PERFORCE change 141089 for review
Gabor Pali
pgj at FreeBSD.org
Sat May 3 12:07:29 UTC 2008
http://perforce.freebsd.org/chv.cgi?CH=141089
Change 141089 by pgj at disznohal on 2008/05/03 12:06:55
Cleanup in Chapter 16.
Affected files ...
.. //depot/projects/docproj_hu/books/handbook/mac/chapter.sgml#3 edit
Differences ...
==== //depot/projects/docproj_hu/books/handbook/mac/chapter.sgml#3 (text+ko) ====
@@ -19,7 +19,7 @@
</chapterinfo>
<title>Kötelezõ
- hozzáférésvezérlés</title>
+ hozzáférés-vezérlés</title>
<sect1 id="mac-synopsis">
<title>Áttekintés</title>
@@ -27,23 +27,23 @@
<indexterm><primary>MAC</primary></indexterm>
<indexterm>
<primary>kötelezõ
- hozzáférésvezérlés</primary>
+ hozzáférés-vezérlés</primary>
<see>MAC</see>
</indexterm>
<para>A &os; 5.X változata új biztonsági
- bõvítéseket vett a TrustedBSD projektbõl a
- &posix;.1e nyomán. A két legjelentõsebb
- új biztonsági mechanizmus az
+ bõvítéseket vett át a TrustedBSD
+ projektbõl a &posix;.1e nyomán. A két
+ legjelentõsebb új biztonsági mechanizmus az
állományrendszerekben megtalálható
hozzáférés-vezérlési
listák (Access Control List, <acronym>ACL</acronym>)
és a kötelezõ
- hozzáférésvezérlés (Mandatory
+ hozzáférés-vezérlés (Mandatory
Access Control, <acronym>MAC</acronym>). A kötelezõ
- hozzáférésvezérlés
+ hozzáférés-vezérlés
segítségével olyan új
- hozzáférésvezérlési modulok
+ hozzáférés-vezérlési modulok
tölthetõek be, amelyek új biztonsági
házirendeket implementálnak. Némelyek
közülük védelmet nyújtanak a rendszer
@@ -61,15 +61,15 @@
állományokra és <acronym>IPC</acronym>-re
érvényes engedélyeken keresztül a
tetszés szerinti
- hozzáférésvezérlés
+ hozzáférés-vezérlés
(Discretionary Access Control, <acronym>DAC</acronym>)
teszi.</para>
<para>Ebben a fejezetben a kötelezõ
- hozzáférésvezérlést
+ hozzáférés-vezérlést
övezõ keretrendszerre (<acronym>MAC</acronym> Framework)
és a különbözõ biztonsági
- házirendeket megvalósító
+ házirendeket megvalósító,
beilleszthetõ modulokra fogunk
összpontosítani.</para>
@@ -78,45 +78,45 @@
<itemizedlist>
<listitem>
- <para>a &os; jelen pillanatban milyen modulokat tartalmaz a
+ <para>hogy a &os; jelen pillanatban milyen modulokat tartalmaz a
<acronym>MAC</acronym> rendszeren belül és milyen
- mechanizmusok tartoznak hozzájuk</para>
+ mechanizmusok tartoznak hozzájuk;</para>
</listitem>
<listitem>
- <para>a <acronym>MAC</acronym> biztonsági
+ <para>hogy a <acronym>MAC</acronym> biztonsági
házirendjeit képezõ modulok miket
- valósítanak meg, valamint mint a
+ valósítanak meg, valamint mi a
különbség a címkézett és
címkézetlen házirendek
- között</para>
+ között;</para>
</listitem>
<listitem>
<para>hogyan kell hatékonyan beállítani
és használni rendszerünkben a
- <acronym>MAC</acronym> rendszert</para>
+ <acronym>MAC</acronym> rendszert;</para>
</listitem>
<listitem>
<para>hogyan állítsuk be a <acronym>MAC</acronym>
rendszerben található különféle
biztonsági házirendeket képezõ
- modulokat</para>
+ modulokat;</para>
</listitem>
<listitem>
<para>hogyan hozzunk létre a <acronym>MAC</acronym>
rendszer segítségével egy
biztonságosabb környezetet, amire
- példákat is mutatunk</para>
+ példákat is mutatunk;</para>
</listitem>
<listitem>
<para>hogyan teszteljük le a <acronym>MAC</acronym>
rendszer beállításait és
bizonyosodjunk meg mûködésének
- helyességérõl</para>
+ helyességérõl.</para>
</listitem>
</itemizedlist>
@@ -136,19 +136,20 @@
<listitem>
<para>tisztában lenni az alapvetõ biztonsági
- kérdésekkel és azok hatásával
- a &os;-n belül (<xref linkend="security">)</para>
+ kérdésekkel és azok
+ hatásával a &os;-n belül (<xref
+ linkend="security">)</para>
</listitem>
</itemizedlist>
<warning>
<para>Az itt ismertetésre kerülõ
- információk helytelen alkalmazása a rendszer
- hozzáférhetõségének teljes
- elvesztését, a felhasználók
+ információk helytelen alkalmazása a
+ rendszer hozzáférhetõségének
+ teljes elvesztését, a felhasználók
bosszantását vagy az X11 által
felkínált lehetõségek
- kirekesztését eredményezheti. De ami
+ kirekesztését eredményezheti. Ami viszont
ennél is fontosabb, hogy a <acronym>MAC</acronym>
rendszerre nem úgy kell tekinteni, mint amitõl a
rendszerünk tökéletesen
@@ -161,15 +162,14 @@
nélkül a rendszerünk valójában
sosem lesz teljesen biztonságos.</para>
- <para>Valamint hozzá kell tennünk, hogy a fejezetben
- bemutatott példák tényleg csak
- példák. Senkinek sem tanácsoljuk, hogy az
- itt említett beállításokat egy
- éles rendszerre is kiterjessze. A
- különbözõ biztonsági modulok
- felépítése rengeteg gondolkodást
- és próbálgatást igényel. Aki
- nem érti meg az egész
+ <para>Hozzá kell tennünk, hogy a fejezetben bemutatott
+ példák tényleg csak példák.
