The translation is temporarily closed for contributions due to maintenance, please come back later.


(itstool) path: listitem/para
Entry point API invoked by kernel services
Context English Portuguese (Brazil) State
The TrustedBSD MAC framework provides a mechanism to allow the compile-time or run-time extension of the kernel access control model. New system policies may be implemented as kernel modules and linked to the kernel; if multiple policy modules are present, their results will be composed. The MAC Framework provides a variety of access control infrastructure services to assist policy writers, including support for transient and persistent policy-agnostic object security labels. This support is currently considered experimental. A estrutura MAC do TrustedBSD fornece um mecanismo para permitir a extens�o em tempo de compila��o ou de tempo de execu��o do modelo de controle de acesso do kernel. Novas pol�ticas do sistema podem ser implementadas como m�dulos do kernel e vinculadas ao kernel; se houver v�rios m�dulos de pol�tica, seus resultados O MAC Framework fornece uma variedade de servi�os de infra-estrutura de controle de acesso para auxiliar os redatores de pol�ticas, incluindo o suporte a r�tulos de seguran�a de objetos agn�sticos, transit�rios e persistentes. Esse suporte � atualmente considerado experimental.
This chapter provides information appropriate for developers of policy modules, as well as potential consumers of MAC-enabled environments, to learn about how the MAC Framework supports access control extension of the kernel. Este cap�tulo fornece informa��es apropriadas para desenvolvedores de m�dulos de pol�ticas, bem como potenciais consumidores de ambientes habilitados para MAC, para aprender sobre como o MAC Framework suporta a extens�o de controle de acesso do kernel.
Policy Background Hist�rico da Pol�tica
Mandatory Access Control (MAC), refers to a set of access control policies that are mandatorily enforced on users by the operating system. MAC policies may be contrasted with Discretionary Access Control (DAC) protections, by which non-administrative users may (at their discretion) protect objects. In traditional UNIX systems, DAC protections include file permissions and access control lists; MAC protections include process controls preventing inter-user debugging and firewalls. A variety of MAC policies have been formulated by operating system designers and security researches, including the Multi-Level Security (MLS) confidentiality policy, the Biba integrity policy, Role-Based Access Control (RBAC), Domain and Type Enforcement (DTE), and Type Enforcement (TE). Each model bases decisions on a variety of factors, including user identity, role, and security clearance, as well as security labels on objects representing concepts such as data sensitivity and integrity. Mandatory Access Control (MAC), refere-se a um conjunto de pol�ticas de controle de acesso impostas obrigatoriamente aos usu�rios pelo sistema operacional. As pol�ticas MAC podem ser contrastadas com as prote��es de Controle de Acesso Discricion�rio (DAC), pelas quais usu�rios n�o administrativos podem Em seus sistemas UNIX tradicionais, as prote��es do DAC incluem permiss�es de arquivos e listas de controle de acesso, e as prote��es MAC incluem controles de processo que impedem a depura��o entre usu�rios e firewalls.Uma variedade de pol�ticas MAC foram formuladas por projetistas de sistemas operacionais e pesquisas de seguran�a. incluindo a pol�tica de confidencialidade Multi-Level Security (MLS), a pol�tica de integridade Biba, RBAC (Role-Based Access Control), DTE (Domain and Type Enforcement) e TE (Type Enforcement), cada modelo baseia as decis�es numa variedade de fatores. , incluindo identidade de usu�rio, fun��o e autoriza��o de seguran�a, bem como etiquetas de seguran�a em objetos que representam conceitos como integridade e sensibilidade de dados.
The TrustedBSD MAC Framework is capable of supporting policy modules that implement all of these policies, as well as a broad class of system hardening policies, which may use existing security attributes, such as user and group IDs, as well as extended attributes on files, and other system properties. In addition, despite the name, the MAC Framework can also be used to implement purely discretionary policies, as policy modules are given substantial flexibility in how they authorize protections. O TrustedBSD MAC Framework � capaz de suportar m�dulos de pol�ticas que implementam todas essas pol�ticas, bem como uma ampla classe de pol�ticas de prote��o do sistema, que podem usar atributos de seguran�a existentes, como IDs de usu�rios e grupos, bem como atributos estendidos em arquivos e outras propriedades do sistema Al�m disso, apesar do nome, o MAC Framework tamb�m pode ser usado para implementar pol�ticas puramente discricion�rias, uma vez que os m�dulos de pol�ticas recebem uma flexibilidade substancial na forma como autorizam prote��es "
MAC Framework Kernel Architecture Arquitetura do Kernel do MAC Framework
