PERFORCE change 135261 for review
Gabor Pali
pgj at FreeBSD.org
Tue Feb 12 09:13:13 PST 2008
http://perforce.freebsd.org/chv.cgi?CH=135261
Change 135261 by pgj at disznohal on 2008/02/12 17:12:24
Add initial Hungarian translation of Chapter 16: Mandatory Access
Control. Raw translation of Part III is completed =)
Affected files ...
.. //depot/projects/docproj_hu/books/handbook/mac/chapter.sgml#2 edit
Differences ...
==== //depot/projects/docproj_hu/books/handbook/mac/chapter.sgml#2 (text+ko) ====
@@ -3,470 +3,722 @@
$FreeBSD: doc/en_US.ISO8859-1/books/handbook/mac/chapter.sgml,v 1.70 2007/06/27 11:49:40 chinsan Exp $
-->
-<chapter id="mac">
+<!-- The FreeBSD Hungarian Documentation Project
+ Translated by: PALI, Gabor <pgj at FreeBSD.org>
+ Original Revision: 1.70 -->
+
+<chapter id="mac" lang="hu">
<chapterinfo>
<authorgroup>
<author>
<firstname>Tom</firstname>
<surname>Rhodes</surname>
- <contrib>Written by </contrib>
+ <contrib>Írta: </contrib>
</author>
</authorgroup>
</chapterinfo>
- <title>Mandatory Access Control</title>
+ <title>Kötelezõ
+ hozzáférésvezérlés</title>
<sect1 id="mac-synopsis">
- <title>Synopsis</title>
+ <title>Áttekintés</title>
<indexterm><primary>MAC</primary></indexterm>
<indexterm>
- <primary>Mandatory Access Control</primary>
+ <primary>kötelezõ
+ hozzáférésvezérlés</primary>
<see>MAC</see>
</indexterm>
- <para>&os; 5.X introduced new security extensions from the
- TrustedBSD project based on the &posix;.1e draft. Two of the most
- significant new security mechanisms are file system Access Control
- Lists (<acronym>ACL</acronym>s) and Mandatory Access Control
- (<acronym>MAC</acronym>) facilities. Mandatory Access Control allows
- new access control modules to be loaded, implementing new security
- policies. Some provide protections of a narrow subset of the
- system, hardening a particular service. Others provide
- comprehensive labeled security across all subjects and objects.
- The mandatory part
- of the definition comes from the fact that the enforcement of
- the controls is done by administrators and the system, and is
- not left up to the discretion of users as is done with
- discretionary access control (<acronym>DAC</acronym>, the standard
- file and System V <acronym>IPC</acronym> permissions on &os;).</para>
+ <para>A &os; 5.X változata új biztonsági
+ bõvítéseket vett a TrustedBSD projektbõl a
+ &posix;.1e nyomán. A két legjelentõsebb
+ új biztonsági mechanizmus az
+ állományrendszerekben megtalálható
+ hozzáférés-vezérlési
+ listák (Access Control List, <acronym>ACL</acronym>)
+ és a kötelezõ
+ hozzáférésvezérlés (Mandatory
+ Access Control, <acronym>MAC</acronym>). A kötelezõ
+ hozzáférésvezérlés
+ segítségével olyan új
+ hozzáférésvezérlési modulok
+ tölthetõek be, amelyek új biztonsági
+ házirendeket implementálnak. Némelyek
+ közülük védelmet nyújtanak a rendszer
+ egy szûk részének, amivel így egy adott
+ szolgáltatást bástyáznak alá.
+ Mások minden részletre kiterjedõ
+ címkézett biztonságot szolgáltatnak
+ alanyokon és objektumokon keresztül. A
+ meghatározás <quote>kötelezõ</quote>
+ része onnan fakad, hogy a szabályok
+ betartatását a rendszergazdák és a
+ rendszer végzik, és nem bízzák a
+ felhasználókra, ahogy azt a System V
+ típusú rendszerekben a szabványos
+ állományokra és <acronym>IPC</acronym>-re
+ érvényes engedélyeken keresztül a
+ tetszés szerinti
+ hozzáférésvezérlés
+ (Discretionary Access Control, <acronym>DAC</acronym>)
+ teszi.</para>
- <para>This chapter will focus on the
- Mandatory Access Control Framework (<acronym>MAC</acronym> Framework), and a set
- of pluggable security policy modules enabling various security
- mechanisms.</para>
+ <para>Ebben a fejezetben a kötelezõ
+ hozzáférésvezérlést
+ övezõ keretrendszerre (<acronym>MAC</acronym> Framework)
+ és a különbözõ biztonsági
+ házirendeket megvalósító
+ beilleszthetõ modulokra fogunk
+ összpontosítani.</para>
- <para>After reading this chapter, you will know:</para>
+ <para>A fejezet elolvasása során
+ megismerjük:</para>
<itemizedlist>
<listitem>
- <para>What <acronym>MAC</acronym> security policy modules are currently
- included in &os; and their associated mechanisms.</para>
+ <para>a &os; jelen pillanatban milyen modulokat tartalmaz a
+ <acronym>MAC</acronym> rendszeren belül és milyen
+ mechanizmusok tartoznak hozzájuk</para>
</listitem>
<listitem>
- <para>What <acronym>MAC</acronym> security policy modules implement as
- well as the difference between a labeled and non-labeled
- policy.</para>
+ <para>a <acronym>MAC</acronym> biztonsági
+ házirendjeit képezõ modulok miket
+ valósítanak meg, valamint mint a
+ különbség a címkézett és