+ Senkinek sem tanácsoljuk, hogy az itt említett
+ beállításokat egy éles rendszerre is
+ kiterjessze. A különbözõ biztonsági
+ modulok felépítése rengeteg
+ gondolkodást és próbálgatást
+ igényel. Aki nem érti meg az egész
mûködését, könnyen azon kaphatja
magát, hogy újra végig kell mennie a
rendszeren és egyenként be kell
@@ -182,8 +182,8 @@
<para>Ebben a fejezetben a <acronym>MAC</acronym> rendszerrel
kapcsolatban rengeteg biztonsági kérdéssel
- foglalkozni fogunk. Azonban az új <acronym>MAC</acronym>
- biztonsági modulok kifejlesztését
+ foglalkozni fogunk. Az új <acronym>MAC</acronym>
+ biztonsági modulok kifejlesztését azonban
már nem érintjük. Számos olyan
biztonsági modul található a
<acronym>MAC</acronym> rendszerben, amelyek rendelkeznek az
@@ -208,14 +208,14 @@
Segítségükkel vélhetõen
sikerül eloszlatni a téma feldolgozása
során felmerülõ
- félreértéseket illetve elkerülni az
+ félreértéseket, illetve elkerülni az
új fogalmak és információk
váratlan felbukkanását.</para>
<itemizedlist>
<listitem>
<para><emphasis>alany</emphasis>: Alanynak tekintünk a
- rendszerben minden olyan aktív egyedet, ami
+ rendszerben minden olyan aktív egyedet, amely
információt áramoltat az
<emphasis>objektumok</emphasis>, tehát a
felhasználók, a processzorok, a rendszerben
@@ -289,8 +289,8 @@
<listitem>
<para><emphasis>házirend</emphasis>: Szabályok
- olyan gyûjteménye, ami megadja, hogy miként
- kell a célokat teljesíteni. Egy
+ olyan gyûjteménye, amely megadja, hogy
+ miként kell a célokat teljesíteni. Egy
<emphasis>házirend</emphasis> általában
az egyes elemek kezelését rögzíti.
Ebben a fejezetben a <emphasis>házirend</emphasis>
@@ -324,7 +324,7 @@
irányításával. Ezek lehetnek
többek közt könyvtárak,
állományok, mezõk, képernyõk,
- billentyûzetek, memória, mágneses
+ billentyûzetek, a memória, mágneses
tárolóeszközök, nyomtatók vagy
bármilyen más
adattároló/hordozó eszköz. Az
@@ -404,14 +404,13 @@
és az állományrendszerek
védelmére, valamint segítségükkel
megakadályozhatjuk, hogy a felhasználók
- elérhessenek bizonyos portokat és
- csatlakozásokat stb. A házirendeket
- formázó modulokat talán együttesen
- tudjuk a leghatékonyabban alkalmazni, és ha
- egyszerre több modul betöltésével egy
- többrétegû védelmi rendszert
- alakítunk ki. Ez nem ugyanaz, mint a rendszer
- megerõsítése, ahol a rendszer
+ elérhessenek bizonyos portokat és socketeket stb. A
+ házirendeket formázó modulokat talán
+ együttesen tudjuk a leghatékonyabban alkalmazni,
+ és ha egyszerre több modul
+ betöltésével egy többrétegû
+ védelmi rendszert alakítunk ki. Ez nem ugyanaz,
+ mint a rendszer megerõsítése, ahol a rendszer
összetevõit jellemzõ módon csak bizonyos
célok tekintetében edzzük meg. A
módszer egyedüli hátulütõi a
@@ -423,7 +422,7 @@
<para>Ezek a hátrányok azonban eltörpülnek a
létrehozott rendszer tartósságával
- szemben. Például ha képesek vagyunk
+ szemben. Például, ha képesek vagyunk
megmondani, hogy az adott konfigurációban milyen
házirendek alkalmazására van
szükség, akkor ezzel az adminisztrációs
@@ -434,7 +433,7 @@
összteljesítményét, valamint az
így felkínált rugalmasságot. Egy
jó kialakításban figyelembe kell venni az
- összes biztonsági elõírást
+ összes biztonsági elõírást,
és hatékonyan megvalósítani ezeket a
rendszer által felajánlott
különféle biztonsági modulokkal.</para>
@@ -475,14 +474,14 @@
&man.ssh.1; szolgáltatásain keresztül a
hálózathoz vagy az internethez. A
&man.mac.portacl.4; pontosan ilyen helyzetekben tud a
- segítségünkre sietni. De mit tegyünk az
- állományrendszerek esetén? Vágjunk el
