг болохоор хэрэглэгчийн ID - бүлгийн ID болон портын параметруудын хувьд зөвхөн тоон утгуудыг ашиглаж - болно. Өөрөөр хэлбэл хэрэглэгч, бүлэг болон портын үйлчилгээний нэрсийг + <para>Дүрмийн олонлог нь цөмөөр шууд тайлбарлагддаг болохоор хэрэглэгчийн ID + бүлгийн ID болон портын параметруудын хувьд зөвхөн тоон утгуудыг ашиглаж + болно. Өөрөөр хэлбэл хэрэглэгч, бүлэг болон портын үйлчилгээний нэрсийг ашиглаж болохгүй.</para> </note> - <para>Анхдагчаар &unix; төст системүүд дээр 1024-өөс бага портуудыг зөвхөн - эрх бүхий процессууд буюу өөрөөр хэлбэл <username>root</username>-ээр - ажилладаг процессуудад ашиглахад/холбоход хэрэглэдэг. &man.mac.portacl.4;-ийн - хувьд эрхгүй процессуудыг 1024-өөс бага портуудад холбохыг зөвшөөрөхдөө - энэ стандарт &unix; хязгаарлалтыг хаасан байх ёстой. Үүнийг - &man.sysctl.8;-ийн <literal>net.inet.ip.portrange.reservedlow</literal> - болон <literal>net.inet.ip.portrange.reservedhigh</literal> + <para>Анхдагчаар &unix; төст системүүд дээр 1024-өөс бага портуудыг зөвхөн + эрх бүхий процессууд буюу өөрөөр хэлбэл <username>root</username>-ээр + ажилладаг процессуудад ашиглахад/холбоход хэрэглэдэг. &man.mac.portacl.4;-ийн + хувьд эрхгүй процессуудыг 1024-өөс бага портуудад холбохыг зөвшөөрөхдөө + энэ стандарт &unix; хязгаарлалтыг хаасан байх ёстой. Үүнийг + &man.sysctl.8;-ийн <literal>net.inet.ip.portrange.reservedlow</literal> + болон <literal>net.inet.ip.portrange.reservedhigh</literal> хувьсагчуудыг тэг болгон хийж болно.</para> - <para>Доор жишээнүүдийг үзнэ үү, эсвэл дэлгэрэнгүй мэдээллийг + <para>Доор жишээнүүдийг үзнэ үү, эсвэл дэлгэрэнгүй мэдээллийг &man.mac.portacl.4; гарын авлагын хуудаснаас лавлана уу.</para> <sect2> <title>Жишээнүүд</title> - <para>Дараах жишээнүүд нь дээрх хэлэлцүүлгийг арай илүү тайлбарлах + <para>Дараах жишээнүүд нь дээрх хэлэлцүүлгийг арай илүү тайлбарлах болно:</para> <screen>&prompt.root; <userinput>sysctl security.mac.portacl.port_high=1023</userinput> &prompt.root; <userinput>sysctl net.inet.ip.portrange.reservedlow=0 net.inet.ip.portrange.reservedhigh=0</userinput></screen> - <para>Эхлээд бид &man.mac.portacl.4;-ийг стандарт эрх бүхий - портуудыг хамарч ердийн &unix; холболтын хязгаарлалтуудыг + <para>Эхлээд бид &man.mac.portacl.4;-ийг стандарт эрх бүхий + портуудыг хамарч ердийн &unix; холболтын хязгаарлалтуудыг хаахаар тохируулна.</para> <screen>&prompt.root; <userinput>sysctl security.mac.portacl.suser_exempt=1</userinput></screen> - <para><username>root</username> хэрэглэгчийг энэ бодлогоор хязгаарлахгүйн - тулд <literal>security.mac.portacl.suser_exempt</literal>-г - тэгээс ялгаатай утгаар тохируулна. &man.mac.portacl.4; модуль нь - одоо &unix; төст системүүд анхдагч тохиргоотойгоор ажилладаг шигээр + <para><username>root</username> хэрэглэгчийг энэ бодлогоор хязгаарлахгүйн + тулд <literal>security.mac.portacl.suser_exempt</literal>-г + тэгээс ялгаатай утгаар тохируулна. &man.mac.portacl.4; модуль нь + одоо &unix; төст системүүд анхдагч тохиргоотойгоор ажилладаг шигээр тохируулагдсан байна.</para> <screen>&prompt.root; <userinput>sysctl security.mac.portacl.rules=uid:80:tcp:80</userinput></screen> - <para><acronym>UID</acronym> 80 бүхий (ердийн тохиолдолд - <username>www</username> хэрэглэгч) хэрэглэгчид 80 портыг - холбохыг зөвшөөрнө. <username>root</username> эрхгүйгээр + <para><acronym>UID</acronym> 80 бүхий (ердийн тохиолдолд + <username>www</username> хэрэглэгч) хэрэглэгчид 80 портыг + холбохыг зөвшөөрнө. <username>root</username> эрхгүйгээр вэб сервер ажиллуулахыг <username>www</username> хэрэглэгчид зөвшөөрөхөд үүнийг ашиглаж болно.</para> <screen>&prompt.root; <userinput>sysctl security.mac.portacl.rules=uid:1001:tcp:110,uid:1001:tcp:995</userinput></screen> - <para><acronym>UID</acronym> 1001 бүхий хэрэглэгчид - <acronym>TCP</acronym> 110 (<quote>pop3</quote>) - болон 995 (<quote>pop3s</quote>) портуудыг холбохыг - зөвшөөрнө. Энэ нь 110 болон 995 портуудаар холболтуудыг + <para><acronym>UID</acronym> 1001 бүхий хэрэглэгчид + <acronym>TCP</acronym> 110 (<quote>pop3</quote>) + болон 995 (<quote>pop3s</quote>) портуудыг холбохыг + зөвшөөрнө. Энэ нь 110 болон 995 портуудаар холболтуудыг хүлээн авдаг сервер эхлүүлэхийг хэрэглэгчид зөвшөөрдөг.</para> </sect2> </sect1> @@ -1232,74 +1232,74 @@ test: biba/high</screen> <para>Ачаалалтын тохируулга: <literal>mac_partition_load="YES"</literal></para> - <para>&man.mac.partition.4; бодлого нь процессуудыг тэдгээрийн - <acronym>MAC</acronym> хаяг/шошго дээр үндэслэн тусгай - <quote>хуваалтуудад</quote> оруулдаг. Үүнийг &man.jail.8;-ийн - тусгай нэг төрөл гэж бодох хэрэгтэй, гэхдээ энэ нь тийм ч зохистой + <para>&man.mac.partition.4; бодлого нь процессуудыг тэдгээрийн + <acronym>MAC</acronym> хаяг/шошго дээр үндэслэн тусгай + <quote>хуваалтуудад</quote> оруулдаг. Үүнийг &man.jail.8;-ийн + тусгай нэг төрөл гэж бодох хэрэгтэй, гэхдээ энэ нь тийм ч зохистой харьцуулалт биш юм.</para> - <para>Ачаалах процессийн үеэр энэ бодлогыг дуудаж идэвхжүүлэхийн тулд + <para>Ачаалах процессийн үеэр энэ бодлогыг дуудаж идэвхжүүлэхийн тулд &man.loader.conf.5; файлд нэмэгдэх ёстой нэг модуль нь энэ юм.</para> - <para>Энэ бодлогын ихэнх тохиргоо нь доор тайлбарлагдах &man.setpmac.8; - хэрэгслээр хийгддэг. Энэ бодлогод зориулагдсан дараах + <para>Энэ бодлогын ихэнх тохиргоо нь доор тайлбарлагдах &man.setpmac.8; + хэрэгслээр хийгддэг. Энэ бодлогод зориулагдсан дараах <command>sysctl</command>-ийн хувьсагч байдаг:</para> <itemizedlist> <listitem> - <para><literal>security.mac.partition.enabled</literal> нь - <acronym>MAC</acronym> процессийн хуваалтуудыг хэрэглэхийг + <para><literal>security.mac.partition.enabled</literal> нь + <acronym>MAC</acronym> процессийн хуваалтуудыг хэрэглэхийг идэвхжүүлдэг.</para> </listitem> </itemizedlist> - <para>Энэ бодлого идэвхтэй болоход хэрэглэгчдэд зөвхөн өөрийн процессуудыг болон - нэг хуваалтад байгаа бусад хэрэглэгчдийн процессуудыг харахыг зөвшөөрөх бөгөөд - гэхдээ энэ хуваалтын хүрээнээс гадна байгаа хэрэгслүүдтэй ажиллахыг зөвшөөрөхгүй - байх болно. Жишээ нь дээрх <literal>insecure</literal> ангилалд байгаа - хэрэглэгчийг <command>top</command> тушаал болон процесс үүсгэх ёстой бусад + <para>Энэ бодлого идэвхтэй болоход хэрэглэгчдэд зөвхөн өөрийн процессуудыг болон + нэг хуваалтад байгаа бусад хэрэглэгчдийн процессуудыг харахыг зөвшөөрөх бөгөөд + гэхдээ энэ хуваалтын хүрээнээс гадна байгаа хэрэгслүүдтэй ажиллахыг зөвшөөрөхгүй + байх болно. Жишээ нь дээрх <literal>insecure</literal> ангилалд байгаа + хэрэглэгчийг <command>top</command> тушаал болон процесс үүсгэх ёстой бусад олон тушаалуудад хандахыг зөвшөөрөхгүй юм.</para> - <para>Хэрэгслүүдийг хуваалтын хаяг/шошго уруу оруулах буюу тохируулахын тулд + <para>Хэрэгслүүдийг хуваалтын хаяг/шошго уруу оруулах буюу тохируулахын тулд <command>setpmac</command> хэрэгслийг хэрэглэнэ:</para> <screen>&prompt.root; <userinput>setpmac partition/13 top</userinput></screen> - <para>Энэ нь <command>top</command> тушаалыг <literal>insecure</literal> - ангилал дахь хэрэглэгчдийн хаяг/шошгоны олонлогт нэмэх болно. - <literal>insecure</literal> ангиллын хэрэглэгчдийн үүсгэсэн бүх - процессууд <literal>partition/13</literal> хаяг/шошгод + <para>Энэ нь <command>top</command> тушаалыг <literal>insecure</literal> + ангилал дахь хэрэглэгчдийн хаяг/шошгоны олонлогт нэмэх болно. + <literal>insecure</literal> ангиллын хэрэглэгчдийн үүсгэсэн бүх + процессууд <literal>partition/13</literal> хаяг/шошгод байхыг тэмдэглэх нь зүйтэй юм.