Remove mac section from security chapter

Add mac chapter to the build Obtained from: The FreeBSD Russian Documentation Project
svn path=/head/; revision=21478
2004-07-13 08:46:52 +00:00 · 2004-07-13 08:46:52 +00:00 · 9ced89b347 · 2020-12-08 03:00:23 +00:00
commit 9ced89b347
parent 85656efe09
5 changed files with 29 additions and 282 deletions
--- a/ru_RU.KOI8-R/books/handbook/Makefile
+++ b/ru_RU.KOI8-R/books/handbook/Makefile
@ -168,7 +168,7 @@ SRCS+=	introduction/chapter.sgml
 SRCS+=	kernelconfig/chapter.sgml
 SRCS+=	l10n/chapter.sgml
 SRCS+=	linuxemu/chapter.sgml
-#SRCS+=	mac/chapter.sgml
+SRCS+=	mac/chapter.sgml
 SRCS+=	mail/chapter.sgml
 SRCS+=	mirrors/chapter.sgml
 SRCS+=	multimedia/chapter.sgml
--- a/ru_RU.KOI8-R/books/handbook/book.sgml
+++ b/ru_RU.KOI8-R/books/handbook/book.sgml
@ -2,7 +2,7 @@
     The FreeBSD Russian Documentation Project

     $FreeBSD$
-     $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/book.sgml,v 1.47 2004/05/25 06:24:20 den Exp $
+     $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/book.sgml,v 1.48 2004/07/01 10:55:54 den Exp $
     Original revision: 1.147

     TODO: review ENTITY'es
@ -76,6 +76,7 @@
 <!ENTITY % chap.pgpkeys "IGNORE">
 <!ENTITY % chap.index "IGNORE">
 <!ENTITY % chap.freebsd-glossary "IGNORE">
+<!ENTITY % chap.mac "IGNORE">

 <!ENTITY % pgpkeys SYSTEM "../../../share/pgpkeys/pgpkeys.ent"> %pgpkeys;

@ -248,6 +249,7 @@
    <![ %chap.users;                    [ &chap.users;                ]]>
    <![ %chap.kernelconfig;             [ &chap.kernelconfig;         ]]>
    <![ %chap.security;                 [ &chap.security;             ]]>
+    <![ %chap.mac;			[ &chap.mac;		      ]]>
    <![ %chap.printing;                 [ &chap.printing;             ]]>
    <![ %chap.disks;                    [ &chap.disks;                ]]>
    <![ %chap.vinum;                    [ &chap.vinum;                ]]>
--- a/ru_RU.KOI8-R/books/handbook/chapters.ent
+++ b/ru_RU.KOI8-R/books/handbook/chapters.ent
@ -2,9 +2,9 @@
     The FreeBSD Russian Documentation Project

     $FreeBSD$
-     $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/chapters.ent,v 1.15 2004/04/12 14:04:07 den Exp $
+     $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/chapters.ent,v 1.16 2004/07/01 10:55:54 den Exp $

-     Original revision: 1.25
+     Original revision: 1.26
 -->
 <!--
     óÏÚÄÁÎÉÅ ÓÕÝÎÏÓÔÅÊ ÄÌÑ ËÁÖÄÏÇÏ ÒÁÚÄÅÌÁ òÕËÏ×ÏÄÓÔ×Á. ëÁÖÄÁÑ ÓÕÝÎÏÓÔØ
@ -29,6 +29,7 @@
 <!ENTITY chap.users			SYSTEM "users/chapter.sgml">
 <!ENTITY chap.kernelconfig		SYSTEM "kernelconfig/chapter.sgml">
 <!ENTITY chap.security			SYSTEM "security/chapter.sgml">
+<!ENTITY chap.mac			SYSTEM "mac/chapter.sgml">
 <!ENTITY chap.printing			SYSTEM "printing/chapter.sgml">
 <!ENTITY chap.disks			SYSTEM "disks/chapter.sgml">
 <!ENTITY chap.vinum			SYSTEM "vinum/chapter.sgml">
--- a/ru_RU.KOI8-R/books/handbook/mac/Makefile
+++ b/ru_RU.KOI8-R/books/handbook/mac/Makefile
@ -0,0 +1,17 @@
+#
+# Build the Handbook with just the content from this chapter.
+#
+# $FreeBSD$
+# $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/mac/Makefile,v 1.1 2004/07/01 10:55:54 den Exp $
+# Original revision: 1.1
+#
+
+CHAPTERS= 	mac/chapter.sgml
+
+VPATH=		..
+
+MASTERDOC=	${.CURDIR}/../${DOC}.${DOCBOOKSUFFIX}
+
+DOC_PREFIX?= 	${.CURDIR}/../../../..
+
+.include "../Makefile"
--- a/ru_RU.KOI8-R/books/handbook/security/chapter.sgml
+++ b/ru_RU.KOI8-R/books/handbook/security/chapter.sgml
@ -2,9 +2,9 @@
     The FreeBSD Documentation Project