+ címkézetlen házirendek
+ között</para>
</listitem>
<listitem>
- <para>How to efficiently configure a system to use
- the <acronym>MAC</acronym> framework.</para>
+ <para>hogyan kell hatékonyan beállítani
+ és használni rendszerünkben a
+ <acronym>MAC</acronym> rendszert</para>
</listitem>
<listitem>
- <para>How to configure the different security policy modules included with the
- <acronym>MAC</acronym> framework.</para>
+ <para>hogyan állítsuk be a <acronym>MAC</acronym>
+ rendszerben található különféle
+ biztonsági házirendeket képezõ
+ modulokat</para>
</listitem>
<listitem>
- <para>How to implement a more secure environment using the
- <acronym>MAC</acronym> framework and the examples
- shown.</para>
+ <para>hogyan hozzunk létre a <acronym>MAC</acronym>
+ rendszer segítségével egy
+ biztonságosabb környezetet, amire
+ példákat is mutatunk</para>
</listitem>
<listitem>
- <para>How to test the <acronym>MAC</acronym> configuration
- to ensure the framework has been properly implemented.</para>
+ <para>hogyan teszteljük le a <acronym>MAC</acronym>
+ rendszer beállításait és
+ bizonyosodjunk meg mûködésének
+ helyességérõl</para>
</listitem>
</itemizedlist>
- <para>Before reading this chapter, you should:</para>
+ <para>A fejezet elolvasásához ajánlott:</para>
<itemizedlist>
<listitem>
- <para>Understand &unix; and &os; basics
- (<xref linkend="basics">).</para>
+ <para>a &unix; és a &os; alapjainak ismerete (<xref
+ linkend="basics">)</para>
</listitem>
<listitem>
- <para>Be familiar with
- the basics of kernel configuration/compilation
- (<xref linkend="kernelconfig">).</para>
+ <para>a rendszermag beállításának
+ és lefordításának ismerete (<xref
+ linkend="kernelconfig">)</para>
</listitem>
<listitem>
- <para>Have some familiarity with security and how it
- pertains to &os; (<xref linkend="security">).</para>
+ <para>tisztában lenni az alapvetõ biztonsági
+ kérdésekkel és azok hatásával
+ a &os;-n belül (<xref linkend="security">)</para>
</listitem>
</itemizedlist>
<warning>
- <para>The improper use of the
- information contained herein may cause loss of system access,
- aggravation of users, or inability to access the features
- provided by X11. More importantly, <acronym>MAC</acronym> should not
- be relied upon to completely secure a system. The
- <acronym>MAC</acronym> framework only augments
- existing security policy; without sound security practices and
- regular security checks, the system will never be completely
- secure.</para>
+ <para>Az itt ismertetésre kerülõ
+ információk helytelen alkalmazása a rendszer
+ hozzáférhetõségének teljes
+ elvesztését, a felhasználók
+ bosszantását vagy az X11 által
+ felkínált lehetõségek
+ kirekesztését eredményezheti. De ami
+ ennél is fontosabb, hogy a <acronym>MAC</acronym>
+ rendszerre nem úgy kell tekinteni, mint amitõl a
+ rendszerünk tökéletesen
+ biztonságossá válik. A
+ <acronym>MAC</acronym> segítségével
+ csupán a meglevõ biztonsági
+ házirendeket gyarapítjuk. A szilárd
+ biztonsági rutin és a rendszeres
+ ellenõrzések elvégzése
+ nélkül a rendszerünk valójában
+ sosem lesz teljesen biztonságos.</para>
- <para>It should also be noted that the examples contained
- within this chapter are just that, examples. It is not
- recommended that these particular settings be rolled out
- on a production system. Implementing the various security policy modules takes
- a good deal of thought and testing. One who does not fully understand
- exactly how everything works may find him or herself going
- back through the entire system and reconfiguring many files
- or directories.</para>
+ <para>Valamint hozzá kell tennünk, hogy a fejezetben
+ bemutatott példák tényleg csak
+ példák. Senkinek sem tanácsoljuk, hogy az
+ itt említett beállításokat egy
+ éles rendszerre is kiterjessze. A
+ különbözõ biztonsági modulok
+ felépítése rengeteg gondolkodást
+ és próbálgatást igényel. Aki
+ nem érti meg az egész
+ mûködését, könnyen azon kaphatja
+ magát, hogy újra végig kell mennie a
+ rendszeren és egyenként be kell
+ állítania minden könyvtárat és
+ állományt.</para>
</warning>
<sect2>
- <title>What Will Not Be Covered</title>
+ <title>Amivel itt nem foglalkozunk</title>
+
+ <para>Ebben a fejezetben a <acronym>MAC</acronym> rendszerrel
+ kapcsolatban rengeteg biztonsági kérdéssel
+ foglalkozni fogunk. Azonban az új <acronym>MAC</acronym>
+ biztonsági modulok kifejlesztését
+ már nem érintjük. Számos olyan
+ biztonsági modul található a
+ <acronym>MAC</acronym> rendszerben, amelyek rendelkeznek az
+ új modulok kialakításához és
+ teszteléséhez szükséges
+ jellemzõkkel. Ilyenek többek közt a
+ &man.mac.test.4;, &man.mac.stub.4; és a &man.mac.none.4;.