</para> <sect2> <title>Жишээнүүд</title> - <para>Дараах тушаал нь хуваалтын хаяг/шошго болон процессийн жагсаалтыг + <para>Дараах тушаал нь хуваалтын хаяг/шошго болон процессийн жагсаалтыг танд харуулах болно:</para> <screen>&prompt.root; <userinput>ps Zax</userinput></screen> - <para>Дараагийн тушаал нь өөр хэрэглэгчийн процессийн хуваалтын хаяг/шошго болон - тэр хэрэглэгчийн тухайн үед ажиллаж байгаа процессуудыг харахыг + <para>Дараагийн тушаал нь өөр хэрэглэгчийн процессийн хуваалтын хаяг/шошго болон + тэр хэрэглэгчийн тухайн үед ажиллаж байгаа процессуудыг харахыг зөвшөөрөх болно:</para> <screen>&prompt.root; <userinput>ps -ZU trhodes</userinput></screen> <note> - <para>&man.mac.seeotheruids.4; бодлого дуудагдаж ачаалагдаагүй бол - <username>root</username> хаяг/шошго дахь процессуудыг + <para>&man.mac.seeotheruids.4; бодлого дуудагдаж ачаалагдаагүй бол + <username>root</username> хаяг/шошго дахь процессуудыг хэрэглэгч харж чадна.</para> </note> - <para>Жинхэнэ ур дүй шаардсан шийдэл нь - <filename>/etc/rc.conf</filename> файл дахь бүх үйлчилгээнүүдийг - хааж тэдгээрт зөв хаяглалтыг тохируулж тэдгээрийг скриптээр + <para>Жинхэнэ ур дүй шаардсан шийдэл нь + <filename>/etc/rc.conf</filename> файл дахь бүх үйлчилгээнүүдийг + хааж тэдгээрт зөв хаяглалтыг тохируулж тэдгээрийг скриптээр эхлүүлдэг байж болох юм.</para> <note> - <para>Дараах бодлогууд нь санал болгосон гурван анхдагч хаяг/шошгоны - оронд бүхэл тоон тохируулгуудыг дэмждэг. Эдгээр тохируулгууд болон тэдгээрийн - хязгаарлалтууд нь модулийн гарын авлагын хуудаснуудад дэлгэрэнгүй + <para>Дараах бодлогууд нь санал болгосон гурван анхдагч хаяг/шошгоны + оронд бүхэл тоон тохируулгуудыг дэмждэг. Эдгээр тохируулгууд болон тэдгээрийн + хязгаарлалтууд нь модулийн гарын авлагын хуудаснуудад дэлгэрэнгүй тайлбарлагдсан байгаа.</para> </note> </sect2> @@ -1319,42 +1319,42 @@ test: biba/high</screen> <para>Ачаалалтын тохируулга: <literal>mac_mls_load="YES"</literal></para> <para>&man.mac.mls.4; бодлого нь систем дэх субьектууд болон обьектуудын - хоорондын хандалтыг мэдээллийн урсгалын чанд бодлогын тусламжтайгаар + хоорондын хандалтыг мэдээллийн урсгалын чанд бодлогын тусламжтайгаар хянаж хэрэгжүүлдэг.</para> - <para><acronym>MLS</acronym> орчнуудад <quote>clearance</quote> - буюу цэвэрлэгээ түвшин нь субьект болон обьектуудын хаяг/шошгонд - тасалгаануудын цуг тохируулагддаг. Эдгээр цэвэрлэгээ буюу мэдрэхүйн түвшингүүд - нь зургаан мянгаас их тоонд хүрч болох учир ямар ч администраторын хувьд - субьект эсвэл обьект бүрийг нарийн тохируулах нь сүрдмээр ажил - байдаг. Харин үүнийг хөнгөвчлөх гурван ширхэг <quote>хормын</quote> хаяг/шошго + <para><acronym>MLS</acronym> орчнуудад <quote>clearance</quote> + буюу цэвэрлэгээ түвшин нь субьект болон обьектуудын хаяг/шошгонд + тасалгаануудын цуг тохируулагддаг. Эдгээр цэвэрлэгээ буюу мэдрэхүйн түвшингүүд + нь зургаан мянгаас их тоонд хүрч болох учир ямар ч администраторын хувьд + субьект эсвэл обьект бүрийг нарийн тохируулах нь сүрдмээр ажил + байдаг. Харин үүнийг хөнгөвчлөх гурван ширхэг <quote>хормын</quote> хаяг/шошго энэ бодлогод орсон байдаг.</para> <para>Эдгээр хаяг/шошгонууд нь <literal>mls/low</literal>, - <literal>mls/equal</literal> болон <literal>mls/high</literal> - юм. Эдгээр хаяг/шошгонууд нь гарын авлагын хуудсанд дэлгэрэнгүй + <literal>mls/equal</literal> болон <literal>mls/high</literal> + юм. Эдгээр хаяг/шошгонууд нь гарын авлагын хуудсанд дэлгэрэнгүй тайлбарлагдсан болохоор энд зөвхөн товчхон тайлбарлая:</para> <itemizedlist> <listitem> <para><literal>mls/low</literal> хаяг/шошго нь доод тохиргоог агуулдаг бөгөөд энэ нь түүнийг бусад бүх обьектуудаар захируулахыг зөвшөөрдөг. - <literal>mls/low</literal>-ээр хаяглагдсан болгон доод цэвэрлэгээний - түвшинтэй байх бөгөөд өндөр түвшний мэдээлэлд хандах нь зөвшөөрөгдөөгүй - байх болно. Мөн энэ хаяг/шошго нь цэвэрлэгээний өндөр түвшингийн обьектуудад + <literal>mls/low</literal>-ээр хаяглагдсан болгон доод цэвэрлэгээний + түвшинтэй байх бөгөөд өндөр түвшний мэдээлэлд хандах нь зөвшөөрөгдөөгүй + байх болно. Мөн энэ хаяг/шошго нь цэвэрлэгээний өндөр түвшингийн обьектуудад бичих эсвэл тэдгээрт мэдээлэл дамжуулахаас сэргийлдэг.</para> </listitem> <listitem> - <para><literal>mls/equal</literal> хаяг/шошго энэ бодлогоос чөлөөлөгдөхөөр + <para><literal>mls/equal</literal> хаяг/шошго энэ бодлогоос чөлөөлөгдөхөөр болсон обьектуудад тавигдах ёстой.</para> </listitem> <listitem> - <para><literal>mls/high</literal> хаяг/шошго нь цэвэрлэгээний боломжит - хамгийн өндөр түвшин юм. Энэ хаяг/шошгыг заасан обьектууд систем дэх - бусад бүх обьектуудаас давуу эрхтэй байх бөгөөд гэхдээ тэдгээр нь доод - ангиллын обьектуудад мэдээлэл алдагдахыг зөвшөөрөхгүй + <para><literal>mls/high</literal> хаяг/шошго нь цэвэрлэгээний боломжит + хамгийн өндөр түвшин юм. Энэ хаяг/шошгыг заасан обьектууд систем дэх + бусад бүх обьектуудаас давуу эрхтэй байх бөгөөд гэхдээ тэдгээр нь доод + ангиллын обьектуудад мэдээлэл алдагдахыг зөвшөөрөхгүй байх болно.</para> </listitem> </itemizedlist> @@ -1363,15 +1363,15 @@ test: biba/high</screen> <itemizedlist> <listitem> - <para>Шатлаагүй зэрэглэлүүдийн олонлогтой аюулгүй + <para>Шатлаагүй зэрэглэлүүдийн олонлогтой аюулгүй байдлын шаталсан түвшин;</para> </listitem> <listitem> - <para>Тогтмол дүрмүүд: дээш уншихгүй, доош бичихгүй (субьект нь - өөрөөсөө дээд түвшинд биш зөвхөн өөрийн түвшний болон доод түвшний - обьектуудад унших хандалттай байж болно. Үүнтэй адилаар субьект нь - өөрөөсөө доод түвшинд биш зөвхөн өөрийн түвшний болон дээд түвшний + <para>Тогтмол дүрмүүд: дээш уншихгүй, доош бичихгүй (субьект нь + өөрөөсөө дээд түвшинд биш зөвхөн өөрийн түвшний болон доод түвшний + обьектуудад унших хандалттай байж болно. Үүнтэй адилаар субьект нь + өөрөөсөө доод түвшинд биш зөвхөн өөрийн түвшний болон дээд түвшний обьектуудад бичих хандалттай байж болно.);</para> </listitem> @@ -1381,43 +1381,43 @@ test: biba/high</screen> <listitem> <para>Мэдрэмжийн олон түвшингүүдэд өгөгдөлтэй зэрэгцээгээр ажиллах - системүүдийн дизайны үндэс (нууц болон итгэмжлэгдсэн мэдээллийн + системүүдийн дизайны үндэс (нууц болон итгэмжлэгдсэн мэдээллийн хооронд мэдээлэл алдахгүйгээр).</para> </listitem> </itemizedlist> - <para>Тусгай төхөөрөмжүүд болон интерфэйсүүдийн хувьд дараах - <command>sysctl</command>-ийн тааруулах боломжтой + <para>Тусгай төхөөрөмжүүд болон интерфэйсүүдийн хувьд дараах + <command>sysctl</command>-ийн тааруулах боломжтой хувьсагчууд байдаг:</para> <itemizedlist> <listitem> - <para><literal>security.mac.mls.enabled</literal> нь + <para><literal>security.mac.mls.enabled</literal> нь <acronym>MLS</acronym> бодлогыг нээх/хаахад хэрэглэгддэг.</para> </listitem> <listitem> - <para><literal>security.mac.mls.ptys_equal</literal> нь - бүх &man.pty.4; төхөөрөмжүүдийг үүсгэлтийнх нь үеэр + <para><literal>security.mac.mls.ptys_equal</literal> нь + бүх &man.pty.4; төхөөрөмжүүдийг үүсгэлтийнх нь үеэр <literal>mls/equal</literal> гэж хаяглана.