     $FreeBSD$
-     $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/security/chapter.sgml,v 1.21 2004/06/08 13:27:25 den Exp $
+     $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/security/chapter.sgml,v 1.23 2004/07/13 08:35:11 den Exp $

-     Original revision: 1.205
+     Original revision: 1.208
 -->

 <chapter id="security">
@ -1011,7 +1011,7 @@
 	<filename>/etc/master.passwd</filename>.  Пароли, зашифрованные в
 	хэш MD5 длиннее, чем те, что зашифрованы с помощью DES и начинаются
 	с символов <literal>&dollar;1&dollar;</literal>.  Пароли, начинающиеся
-	с символов <literal>&dollar;2&dollar;</literal> зашифрованы с помощью
+	Ó ÓÉÍ×ÏÌÏ× <literal>&dollar;2a&dollar;</literal> ÚÁÛÉÆÒÏ×ÁÎÙ Ó ÐÏÍÏÝØÀ
 	Blowfish.  Пароли, зашифрованные DES не содержат каких-то определенных
 	идентифицирующих символов, но они короче, чем пароли MD5 и
 	закодированы в 64-символьном алфавите, не содержащем символа
@ -4443,7 +4443,7 @@ spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P out ipsec esp/tunnel/A.B.C.D-W.X.Y.Z/req
 	правила.</para>

      <programlisting>spdadd W.X.Y.Z/32 A.B.C.D/32 ipencap -P out ipsec esp/tunnel/W.X.Y.Z-A.B.C.D/require;
-       spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P in ipsec esp/tunnel/A.B.C.D-W.X.Y.Z/require;</programlisting>
+spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P in ipsec esp/tunnel/A.B.C.D-W.X.Y.Z/require;</programlisting>

      <para>Наконец, вам потребуется добавить правила к межсетевому экрану
 	для включения прохождения пакетов ESP и IPENCAP в обе стороны.
@ -4967,280 +4967,7 @@ user@unfirewalled-system.example.org's password: <userinput>*******</userinput><
    </sect2>
  </sect1>