The TrustedBSD MAC Framework permits kernel modules to extend the operating system security policy, as well as providing infrastructure functionality required by many access control modules. If multiple policies are simultaneously loaded, the MAC Framework will usefully (for some definition of useful) compose the results of the policies. O TrustedBSD MAC Framework permite que os m�dulos do kernel estendam a pol�tica de seguran�a do sistema operacional, bem como fornecem a funcionalidade de infra-estrutura requerida por muitos m�dulos de controle de acesso. Se v�rias pol�ticas forem carregadas simultaneamente, o MAC Framework utilizar� (para alguma defini��o �til) resultados das pol�ticas "
Kernel Elements Elementos do Kernel
The MAC Framework contains a number of kernel elements: O MAC Framework cont�m v�rios elementos do kernel:
Framework management interfaces Interfaces de gerenciamento de estrutura
Concurrency and synchronization primitives. Primitivas de sincroniza��o e simultaneidade.
Policy registration Registo de pol�tica
Extensible security label for kernel objects Etiqueta de seguran�a extens�vel para objetos do kernel
Policy entry point composition operators Operadores de composi��o de ponto de entrada de pol�tica
Label management primitives Primitivos de gerenciamento de r�tulo
Entry point API invoked by kernel services API do ponto de entrada invocada pelos servi�os do kernel
Entry point API to policy modules API de ponto de entrada para m�dulos de pol�tica
Entry points implementations (policy life cycle, object life cycle/label management, access control checks). Implementa��es de pontos de entrada (ciclo de vida da pol�tica, ciclo de vida do objeto / gerenciamento de etiquetas, verifica��es de controle de acesso).
Policy-agnostic label-management system calls Chamadas de sistema de gerenciamento de r�tulo agn�stico de pol�ticas
<function>mac_syscall()</function> multiplex system call <function> mac_syscall () </function> chamada do sistema multiplex
Various security policies implemented as MAC policy modules V�rias pol�ticas de seguran�a implementadas como m�dulos de pol�tica MAC
Framework Management Interfaces Framework Management Interfaces
The TrustedBSD MAC Framework may be directly managed using sysctl's, loader tunables, and system calls. O TrustedBSD MAC Framework pode ser gerenciado diretamente usando sysctl';s, sintetizadores de carregador e chamadas do sistema.
In most cases, sysctl's and loader tunables of the same name modify the same parameters, and control behavior such as enforcement of protections relating to various kernel subsystems. In addition, if MAC debugging support is compiled into the kernel, several counters will be maintained tracking label allocation. It is generally advisable that per-subsystem enforcement controls not be used to control policy behavior in production environments, as they broadly impact the operation of all active policies. Instead, per-policy controls should be preferred, as they provide greater granularity and greater operational consistency for policy modules. Na maioria dos casos, sysctl';s e loaders sintoniz�veis ​​do mesmo nome modificam os mesmos par�metros e controlam o comportamento, como a aplica��o de prote��es relacionadas a v�rios subsistemas do kernel. Al�m disso, se o suporte de depura��o MAC for compilado no kernel, v�rios contadores ser�o mantidos. � geralmente aconselh�vel que os controles de fiscaliza��o por subsistema n�o sejam usados ​​para controlar o comportamento de pol�ticas em ambientes de produ��o, pois eles geralmente afetam a opera��o de todas as pol�ticas ativas. granularidade e maior consist�ncia operacional para m�dulos de pol�ticas.
Loading and unloading of policy modules is performed using the system module management system calls and other system interfaces, including boot loader variables; policy modules will have the opportunity to influence load and unload events, including preventing undesired unloading of the policy. O carregamento e descarregamento de m�dulos de pol�ticas � realizado usando as chamadas do sistema de gerenciamento de m�dulos do sistema e outras interfaces do sistema, incluindo vari�veis ​​do carregador de inicializa��o; os m�dulos de pol�tica ter�o a oportunidade de influenciar a carga e descarga de eventos, incluindo a preven��o de descarregamento indesejado da pol�tica.
Policy List Concurrency and Synchronization Concorr�ncia e Sincroniza��o da Lista de Pol�ticas
As the set of active policies may change at run-time, and the invocation of entry points is non-atomic, synchronization is required to prevent loading or unloading of policies while an entry point invocation is in progress, freezing the set of active policies for the duration. This is accomplished by means of a framework busy count: whenever an entry point is entered, the busy count is incremented; whenever it is exited, the busy count is decremented. While the busy count is elevated, policy list changes are not permitted, and threads attempting to modify the policy list will sleep until the list is not busy. The busy count is protected by a mutex, and a condition variable is used to wake up sleepers waiting on policy list modifications. One side effect of this synchronization model is that recursion into the MAC Framework from within a policy module is permitted, although not generally used. Como o conjunto de pol�ticas ativas pode mudar em