</para> </listitem> <listitem> - <para><literal>security.mac.mls.revocation_enabled</literal> нь - обьектуудын хаяг/шошго доод зэргийнх уруу болж өөрчлөгдсөний дараа + <para><literal>security.mac.mls.revocation_enabled</literal> нь + обьектуудын хаяг/шошго доод зэргийнх уруу болж өөрчлөгдсөний дараа тэдгээрт хандах хандалтыг цуцлахад хэрэглэгддэг.</para> </listitem> <listitem> - <para><literal>security.mac.mls.max_compartments</literal> нь - обьектуудад хамгийн их тооны тасалгааны түвшингүүдийг тохируулахад - хэрэглэгддэг; үндсэндээ системд зөвшөөрөгдсөн тасалгааны хамгийн их + <para><literal>security.mac.mls.max_compartments</literal> нь + обьектуудад хамгийн их тооны тасалгааны түвшингүүдийг тохируулахад + хэрэглэгддэг; үндсэндээ системд зөвшөөрөгдсөн тасалгааны хамгийн их дугаар байна.</para> </listitem> </itemizedlist> - <para><acronym>MLS</acronym> хаяг/шошгонуудтай ажиллахын тулд - &man.setfmac.8; байдаг. Обьектод хаяг/шошгыг олгохын тулд + <para><acronym>MLS</acronym> хаяг/шошгонуудтай ажиллахын тулд + &man.setfmac.8; байдаг. Обьектод хаяг/шошгыг олгохын тулд дараах тушаалыг ажиллуулна:</para> <screen>&prompt.root; <userinput>setfmac mls/5 test</userinput></screen> @@ -1427,39 +1427,39 @@ test: biba/high</screen> <screen>&prompt.root; <userinput>getfmac test</userinput></screen> - <para>Энэ нь <acronym>MLS</acronym> бодлогын боломжуудын товч - дүгнэлт юм. Өөр нэг хандлага нь <acronym>MLS</acronym> - бодлогын мэдээллийг тохируулах мастер бодлогын файлыг - <filename class="directory">/etc</filename> санд үүсгэж - тэр файлыг <command>setfmac</command> тушаалд өгөх явдал - юм. Энэ аргыг бүх бодлогуудыг авч үзсэнийхээ дараа тайлбарлах + <para>Энэ нь <acronym>MLS</acronym> бодлогын боломжуудын товч + дүгнэлт юм. Өөр нэг хандлага нь <acronym>MLS</acronym> + бодлогын мэдээллийг тохируулах мастер бодлогын файлыг + <filename class="directory">/etc</filename> санд үүсгэж + тэр файлыг <command>setfmac</command> тушаалд өгөх явдал + юм. Энэ аргыг бүх бодлогуудыг авч үзсэнийхээ дараа тайлбарлах болно.</para> <sect2> <title>Албадмал Мэдрэмжийг төлөвлөх нь</title> - <para>Олон түвшинт аюулгүй байдлын бодлогын модулиар администратор - эмзэг мэдээллийн урсгалыг хянахын тулд төлөвлөдөг. Анхдагчаар - өөрийн блок дээш унших, блок доош бичих мөн чанараараа систем - бүгдийг доод төлөвт болгодог. Бүгд хандах боломжтой байх - бөгөөд администратор тохиргооны явцад аажмаар үүнийг + <para>Олон түвшинт аюулгүй байдлын бодлогын модулиар администратор + эмзэг мэдээллийн урсгалыг хянахын тулд төлөвлөдөг. Анхдагчаар + өөрийн блок дээш унших, блок доош бичих мөн чанараараа систем + бүгдийг доод төлөвт болгодог. Бүгд хандах боломжтой байх + бөгөөд администратор тохиргооны явцад аажмаар үүнийг мэдээллийн итгэмжлэгдсэн байдлыг нэмэгдүүлэн өөрчилдөг.</para> - <para>Дээрх гурван үндсэн хаяг/шошгоноос гадна администратор - хэрэглэгчид болон бүлгүүдийг шаардлагын дагуу тэдгээрийн - хооронд мэдээллийн урсгалыг хаахаар бүлэглэж болно. - Цэвэрлэгээний түвшингүүдэд мэдээллийг танигдсан үгсээр хайх нь - амар байж болох бөгөөд жишээ нь <literal>Confidential</literal>, - <literal>Secret</literal>, болон <literal>Top Secret</literal> - гэх зэрэг ангиллууд байж болох юм. Зарим администраторууд - төслийн түвшингүүд дээр үндэслэн өөр бүлгүүдийг үүсгэж - болох юм. Ангиллын аргаас үл хамааран ийм хязгаарласан бодлогыг хийхээс + <para>Дээрх гурван үндсэн хаяг/шошгоноос гадна администратор + хэрэглэгчид болон бүлгүүдийг шаардлагын дагуу тэдгээрийн + хооронд мэдээллийн урсгалыг хаахаар бүлэглэж болно. + Цэвэрлэгээний түвшингүүдэд мэдээллийг танигдсан үгсээр хайх нь + амар байж болох бөгөөд жишээ нь <literal>Confidential</literal>, + <literal>Secret</literal>, болон <literal>Top Secret</literal> + гэх зэрэг ангиллууд байж болох юм. Зарим администраторууд + төслийн түвшингүүд дээр үндэслэн өөр бүлгүүдийг үүсгэж + болох юм. Ангиллын аргаас үл хамааран ийм хязгаарласан бодлогыг хийхээс өмнө сайн бодож гаргасан төлөвлөгөө байж байх ёстой.</para> - <para>Энэ аюулгүй байдлын бодлогын модулийн хувьд зарим жишээ тохиолдлууд - гэх юм бол e-commerce вэб сервер, компанийн чухал мэдээлэл болон + <para>Энэ аюулгүй байдлын бодлогын модулийн хувьд зарим жишээ тохиолдлууд + гэх юм бол e-commerce вэб сервер, компанийн чухал мэдээлэл болон санхүүгийн байгууллагын орчнуудыг агуулсан файл сервер байж болох юм. - Хамгийн үнэмшилгүй газар бол зөвхөн хоёр, гуравхан хэрэглэгчтэй ажлын + Хамгийн үнэмшилгүй газар бол зөвхөн хоёр, гуравхан хэрэглэгчтэй ажлын станц байх юм.</para> </sect2> </sect1> @@ -1477,17 +1477,17 @@ test: biba/high</screen> <para>Ачаалалтын тохируулга: <literal>mac_biba_load="YES"</literal></para> <para>&man.mac.biba.4; модуль <acronym>MAC</acronym> - Biba бодлогыг дууддаг. Энэ бодлого нь <acronym>MLS</acronym> - бодлоготой адил ажилладаг бөгөөд ялгаатай нь мэдээллийн урсгалын - дүрмүүд нь нэлээн эсрэгээр байдаг. Энэ нь эмзэг мэдээллийн буурсан - урсгалаас сэргийлдэг гэдэг бол <acronym>MLS</acronym> бодлого нь - эмзэг мэдээллийн өгссөн урсгалаас сэргийлдэг; тиймээс энэ хэсгийн ихэнх нь + Biba бодлогыг дууддаг. Энэ бодлого нь <acronym>MLS</acronym> + бодлоготой адил ажилладаг бөгөөд ялгаатай нь мэдээллийн урсгалын + дүрмүүд нь нэлээн эсрэгээр байдаг. Энэ нь эмзэг мэдээллийн буурсан + урсгалаас сэргийлдэг гэдэг бол <acronym>MLS</acronym> бодлого нь + эмзэг мэдээллийн өгссөн урсгалаас сэргийлдэг; тиймээс энэ хэсгийн ихэнх нь хоёр бодлогод хоёуланд нь хамаатай юм.</para> - <para>Biba орчнуудад <quote>integrity</quote> буюу бүрэн бүтэн - байдлын хаяг/шошго субьект эсвэл обьект бүр дээр тавигддаг. - Эдгээр хаяг/шошгууд нь шаталсан зэргүүд болон шатлаагүй - бүрэлдэхүүнүүдээс тогтдог. Обьект болон субьектийн зэрэг өсөх тусам + <para>Biba орчнуудад <quote>integrity</quote> буюу бүрэн бүтэн + байдлын хаяг/шошго субьект эсвэл обьект бүр дээр тавигддаг. + Эдгээр хаяг/шошгууд нь шаталсан зэргүүд болон шатлаагүй + бүрэлдэхүүнүүдээс тогтдог. Обьект болон субьектийн зэрэг өсөх тусам бүрэн бүтэн байдал ч бас дээшилдэг.</para> <para>Дэмжигдсэн хаяг/шошгууд нь <literal>biba/low</literal>, @@ -1496,23 +1496,23 @@ test: biba/high</screen> <itemizedlist> <listitem> - <para><literal>biba/low</literal> хаяг/шошго нь обьект эсвэл + <para><literal>biba/low</literal> хаяг/шошго нь обьект эсвэл субьектийн авч болох хамгийн доод бүрэн бүтэн байдал гэж үздэг. - Үүнийг обьектууд эсвэл субьектууд дээр тавих нь илүү өндрөөр - тэмдэглэгдсэн обьектууд эсвэл субьектууд уруу хийх тэдгээрийн - бичих хандалтыг хаана. Гэхдээ тэдгээрт унших хандалт байх + Үүнийг обьектууд эсвэл субьектууд дээр тавих нь илүү өндрөөр + тэмдэглэгдсэн обьектууд эсвэл субьектууд уруу хийх тэдгээрийн + бичих хандалтыг хаана. Гэхдээ тэдгээрт унших хандалт байх болно.</para> </listitem> <listitem> - <para><literal>biba/equal</literal> хаяг/шошго нь + <para><literal>biba/equal</literal> хаяг/шошго нь бодлогоос чөлөөлөгдөх обьектууд дээр зөвхөн тавигдах ёстой.</para> </listitem> <listitem> - <para><literal>biba/high</literal> хаяг/шошго нь доод - хаяг/шошго дээр тавигдсан обьектуудад бичихийг зөвшөөрөх боловч - тэр обьектийг уншихыг зөвшөөрдөггүй. Бүхэл системийн бүрэн бүтэн + <para><literal>biba/high</literal> хаяг/шошго нь доод + хаяг/шошго дээр тавигдсан обьектуудад бичихийг зөвшөөрөх боловч + тэр обьектийг уншихыг зөвшөөрдөггүй. Бүхэл системийн бүрэн бүтэн байдалд нөлөөлдөг обьектуудад энэ хаяг/шошгыг тавихыг зөвлөдөг.