-  <sect1 id="mac">
-    <sect1info>
-      <authorgroup>
-	<author>
-	  <firstname>Robert</firstname>
-	  <surname>Watson</surname>
-	  <contrib>Спонсировали DARPA и Network Associates Laboratories.
-	    Предоставил </contrib>
-	</author>
-      </authorgroup>
-    </sect1info>
-    <indexterm>
-      <primary>MAC</primary>
-    </indexterm>
-    <title>Принудительный контроль доступа (MAC)</title>
-
-    <para>FreeBSD 5.0 включает новую систему (framework) безопасности уровня
-      ядра, TrustedBSD MAC Framework.  Система MAC позволяет применять
-      расширения безопасности при компилировании, загрузке и выполнении,
-      она может быть использована для поддержки принудительного контроля
-      доступа (Mandatory Access Control, <acronym>MAC</acronym>), а также
-      специфических модулей безопасности.<!--such as hardening modules-->
-      Система MAC на данный момент считается экспериментальной, и без
-      внимательного изучения не должна использоваться в реальных задачах.
-      Ожидается, что MAC будет лучше подходить для широкого использования
-      начиная с FreeBSD 5.2.</para>
-
-    <para>При включении в ядро система MAC использует модули безопасности для
-      усиления существующей модели безопасности ядра, ограничивая доступ к
-      системным сервисам и объектам.  Например, модуль
-      &man.mac.bsdextended.4; усиливает контроль доступа к файловой системе,
-      позволяя администраторам задавать набор правил подобный тому, который
-      используется для межсетевого экрана, ограничивая доступ к объектам
-      файловой системы на основе id пользователя и его принадлежности к
-      группам.  Некоторые модули требуют мало или вообще не требуют
-      настройки, например &man.mac.seeotheruids.4;, в то время как другие
-      требуют тотальной маркировки объектов и большого объема настройки,
-      например &man.mac.biba.4; и &man.mac.mls.4;.</para>
-
-    <para>Для включения системы MAC Framework в ядро системы вы должны
-      добавить в файл настройки ядра следующую строку:</para>
-
-    <programlisting>options MAC</programlisting>
-
-    <para>Модули политики безопасности, поставляемые с базовой системой,
-      могут быть загружены с помощью &man.kldload.8; или при загрузке
-      через &man.loader.8;.  Они также могут быть непосредственно встроены
-      в ядро с помощью приведенных ниже параметров, если использование
-      модулей нежелательно.</para>
-
-    <para>Различные политики MAC могут быть настроены разными способами;
-      зачастую модули политики MAC экспортируют параметры настройки через
-      &man.sysctl.8; <acronym>MIB</acronym>, используя пространство имен
-      <varname>security.mac</varname>.  Политики безопасности, относящиеся
-      к файловой системе или другим меткам могут требовать действий по
-      присвоению начальных меток системным объектам или создания файла
-      настройки политики безопасности.  За информацией по настройке и
-      использованию каждого модуля политики обращайтесь к его справочной
-      странице.</para>
-
-    <para>Существует множество инструментов для настройки системы MAC
-      и меток, поддерживаемых различными политиками безопасности.
-      Были созданы расширения для входа в систему и управления доступом
-      (&man.setusercontext.3;), поддерживающие присвоение пользователям
-      метки с помощью &man.login.conf.5;.  Кроме того, были сделаны
-      изменения в &man.su.1;, &man.ps.1;, &man.ls.1;, и &man.ifconfig.8;
-      для проверки и установки меток на процессы, файлы и интерфейсы.
-      Были добавлены несколько новых инструментов для управления
-      метками объектов, включая &man.getfmac.8;, &man.setfmac.8; и
-      &man.setfsmac.8; для управления метками файлов, а также
-      &man.getpmac.8; и &man.setpmac.8;.</para>
-
-    <para>Ниже представлен список модулей политики безопасности, поставляемых
-      с FreeBSD 5.0.</para>
-
-    <sect2 id="mac-policy-biba">
-      <title>Политика целостности Biba (mac_biba)</title>
-      <indexterm>
-	<primary>Политика целостности Biba</primary>
-      </indexterm>
-      <para>Поставщик: TrustedBSD Project</para>
-      <para>Имя модуля: mac_biba.ko</para>
-      <para>Параметр ядра: <literal>MAC_BIBA</literal></para>
-      <indexterm>
-	<primary>TCB</primary>
-      </indexterm>
-<!-- translation issue?: integrity data == уровень доступа -->
-      <para>Политика целостности Biba (Biba Integrity Policy,
-	&man.mac.biba.4;) создана для иерархического и не иерархического
-	присвоения всем системным объектам уровня доступа и применение