+ Ezekrõl a biztonsági modulokról és az
+ általuk szolgáltatott mechnanizmusokról a
+ man oldalaik tudnak bõvebb
+ tájékoztatást adni.</para>
- <para>This chapter covers a broad range of security issues relating
- to the <acronym>MAC</acronym> framework. The
- development of new <acronym>MAC</acronym> security policy modules
- will not be covered. A number of security policy modules included with the
- <acronym>MAC</acronym> framework have specific characteristics
- which are provided for both testing and new module
- development. These include the &man.mac.test.4;,
- &man.mac.stub.4; and &man.mac.none.4;.
- For more information on these security policy modules and the various
- mechanisms they provide, please review the manual pages.</para>
</sect2>
</sect1>
<sect1 id="mac-inline-glossary">
- <title>Key Terms in this Chapter</title>
+ <title>A fejezet fontosabb fogalmai</title>
- <para>Before reading this chapter, a few key terms must be
- explained. This will hopefully clear up any confusion that
- may occur and avoid the abrupt introduction of new terms
- and information.</para>
+ <para>A fejezet tartalmának kifejtéséhez
+ szükségünk lesz néhány fontosabb
+ alapfogalom tisztázására.
+ Segítségükkel vélhetõen
+ sikerül eloszlatni a téma feldolgozása
+ során felmerülõ
+ félreértéseket illetve elkerülni az
+ új fogalmak és információk
+ váratlan felbukkanását.</para>
<itemizedlist>
- <listitem>
- <para><emphasis>compartment</emphasis>: A compartment is a
- set of programs and data to be partitioned or separated,
- where users are given explicit access to specific components
- of a system. Also, a compartment represents a grouping,
- such as a work group, department, project, or topic. Using
- compartments, it is possible to implement a need-to-know
- security policy.</para>
+ <listitem>
+ <para><emphasis>alany</emphasis>: Alanynak tekintünk a
+ rendszerben minden olyan aktív egyedet, ami
+ információt áramoltat az
+ <emphasis>objektumok</emphasis>, tehát a
+ felhasználók, a processzorok, a rendszerben
+ futó programok stb. között. A &os;-ben
+ majdnem minden esetben a felhasználók egy
+ szálon keresztül vezérlik a futó
+ programokat.</para>
</listitem>
- <listitem>
- <para><emphasis>high water mark</emphasis>: A high water mark
- policy is one which permits the raising of security levels
- for the purpose of accessing higher level information. In
- most cases, the original level is restored after the process
- is complete. Currently, the &os; <acronym>MAC</acronym>
- framework does not have a policy for this, but the definition
- is included for completeness.</para>
+ <listitem>
+ <para><emphasis>címke</emphasis>: A címke egy
+ olyan biztonsági tulajdonság, ami vonatkozhat
+ állományokra, könyvtárakra vagy a
+ rendszer más elemeire. Egy címke
+ tekinthetõ a bizalmasságot jelzõ
+ pecsétnek is: ha egy állományra
+ címkét teszünk, akkor benne megadjuk a
+ rá vonatkozó biztonsági jellemzõket,
+ és csak a hozzá hasonló biztonsági
+ beállításokkal rendelkezõ
+ állományok, felhasználók,
+ erõforrások stb. érhetik el. A
+ címkék jelentését és
+ értelmezését a házirendek
+ beállítása határozza meg:
+ míg egyes házirendek a címkéket
+ egy objektum sértetlenségének vagy
+ titkosságának tekintik, addig mások a
+ hozzáféréssel kapcsolatos
+ szabályokat rögzítik bennük.</para>
</listitem>
<listitem>
- <para><emphasis>integrity</emphasis>: Integrity, as a key
- concept, is the level of trust which can be placed on data.
- As the integrity of the data is elevated, so does the ability
- to trust that data.</para>
+ <para><emphasis>egycímkés</emphasis>:
+ Egycímkés esetrõl akkor
+ beszélünk, amikor az adat
+ áramlásának
+ szabályozására az egész
+ állományrendszer egyetlen címkét
+ alkalmaz. Ha ezt beállítjuk egy
+ állományrendszernél, de nem adjuk meg
+ vele együtt a <option>multilabel</option> opciót,
+ akkor az összes állományra ugyanaz a
+ címke érvényes.</para>
</listitem>
- <listitem>
- <para><emphasis>label</emphasis>: A label is a security
- attribute which can be applied to files, directories, or
- other items in the system. It could be considered
- a confidentiality stamp; when a label is placed on
- a file it describes the security properties for that specific
- file and will only permit access by files, users, resources,
- etc. with a similar security setting. The meaning and
- interpretation of label values depends on the policy configuration: while
- some policies might treat a label as representing the
- integrity or secrecy of an object, other policies might use
- labels to hold rules for access.</para>
+ <listitem>
+ <para><emphasis>erõs vízjel</emphasis>: Az erõs
+ vízjel házirendje szerint a biztonsági
+ szint akkor növelhetõ, ha magasabb szintû
+ információkhoz akarunk hozzájutni. A
+ legtöbb esetben a folyamatok befejezõdése
+ után visszaállítódik az eredeti
+ szint. A &os; <acronym>MAC</acronym> rendszere pillanatnyilag
+ ehhez nem tartalmaz házirendet, de a teljesség
+ kedvéért megadtuk ennek a
+ definícióját is.</para>
</listitem>
- <listitem>
- <para><emphasis>level</emphasis>: The increased or decreased
- setting of a security attribute. As the level increases,
- its security is considered to elevate as well.</para>
+ <listitem>
+ <para><emphasis>gyenge vízjel</emphasis>: A gyenge
+ vízjel házirendje szerint a biztonsági
+ szint csökkenthetõ az alacsonyabb szintû
+ információk elérése
+ érdekében. A legtöbb esetben a folyamatok
+ befejezõdése után
+ visszaállítódik az eredeti szint. A
+ &os;-ben ezt a házirendet egyedül a
+ &man.mac.lomac.4; alkalmazza.</para>
</listitem>
<listitem>
- <para><emphasis>low water mark</emphasis>: A low water mark
- policy is one which permits lowering of the security levels
- for the purpose of accessing information which is less
- secure. In most cases, the original security level of the
- user is restored after the process is complete. The only
- security policy module in &os; to use this is
- &man.mac.lomac.4;.</para>
+ <para><emphasis>házirend</emphasis>: Szabályok
+ olyan gyûjteménye, ami megadja, hogy miként
+ kell a célokat teljesíteni. Egy
+ <emphasis>házirend</emphasis> általában
+ az egyes elemek kezelését rögzíti.