</para> </listitem> </itemizedlist> @@ -1521,16 +1521,16 @@ test: biba/high</screen> <itemizedlist> <listitem> - <para>Шатлаагүй бүрэн бүтэн байдлын зэрэглэлүүдийн + <para>Шатлаагүй бүрэн бүтэн байдлын зэрэглэлүүдийн олонлог бүхий шаталсан бүрэн бүтэн байдлын түвшин;</para> </listitem> <listitem> - <para>Тогтмол дүрмүүд: дээш бичихгүй, доош уншихгүй (<acronym>MLS</acronym>-ийн - эсрэг). Субьект нь - өөрөөсөө дээд түвшинд биш зөвхөн өөрийн түвшний болон доод түвшний - обьектуудад бичих хандалттай байж болно. Үүнтэй адилаар субьект нь - өөрөөсөө доод түвшинд биш зөвхөн өөрийн түвшний болон дээд түвшний + <para>Тогтмол дүрмүүд: дээш бичихгүй, доош уншихгүй (<acronym>MLS</acronym>-ийн + эсрэг). Субьект нь + өөрөөсөө дээд түвшинд биш зөвхөн өөрийн түвшний болон доод түвшний + обьектуудад бичих хандалттай байж болно. Үүнтэй адилаар субьект нь + өөрөөсөө доод түвшинд биш зөвхөн өөрийн түвшний болон дээд түвшний обьектуудад унших хандалттай байж болно;</para> </listitem> @@ -1539,35 +1539,35 @@ test: biba/high</screen> </listitem> <listitem> - <para>Бүрэн бүтэн байдлын түвшингүүд (MLS-ийн мэдрэмжийн + <para>Бүрэн бүтэн байдлын түвшингүүд (MLS-ийн мэдрэмжийн түвшингүүдийн оронд).</para> </listitem> </itemizedlist> - <para>Дараах <command>sysctl</command>-ийн тааруулах боломжтой + <para>Дараах <command>sysctl</command>-ийн тааруулах боломжтой хувьсагчуудыг Biba бодлоготой ажиллахын тулд хэрэглэж болно.</para> <itemizedlist> <listitem> - <para><literal>security.mac.biba.enabled</literal> нь + <para><literal>security.mac.biba.enabled</literal> нь машин дээр Biba бодлогыг нээхэд/хаахад хэрэглэгдэж болно.</para> </listitem> <listitem> - <para><literal>security.mac.biba.ptys_equal</literal> нь - Biba бодлогыг &man.pty.4; төхөөрөмжүүд дээр хаахад хэрэглэглэгдэж + <para><literal>security.mac.biba.ptys_equal</literal> нь + Biba бодлогыг &man.pty.4; төхөөрөмжүүд дээр хаахад хэрэглэглэгдэж болно.</para> </listitem> <listitem> - <para><literal>security.mac.biba.revocation_enabled</literal> нь - хаяг/шошго субьектийг захирахаар өөрчлөгдсөн бол обьектод хийх + <para><literal>security.mac.biba.revocation_enabled</literal> нь + хаяг/шошго субьектийг захирахаар өөрчлөгдсөн бол обьектод хийх хандалтыг цуцлах болно.</para> </listitem> </itemizedlist> - <para>Системийн обьектууд дахь Biba бодлогын тохиргоонд хандахын тулд - <command>setfmac</command> болон <command>getfmac</command> + <para>Системийн обьектууд дахь Biba бодлогын тохиргоонд хандахын тулд + <command>setfmac</command> болон <command>getfmac</command> тушаалуудыг ашиглана:</para> <screen>&prompt.root; <userinput>setfmac biba/low test</userinput> @@ -1578,41 +1578,41 @@ test: biba/low</screen> <title>Албадмал бүрэн бүтэн байдлыг төлөвлөх нь</title> <para>Бүрэн бүтэн байдал нь мэдрэмтгий байдлаас өөр бөгөөд мэдээллийг - итгэгдээгүй талуудаар хэзээ ч удирдуулахгүй байлгаж баталгаажуулдаг. - Үүнд субьектууд болон обьектууд, тэдгээрийн хооронд дамжих мэдээлэл - ордог. Энэ нь хэрэглэгчдэд зөвхөн өөрчилж чадах боломж болон - бүр зарим тохиолдолд тэдэнд хэрэгтэй мэдээлэлд хандах боломжийг + итгэгдээгүй талуудаар хэзээ ч удирдуулахгүй байлгаж баталгаажуулдаг. + Үүнд субьектууд болон обьектууд, тэдгээрийн хооронд дамжих мэдээлэл + ордог. Энэ нь хэрэглэгчдэд зөвхөн өөрчилж чадах боломж болон + бүр зарим тохиолдолд тэдэнд хэрэгтэй мэдээлэлд хандах боломжийг олгодог.</para> - <para>&man.mac.biba.4; аюулгүй байдлын бодлогын модуль нь аль файлууд - болон програмуудыг хэрэглэгч эсвэл хэрэглэгчид харах ёстойг заахыг администраторт - зөвшөөрч програмууд болон файлууд нь аюул заналаас ангид бөгөөд тэр хэрэглэгч, - эсвэл хэрэглэгчдийн бүлгийн хувьд системээр итгэгдсэн гэдгийг баталгаажуулж + <para>&man.mac.biba.4; аюулгүй байдлын бодлогын модуль нь аль файлууд + болон програмуудыг хэрэглэгч эсвэл хэрэглэгчид харах ёстойг заахыг администраторт + зөвшөөрч програмууд болон файлууд нь аюул заналаас ангид бөгөөд тэр хэрэглэгч, + эсвэл хэрэглэгчдийн бүлгийн хувьд системээр итгэгдсэн гэдгийг баталгаажуулж дууддаг.</para> - <para>Эхний төлөвлөлтийн үеэр администратор зэргүүд, түвшингүүд - болон бүсүүдэд хэрэглэгчдийг хуваахад бэлдэх ёстой. Хэрэглэгчдийн хувьд зөвхөн - өгөгдлөөс гадна бас програмууд болон хэрэгслүүдэд тэдгээрийг эхлэхээс өмнө болон - тэдгээрийг эхлүүлсний дараа тэдгээрт хандах хандалт хаагдсан байх болно. - Энэ бодлогын модуль идэвхжүүлэгдсэний дараа систем өндөр хаяг/шошго уруу - анхдагчаар шилжих бөгөөд хэрэглэгчдийн хувьд өөр зэргүүд болон түвшингүүдийг - тохируулах нь администраторын хэрэг юм. Цэвэрлэгээний түвшингүүдийг - дээр тайлбарласны дагуу ашиглахын оронд сайн төлөвлөх арга нь сэдвүүдийг - оруулж болох юм. Жишээ нь эх кодын архив, эх код эмхэтгэгч болон бусад хөгжүүлэлтийн + <para>Эхний төлөвлөлтийн үеэр администратор зэргүүд, түвшингүүд + болон бүсүүдэд хэрэглэгчдийг хуваахад бэлдэх ёстой. Хэрэглэгчдийн хувьд зөвхөн + өгөгдлөөс гадна бас програмууд болон хэрэгслүүдэд тэдгээрийг эхлэхээс өмнө болон + тэдгээрийг эхлүүлсний дараа тэдгээрт хандах хандалт хаагдсан байх болно. + Энэ бодлогын модуль идэвхжүүлэгдсэний дараа систем өндөр хаяг/шошго уруу + анхдагчаар шилжих бөгөөд хэрэглэгчдийн хувьд өөр зэргүүд болон түвшингүүдийг + тохируулах нь администраторын хэрэг юм. Цэвэрлэгээний түвшингүүдийг + дээр тайлбарласны дагуу ашиглахын оронд сайн төлөвлөх арга нь сэдвүүдийг + оруулж болох юм. Жишээ нь эх кодын архив, эх код эмхэтгэгч болон бусад хөгжүүлэлтийн хэрэгслүүдэд өөрчлөх хандалтыг зөвхөн хөгжүүлэгчдэд зөвшөөрөх байж болно. - Тэгээд бусад хэрэглэгчдийг тест хийгчид, дизайн хийгчид эсвэл зүгээр л энгийн - хэрэглэгчид зэрэг өөр зэрэглэлд бүлэглэж зөвхөн унших хандалтыг зөвшөөрөх + Тэгээд бусад хэрэглэгчдийг тест хийгчид, дизайн хийгчид эсвэл зүгээр л энгийн + хэрэглэгчид зэрэг өөр зэрэглэлд бүлэглэж зөвхөн унших хандалтыг зөвшөөрөх юм.</para> - - <para>Цаанаасаа хийгдсэн аюулгүй байдлын хяналтаас болоод - доод түвшний бүрэн бүтэн байдлын субьект нь дээд түвшний бүрэн бүтэн байдлын - субьект уруу бичиж чаддаггүй; дээд түвшний бүрэн бүтэн байдлын субьект нь доод - түвшний бүрэн бүтэн байдлын обьектийг ажиглаж эсвэл уншиж чаддаггүй. - Хамгийн доод боломжит зэрэгт хаяг/шошгыг тохируулах нь субьектуудыг түүнд - хандах боломжгүй болгож болох юм. Энэ аюулгүй байдлын бодлогын модулийн - зарим хэтийн орчнуудад хүчилсэн вэб сервэр, хөгжүүлэлтийн болон тестийн машин, - болон эх кодын архив зэрэг орж болох юм. Тийм ч ашигтай бус шийдэлд - персонал ажлын станц, чиглүүлэгч маягаар ашиглагдаж байгаа машин эсвэл + + <para>Цаанаасаа хийгдсэн аюулгүй байдлын хяналтаас болоод + доод түвшний бүрэн бүтэн байдлын субьект нь дээд түвшний бүрэн бүтэн байдлын + субьект уруу бичиж чаддаггүй; дээд түвшний бүрэн бүтэн байдлын субьект нь доод + түвшний бүрэн бүтэн байдлын обьектийг ажиглаж эсвэл уншиж чаддаггүй. + Хамгийн доод боломжит зэрэгт хаяг/шошгыг тохируулах нь субьектуудыг түүнд + хандах боломжгүй болгож болох юм. Энэ аюулгүй байдлын бодлогын модулийн + зарим хэтийн орчнуудад хүчилсэн вэб сервэр, хөгжүүлэлтийн болон тестийн машин, + болон эх кодын архив зэрэг орж болох юм. Тийм ч ашигтай бус шийдэлд + персонал ажлын станц, чиглүүлэгч маягаар ашиглагдаж байгаа машин эсвэл сүлжээний галт хана зэрэг байж болох юм.