- adott felhasználókat vagy csoportokat bizonyos
+ segítségünkre sietni. Mit tegyünk viszont
+ az állományrendszerek esetén? Vágjunk
+ el adott felhasználókat vagy csoportokat bizonyos
könyvtáraktól? Vagy korlátozzuk a
felhasználók vagy segédprogramok
hozzáférését adott
állományokhoz bizonyos objektumok bizalmassá
- nyilvánításával?</para>
+ tételével?</para>
<para>Az állományrendszerek esetében az
objektumokat néhány felhasználó
@@ -532,8 +531,8 @@
<caution>
<para>Miközben a <acronym>MAC</acronym> rendszerhez
készült különbözõ modulok a
- saját man oldalaik szerint szintén igénylik
- a beépítésüket, vigyázzunk
+ saját man oldalaik szerint igénylik a
+ beépítésüket, vigyázzunk
velük, mert ezzel a rendszerüket pillanatok alatt ki
tudjuk zárni a hálózatból és
így tovább. A <acronym>MAC</acronym> alapú
@@ -585,13 +584,13 @@
címkék egy nagyobb szabályrendszer
részeként dolgozódnak fel stb.</para>
- <para>Például ha egy állományra
+ <para>Például, ha egy állományra
beállítjuk a <literal>biba/low</literal>
címkét, akkor az arra fog utalni, hogy a
címkét a Biba nevû biztonsági modul
kezeli és értéke <quote>low</quote>.</para>
- <para>Az a néhány modul, ami a &os;-ben
+ <para>Az a néhány modul, amely a &os;-ben
támogatja a címkézés
lehetõségét, három speciális
címkét definiál elõre. Ezek rendre a
@@ -609,9 +608,9 @@
legmagasabb beállítást jelenti.</para>
<para>Az egycímkés állományrendszerek
- használata során az egyes objektumonkhoz csak egyetlen
- címkét rendelhetünk hozzá. Ezzel az
- egész rendszerben csak egyfajta engedélyt
+ használata során az egyes objektumonkhoz csak
+ egyetlen címkét rendelhetünk hozzá.
+ Ezzel az egész rendszerben csak egyfajta engedélyt
alkalmazunk, ami sok esetben pontosan elegendõ.
Létezik néhány különleges eset,
amikor az állományrendszerben levõ alanyokhoz
@@ -621,14 +620,14 @@
&man.tunefs.8; segédprogramnak.</para>
<para>A Biba és az <acronym>MLS</acronym> esetében
- elõfordulhat, hogy egy numerikus címkével fogjuk
- jelölni a hierarchikus irányítás pontos
- szintjét. A numerikus szintek használatával
- tudjuk az információt különbözõ
- csoportokba szétosztani vagy elrendezni, mondjuk
- úgy, hogy csak az adott szintû vagy a felette
- álló csoportok számára
- engedélyezzük a
+ elõfordulhat, hogy egy numerikus címkével
+ fogjuk jelölni a hierarchikus irányítás
+ pontos szintjét. A numerikus szintek
+ használatával tudjuk az információt
+ különbözõ csoportokba szétosztani vagy
+ elrendezni, például úgy, hogy csak az adott
+ szintû vagy a felette álló csoportok
+ számára engedélyezzük a
hozzáférést.</para>
<para>Az esetek többségében a
@@ -636,24 +635,25 @@
beállítania az egész
állományrendszerre.</para>
- <para><emphasis>Hé, álljunk csak meg! De akkor ez
- pont olyan, mint a <acronym>DAC</acronym>! Én azt hittem,
- hogy a <acronym>MAC</acronym> szigorúan a rendszergazda
- kezébe adja az irányítást.</emphasis>
- Ez az állítás továbbra is
- fennáll, mivel bizonyos értelemben a
- <username>root</username> lesz az, aki beállítja a
- házirendeket, tehát õ mondja meg, hogy a
- felhasználók milyen kategóriákba vagy
+ <para><emphasis>Hé, álljunk csak meg! Akkor ez
+ viszont pont olyan, mint a <acronym>DAC</acronym>! Én azt
+ hittem, hogy a <acronym>MAC</acronym> szigorúan a
+ rendszergazda kezébe adja az
+ irányítást.</emphasis> Ez az
+ állítás továbbra is fennáll,
+ mivel bizonyos értelemben a <username>root</username> lesz
+ az, aki beállítja a házirendeket,
+ tehát õ mondja meg, hogy a felhasználók
+ milyen kategóriákba vagy
hozzáférési szintekbe sorolódnak.
