在傳統(tǒng)的 UNIX 系統(tǒng)中，DAC 保護措施包括文件訪問模式和訪問控制列表；而 MAC 則提供進程控制和防火墻等。

TrustedBSD計劃把核心的FreeBSD發(fā)布版與符合信息技術(shù)安全評估標準(ITSEC)的可信賴的安全組件結(jié)合在了一起。這些組件提供了確保這個操作系統(tǒng)安全運行的大量的不同的模塊。

這些工具包括集中的政策管理、組件和執(zhí)行(包括內(nèi)核模塊和功能調(diào)用)的深入審計、對系統(tǒng)的不同區(qū)域?qū)嵭袕娭菩栽L問控制和來自文件系統(tǒng)和內(nèi)核資源的訪問控制名單等。不過，這些工具還有其它的功能。比如更精細的訪問控制、更強大的報告和監(jiān)視功能以及為運行各種服務(wù)提供的更安全的環(huán)境。

Unix（包括Linux）從業(yè)者都知道，任意一個普通用戶在登陸系統(tǒng)之后，都可以查看系統(tǒng)中已經(jīng)登陸有哪些用戶，以及他們正在進行什么操作。此外，當前所有用戶的進程也可以很輕松的被查看。這些信息被合法使用當然沒什么問題，但是一旦被黑客獲取，那將留下相當大的安全隱患，他們可以馬上找到提升權(quán)限的方法。

但如果你的系統(tǒng)中部署了Mandatory Access Control (MAC) Framework——TrustedBSD的強制訪問控制體系之后，情況就不一樣了。

TrustedBSD MAC 框架為大多數(shù)的訪問控制模塊提供基本設(shè)施，允許它們以內(nèi)核模塊的形式靈活地擴展系統(tǒng)中實施的安全策略。 如果系統(tǒng)中同時加載了多個策略，MAC 框架將負責(zé)將各個策略的授權(quán)結(jié)果以一種（某種程度上）有意義的方式組合，形成***的決策。

下面我們在FreeBSD7.0上做一個演示，將MAC強制訪問控制引入系統(tǒng)之前，應(yīng)該確保我們的系統(tǒng)內(nèi)核中有相應(yīng)的支持。如果是默認安裝的系統(tǒng)，需要在內(nèi)核配置文件中添加一行：

options MAC

重新編譯內(nèi)核之后就OK了。

執(zhí)行man 4 mac 命令，可以看到各種MAC模塊。如圖1所示。

圖1

這里既可以選擇某方面做針對控制的模塊，又可以選擇整體控制的一些模塊，很方便。

在這個測試的系統(tǒng)中，任何用戶都可以運行ps -aux命令，查看系統(tǒng)中所有的活動進程，或者執(zhí)行sockstat -4、netstat -an 來查看系統(tǒng)中所有的網(wǎng)絡(luò)連接以及開放的網(wǎng)絡(luò)套接字。如圖2、3所示。

圖2

圖3

#p#

下面我們加載MAC_SEEOTHERUIDS 模塊。執(zhí)行：kldload mac_seeotheruids，如圖4所示。

圖4

注意看下面這個圖，加載TrustedBSD的MAC模塊之后，普通用戶ww已經(jīng)不能看到其他人的工作進程了，也不能看到其他人的網(wǎng)絡(luò)連接狀態(tài)。如圖5，6所示。

圖5

圖6

這樣系統(tǒng)的安全性就大大提高了。如果我們希望系統(tǒng)啟動時自動加載這一模塊，就向/boot/loader.conf 文件中添加：mac_seeotheruids_load="YES"
如圖7所示。

圖7

如果我們想卸載這個模塊，只需要敲入命令：kldunload mac_seeotheruids即可。

大家用普通用戶（非root賬戶）在系統(tǒng)中執(zhí)行一下netstat，ps之類的命令，很容易就能做出比較。在加載MAC模塊的狀態(tài)下，以上命令只會顯示當前用戶自己的進程及套接字。
但是不會顯示其他用戶當前正在進行的操作。

【編輯推薦】

1. 專題：探訪Linux/Unix安全世界
2. 惠普改進UNIX安全和虛擬技術(shù)提高安騰性能
3. 系統(tǒng)安全之全面捍衛(wèi)我的UNIX 系統(tǒng)賬戶