</para> </sect2> </sect1> @@ -1628,43 +1628,43 @@ test: biba/low</screen> <para>Цөмийн тохиргооны файл: <literal>options MAC_LOMAC</literal></para> <para>Ачаалалтын тохируулга: <literal>mac_lomac_load="YES"</literal></para> - <para><acronym>MAC</acronym> Biba бодлогоос ондоо нь &man.mac.lomac.4; - бодлого нь бүрэн бүтэн байдлын дүрмүүдийг эвдэхгүйн тулд бүрэн бүтэн байдлын - түвшинг заавал багасгасны дараа бүрэн бүтэн байдлын хувьд доор орших обьект уруу + <para><acronym>MAC</acronym> Biba бодлогоос ондоо нь &man.mac.lomac.4; + бодлого нь бүрэн бүтэн байдлын дүрмүүдийг эвдэхгүйн тулд бүрэн бүтэн байдлын + түвшинг заавал багасгасны дараа бүрэн бүтэн байдлын хувьд доор орших обьект уруу хандахыг зөвшөөрдөг.</para> - <para>Low-watermark integrity policy буюу доод түвшний бүрэн бүтэн байдлын - <acronym>MAC</acronym> хувилбарыг хуучин &man.lomac.4;-ийн - шийдэлтэй эндүүрч болохгүй бөгөөд энэ хувилбар нь Biba-тай бараг л төстэй ажилладаг - боловч ялгаатай тал нь субьектийн бууруулалтыг туслах зэргийн тасалгааны тусламжтай - дэмжихийн тулд хөвөгч хаяг/шошгуудыг ашигладаг явдал юм. Энэ хоёр дахь тасалгаа нь - <literal>[auxgrade]</literal> хэлбэрийг авдаг. lomac бодлогыг - туслах зэргээр зааж өгөх үед энэ нь иймэрхүү харагдах ёстой: - <literal>lomac/10[2]</literal>. Энд байгаа хоёр (2) гэсэн тоо нь туслах + <para>Low-watermark integrity policy буюу доод түвшний бүрэн бүтэн байдлын + <acronym>MAC</acronym> хувилбарыг хуучин &man.lomac.4;-ийн + шийдэлтэй эндүүрч болохгүй бөгөөд энэ хувилбар нь Biba-тай бараг л төстэй ажилладаг + боловч ялгаатай тал нь субьектийн бууруулалтыг туслах зэргийн тасалгааны тусламжтай + дэмжихийн тулд хөвөгч хаяг/шошгуудыг ашигладаг явдал юм. Энэ хоёр дахь тасалгаа нь + <literal>[auxgrade]</literal> хэлбэрийг авдаг. lomac бодлогыг + туслах зэргээр зааж өгөх үед энэ нь иймэрхүү харагдах ёстой: + <literal>lomac/10[2]</literal>. Энд байгаа хоёр (2) гэсэн тоо нь туслах зэрэг юм.</para> - <para><acronym>MAC</acronym> LOMAC бодлого нь бүрэн бүтэн байдлын - хаяг/шошгоор бүх системийн обьектуудыг хаа сайгүй хаяглах явдалд - тулгуурладаг бөгөөд субьектуудад бүрэн бүтэн байдлын хувьд доор орших обьектуудаас - уншихыг зөвшөөрч дараа нь өндөр бүрэн бүтэн байдал бүхий обьектуудад - ирээдүйд хийгдэж болзошгүй бичилтүүдээс урьдчилан сэргийлэхийн тулд субьект - дээрх хаяг/шошгыг доошлуулж бууруулдаг. Энэ нь дээр хэлэлцэгдсэн - <literal>[auxgrade]</literal> тохируулга болохоор уг бодлого нь - илүү сайн нийцтэй байдлыг хангаж Biba-аас бага эхний тохиргоог шаардаж + <para><acronym>MAC</acronym> LOMAC бодлого нь бүрэн бүтэн байдлын + хаяг/шошгоор бүх системийн обьектуудыг хаа сайгүй хаяглах явдалд + тулгуурладаг бөгөөд субьектуудад бүрэн бүтэн байдлын хувьд доор орших обьектуудаас + уншихыг зөвшөөрч дараа нь өндөр бүрэн бүтэн байдал бүхий обьектуудад + ирээдүйд хийгдэж болзошгүй бичилтүүдээс урьдчилан сэргийлэхийн тулд субьект + дээрх хаяг/шошгыг доошлуулж бууруулдаг. Энэ нь дээр хэлэлцэгдсэн + <literal>[auxgrade]</literal> тохируулга болохоор уг бодлого нь + илүү сайн нийцтэй байдлыг хангаж Biba-аас бага эхний тохиргоог шаардаж болох юм.</para> <sect2> <title>Жишээнүүд</title> - <para>Biba болон <acronym>MLS</acronym> бодлогуудын нэгэн адил - <command>setfmac</command> болон <command>setpmac</command> - хэрэгслүүд системийн обьектууд дээр хаяг/шошгонууд байрлуулахад хэрэглэгдэж + <para>Biba болон <acronym>MLS</acronym> бодлогуудын нэгэн адил + <command>setfmac</command> болон <command>setpmac</command> + хэрэгслүүд системийн обьектууд дээр хаяг/шошгонууд байрлуулахад хэрэглэгдэж болно:</para> <screen>&prompt.root; <userinput>setfmac /usr/home/trhodes lomac/high[low]</userinput> &prompt.root; <userinput>getfmac /usr/home/trhodes</userinput> lomac/high[low]</screen> - <para>Энд байгаа туслах зэрэг нь <literal>low</literal> буюу доор гэж + <para>Энд байгаа туслах зэрэг нь <literal>low</literal> буюу доор гэж байгааг анзаараарай, энэ нь зөвхөн <acronym>MAC</acronym> LOMAC бодлогын хангадаг боломж юм.</para> </sect2> @@ -1677,26 +1677,26 @@ test: biba/low</screen> <primary>MAC Шорон дахь Nagios</primary> </indexterm> - <para>Дараах нь зөв тохируулсан бодлогуудын хамтаар төрөл бүрийн - <acronym>MAC</acronym> модулиудыг ашиглан аюулгүй орчинг - үүсгэхийг харуулах болно. Энэ нь зөвхөн тест бөгөөд хүн бүгдийн - аюулгүй байдлын асуудалд бүрэн хариулт болно гэж тооцох ёсгүй - юм. Бодлогыг зөвхөн шийдэж түүнийг орхигдуулах нь хэзээ ч - ажиллахгүй бөгөөд жинхэнэ ажиллаж байгаа үйлдвэрлэлийн + <para>Дараах нь зөв тохируулсан бодлогуудын хамтаар төрөл бүрийн + <acronym>MAC</acronym> модулиудыг ашиглан аюулгүй орчинг + үүсгэхийг харуулах болно. Энэ нь зөвхөн тест бөгөөд хүн бүгдийн + аюулгүй байдлын асуудалд бүрэн хариулт болно гэж тооцох ёсгүй + юм. Бодлогыг зөвхөн шийдэж түүнийг орхигдуулах нь хэзээ ч + ажиллахгүй бөгөөд жинхэнэ ажиллаж байгаа үйлдвэрлэлийн орчинд сүйрлийн болж болох юм.</para> - <para>Энэ процессийг эхлүүлэхээсээ өмнө <literal>multilabel</literal> - тохируулга файлын систем бүр дээр энэ бүлгийн эхэнд дурдсаны дагуу - тавигдах ёстой. Ингэж хийхгүй бол алдаа гарах болно. Энд байхдаа + <para>Энэ процессийг эхлүүлэхээсээ өмнө <literal>multilabel</literal> + тохируулга файлын систем бүр дээр энэ бүлгийн эхэнд дурдсаны дагуу + тавигдах ёстой. Ингэж хийхгүй бол алдаа гарах болно. Энд байхдаа <filename role="package">net-mngt/nagios-plugins</filename>, <filename role="package">net-mngt/nagios</filename>, болон - <filename role="package">www/apache22</filename> портууд + <filename role="package">www/apache22</filename> портууд бүгд суулгагдаж тохируулагдаж зөв ажиллаж байгаа эсэхийг шалгаарай.</para> <sect2> <title>Хэрэглэгчийн insecure ангилал үүсгэнэ</title> - <para>Дараах хэрэглэгчийн ангиллыг <filename>/etc/login.conf</filename> + <para>Дараах хэрэглэгчийн ангиллыг <filename>/etc/login.conf</filename> файлд нэмж:</para> <programlisting>insecure:\ @@ -1727,7 +1727,7 @@ test: biba/low</screen> <programlisting>:label=biba/high:</programlisting> - <para>Энэ хийгдсэний дараа мэдээллийн баазыг дахин бүтээхийн тулд + <para>Энэ хийгдсэний дараа мэдээллийн баазыг дахин бүтээхийн тулд дараах тушаалыг ажиллуулах ёстой:</para> <screen>&prompt.root; <userinput>cap_mkdb /etc/login.conf</userinput></screen> @@ -1736,8 +1736,8 @@ test: biba/low</screen> <sect2> <title>Ачаалалтын тохиргоо</title> - <para>Дахин ачаалах гэсний хэрэггүй, шаардлагатай модулиудыг - систем эхлүүлэхэд дуудахын тулд дараах мөрүүдийг + <para>Дахин ачаалах гэсний хэрэггүй, шаардлагатай модулиудыг + систем эхлүүлэхэд дуудахын тулд дараах мөрүүдийг <filename>/boot/loader.conf</filename> файлд нэмнэ:</para> <programlisting>mac_biba_load="YES" @@ -1747,32 +1747,32 @@ mac_seeotheruids_load="YES"</programlisting> <sect2> <title>Хэрэглэгчдийг тохируулна</title> - <para><username>root</username> хэрэглэгчийг анхдагч ангилалд + <para><username>root</username> хэрэглэгчийг анхдагч ангилалд доор дурдсаныг ашиглан тохируулна:</para> <screen>&prompt.root; <userinput>pw usermod root -L default</userinput></screen> - <para><username>root</username> эсвэл системийн хэрэглэгчид биш - бүх хэрэглэгчийн бүртгэлүүд одоо нэвтрэлийн ангилал шаардах болно. - Нэвтрэлтийн ангилал шаардлагатай, түүнгүй