-	политики контроля за потоками информации для предотвращения
-	повреждения субъектов с высоким уровнем доступа и данных
-	субъектами с низким уровнем доступа.  Целостность достигается
-	предотвращением чтения объектов с низким уровнем доступа
-	(зачастую файлов) субъектами с высоким уровнем доступа (обычно
-	процессами), и предотвращение записи в объекты с высоким уровнем
-	доступа субъектами с низким уровнем доступа.  Эта политика
-	безопасности часто используется в коммерческих доверяемых
-	системах для обеспечения высокого уровня защиты
-	Trusted Code Base (<acronym>TCB</acronym>).  Вследствие необходимости
-	тотального маркирования, политика целостности Biba должна быть
-	встроена в ядро или загружена при старте системы.</para>
-    </sect2>
-    <sect2 id="mac-policy-bsdextended">
-      <title>Брандмауэрная политика файловой системы (mac_bsdextended)</title>
-      <indexterm>
-	<primary>Брандмауэрная политика файловой системы</primary>
-      </indexterm>
-      <para>Поставщик: TrustedBSD Project</para>
-      <para>Имя модуля: mac_bsdextended.ko</para>
-      <para>Параметр ядра: <literal>MAC_BSDEXTENDED</literal></para>
-      <para>File System Firewall Policy (брандмауэрная политика файловой
-	системы, &man.mac.bsdextended.4;) это расширение системы
-	контроля доступа файловой системы BSD, позволяющая администратору
-	определять набор брандмауэр-подобных правил для ограничения доступа
-	к объектам файловой системы, принадлежащим пользователям и группам.
-	Правила, управляемые &man.ugidfw.8;, могут ограничить доступ к
-	файлам и каталогам на основе uid и gid процесса, пытающегося получить
-	доступ, владельца и группы цели, на которую направлена попытка
-	доступа.  Все правила ограничивающие, так что они могут быть
-	помещены в любом порядке.  Эта политика не требует предварительной
-	настройки или маркировки и может подходить для многопользовательской
-	среды, где требуется принудительное ограничение на обмен данных
-	между пользователями.  Необходимо соблюдать осторожность при
-	ограничения доступа к файлам, принадлежащим суперпользователю или
-	другим системным пользователям, поскольку множество полезных программ
-	и каталогов принадлежат этим пользователям.  Как и сетевым
-	брандмауэром, неправильное применение правил брандмауэра файловой
-	системы может привести систему в неработоспособное состояние.
-	Новые инструменты для управления набором правил легко могут быть
-	написаны с использованием библиотеки &man.libugidfw.3;.</para>
-    </sect2>
-    <sect2 id="mac-policy-ifoff">
-      <title>Политика <quote>тишины</quote> интерфейса (mac_ifoff)</title>
-      <indexterm>
-	<primary>Политика <quote>тишины</quote> интерфейса</primary>
-      </indexterm>
-      <para>Поставщик: TrustedBSD Project</para>
-      <para>Имя модуля: mac_ifoff.ko</para>
-      <para>Параметр ядра: <literal>MAC_IFOFF</literal></para>
-      <para>Политика <quote>тишины</quote> интерфейса (Interface silencing
-	policy, &man.mac.ifoff.4;) запрещает использование сетевых
-	интерфейсов во время загрузки, пока они не будут явно включены,
-	предотвращая ответ сетевого стека на входящие пакеты.
-	Эта политика подходит, если требуется мониторинг пакетов, без
-	генерации трафика.</para>
-    </sect2>
-    <sect2 id="mac-policy-lomac">
-      <title>Low-Watermark Mandatory Access Control (LOMAC)
-	(mac_lomac)</title>
-      <indexterm>
-	<primary>MAC</primary>
-	<secondary>Low-Watermark</secondary>
-      </indexterm>
-      <indexterm>
-	<primary>LOMAC</primary>
-      </indexterm>
-      <para>Поставщик: Network Associates Laboratories</para>
-      <para>Имя модуля: mac_lomac.ko</para>
-      <para>Параметр ядра: <literal>MAC_LOMAC</literal></para>
-      <para>Подобно политике целостности Biba, политика LOMAC
-	(&man.mac.lomac.4;) основывается на тотальной маркировке
-	всех системных объектов метками уровня доступа.  В отличие
-	от Biba, LOMAC разрешает субъектам с высоким уровнем доступа
-	читать из объектов с низким уровнем доступа, но уровень
-	доступа субъекта понижается для предотвращения последующей
-	записи в объекты с высоким уровнем доступа.  Эта политика
-	может применяться для обеспечения совместимости, поскольку
-	требует меньшей начальной настройки, чем Biba.  Однако, как
-	и в случае Biba, она основана на тотальной маркировке объектов
-	и следовательно должна быть встроена в ядро или загружена
-	при старте системы.</para>
-    </sect2>
-
-    <sect2 id="mac-policy-mls">
-      <title>Многоуровневая политика безопасности (MLS) (mac_mls)</title>
-      <indexterm>
-	<primary>Многоуровневая политика безопасности</primary>
-      </indexterm>