- Sajna sok biztonsági modul még magát a
+ Sajnos, sok biztonsági modul még magát a
<username>root</username> felhasználót is
korlátozza. Az objektumok feletti
irányítás ilyenkor a csoportra száll,
de a <username>root</username> bármikor visszavonhatja vagy
módosíthatja a beállításokat.
Ezzel a hierarchikus/engedély alapú modellel a Biba
- és <acronym>MLS</acronym> nevû házirendek
+ és az <acronym>MLS</acronym> nevû házirendek
foglalkoznak.</para>
<sect2>
@@ -679,9 +679,9 @@
<acronym>MAC</acronym>-címkéket, míg a
<command>setpmac</command> paranccsal a rendszerben levõ
alanyokhoz tudunk címkéket rendelni. Vegyük
- mondjuk ezt:</para>
+ például ezt:</para>
- <screen>&prompt.root; <userinput>setfmac biba/high test</userinput></screen>
+ <screen>&prompt.root; <userinput>setfmac biba/high <replaceable>próba</replaceable></userinput></screen>
<para>Amennyiben az iménti parancs hibátlanul
lefutott, visszakapjuk a paranccsort. Ezek a parancsok csak
@@ -689,16 +689,17 @@
történt. Mûködésük
hasonló a &man.chmod.1; és &man.chown.8;
parancsokéhoz. Bizonyos esetekben <errorname>Permission
- denied</errorname> (<quote>Nem engedélyezett</quote>)
- hibát kapunk, ami általában akkor bukkan
- fel, ha egy korlátozott objektummal kapcsolatban
+ denied</errorname> (<errorname>A hozzáférés
+ nem engedélyezett</errorname>) hibát kapunk, ami
+ általában akkor bukkan fel, ha egy
+ korlátozott objektummal kapcsolatban
próbálunk meg címkét
- beállítani vagy módosítani.
+ beállítani vagy módosítani
<footnote>
<para>Más feltételek mellett másmilyen
- hibák keletkezhetnek. Például ha egy
+ hibák keletkezhetnek. Például, ha egy
olyan objektumot próbálunk
- újracímkézni, ami nincs a
+ újracímkézni, amely nincs a
felhasználó birtokában, esetleg nem is
létezik vagy írásvédett.
Adódhat, hogy a kötelezõ házirend az
@@ -714,17 +715,17 @@
állomány címkéjét. Vagy
egy kevésbé sértetlen
felhasználó sokkal sértetlenebbre
- akarja állítani egy kevésbe
+ akarja állítani egy kevésbé
sértetlen állomány
- címkéjét.</para></footnote>
- A rendszergazda a következõ paranccsal tudja feloldani
- az ilyen helyzeteket:</para>
+ címkéjét.</para>
+ </footnote>. A rendszergazda a következõ paranccsal
+ tudja feloldani az ilyen helyzeteket:</para>
- <screen>&prompt.root; <userinput>setfmac biba/high test</userinput>
+ <screen>&prompt.root; <userinput>setfmac biba/high <replaceable>próba</replaceable></userinput>
<errorname>Permission denied</errorname>
-&prompt.root; <userinput>setpmac biba/low setfmac biba/high test</userinput>
-&prompt.root; <userinput>getfmac test</userinput>
-test: biba/high</screen>
+&prompt.root; <userinput>setpmac biba/low setfmac biba/high <replaceable>próba</replaceable></userinput>
+&prompt.root; <userinput>getfmac <replaceable>próba</replaceable></userinput>
+<replaceable>próba</replaceable>: biba/high</screen>
<para>Ahogy az itt tetten is érhetõ, a
<command>setpmac</command> használható a modul
@@ -744,8 +745,9 @@
próbálnak meg módosítani, akkor a
betöltött modulok szabályainak megfelelõen
a <function>mac_set_link</function> függvény
- <errorname>Operation not permitted</errorname> hibát fog
- adni.</para>
+ <errorname>Operation not permitted</errorname> (<errorname>A
+ mûvelet nem engedélyezett</errorname>) hibát
+ fog adni.</para>
<sect3>
<title>Gyakori címketípusok</title>
@@ -770,7 +772,7 @@
<listitem>
<para>Az <literal>equal</literal> címke
használható minden olyan objektum vagy alany
- esetében, amiket ki akarunk vonni az adott
+ esetében, amelyeket ki akarunk vonni az adott
házirend hatálya alól.</para>
</listitem>
@@ -791,14 +793,14 @@
beállításának
jellegzetességeit.</para>
- <sect4>
+ <sect4>
<title>A címkék
beállításáról
részletesebben</title>
<para>A numerikus osztályozó
címkék
- <literal>összehasonlítás:rekesz+rekesz</literal>