+ Ebben a fejezetben a <emphasis>házirend</emphasis>
+ kifejezés alatt a <emphasis>biztonsági
+ házirendet</emphasis> értjük, tehát
+ olyan szabályok gyûjteményét,
+ amelyek az adatok és az információ
+ áramlását határozzák meg,
+ továbbá megadják, hogy
+ közülük ki mihez férhet
+ hozzá.</para>
</listitem>
<listitem>
- <para><emphasis>multilabel</emphasis>: The
- <option>multilabel</option> property is a file system option
- which can be set in single user mode using the
- &man.tunefs.8; utility, during the boot operation
- using the &man.fstab.5; file, or during the creation of
- a new file system. This option will permit an administrator
- to apply different <acronym>MAC</acronym> labels on different
- objects. This option
- only applies to security policy modules which support labeling.</para>
+ <para><emphasis>kényesség</emphasis>:
+ Általában az <acronym>MLS</acronym>
+ tárgyalásakor kerül elõ. Az
+ kényesség szintjével az adatok
+ fontosságát vagy titkosságát
+ szokták jelölni. A kényességi szint
+ növekedésével növekszik az adat
+ titkosságának vagy bizalmasságának
+ szintje.</para>
</listitem>
- <listitem>
- <para><emphasis>object</emphasis>: An object or system
- object is an entity through which information flows
- under the direction of a <emphasis>subject</emphasis>.
- This includes directories, files, fields, screens, keyboards,
- memory, magnetic storage, printers or any other data
- storage/moving device. Basically, an object is a data container or
- a system resource; access to an <emphasis>object</emphasis>
- effectively means access to the data.</para>
+ <listitem>
+ <para><emphasis>objektum</emphasis>: Objektum vagy
+ rendszerobjektum minden olyan egyed, amelyen
+ információ folyik keresztül az
+ <emphasis>alanyok</emphasis>
+ irányításával. Ezek lehetnek
+ többek közt könyvtárak,
+ állományok, mezõk, képernyõk,
+ billentyûzetek, memória, mágneses
+ tárolóeszközök, nyomtatók vagy
+ bármilyen más
+ adattároló/hordozó eszköz. Az
+ objektumok alapvetõen adattárolók vagy a
+ rendszer erõforrásai. Egy
+ <emphasis>objektum</emphasis> elérésén
+ gyakorlatilag az adatok elérését
+ értjük.</para>
</listitem>
<listitem>
- <para><emphasis>policy</emphasis>: A collection of rules
- which defines how objectives are to be achieved. A
- <emphasis>policy</emphasis> usually documents how certain
- items are to be handled. This chapter will
- consider the term <emphasis>policy</emphasis> in this
- context as a <emphasis>security policy</emphasis>; i.e.
- a collection of rules which will control the flow of data
- and information and define whom will have access to that
- data and information.</para>
+ <para><emphasis>rekesz</emphasis>: Egy rekeszbe soroljuk az
+ elrekeszteni vagy elkülöníteni
+ kívánt programok és adatok
+ összeségét, ahol a
+ felhasználók explicit módon
+ képesek hozzáférni a rendszer bizonyos
+ komponenseihez. Emellett a rekesz utalhat egy
+ tetszõleges csoportosításra is,
+ például munkacsoportra, osztályra,
+ projektre vagy témára. A rekeszek
+ használata elengedhetetlen a biztonsági
+ házirendek kialakításához.</para>
</listitem>
<listitem>
- <para><emphasis>sensitivity</emphasis>: Usually used when
- discussing <acronym>MLS</acronym>. A sensitivity level is
- a term used to describe how important or secret the data
- should be. As the sensitivity level increases, so does the
- importance of the secrecy, or confidentiality of the data.</para>
+ <para><emphasis>sértetlenség</emphasis>: A
+ sértetlenség, mint kulcsfogalom, az adatok
+ megbízhatóságának szintje.