бол хэрэглэгчид &man.vi.1; - зэрэг нийтлэг тушаалд хандах боломжгүй болно. + <para><username>root</username> эсвэл системийн хэрэглэгчид биш + бүх хэрэглэгчийн бүртгэлүүд одоо нэвтрэлийн ангилал шаардах болно. + Нэвтрэлтийн ангилал шаардлагатай, түүнгүй бол хэрэглэгчид &man.vi.1; + зэрэг нийтлэг тушаалд хандах боломжгүй болно. Дараах <command>sh</command> скрипт үүнийг хийх болно:</para> <screen>&prompt.root; <userinput>for x in `awk -F: '($3 >= 1001) && ($3 != 65534) { print $1 }' \</userinput> <userinput>/etc/passwd`; do pw usermod $x -L default; done;</userinput></screen> - <para><username>nagios</username> болон <username>www</username> + <para><username>nagios</username> болон <username>www</username> хэрэглэгчдийг insecure ангилалд оруулна:</para> <screen>&prompt.root; <userinput>pw usermod nagios -L insecure</userinput></screen> - <screen>&prompt.root; <userinput>pw usermod www -L insecure</userinput></screen> + <screen>&prompt.root; <userinput>pw usermod www -L insecure</userinput></screen> </sect2> <sect2> <title>Contexts буюу Сэдвийн файл үүсгэнэ</title> - <para>Сэдвийн файл нь одоо үүсгэгдсэн байх ёстой; дараах жишээ файлыг - <filename>/etc/policy.contexts</filename>-д + <para>Сэдвийн файл нь одоо үүсгэгдсэн байх ёстой; дараах жишээ файлыг + <filename>/etc/policy.contexts</filename>-д байрлуулах ёстой.</para> <programlisting># This is the default BIBA policy for this system. @@ -1810,27 +1810,27 @@ mac_seeotheruids_load="YES"</programlisting> /usr/local/etc/apache biba/10 /usr/local/etc/apache/* biba/10</programlisting> - <para>Энэ бодлого нь мэдээллийн урсгалд хязгаарлалтуудыг тавьж аюулгүй - байдлыг хангадаг. Энэ тусгайлсан тохиргооны хувьд хэрэглэгчид, - <username>root</username> болон бусад хэрэглэгчид - <application>Nagios</application> програмд хандахаар хэзээ ч - зөвшөөрөгдсөн байх ёсгүй. <application>Nagios</application>-ийн - тохиргооны файлууд болон процессууд нь бүр мөсөн өөртөө багтсан буюу + <para>Энэ бодлого нь мэдээллийн урсгалд хязгаарлалтуудыг тавьж аюулгүй + байдлыг хангадаг. Энэ тусгайлсан тохиргооны хувьд хэрэглэгчид, + <username>root</username> болон бусад хэрэглэгчид + <application>Nagios</application> програмд хандахаар хэзээ ч + зөвшөөрөгдсөн байх ёсгүй. <application>Nagios</application>-ийн + тохиргооны файлууд болон процессууд нь бүр мөсөн өөртөө багтсан буюу шоронд хийгдсэн байх болно.</para> - <para>Одоо энэ файлыг өөрийн систем уруу уншуулахдаа дараах тушаалыг + <para>Одоо энэ файлыг өөрийн систем уруу уншуулахдаа дараах тушаалыг ажиллуулна:</para> <screen>&prompt.root; <userinput>setfsmac -ef /etc/policy.contexts /</userinput> &prompt.root; <userinput>setfsmac -ef /etc/policy.contexts /</userinput></screen> <note> - <para>Дээрх файлын системийн байршил орчноосоо хамааран өөр байж - болно; гэхдээ үүнийг файлын систем бүр дээр ажиллуулах + <para>Дээрх файлын системийн байршил орчноосоо хамааран өөр байж + болно; гэхдээ үүнийг файлын систем бүр дээр ажиллуулах ёстой.</para> </note> - <para><filename>/etc/mac.conf</filename> файл гол хэсэгт + <para><filename>/etc/mac.conf</filename> файл гол хэсэгт дараах өөрчлөлтүүдийг шаарддаг:</para> <programlisting>default_labels file ?biba @@ -1842,14 +1842,14 @@ default_labels socket ?biba</programlisting> <sect2> <title>Сүлжээг идэвхжүүлнэ</title> - <para>Дараах мөрийг <filename>/boot/loader.conf</filename>-д + <para>Дараах мөрийг <filename>/boot/loader.conf</filename>-д нэмнэ:</para> <programlisting>security.mac.biba.trust_all_interfaces=1</programlisting> - <para>Тэгээд дараа нь доор дурдсаныг <filename>rc.conf</filename> файлд - хадгалагдсан сүлжээний картны тохиргоонд нэмнэ. Хэрэв анхдагч Интернэтийн - тохиргоо <acronym>DHCP</acronym>-ээр хийгдсэн бол системийг + <para>Тэгээд дараа нь доор дурдсаныг <filename>rc.conf</filename> файлд + хадгалагдсан сүлжээний картны тохиргоонд нэмнэ. Хэрэв анхдагч Интернэтийн + тохиргоо <acronym>DHCP</acronym>-ээр хийгдсэн бол системийг ачаалах болгоны дараа үүнийг гараараа тохируулах хэрэгтэй болох юм:</para> <programlisting>maclabel biba/equal</programlisting> @@ -1862,43 +1862,43 @@ default_labels socket ?biba</programlisting> <primary>MAC Тохиргоог тест хийх нь</primary> </indexterm> - <para>Вэб сервер болон <application>Nagios</application> - нь системийг эхлүүлэхэд ажиллахааргүй байгаа эсэхийг шалгаад дахин ачаална. - <username>root</username> хэрэглэгч <application>Nagios</application>-ийн - тохиргооны сан дахь ямар ч файлд хандаж чадах ёсгүйг баталгаажуулна. - Хэрэв <username>root</username> нь <filename>/var/spool/nagios</filename>-д - &man.ls.1;-ийг ажиллуулж чадаж байвал ямар нэг юм буруу байна гэсэн үг. - Зөв бол <quote>permission denied</quote> алдаа буцаагдах + <para>Вэб сервер болон <application>Nagios</application> + нь системийг эхлүүлэхэд ажиллахааргүй байгаа эсэхийг шалгаад дахин ачаална. + <username>root</username> хэрэглэгч <application>Nagios</application>-ийн + тохиргооны сан дахь ямар ч файлд хандаж чадах ёсгүйг баталгаажуулна. + Хэрэв <username>root</username> нь <filename>/var/spool/nagios</filename>-д + &man.ls.1;-ийг ажиллуулж чадаж байвал ямар нэг юм буруу байна гэсэн үг. + Зөв бол <quote>permission denied</quote> алдаа буцаагдах ёстой.</para> <para>Хэрэв бүгд зүгээр юм шиг санагдвал <application>Nagios</application>, <application>Apache</application>, болон - <application>Sendmail</application>-ийг одоо аюулгүй байдлын бодлогод + <application>Sendmail</application>-ийг одоо аюулгүй байдлын бодлогод тааруулж ажиллуулж болно. Үүнийг дараах тушаал хийх болно:</para> <screen>&prompt.root; <userinput>cd /etc/mail && make stop && \ setpmac biba/equal make start && setpmac biba/10\(10-10\) apachectl start && \ setpmac biba/10\(10-10\) /usr/local/etc/rc.d/nagios.sh forcestart</userinput></screen> - <para>Бүгд зөв ажиллаж байгаа эсэхийг баталгаажуулж дахин + <para>Бүгд зөв ажиллаж байгаа эсэхийг баталгаажуулж дахин шалгаарай. Хэрэв үгүй бол бүртгэлийн файлуудаас алдааны мэдэгдлүүд байгаа эсэхийг - шалгана. &man.sysctl.8; хэрэгсэл ашиглаж &man.mac.biba.4; аюулгүй байдлын - бодлогын модулийн үйлчлэлийг хааж бүгдийг эхнээс нь эхлэхийг + шалгана. &man.sysctl.8; хэрэгсэл ашиглаж &man.mac.biba.4; аюулгүй байдлын + бодлогын модулийн үйлчлэлийг хааж бүгдийг эхнээс нь эхлэхийг оролдоорой.</para> <note> <para><username>root</username> хэрэглэгч аюулгүй байдлын үйлчлэлийг өөрчилж - тохиргооны файлыг айлгүйгээр засварлаж чадна. Дараах тушаал нь шинээр үүсгэсэн - бүрхүүлийн хувьд аюулгүй байдлын бодлогыг доод зэрэг уруу орж буурахыг + тохиргооны файлыг айлгүйгээр засварлаж чадна. Дараах тушаал нь шинээр үүсгэсэн + бүрхүүлийн хувьд аюулгүй байдлын бодлогыг доод зэрэг уруу орж буурахыг зөвшөөрөх болно:</para> <screen>&prompt.root; <userinput>setpmac biba/10 csh</userinput></screen> - <para>Үүнийг болгохгүй байлгахын тулд &man.login.conf.5;-оор - хэрэглэгчийг хүрээнд оруулна. Хэрэв &man.setpmac.8; тушаалыг - тасалгааных нь хүрээнээс гадна ажиллуулах гэж оролдвол алдаа буцаагдах - бөгөөд тушаал ажиллахгүй байх болно. Энэ тохиолдолд root-ийг - <literal>biba/high(high-high)</literal> болгож + <para>Үүнийг болгохгүй байлгахын тулд &man.login.conf.5;-оор + хэрэглэгчийг хүрээнд оруулна. Хэрэв &man.setpmac.8; тушаалыг + тасалгааных нь хүрээнээс гадна ажиллуулах гэж оролдвол алдаа буцаагдах + бөгөөд тушаал ажиллахгүй байх болно. Энэ тохиолдолд root-ийг + <literal>biba/high(high-high)</literal> болгож тохируулна.