tempo de execu��o e a invoca��o de pontos de entrada n�o � at�mica, a sincroniza��o � necess�ria para impedir o carregamento ou descarregamento de pol�ticas enquanto uma chamada de ponto de entrada est� em andamento, congelando o conjunto de pol�ticas ativas Isso ocorre por meio de uma contagem ocupacional de estrutura: sempre que um ponto de entrada � inserido, a contagem de ocupado � incrementada e, quando ela � encerrada, a contagem de ocupado � diminu�da. n�o permitido, e os segmentos que tentam modificar a lista de pol�ticas ficar�o suspensos at� que a lista n�o esteja ocupada.A contagem ocupada � protegida por um mutex e uma vari�vel de condi��o � usada para ativar os travessas aguardando modifica��es na lista de pol�ticas. O modelo de sincroniza��o � que a recurs�o no MAC Framework de dentro de um m�dulo de pol�tica � permitida, embora n�o seja geralmente usada.
Various optimizations are used to reduce the overhead of the busy count, including avoiding the full cost of incrementing and decrementing if the list is empty or contains only static entries (policies that are loaded before the system starts, and cannot be unloaded). A compile-time option is also provided which prevents any change in the set of loaded policies at run-time, which eliminates the mutex locking costs associated with supporting dynamically loaded and unloaded policies as synchronization is no longer required. V�rias otimiza��es s�o usadas para reduzir a sobrecarga da contagem de ocupa��es, evitando o custo total de incrementar e decrementar se a lista estiver vazia ou contiver apenas entradas est�ticas (pol�ticas que s�o carregadas antes do sistema ser iniciado e n�o podem ser descarregadas). op��o de tempo de compila��o tamb�m � fornecida, o que elimina qualquer altera��o no conjunto de pol�ticas carregadas em tempo de execu��o, o que elimina os custos de bloqueio mutex associados ao suporte de pol�ticas carregadas e descarregadas dinamicamente, j� que a sincroniza��o n�o � mais necess�ria.
As the MAC Framework is not permitted to block in some entry points, a normal sleep lock cannot be used; as a result, it is possible for the load or unload attempt to block for a substantial period of time waiting for the framework to become idle. Como o MAC Framework n�o tem permiss�o para bloquear em alguns pontos de entrada, n�o � poss�vel usar um bloqueio de sono normal; como resultado, � poss�vel que a tentativa de carga ou descarga seja bloqueada por um per�odo de tempo substancial esperando a estrutura se tornar ocioso "
Label Synchronization Label Synchronization
As kernel objects of interest may generally be accessed from more than one thread at a time, and simultaneous entry of more than one thread into the MAC Framework is permitted, security attribute storage maintained by the MAC Framework is carefully synchronized. In general, existing kernel synchronization on kernel object data is used to protect MAC Framework security labels on the object: for example, MAC labels on sockets are protected using the existing socket mutex. Likewise, semantics for concurrent access are generally identical to those of the container objects: for credentials, copy-on-write semantics are maintained for label contents as with the remainder of the credential structure. The MAC Framework asserts necessary locks on objects when invoked with an object reference. Policy authors must be aware of these synchronization semantics, as they will sometimes limit the types of accesses permitted on labels: for example, when a read-only reference to a credential is passed to a policy via an entry point, only read operations are permitted on the label state attached to the credential. Como os objetos de interesse do kernel geralmente podem ser acessados ​​de mais de um thread de cada vez, e a entrada simult�nea de mais de um thread no MAC Framework � permitida, o armazenamento de atributos de seguran�a mantido pelo MAC Framework � cuidadosamente sincronizado. A sincroniza��o do kernel nos dados do objeto kernel � usada para proteger os r�tulos de seguran�a do MAC Framework no objeto: por exemplo, os r�tulos MAC nos soquetes s�o protegidos usando o mutex de soquete existente Da mesma forma, as sem�nticas para acesso simult�neo s�o geralmente id�nticas �quelas dos objetos cont�ineres: credenciais, a sem�ntica de copy-on-write � mantida para o conte�do da etiqueta como no restante da estrutura de credencial.O MAC Framework afirma os bloqueios necess�rios em objetos quando invocado com uma refer�ncia de objeto.Os autores da pol�tica devem estar cientes dessas sem�nticas de sincroniza��o, pois elas �s vezes, limitar os tipos de acessos permitidos nos r�tulos: por exemplo, quando uma refer�ncia somente leitura a uma credencial � passada para uma pol�tica por meio de um ponto de entrada, somente as opera��es de leitura s�o permitidas no estado da etiqueta anexado � credencial.


New source string a year ago
Browse all component changes


English Portuguese (Brazil)
No related strings found in the glossary.

Source information

Source string comment
(itstool) path: listitem/para
Source string location
String age
a year ago
Source string age
a year ago
Translation file
books/pt_BR/arch-handbook.po, string 587