+ <literal><replaceable>összehasonlítás</replaceable>:<replaceable>rekesz</replaceable>+<replaceable>rekesz</replaceable></literal>
alakban használatosak, tehát a</para>
<programlisting>biba/10:2+3+6(5:2+3-20:2+3+4+5+6)</programlisting>
@@ -807,13 +809,14 @@
értelmezhetõ:</para>
<para><quote>A Biba házirend
- címkéje</quote>/<quote>10 osztály</quote>
- :<quote>2, 3 és 6 rekeszek</quote>: (<quote>5
+ címkéje</quote>/<quote>10
+ osztály</quote> :<quote>2, 3 és 6
+ rekeszek</quote>: (<quote>5
osztály...</quote>)</para>
<para>Ebben a példában az elsõ
osztály tekinthetõ <quote>valódi
- osztálynak</quote>, ami a <quote>valódi
+ osztálynak</quote>, amely a <quote>valódi
rekeszeket</quote> jelenti, a második osztály
egy alacsonyabb besorolás, míg az
utolsó egy magasabb szintû. A legtöbb
@@ -828,7 +831,7 @@
számítanak, mivel a rendszerben és
hálózati csatolófelületeken
elérhetõ
- hozzáférésvezérlési
+ hozzáférés-vezérlési
jogokat tükrözi.</para>
<para>Az alany-objektum párokban megadott
@@ -876,7 +879,7 @@
címkéjük.</para>
<para>Lentebb látható egy ilyen minta
- bejegyzés, ami minden modulhoz tartalmaz
+ bejegyzés, amely minden modulhoz tartalmaz
beállítást:</para>
<programlisting>default:\
@@ -904,8 +907,9 @@
:label=partition/13,mls/5,biba/10(5-15),lomac/10[2]:</programlisting>
<para>Itt a <literal>label</literal> opciót
- használtuk a felhasználói osztályhoz
- tartozó alapértelmezett címkék
+ használtuk a felhasználói
+ osztályhoz tartozó alapértelmezett
+ címkék
beállításához, amit majd a
<acronym>MAC</acronym> betartat. A felhasználók
nem módosíthatják ezt az
@@ -926,18 +930,19 @@
bejelentkezés után, de csak a házirend
keretein belül. A fenti példában
úgy állítjuk be a Biba
- házirendet, hogy a futó programok legkisebb
- sértetlenségi foka 5, legfeljebb 15 lehet, de
- az alapértéke 10. Tehát a programok
- egészen addig 10-es szinten futnak, amíg a
- programok a Biba bejelentkezéskor megadott
- tartományában meg nem
- változtatják ezt a címkét,
- feltehetõen a <command>setpmac</command> parancs
+ házirendet, hogy a futó programok
+ sértetlenségi foka legalább 5,
+ legfeljebb 15 lehet, de az alapértéke 10.
+ Tehát a programok egészen addig 10-es szinten
+ futnak, amíg a programok a Biba
+ bejelentkezéskor megadott tartományában
+ meg nem változtatják ezt a
+ címkét, feltehetõen a
+ <command>setpmac</command> parancs
hatására.</para>
</note>
- <para>Mindig amikor megváltozatjuk a
+ <para>Mindig, amikor megváltozatjuk a
<filename>login.conf</filename>
beállításait, a
<command>cap_mkdb</command> paranccsal újra kell
@@ -955,8 +960,8 @@
felhasználók kezelése, ezért soha
ne felejtsünk el komolyan elõre tervezni.</para>
- <para>A &os; következõ változataiban majd meg
- fognak jelenni más módszerek is a
+ <para>A &os; következõ változataiban meg fognak
+ jelenni más módszerek is a
felhasználók és címkék
közti kapcsolatok kezelésére. A
&os; 5.3 elõtt azonban ez még
@@ -984,8 +989,8 @@
<para>Ha <acronym>MAC</acronym>-címkéket akarunk
rendelni egy hálózati felülethez, akkor az
<command>ifconfig</command> parancsnak adjuk meg a
- <option>maclabel</option> paramétert. Mint
- például a</para>
+ <option>maclabel</option> paramétert.
+ Például a</para>
<screen>&prompt.root; <userinput>ifconfig bge0 maclabel biba/equal</userinput></screen>
@@ -1000,17 +1005,17 @@
<para>Minden címkézést
támogató modulhoz tartoznak futási
idõben állítható paraméterek,
- amikkel akár le is tudjuk tiltani a
+ amelyekkel akár le is tudjuk tiltani a
<acronym>MAC</acronym>-címkéket a
- hálózati csatolófelületeken. De
- ugyanezt jelenti, ha <option>equal</option>
- értéket adunk meg a címkének. Ezt
- behatóbban úgy ismerhetjük meg, ha
- kielemezzük a <command>sysctl</command> parancs
- kimenetét, a megfelelõ modul man oldalát
- vagy a fejezetben további részében
- található, erre vonatkozó
- információkat.</para>
+ hálózati csatolófelületeken.