+ Minél sértetlenebb az adat, annál
+ inkább tekinthetjük
+ megbízhatónak.</para>
</listitem>
<listitem>
- <para><emphasis>single label</emphasis>: A single label is
- when the entire file system uses one label to
- enforce access control over the flow of data. When a file
- system has this set, which is any time when the
- <option>multilabel</option> option is not set, all
- files will conform to the same label setting.</para>
+ <para><emphasis>szint</emphasis>: Egy biztonsági
+ tulajdonság megnövelt vagy lecsökkentett
+ beállítása. A szint
+ növekedésével együtt a
+ biztonság mértéke is
+ növekszik.</para>
</listitem>
<listitem>
- <para><emphasis>subject</emphasis>: a subject is any
- active entity that causes information to flow between
- <emphasis>objects</emphasis>; e.g. a user, user processor,
- system process, etc. On &os;, this is almost always a thread
- acting in a process on behalf of a user.</para>
+ <para><emphasis>többcímkés</emphasis>: A
+ <option>multilabel</option> vagyis
+ többcímkés jellemzõ az
+ állományrendszerek esetén fordulhat
+ elõ, és a &man.tunefs.8; segédprogrammal
+ állítható be
+ egyfelhasználós módban vagy a rendszer
+ indítása során az &man.fstab.5;
+ állományon keresztül, esetleg egy új
+ állományrendszer létrehozásakor.
+ Ezzel a beállítással a rendszergazda
+ különféle <acronym>MAC</acronym>
+ címkéket rendelhet különbözõ
+ objektumokhoz. Ez a beállítás
+ természetesen csak olyan biztonsági modulok
+ esetén él, amelyek tudnak
+ címkézni.</para>
</listitem>
- </itemizedlist>
+
+ </itemizedlist>
</sect1>
<sect1 id="mac-initial">
- <title>Explanation of MAC</title>
+ <title>A MAC ismertetése</title>
- <para>With all of these new terms in mind, consider how the
- <acronym>MAC</acronym> framework augments the security of
- the system as a whole. The various security policy modules provided by
- the <acronym>MAC</acronym> framework could be used to
- protect the network and file systems, block users from
- accessing certain ports and sockets, and more. Perhaps
- the best use of the policy modules is to blend them together, by loading
- several security policy modules at a time for a multi-layered
- security environment. In a multi-layered security environment,
- multiple policy modules are in effect to keep security in check. This
- is different to a hardening policy, which typically hardens
- elements of a system that is used only for specific purposes.
- The only downside is administrative overhead in cases of
- multiple file system labels, setting network access control
- user by user, etc.</para>
+ <para>Az imént definiált új fogalmak
+ tükrében most nézzük meg, hogy a
+ <acronym>MAC</acronym> rendszer alkalmazásával
+ miként javíthatunk rendszerünk
+ biztonságán. A <acronym>MAC</acronym> rendszerhez
+ készített különbözõ
+ biztonsági modulok alkalmasak a hálózat
+ és az állományrendszerek
+ védelmére, valamint segítségükkel
+ megakadályozhatjuk, hogy a felhasználók
+ elérhessenek bizonyos portokat és
+ csatlakozásokat stb. A házirendeket
+ formázó modulokat talán együttesen
+ tudjuk a leghatékonyabban alkalmazni, és ha
+ egyszerre több modul betöltésével egy
+ többrétegû védelmi rendszert
+ alakítunk ki. Ez nem ugyanaz, mint a rendszer
+ megerõsítése, ahol a rendszer
+ összetevõit jellemzõ módon csak bizonyos
+ célok tekintetében edzzük meg. A
+ módszer egyedüli hátulütõi a
+ többszörös állományrendszeri
+ címkékkel, a felhasználónként
+ beállítandó hálózati
+ eléréssel stb. járó
+ adminisztrációs költségek.</para>
- <para>These downsides are minimal when compared to the lasting
- effect of the framework; for instance, the ability to pick and choose
- which policies are required for a specific configuration keeps
- performance overhead down. The reduction of support for unneeded
- policies can increase the overall performance of the system as well as
- offer flexibility of choice. A good implementation would
- consider the overall security requirements and effectively implement
- the various security policy modules offered by the framework.</para>
+ <para>Ezek a hátrányok azonban eltörpülnek a
+ létrehozott rendszer tartósságával
+ szemben. Például ha képesek vagyunk
+ megmondani, hogy az adott konfigurációban milyen
+ házirendek alkalmazására van
+ szükség, akkor ezzel az adminisztrációs
+ költségek visszaszoríthatóak. A
+ szükségtelen házirendek
+ eltávolításával még
+ növelhetjük is a rendszer
+ összteljesítményét, valamint az
+ így felkínált rugalmasságot. Egy
+ jó kialakításban figyelembe kell venni az
+ összes biztonsági elõírást
+ és hatékonyan megvalósítani ezeket a
+ rendszer által felajánlott
+ különféle biztonsági modulokkal.</para>
- <para>Thus a system utilizing <acronym>MAC</acronym> features
- should at least guarantee that a user will not be permitted
- to change security attributes at will; all user utilities,
- programs and scripts must work within the constraints of
- the access rules provided by the selected security policy modules; and
- that total control of the <acronym>MAC</acronym> access
- rules are in the hands of the system administrator.</para>
+ <para>Ezért tehát a <acronym>MAC</acronym>
+ lehetõségeit kihasználó rendszerekben
+ legalább annyit meg kell tudni oldani, hogy a
+ felhasználók ne változtathassák
+ kedvükre a biztonsági tulajdonságokat. Az
+ összes felhasználói segédprogramnak,
+ programnak és szkriptnek a kiválasztott
+ biztonsági modulokban szereplõ
+ hozzáférési szabályokkal
+ kifeszített kereten belül kell mozognia. A
+ <acronym>MAC</acronym> totális
+ irányítása pedig a rendszergazda
+ kezében van.</para>
- <para>It is the sole duty of the system administrator to
- carefully select the correct security policy modules. Some environments
- may need to limit access control over the network; in these
- cases, the &man.mac.portacl.4;, &man.mac.ifoff.4; and even
- &man.mac.biba.4; policy modules might make good starting points. In other
- cases, strict confidentiality of file system objects might
- be required. Policy modules such as &man.mac.bsdextended.4;
- and &man.mac.mls.4; exist for this purpose.</para>
+ <para>A rendszergazda így egyedül csak a megfelelõ
+ biztonsági modulok gondos
+ összeválogatásáért felelõs.