</para> </note> </sect2> @@ -1907,49 +1907,49 @@ setpmac biba/10\(10-10\) /usr/local/etc/rc.d/nagios.sh forcestart</userinput></s <sect1 id="mac-userlocked"> <title>Хэрэглэгчийг түгжих</title> - <para>Энэ жишээ нь харьцангуй жижиг, тавиас бага хэрэглэгчтэй хадгалалтын - системийг авч үздэг. Хэрэглэгчид нь нэвтрэлтийн боломжуудтай байх - бөгөөд тэдэнд зөвхөн өгөгдөл биш бас хандалтын эх үүсвэрүүдийг хадгалахыг + <para>Энэ жишээ нь харьцангуй жижиг, тавиас бага хэрэглэгчтэй хадгалалтын + системийг авч үздэг. Хэрэглэгчид нь нэвтрэлтийн боломжуудтай байх + бөгөөд тэдэнд зөвхөн өгөгдөл биш бас хандалтын эх үүсвэрүүдийг хадгалахыг зөвшөөрнө.</para> - <para>Энэ тохиолдолд &man.mac.bsdextended.4; нь - &man.mac.seeotheruids.4;-тэй холилдон оршиж болох бөгөөд - системийн обьектуудад хандахыг хаагаад зогсохгүй бас хэрэглэгчийн + <para>Энэ тохиолдолд &man.mac.bsdextended.4; нь + &man.mac.seeotheruids.4;-тэй холилдон оршиж болох бөгөөд + системийн обьектуудад хандахыг хаагаад зогсохгүй бас хэрэглэгчийн процессийг нуух хандалтыг бас хаадаг.</para> - <para>Дараах мөрийг <filename>/boot/loader.conf</filename> + <para>Дараах мөрийг <filename>/boot/loader.conf</filename> файлд нэмж эхэлнэ:</para> <programlisting>mac_seeotheruids_load="YES"</programlisting> - <para>&man.mac.bsdextended.4; аюулгүй байдлын бодлогын модулийг + <para>&man.mac.bsdextended.4; аюулгүй байдлын бодлогын модулийг дараах rc.conf хувьсагчийг хэрэглэн идэвхтэй болгож болно:</para> <programlisting>ugidfw_enable="YES"</programlisting> - <para><filename>/etc/rc.bsdextended</filename> файлд хадгалагдах - анхдагч дүрмүүд нь системийг эхлүүлэхэд дуудагдана. Гэхдээ анхдагч оруулгууд нь - өөрчлөлтүүд шаардаж болох юм. Энэ машин нь зөвхөн хэрэглэгчдэд үйлчлэхээр - зориулагдсан болохоор сүүлийн хоёроос бусдыг хааж тайлбар болгон үлдээж - болох юм. Сүүлийн хоёр нь анхдагчаар хэрэглэгчийн эзэмших системийн обьектуудыг + <para><filename>/etc/rc.bsdextended</filename> файлд хадгалагдах + анхдагч дүрмүүд нь системийг эхлүүлэхэд дуудагдана. Гэхдээ анхдагч оруулгууд нь + өөрчлөлтүүд шаардаж болох юм. Энэ машин нь зөвхөн хэрэглэгчдэд үйлчлэхээр + зориулагдсан болохоор сүүлийн хоёроос бусдыг хааж тайлбар болгон үлдээж + болох юм. Сүүлийн хоёр нь анхдагчаар хэрэглэгчийн эзэмших системийн обьектуудыг дуудуулах болно.</para> - <para>Шаардлагатай хэрэглэгчдийг энэ машин уруу нэмээд дахин ачаална. - Тест хийх зорилгоор хоёр консол дээр өөр хэрэглэгчээр нэвтрэхийг - оролдоорой. Бусад хэрэглэгчдийн процессууд харж болохоор байгаа эсэхийг харахын - тулд <command>ps aux</command> тушаалыг ажиллуулна. - &man.ls.1;-ийг нөгөө хэрэглэгчийн гэрийн сан дээр ажиллуулахыг оролдоорой, + <para>Шаардлагатай хэрэглэгчдийг энэ машин уруу нэмээд дахин ачаална. + Тест хийх зорилгоор хоёр консол дээр өөр хэрэглэгчээр нэвтрэхийг + оролдоорой. Бусад хэрэглэгчдийн процессууд харж болохоор байгаа эсэхийг харахын + тулд <command>ps aux</command> тушаалыг ажиллуулна. + &man.ls.1;-ийг нөгөө хэрэглэгчийн гэрийн сан дээр ажиллуулахыг оролдоорой, энэ нь амжилтгүй болох болно.</para> - <para>Супер хэрэглэгчийн хандалтыг хаахын тулд ашигладаг тусгай - <command>sysctl</command>-уудыг өөрчлөхөөс бусад тохиолдолд + <para>Супер хэрэглэгчийн хандалтыг хаахын тулд ашигладаг тусгай + <command>sysctl</command>-уудыг өөрчлөхөөс бусад тохиолдолд <username>root</username> хэрэглэгчээр тест битгий хийгээрэй.</para> <note> - <para>Шинэ хэрэглэгч нэмэгдэхэд тэдгээрийн &man.mac.bsdextended.4; - дүрмүүд дүрмийн олонлогийн жагсаалтад байхгүй байна. Дүрмийн олонлогийг - хурдан шинэчлэхийн тулд &man.kldunload.8; болон &man.kldload.8; - хэрэгслүүдийг ашиглан аюулгүй байдлын бодлогын модулийг буулгаж дараа нь + <para>Шинэ хэрэглэгч нэмэгдэхэд тэдгээрийн &man.mac.bsdextended.4; + дүрмүүд дүрмийн олонлогийн жагсаалтад байхгүй байна. Дүрмийн олонлогийг + хурдан шинэчлэхийн тулд &man.kldunload.8; болон &man.kldload.8; + хэрэгслүүдийг ашиглан аюулгүй байдлын бодлогын модулийг буулгаж дараа нь түүнийг дахин ачаалж хийнэ.</para> </note> </sect1> @@ -1961,29 +1961,29 @@ setpmac biba/10\(10-10\) /usr/local/etc/rc.d/nagios.sh forcestart</userinput></s <primary>MAC алдааг олж засварлах</primary> </indexterm> - <para>Хөгжүүлэлтийн явцад цөөн хэрэглэгчид энгийн тохируулга дээр асуудлууд - гарснаа мэдээлсэн. Эдгээр асуудлуудын заримыг доор + <para>Хөгжүүлэлтийн явцад цөөн хэрэглэгчид энгийн тохируулга дээр асуудлууд + гарснаа мэдээлсэн. Эдгээр асуудлуудын заримыг доор жагсаав:</para> <sect2> - <title><option>multilabel</option> тохируулгыг <filename>/</filename> + <title><option>multilabel</option> тохируулгыг <filename>/</filename> дээр идэвхжүүлж болохгүй байна</title> - <para><option>multilabel</option> туг миний root + <para><option>multilabel</option> туг миний root (<filename>/</filename>) хуваалтан дээр идэвхтэй болохгүй байна!</para> - <para>50 хэрэглэгч тутмын нэг нь ийм асуудалтай байдаг бололтой, харин бид - энэ асуудалтай эхний тохиргооны үеэр тулгарсан. <quote>bug</quote> - буюу "цох" гэж нэрлэгдэх үүний цаадах ажиглалт нь үүнийг буруу баримтжуулалт - эсвэл баримтын буруу тайлбарлалтын үр дүн гэж намайг итгэхэд хүргэсэн. - Энэ яагаад болсноос үл хамааран үүнийг шийдэхийн тулд дараах алхмуудыг + <para>50 хэрэглэгч тутмын нэг нь ийм асуудалтай байдаг бололтой, харин бид + энэ асуудалтай эхний тохиргооны үеэр тулгарсан. <quote>bug</quote> + буюу "цох" гэж нэрлэгдэх үүний цаадах ажиглалт нь үүнийг буруу баримтжуулалт + эсвэл баримтын буруу тайлбарлалтын үр дүн гэж намайг итгэхэд хүргэсэн. + Энэ яагаад болсноос үл хамааран үүнийг шийдэхийн тулд дараах алхмуудыг хийж болох юм:</para> <procedure> <step> - <para><filename>/etc/fstab</filename>-ийг засварлаж - root хуваалтыг зөвхөн унших зорилгоор <option>ro</option> гэж + <para><filename>/etc/fstab</filename>-ийг засварлаж + root хуваалтыг зөвхөн унших зорилгоор <option>ro</option> гэж тохируулна.</para> </step> @@ -1992,7 +1992,7 @@ setpmac biba/10\(10-10\) /usr/local/etc/rc.d/nagios.sh forcestart</userinput></s </step> <step> - <para><command>tunefs</command> <option>-l enable</option> + <para><command>tunefs</command> <option>-l enable</option> тушаалыг <filename>/</filename> дээр ажиллуулна.</para> </step> @@ -2002,56 +2002,56 @@ setpmac biba/10\(10-10\) /usr/local/etc/rc.d/nagios.sh forcestart</userinput></s <step> <para><command>mount</command> <option>-urw</option> - <filename>/</filename> тушаалыг ажиллуулж <option>ro</option> - тохируулгыг <option>rw</option> болгож <filename>/etc/fstab</filename> + <filename>/</filename> тушаалыг ажиллуулж <option>ro</option> + тохируулгыг <option>rw</option> болгож <filename>/etc/fstab</filename> файлд өөрчлөн системийг дахин ачаална.</para> </step> <step> - <para>root файлын систем дээр <option>multilabel</option> - тохируулга зөв тохируулагдсаныг баталгаажуулж <command>mount</command> + <para>root файлын систем дээр <option>multilabel</option> + тохируулга зөв тохируулагдсаныг баталгаажуулж <command>mount</command> тушаалын гаралтыг дахин шалгаарай.