+ Ugyanezt jelenti egyébként, ha
+ <option>equal</option> értéket adunk meg a
+ címkének. Ezt behatóbban úgy
+ ismerhetjük meg, ha kielemezzük a
+ <command>sysctl</command> parancs kimenetét, a
+ megfelelõ modul man oldalát vagy a fejezetben
+ további részében található,
+ erre vonatkozó információkat.</para>
</sect3>
</sect2>
@@ -1020,7 +1025,7 @@
<para>Alapértelmezés szerint a rendszer a
<option>singlelabel</option> beállítást
- használja. De ez mit tartogat a rendszergazda
+ használja. Ez vajon mit tartogat a rendszergazda
számára? Számos olyan
eltérést, aminek megvannak a saját
elõnyei és hátrányai a rendszer
@@ -1062,14 +1067,14 @@
<itemizedlist>
<listitem>
- <para>Adott egy &os; webszerver, ahol <acronym>MAC</acronym>
- rendszert ésbenne több biztonsági
- házirendet alkalmazunk.</para>
+ <para>Adott egy &os; webszerver, ahol a <acronym>MAC</acronym>
+ rendszert több biztonsági házirenddel
+ alkalmazzuk.</para>
</listitem>
<listitem>
- <para>A gépen csak egyetlen címkére, a
- <literal>biba/high</literal>-ra van
+ <para>A gépen egyedül csak a
+ <literal>biba/high</literal> címkére van
szükségünk mindenhez a rendszerben. Itt
egyszerûen csak nem adjuk meg az
állományrendszernek a
@@ -1079,9 +1084,10 @@
</listitem>
<listitem>
- <para>De mivel erre a gépre telepíteni akarunk
- egy webszervert is, ilyenkor a <literal>biba/low</literal>
- címke használatával igyekszünk
+ <para>Mivel azonban erre a gépre telepíteni
+ akarunk egy webszervert is, ilyenkor a
+ <literal>biba/low</literal> címke
+ használatával igyekszünk
korlátozni a szerver feldolgozási
képességeit. A Biba házirendrõl
és annak mûködésérõl
@@ -1112,8 +1118,7 @@
<literal>portacl</literal> és
<literal>partition</literal> házirendek.</para>
- <para>Hozzá kell tennünk, hogy a
- <option>multilabel</option> opció használata
+ <para>A <option>multilabel</option> opció használata
és így speciális,
többcímkés védelmi modell
létrehozása képes elbonyolítani a
@@ -1159,11 +1164,11 @@
<itemizedlist>
<listitem>
- <para>elvárások a modell felé</para>
+ <para>Elvárások a modell felé</para>
</listitem>
<listitem>
- <para>a modell célkitûzései</para>
+ <para>A modell célkitûzései</para>
</listitem>
</itemizedlist>
@@ -1172,21 +1177,21 @@
<itemizedlist>
<listitem>
- <para>miként osztályozzuk a célrendszeren
+ <para>Miként osztályozzuk a célrendszeren
rendelkezésre álló
információt és
erõforrásokat</para>
</listitem>
<listitem>
- <para>milyen információt vagy
- erõforrást kell korlátoznunk és milyen
- típusú korlátozást alkalmazzunk
- rájuk</para>
+ <para>Milyen információt vagy
+ erõforrást kell korlátoznunk és
+ milyen típusú korlátozást
+ alkalmazzunk rájuk</para>
</listitem>
<listitem>
- <para>a <acronym>MAC</acronym> melyik moduljain keresztül
+ <para>A <acronym>MAC</acronym> melyik moduljain keresztül
tudjuk elérni céljainkat</para>
</listitem>
</itemizedlist>
@@ -1197,7 +1202,7 @@
és biztonsági beállításokat,
sokszor azért igen kényelmetlen
utánanézni a rendszerben és
- állítgatni az állományok illetve
+ állítgatni az állományok, illetve
felhasználói hozzáférések
paramétereit. A beállításainkat
valamint azok konfigurációját
@@ -1223,7 +1228,7 @@
képességeik. Például egy webszerver
esetén hasznos lehet a &man.mac.biba.4; és
&man.mac.bsdextended.4; házirendek alkalmazása.