+ Bizonyos környezetekben szükséges lehet a
+ hálózaton keresztüli
+ hozzáférések korlátozása is.
+ Ilyen esetekben a &man.mac.portacl.4;, &man.mac.ifoff.4; vagy a
+ &man.mac.biba.4; moduloktól érdemes elindulnunk.
+ Más esetekben az állományrendszerek
+ objektumainak bizalmasságát kell csupán
+ megõriznünk. Erre a célra a
+ &man.mac.bsdextended.4; és &man.mac.mls.4; modulok a
+ legalkalmasabbak.</para>
- <para>Policy decisions could be made based on network
- configuration. Perhaps only certain users should be permitted
- access to facilities provided by &man.ssh.1; to access the
- network or the Internet. The &man.mac.portacl.4; would be
- the policy module of choice for these situations. But what should be
- done in the case of file systems? Should all access to certain
- directories be severed from other groups or specific
- users? Or should we limit user or utility access to specific
- files by setting certain objects as classified?</para>
+ <para>A házirendekhez kapcsolódó
+ döntések a hálózati
+ beállítások alapján is
+ meghozhatóak. Elképzelhetõ, hogy csak bizonyos
+ felhasználók férhetnek hozzá az
+ &man.ssh.1; szolgáltatásain keresztül a
+ hálózathoz vagy az internethez. A
+ &man.mac.portacl.4; pontosan ilyen helyzetekben tud a
+ segítségünkre sietni. De mit tegyünk az
+ állományrendszerek esetén? Vágjunk el
+ adott felhasználókat vagy csoportokat bizonyos
+ könyvtáraktól? Vagy korlátozzuk a
+ felhasználók vagy segédprogramok
+ hozzáférését adott
+ állományokhoz bizonyos objektumok bizalmassá
+ nyilvánításával?</para>
- <para>In the file system case, access to objects might be
- considered confidential to some users, but not to others.
- For an example, a large development team might be broken
- off into smaller groups of individuals. Developers in
- project A might not be permitted to access objects written
- by developers in project B. Yet they might need to access
- objects created by developers in project C; that is quite a
- situation indeed. Using the different security policy modules provided by
- the <acronym>MAC</acronym> framework; users could
- be divided into these groups and then given access to the
- appropriate areas without fear of information
- leakage.</para>
+ <para>Az állományrendszerek esetében az
+ objektumokat néhány felhasználó
+ elérheti, mások pedig nem. Például
+ egy nagyobb fejlesztõcsapat kisebb csoportokra
+ bontható. Az A projektben résztvevõ
+ fejlesztõk nem férhetnek hozzá a B projektben
+ dolgozó fejlesztõk munkájához. Ellenben
+ szükségük lehet a C projekten
+ munkálkodó fejlesztõk által
+ létrehozott objektumokra. Ez egy igen érdekes
+ helyzet. A <acronym>MAC</acronym> rendszer által
+ felkínált különbözõ
+ biztonsági modulokra építkezve azonban
+ könnyedén csoportokba tudjuk szervezni a
+ felhasználókat, és a megfelelõ
+ területekhez az információ
+ kiszivárgása nélkül hozzá tudjuk
+ õket engedni.</para>
- <para>Thus, each security policy module has a unique way of dealing with
- the overall security of a system. Module selection should be based
- on a well thought out security policy. In many cases, the
- overall policy may need to be revised and reimplemented on
- the system. Understanding the different security policy modules offered by
- the <acronym>MAC</acronym> framework will help administrators
- choose the best policies for their situations.</para>
+ <para>Ennek következtében minden egyes biztonsági
+ modul a maga módján gondoskodik az egész
+ rendszer biztonságáról. A céljainknak
+ megfelelõ modulokat egy jól átgondolt
+ biztonsági házirend alapján válasszuk
+ ki. Sok esetben az egész házirendet át kell
+ tekinteni és újra kell alkalmazni a rendszerben. A
+ <acronym>MAC</acronym> által felajánlott
+ különbözõ biztonsági modulok
+ megértése segít a rendszergazdáknak
+ megválasztani az adott helyzetben legjobban
+ alkalmazható házirendeket.</para>
- <para>The default &os; kernel does not include the option for
- the <acronym>MAC</acronym> framework; thus the following
- kernel option must be added before trying any of the examples or
- information in this chapter:</para>
+ <para>A &os; rendszermagja alapból nem tartalmazza a
+ <acronym>MAC</acronym> rendszert. Ezért a fejezetben
+ szereplõ példák vagy az itt leírtak
+ kipróbálásához az alábbi
+ beállítást kell hozzátennünk a
+ rendszermag beállításait tartalmazó
+ állományhoz:</para>
<programlisting>options MAC</programlisting>
- <para>And the kernel will require a rebuild and a reinstall.</para>