-      <indexterm>
-	<primary>MAC</primary>
-	<secondary>Multi-Level</secondary>
-      </indexterm>
-
-      <para>Поставщик: TrustedBSD Project</para>
-      <para>Имя модуля: mac_mls.ko</para>
-      <para>Параметр ядра: <literal>MAC_MLS</literal></para>
-      <para>Многоуровневая безопасность (Multi-Level Security,
-	<acronym>MLS</acronym>, &man.mac.mls.4;) предназначена для
-	иерархической и не-иерархической метки всех системных
-	объектов с важными данными и жесткого ограничения передачи
-	информации для предотвращения утечки конфиденциальной информации.
-	Логическое соединение политики целостности Biba и
-	<acronym>MLS</acronym> зачастую поставляется в коммерческих
-	доверяемых операционных системах для обеспечения безопасности
-	данных в многопользовательской среде.
-	<!-- Hierarchal labels provide support
-        for the notion of clearances and classifications in
-        traditional parlance; non-hierarchical labels provide support
-        for <quote>need-to-know.</quote> -->
-	Как и с Biba, происходит тотальное маркирование объектов,
-	следовательно необходимо встраивание в ядро или загрузка модуля
-	при старте системы.  Как и с Biba, может потребоваться обширная
-	начальная настройка.</para>
-    </sect2>
-    <sect2 id="mac-policy-none">
-      <title>Шаблон политики MAC (mac_none)</title>
-      <indexterm>
-	<primary>Шаблон политики MAC</primary>
-      </indexterm>
-      <para>Поставщик: TrustedBSD Project</para>
-      <para>Имя модуля: mac_none.ko</para>
-      <para>Параметр ядра: <literal>MAC_NONE</literal></para>
-      <para>Отсутствие политики безопасности (None policy, &man.mac.none.4;)
-	предоставляет пример политики безопасности для разработчиков,
-	реализуя все необходимое, но не меняя политику контроля доступа
-	системы.  Запуск этой политики в реальных задачах не принесет
-	существенных преимуществ.</para>
-    </sect2>
-    <sect2 id="mac-policy-partition">
-      <title>Политика разделения процессов (mac_partition)</title>
-      <indexterm>
-	<primary>Политика разделения процессов</primary>
-      </indexterm>
-      <para>Поставщик: TrustedBSD Project</para>
-      <para>Имя модуля: mac_partition.ko</para>
-      <para>Параметр ядра: <literal>MAC_PARTITION</literal></para>
-      <para>Политика разделения процессов, (Partition policy,
-	&man.mac.partition.4;) предназначена для простого разграничения
-	видимости процессов, путем присвоения процессам меток,
-	определяющих, в каком из разделов системы они находятся.
-	При отсутствии меток все процессы могут просматриваться с
-	помощью стандартных инструментов мониторинга; если идентификатор
-	раздела существует, видны только процессы в том же разделе.
-	Эта политика может быть встроена в ядро, загружена при старте
-	системы или в любое другое время.</para>
-    </sect2>
-    <sect2 id="mac-policy-seeotheruids">
-      <title>Просмотр других uid (mac_seeotheruids)</title>
-      <indexterm>
-	<primary>Просмотр других uid</primary>
-      </indexterm>
-      <para>Поставщик: TrustedBSD Project</para>
-      <para>Имя модуля: mac_seeotheruids.ko</para>
-      <para>Параметр ядра: <literal>MAC_SEEOTHERUIDS</literal></para>
-      <para>Просмотр других uid (See Other Uids policy,
-	&man.mac.seeotheruids.4;) реализует модель видимости процессов,
-	похожую на mac_partition, но основывается на правах процессов,
-	а не на метках разделов.  Политика может быть настроена для
-	исключения определенных пользователей и групп, включая разрешение
-	просмотра всех процессов операторам системы без специальных
-	привилегий.  Политика может быть встроена в ядро, загружена при
-	запуске системы или в любое другое время.</para>
-    </sect2>
-    <sect2 id="mac-policy-test">
-      <title>политика для тестирования системы MAC (mac_test)</title>
-      <indexterm>
-	<primary>политика для тестирования системы MAC</primary>
-      </indexterm>
-      <para>Поставщик: TrustedBSD Project</para>
-      <para>Имя модуля: mac_test.ko</para>
-      <para>Параметр ядра: <literal>MAC_TEST</literal></para>
-      <para>Политика для тестирования (Test policy,
-	&man.mac.test.4;) реализует регрессивное тестирование
-	среды для системы MAC, и завершится с ошибкой, если
-	внутренняя проверка правильности меток системы MAC не пройдет.
-	Этот модуль может использоваться для обнаружения ошибок
-	в маркировке системных объектов.  Политика может быть встроена
-	в ядро, загружена при старте системы или в любое другое
-	время.</para>
-    </sect2>
-  </sect1>
-
-    <sect1 id="fs-acl">
+  <sect1 id="fs-acl">
    <sect1info>
      <authorgroup>
 	<author>