- Más esetekben, mondjuk egy kevés
+ Más esetekben, például egy kevés
felhasználóval mûködõ
számítógépen, a &man.mac.partition.4;
modul lehet jó választás.</para>
@@ -1236,7 +1241,7 @@
<para>A <acronym>MAC</acronym> rendszerben
megtalálható összes modul a korábban
leírtak szerint beépíthetõ a
- rendszermagba vagy menetközben is betölthetõ
+ rendszermagba vagy menet közben is betölthetõ
modulként. A használni kívánt
modulokat a <filename>/boot/loader.conf</filename>
állományba javasolt felvenni, így azok be
@@ -1244,8 +1249,8 @@
folyamán.</para>
<para>A soron következõ szakaszokban a
- különbözõ <acronym>MAC</acronym> modulokat
- dolgozzuk fel és összefoglaljuk a
+ különbözõ <acronym>MAC</acronym>-modulokat
+ dolgozzuk fel és foglaljuk össze a
lehetõségeiket. Továbbá a fejezet
szeretne szólni ezek alkalmazásáról
speciális helyzetekben is. Egyes modulokkal
@@ -1263,7 +1268,7 @@
állíthatjuk be az
állományonkénti vagy
partíciónkénti
- hozzáférésvezérlést.</para>
+ hozzáférés-vezérlést.</para>
<para>Az egycímkés konfigurációban az
egész rendszerben csupán egyetlen címke
@@ -1275,12 +1280,11 @@
<sect2 id="mac-seeotheruids">
<title>A seeotheruids MAC-modul</title>
- <indexterm>
- <primary><quote>Lássak másokat</quote>
- MAC-házirend</primary>
- </indexterm>
+ <indexterm><primary><quote>Lássak
+ másokat</quote>MAC-házirend</primary></indexterm>
- <para>A modul neve: <filename>mac_seeotheruids.ko</filename></para>
+ <para>A modul neve:
+ <filename>mac_seeotheruids.ko</filename></para>
<para>A rendszermag konfigurációs
beállítása: <literal>options
@@ -1296,9 +1300,9 @@
<command>sysctl</command>-változókat
utánozza és terjeszti ki. A
használatához semmilyen címkét nem
- kell beállítani és transparens módon
- képes együttmûködni a többi
- modullal.</para>
+ kell beállítani és transzparens
+ módon képes együttmûködni a
+ többi modullal.</para>
<para>A modult betöltése után az alábbi
<command>sysctl</command>-változókkal tudjuk
@@ -1317,7 +1321,7 @@
<listitem>
<para>A
- <literal>security.mac.seeotheruids.specificgid_enabled</literal>
+ <literal>security.mac.seeotheruids.specificgid_enabled</literal>
egy adott csoportot mentesít a házirend
szabályozásai alól. Tehát ki
akarunk vonni egy csoportot a házirend
@@ -1332,7 +1336,7 @@
<listitem>
<para>A
- <literal>security.mac.seeotheruids.primarygroup_enabled</literal>
+ <literal>security.mac.seeotheruids.primarygroup_enabled</literal>
segítségével adott elsõdleges
csoportokat vonhatunk ki a házirend hatálya
alól. Ezt a változót nem
@@ -1364,17 +1368,17 @@
<literal>mac_bsdextended_load="YES"</literal></para>
<para>A &man.mac.bsdextended.4; modul
- segítségével egy állományrendszer
- szintjén mûködõ tûzfalat tudunk
- kialakítani. Ez a modul a szabványos
- állományrendszeri engedély alapú
- modelljét bõvíti ki, lehetõvé
- téve, hogy a rendszergazda tûzfalszerû
- szabályokkal nyújtson védelmet a
- könyvtárszerkezetben található
- állományoknak, segédprogramoknak és
- könyvtáraknak. Amikor egy
- állományrendszerbeli objektumhoz
+ segítségével egy
+ állományrendszer szintjén
+ mûködõ tûzfalat tudunk kialakítani. Ez
+ a modul a szabványos állományrendszeri
+ engedély alapú modelljét bõvíti
+ ki, lehetõvé téve, hogy a rendszergazda
+ tûzfalszerû szabályokkal nyújtson
+ védelmet a könyvtárszerkezetben
+ található állományoknak,
+ segédprogramoknak és könyvtáraknak.
+ Amikor egy állományrendszerbeli objektumhoz
próbálunk meg hozzáférni, a modul
illeszti ezt egy szabályrendszerre, amiben vagy
talál egy hozzátartozó szabályt vagy
@@ -1389,8 +1393,8 @@
változóból olvasódnak be.</para>
<para>A szabályokat a &man.ugidfw.8; segédprogrammal
- adhatjuk meg, aminek a formai szabályai hasonlóak az
- &man.ipfw.8; programéhoz. A &man.libugidfw.3;
+ adhatjuk meg, amelynek a formai szabályai hasonlóak
+ az &man.ipfw.8; programéhoz. A &man.libugidfw.3;
függvénykönyvtár
felhasználásával azonban további
segédprogramok is írhatóak
@@ -1429,7 +1433,7 @@
<parameter>add</parameter> paraméter nem
létezett. Ezeknél ehelyett a
<parameter>set</parameter> paramétert kell majd
- használnunk, ld. lentebb.</para>
+ használnunk, lásd lentebb.</para>
</note>
<para>Ez egyébként egy nagyon buta ötlet, mivel
@@ -1459,14 +1463,15 @@
<note>
<para>A <username>root</username> felhasználóra
- ezek a beállítások nem vonatkoznak.</para>
+ ezek a beállítások nem
+ vonatkoznak.</para>
</note>
<para>Ezzel felvázoltuk, miként lehet a