+ <para>Majd fordítsuk és telepítsük
+ újra a rendszermagot.</para>
<caution>
- <para>While the various manual pages for <acronym>MAC</acronym>
- policy modules state that they may be built into the kernel,
- it is possible to lock the system out of
- the network and more. Implementing <acronym>MAC</acronym>
- is much like implementing a firewall, care must be taken
- to prevent being completely locked out of the system. The
- ability to revert back to a previous configuration should be
- considered while the implementation of <acronym>MAC</acronym>
- remotely should be done with extreme caution.</para>
+ <para>Miközben a <acronym>MAC</acronym> rendszerhez
+ készült különbözõ modulok a
+ saját man oldalaik szerint szintén igénylik
+ a beépítésüket, vigyázzunk
+ velük, mert ezzel a rendszerüket pillanatok alatt ki
+ tudjuk zárni a hálózatból és
+ így tovább. A <acronym>MAC</acronym> alapú
+ védelem felépítése leginkább
+ egy tûzfal
+ összeállításához
+ hasonlítható, ahol ugyanígy számolni
+ kell azzal, hogy egy óvatlan paranccsal
+ kizárhatjuk magunkat a rendszerbõl. Valamilyen
+ módon mindig próbáljunk gondoskodni a
+ rendszer elõzõ állapotának
+ visszaállíthatóságáról,
+ és a <acronym>MAC</acronym> távoli
+ adminisztrációját mindig nagyfokú
+ körültekintéssel végezzük.</para>
</caution>
+
</sect1>
<sect1 id="mac-understandlabel">
- <title>Understanding MAC Labels</title>
+ <title>Bõvebben a MAC címkéirõl</title>
- <para>A <acronym>MAC</acronym> label is a security attribute
- which may be applied to subjects and objects throughout
- the system.</para>
+ <para>A <acronym>MAC</acronym>-címke egy olyan
+ biztonsági tulajdonság, amelyet a rendszerben
+ található alanyokhoz és objektumokhoz
+ rendelhetünk.</para>
- <para>When setting a label, the user must be able to comprehend
- what it is, exactly, that is being done. The attributes
- available on an object depend on the policy module loaded, and that
- policy modules interpret their attributes in different
- ways. If improperly configured due to lack of comprehension, or
- the inability to understand the implications, the result will
- be the unexpected and perhaps, undesired, behavior of the
- system.</para>
+ <para>Egy címke beállításához a
+ felhasználónak pontosan ismernie kell, hogy ilyenkor
+ mi történik. Az objektumokhoz tartozó
+ tulajdonságok a betöltött moduloktól
+ függenek, és az egyes modulok eltérõ
+ módon értelmezik ezeket a tulajdonságokat.
+ Ha a precíz megértésük
+ hiányában helytelenül állítjuk be
+ ezeket, vagy nem vagyunk képesek tisztázni a
+ velük járó következményeket, akkor
+ az a rendszerünk kiszámíthatatlan és
+ valószínûleg kedvezõtlen
+ viselkedését eredményezi.</para>
- <para>The security label on an object is used as a part of a
- security access control decision by a policy. With some
- policies, the label by itself contains all information necessary
- to make a decision; in other models, the labels may be processed
- as part of a larger rule set, etc.</para>
+ <para>A házirendek az objektumhoz rendelt biztonsági
+ címkéket a hozzáféréssel
+ kapcsolatos döntések meghozásában
+ használják fel. Bizonyos házirendek
+ esetében már maga a címke elegendõ
+ információt tartalmaz a döntés
+ megformálásához. Máshol viszont a
+ címkék egy nagyobb szabályrendszer
+ részeként dolgozódnak fel stb.</para>
- <para>For instance, setting the label of <literal>biba/low</literal>
- on a file will represent a label maintained by the Biba security policy module,
- with a value of <quote>low</quote>.</para>
+ <para>Például ha egy állományra
+ beállítjuk a <literal>biba/low</literal>
+ címkét, akkor az arra fog utalni, hogy a
+ címkét a Biba nevû biztonsági modul
+ kezeli és értéke <quote>low</quote>.</para>
- <para>A few policy modules which support the labeling feature in
- &os; offer three specific predefined labels. These
- are the low, high, and equal labels. Although they enforce
- access control in a different manner with each policy module, you
- can be sure that the low label will be the lowest setting,
- the equal label will set the subject or object to be disabled
- or unaffected, and the high label will enforce the highest
- setting available in the Biba and <acronym>MLS</acronym>
- policy modules.</para>
+ <para>Az a néhány modul, ami a &os;-ben
+ támogatja a címkézés
+ lehetõségét, három speciális
+ címkét definiál elõre. Ezek rendre a
+ <quote>low</quote> (alacsony), <quote>high</quote> (magas)
+ és <quote>equal</quote> (egyezõ) címkék.