</para> </step> </procedure> </sect2> <sect2> - <title><acronym>MAC</acronym>-ийн дараа X11 серверийг эхлүүлж + <title><acronym>MAC</acronym>-ийн дараа X11 серверийг эхлүүлж чадахгүй байна</title> - <para><acronym>MAC</acronym>-ийн тусламжтай аюулгүй орчинг + <para><acronym>MAC</acronym>-ийн тусламжтай аюулгүй орчинг үүсгэсний дараа би X-ийг дахиж эхлүүлж чадахаа больчихлоо!</para> <para>Энэ нь <acronym>MAC</acronym> - <literal>хуваалт</literal>ын бодлого эсвэл - <acronym>MAC</acronym> хаяглалтын бодлогуудын аль нэгний - буруу хаяглалтаас болсон байж болох юм. Дибаг хийхийн тулд доор дурдсаныг + <literal>хуваалт</literal>ын бодлого эсвэл + <acronym>MAC</acronym> хаяглалтын бодлогуудын аль нэгний + буруу хаяглалтаас болсон байж болох юм. Дибаг хийхийн тулд доор дурдсаныг оролдоод үзээрэй:</para> <procedure> <step> - <para>Алдааны мэдэгдлийг шалгана; хэрэв хэрэглэгч - <literal>insecure</literal> ангилалд байгаа бол + <para>Алдааны мэдэгдлийг шалгана; хэрэв хэрэглэгч + <literal>insecure</literal> ангилалд байгаа бол <literal>хуваалт</literal>ын бодлого гэмтэн байж болох юм. - Хэрэглэгчийн ангиллыг <literal>default</literal> буюу - анхдагч ангилал уруу тохируулж мэдээллийн баазыг - <command>cap_mkdb</command> тушаалын тусламжтай дахин бүтээх - хэрэгтэй. Хэрэв энэ нь асуудлыг арилгаж чадахгүй байгаа бол + Хэрэглэгчийн ангиллыг <literal>default</literal> буюу + анхдагч ангилал уруу тохируулж мэдээллийн баазыг + <command>cap_mkdb</command> тушаалын тусламжтай дахин бүтээх + хэрэгтэй. Хэрэв энэ нь асуудлыг арилгаж чадахгүй байгаа бол хоёрдугаар алхам уруу ор.</para> </step> <step> - <para>Хаяг/шошгоны бодлогуудыг давхар шалгаарай. Асуудалтай - байгаа хэрэглэгч, X11 програм болон <filename class="directory">/dev</filename> - оруулгуудын хувьд бодлогууд зөв заагдсан эсэхийг + <para>Хаяг/шошгоны бодлогуудыг давхар шалгаарай. Асуудалтай + байгаа хэрэглэгч, X11 програм болон <filename class="directory">/dev</filename> + оруулгуудын хувьд бодлогууд зөв заагдсан эсэхийг баталгаажуулаарай.</para> </step> <step> - <para>Хэрэв эдгээрийн аль нь ч асуудлыг тань шийдэхгүй бол - <ulink url="http://www.TrustedBSD.org">TrustedBSD</ulink> - вэб сайтад байрлах TrustedBSD-ийн хэлэлцүүлгийн жагсаалтууд эсвэл - &a.questions; захидлын жагсаалт уруу алдааны мэдэгдэл + <para>Хэрэв эдгээрийн аль нь ч асуудлыг тань шийдэхгүй бол + <ulink url="http://www.TrustedBSD.org">TrustedBSD</ulink> + вэб сайтад байрлах TrustedBSD-ийн хэлэлцүүлгийн жагсаалтууд эсвэл + &a.questions; захидлын жагсаалт уруу алдааны мэдэгдэл болон өөрийн орчны тухай мэдээллийг илгээгээрэй.</para> </step> </procedure> @@ -2060,50 +2060,50 @@ setpmac biba/10\(10-10\) /usr/local/etc/rc.d/nagios.sh forcestart</userinput></s <sect2> <title>Error: &man..secure.path.3; cannot stat <filename>.login_conf</filename></title> - <para>Намайг <username>root</username> хэрэглэгчээс систем дээрх - өөр хэрэглэгч уруу шилжихийг оролдох үед - <errorname>_secure_path: unable to state .login_conf</errorname> + <para>Намайг <username>root</username> хэрэглэгчээс систем дээрх + өөр хэрэглэгч уруу шилжихийг оролдох үед + <errorname>_secure_path: unable to state .login_conf</errorname> гэсэн алдаа гараад байна.</para> - <para>Энэ мэдэгдэл нь тэр болох гэж байгаа хэрэглэгчийн хаяг/шошгоны тохиргооноос - хэрэглэгчийн өөрийнх нь тохиргоо өндөр байгааг ихэвчлэн үзүүлдэг. - Жишээ нь систем дээрх хэрэглэгч <username>joe</username> анхдагч - <option>biba/low</option> гэсэн хаяг/шошготой байна гэж бодъё. - <option>biba/high</option> хаяг/шошготой <username>root</username> - хэрэглэгч <username>joe</username>-ийн гэр санг харж чадахгүй. - Энэ нь <username>root</username> хэрэглэгч <command>su</command> - тушаал ашиглан <username>joe</username> болсон ч гэсэн болохгүй байна. - Энэ тохиолдолд Biba бүрэн бүтэн байдлын загвар нь <username>root</username> - хэрэглэгчийг бүрэн бүтэн байдлын доод түвшин тохируулагдсан обьектуудыг + <para>Энэ мэдэгдэл нь тэр болох гэж байгаа хэрэглэгчийн хаяг/шошгоны тохиргооноос + хэрэглэгчийн өөрийнх нь тохиргоо өндөр байгааг ихэвчлэн үзүүлдэг. + Жишээ нь систем дээрх хэрэглэгч <username>joe</username> анхдагч + <option>biba/low</option> гэсэн хаяг/шошготой байна гэж бодъё. + <option>biba/high</option> хаяг/шошготой <username>root</username> + хэрэглэгч <username>joe</username>-ийн гэр санг харж чадахгүй. + Энэ нь <username>root</username> хэрэглэгч <command>su</command> + тушаал ашиглан <username>joe</username> болсон ч гэсэн болохгүй байна. + Энэ тохиолдолд Biba бүрэн бүтэн байдлын загвар нь <username>root</username> + хэрэглэгчийг бүрэн бүтэн байдлын доод түвшин тохируулагдсан обьектуудыг харахыг зөвшөөрөхгүй байх болно.</para> </sect2> <sect2> <title><username>root</username> хэрэглэгчийн нэр эвдэрсэн байна!</title> - <para>Энгийн эсвэл бүр ганц хэрэглэгчийн горимд <username>root</username> - хэрэглэгч танигддаггүй. <command>whoami</command> тушаал - 0 (тэг) буцаах бөгөөд <command>su</command> тушаал - <errorname>who are you?</errorname> гэсэн алдааны мэдэгдлийг + <para>Энгийн эсвэл бүр ганц хэрэглэгчийн горимд <username>root</username> + хэрэглэгч танигддаггүй. <command>whoami</command> тушаал + 0 (тэг) буцаах бөгөөд <command>su</command> тушаал + <errorname>who are you?</errorname> гэсэн алдааны мэдэгдлийг буцаадаг. Юу болоод байгаа юм бол оо?</para> - <para>Энэ нь хаяглах бодлого &man.sysctl.8;-оор хаагдсан эсвэл - бодлогын модулийг буулгаснаас болдог. Хэрэв бодлого хаагдсан эсвэл - түр зуур хаагдсан бол <option>label</option> тохируулгыг арилган - нэвтрэлтийн боломжуудын мэдээллийн баазыг дахин тохируулах - хэрэгтэй. Бүх <option>label</option> тохируулгууд арилсан эсэхийг - баталгаажуулж <filename>login.conf</filename> файлаа дахин - шалгаж мэдээллийн баазаа <command>cap_mkdb</command> + <para>Энэ нь хаяглах бодлого &man.sysctl.8;-оор хаагдсан эсвэл + бодлогын модулийг буулгаснаас болдог. Хэрэв бодлого хаагдсан эсвэл + түр зуур хаагдсан бол <option>label</option> тохируулгыг арилган + нэвтрэлтийн боломжуудын мэдээллийн баазыг дахин тохируулах + хэрэгтэй. Бүх <option>label</option> тохируулгууд арилсан эсэхийг + баталгаажуулж <filename>login.conf</filename> файлаа дахин + шалгаж мэдээллийн баазаа <command>cap_mkdb</command> тушаалаар дахин бүтээх хэрэгтэй.</para> - <para>Энэ нь <filename>master.passwd</filename> файлд - эсвэл мэдээллийн баазад хандах хандалтыг бодлого хязгаарласнаас болоод - бас гарч болох юм. Системд ашиглагдаж байгаа ерөнхий бодлоготой - зөрчилдөх хаяг/шошгоны доор администратор файлыг өөрчлөхөд ихэвчлэн - ингэдэг. Ийм тохиолдлуудад хэрэглэгчийн мэдээллийг систем унших - бөгөөд файл нь шинэ хаяг/шошго удамшин авсан болохоор хандалт хаалттай - байх болно. Бодлогыг &man.sysctl.8;-ий тусламжтай хаах хэрэгтэй. + <para>Энэ нь <filename>master.passwd</filename> файлд + эсвэл мэдээллийн баазад хандах хандалтыг бодлого хязгаарласнаас болоод + бас гарч болох юм. Системд ашиглагдаж байгаа ерөнхий бодлоготой + зөрчилдөх хаяг/шошгоны доор администратор файлыг өөрчлөхөд ихэвчлэн + ингэдэг. Ийм тохиолдлуудад хэрэглэгчийн мэдээллийг систем унших + бөгөөд файл нь шинэ хаяг/шошго удамшин авсан болохоор хандалт хаалттай + байх болно. Бодлогыг &man.sysctl.8;-ий тусламжтай хаах хэрэгтэй. Ингэхэд бүх зүйлс хэвийндээ эргэн орох болно.</para> </sect2> </sect1> -</chapter>
\ No newline at end of file +</chapter> |