&man.mac.bsdextended.4; modult felhasználni az
állományrendszerek
megerõsítésére. Részletesebb
- információkat járuljunk a
+ információkért járuljunk a
&man.mac.bsdextended.4; és &man.ugidfw.8; man
oldalakhoz.</para>
@@ -1476,10 +1481,9 @@
<sect1 id="mac-ifoff">
<title>Az ifoff MAC-modul</title>
- <indexterm>
- <primary><quote>a csatolófelületek
- elfojtása</quote> MAC-házirend</primary>
- </indexterm>
+ <indexterm><primary><quote>a csatolófelületek
+ elfojtása</quote>
+ MAC-házirend</primary></indexterm>
<para>A modul neve: <filename>mac_ifoff.ko</filename></para>
@@ -1492,9 +1496,9 @@
<para>A &man.mac.ifoff.4; modul kizárólag abból
a célból készült, hogy
- segítségével menet közben le tudunk
+ segítségével menet közben le tudjuk
tiltani bizonyos hálózati
- csatolófelületeket
+ csatolófelületek
beállítását a
rendszerindítás közben. Sem
címkékre, sem pedig a többi MAC-modulra nincs
@@ -1507,8 +1511,8 @@
<itemizedlist>
<listitem>
<para>A <literal>security.mac.ifoff.lo_enabled</literal>
- engedélyezi vagy letiltja a (&man.lo.4;) helyi hurkolt
- (loopback) felületen az összes forgalmat.</para>
+ engedélyezi vagy letiltja a (&man.lo.4;) helyi loopback
+ felületen az összes forgalmat.</para>
</listitem>
<listitem>
@@ -1541,11 +1545,9 @@
<sect1 id="mac-portacl">
<title>A portacl MAC-modul</title>
- <indexterm>
- <primary>Port
+ <indexterm><primary>Port
hozzáférés-vezérlési lista
- MAC-házirend</primary>
- </indexterm>
+ MAC-házirend</primary></indexterm>
<para>A modul neve: <filename>mac_portacl.ko</filename></para>
@@ -1576,20 +1578,21 @@
<listitem>
<para>A <literal>security.mac.portacl.enabled</literal>
totálisan engedélyezi vagy letiltja a
- házirend használatát. <footnote>
+ házirend használatát
+ <footnote>
<para>A <literal>security.mac.portacl.enabled</literal>
<command>sysctl</command>-változó
kezelésében levõ hiba miatt ez a
beállítás nem fog mûködni a
- &os; 5.2.1 vagy korábbi változatai
+ &os; 5.2.1 vagy korábbi változatai
esetében.</para>
- </footnote></para>
+ </footnote>.</para>
</listitem>
<listitem>
<para>A <literal>security.mac.portacl.port_high</literal>
- megadja azt a legmagasabb portot, amire még kiterjed a
- &man.mac.portacl.4; védelme.</para>
+ megadja azt a legmagasabb portot, amelyre még kiterjed
+ a &man.mac.portacl.4; védelme.</para>
</listitem>
<listitem>
@@ -1603,7 +1606,7 @@
<listitem>
<para>A <literal>security.mac.portacl.rules</literal> az
érvényes mac_portacl házirendet adja meg,
- ld. lentebb.</para>
+ lásd lentebb.</para>
</listitem>
</itemizedlist>
@@ -1614,9 +1617,12 @@
<literal>szabály[,szabály,...]</literal>, ahol ezen
a módon tetszõleges számú
szabályt adhatunk meg. Az egyes szabályok pedig
- így írhatóak fel:
- <literal>azonosítótípus:azonosító:protokoll:port</literal>.
- Az <parameter>azonosítótípus</parameter>
+ így írhatóak fel: <literal>
+ <replaceable>azonosítótípus</replaceable>:
+ <replaceable>azonosító</replaceable>:
+ <replaceable>protokoll</replaceable>:
+ <replaceable>port</replaceable></literal>. Az
+ <parameter>azonosítótípus</parameter>
értéke <literal>uid</literal> vagy
<literal>gid</literal> lehet, amivel megadjuk, hogy az
<parameter>azonosító</parameter> paraméter
@@ -1628,8 +1634,8 @@
<literal>tcp</literal> vagy <literal>udp</literal> lehet. A sort
végül a <parameter>port</parameter> paraméter
zárja, ahol annak a portnak számát adjuk meg,
- amihez az adott felhasználót vagy csoportot akarjuk
- kötni.</para>
+ amelyhez az adott felhasználót vagy csoportot
+ akarjuk kötni.</para>
<note>
<para>Mivel a szabályokat közvetlenül maga a
@@ -1643,10 +1649,11 @@
</note>
<para>A &unix;-szerû rendszereken alapértelmezés
- szerint az 1024 alatti portokat csak privilegizált programok
- kaphatják meg és használhatják,
- tehát a <username>root</username> felhasználó
- neve alatt kell futniuk. A &man.mac.portacl.4; azonban a nem
+ szerint az 1024 alatti portokat csak privilegizált
+ programok kaphatják meg és
+ használhatják, tehát a
+ <username>root</username> felhasználó neve alatt
+ kell futniuk. A &man.mac.portacl.4; azonban a nem
privilegizált programok számára is
lehetõvé teszi, hogy elfoglalhassanak 1024 alatti
portokat, amihez viszont elõször le kell tiltani ezt a
@@ -1691,7 +1698,7 @@
<screen>&prompt.root; <userinput>sysctl security.mac.portacl.rules=uid:80:tcp:80</userinput></screen>
>>> TRUNCATED FOR MAIL (1000 lines) <<<
More information about the p4-projects
mailing list