+ Habár az egyes modulok esetén eltérõ
+ módon képesek vezérelni a
+ hozzáférést, azt mindig biztosra
+ vehetjük, hogy a <quote>low</quote> a legalacsonyabb
+ érték, az <quote>equal</quote> címke
+ hatására az adott alanyt vagy objektumot
+ érintetlenül hagyják, és a
+ <quote>high</quote> értékû címke a Biba
+ és <acronym>MLS</acronym> modulok esetében a
+ legmagasabb beállítást jelenti.</para>
- <para>Within single label file system environments, only one label may be
- used on objects. This will enforce one set of
- access permissions across the entire system and in many
- environments may be all that is required. There are a few
- cases where multiple labels may be set on objects
- or subjects in the file system. For those cases, the
- <option>multilabel</option> option may be passed to
- &man.tunefs.8;.</para>
+ <para>Az egycímkés állományrendszerek
+ használata során az egyes objektumonkhoz csak egyetlen
+ címkét rendelhetünk hozzá. Ezzel az
+ egész rendszerben csak egyfajta engedélyt
+ alkalmazunk, ami sok esetben pontosan elegendõ.
+ Létezik néhány különleges eset,
+ amikor az állományrendszerben levõ alanyokhoz
+ vagy objektumokhoz egyszerre több címkét is
+ hozzá kell rendelnünk. Ilyenkor a
+ <option>multilabel</option> opciót kell átadnunk a
+ &man.tunefs.8; segédprogramnak.</para>
- <para>In the case of Biba and <acronym>MLS</acronym>, a numeric
- label may be set to indicate the precise level of hierarchical
- control. This numeric level is used to partition or sort
- information into different groups of say, classification only
- permitting access to that group or a higher group level.</para>
+ <para>A Biba és az <acronym>MLS</acronym> esetében
+ elõfordulhat, hogy egy numerikus címkével fogjuk
+ jelölni a hierarchikus irányítás pontos
+ szintjét. A numerikus szintek használatával
+ tudjuk az információt különbözõ
+ csoportokba szétosztani vagy elrendezni, mondjuk
+ úgy, hogy csak az adott szintû vagy a felette
+ álló csoportok számára
+ engedélyezzük a
+ hozzáférést.</para>
- <para>In most cases the administrator will only be setting up a
- single label to use throughout the file system.</para>
+ <para>Az esetek többségében a
+ rendszergazdának csak egyetlen címkét kell
+ beállítania az egész
+ állományrendszerre.</para>
- <para><emphasis>Hey wait, this is similar to <acronym>DAC</acronym>!
- I thought <acronym>MAC</acronym> gave control strictly to the
- administrator.</emphasis> That statement still holds true, to some
- extent as <username>root</username> is the one in control and who
- configures the policies so that users are placed in the
- appropriate categories/access levels. Alas, many policy modules can
- restrict the <username>root</username> user as well. Basic
- control over objects will then be released to the group, but
- <username>root</username> may revoke or modify the settings
- at any time. This is the hierarchal/clearance model covered
- by policies such as Biba and <acronym>MLS</acronym>.</para>
+ <para><emphasis>Hé, álljunk csak meg! De akkor ez
+ pont olyan, mint a <acronym>DAC</acronym>! Én azt hittem,
+ hogy a <acronym>MAC</acronym> szigorúan a rendszergazda
+ kezébe adja az irányítást.</emphasis>
+ Ez az állítás továbbra is
+ fennáll, mivel bizonyos értelemben a
+ <username>root</username> lesz az, aki beállítja a
+ házirendeket, tehát õ mondja meg, hogy a
+ felhasználók milyen kategóriákba vagy
+ hozzáférési szintekbe sorolódnak.
+ Sajna sok biztonsági modul még magát a
+ <username>root</username> felhasználót is
+ korlátozza. Az objektumok feletti
+ irányítás ilyenkor a csoportra száll,
+ de a <username>root</username> bármikor visszavonhatja vagy
+ módosíthatja a beállításokat.
+ Ezzel a hierarchikus/engedély alapú modellel a Biba
+ és <acronym>MLS</acronym> nevû házirendek
+ foglalkoznak.</para>
<sect2>
- <title>Label Configuration</title>
+ <title>A címkék
+ beállítása</title>
- <para>Virtually all aspects of label policy module configuration
- will be performed using the base system utilities. These
- commands provide a simple interface for object or subject
- configuration or the manipulation and verification of
- the configuration.</para>
+ <para>A címkézéshez kapcsolódó
+ összes beállítást gyakorlatilag az
+ alapvetõ rendszerprogramokkal végezhetjük el.
+ Ezek a parancsok az objektumok és az alanyok
+ szabályozásához, valamint a
+ konfiguráció
+ módosításához és
+ ellenõrzéséhez adnak egy egyszerû
+ kezelõfelületet.</para>
- <para>All configuration may be done by use of the
- &man.setfmac.8; and &man.setpmac.8; utilities.
- The <command>setfmac</command> command is used to set
- <acronym>MAC</acronym> labels on system objects while the
- <command>setpmac</command> command is used to set the labels
- on system subjects. Observe:</para>
+ <para>Az összes konfigurációs
>>> TRUNCATED FOR MAIL (1000 lines) <<<
More information about the p4-projects
mailing list