在傳統的 UNIX 系統中，DAC 保護措施包括文件訪問模式和訪問控制列表；而 MAC 則提供進程控制和防火墻等。

TrustedBSD計劃把核心的FreeBSD發布版與符合信息技術安全評估標準(ITSEC)的可信賴的安全組件結合在了一起。這些組件提供了確保這個操作系統安全運行的大量的不同的模塊。

這些工具包括集中的政策管理、組件和執行(包括內核模塊和功能調用)的深入審計、對系統的不同區域實行強制性訪問控制和來自文件系統和內核資源的訪問控制名單等。不過，這些工具還有其它的功能。比如更精細的訪問控制、更強大的報告和監視功能以及為運行各種服務提供的更安全的環境。

Unix（包括Linux）從業者都知道，任意一個普通用戶在登陸系統之后，都可以查看系統中已經登陸有哪些用戶，以及他們正在進行什么操作。此外，當前所有用戶的進程也可以很輕松的被查看。這些信息被合法使用當然沒什么問題，但是一旦被黑客獲取，那將留下相當大的安全隱患，他們可以馬上找到提升權限的方法。

但如果你的系統中部署了Mandatory Access Control (MAC) Framework——TrustedBSD的強制訪問控制體系之后，情況就不一樣了。

TrustedBSD MAC 框架為大多數的訪問控制模塊提供基本設施，允許它們以內核模塊的形式靈活地擴展系統中實施的安全策略。 如果系統中同時加載了多個策略，MAC 框架將負責將各個策略的授權結果以一種（某種程度上）有意義的方式組合，形成***的決策。

下面我們在FreeBSD7.0上做一個演示，將MAC強制訪問控制引入系統之前，應該確保我們的系統內核中有相應的支持。如果是默認安裝的系統，需要在內核配置文件中添加一行：

options MAC

重新編譯內核之后就OK了。

執行man 4 mac 命令，可以看到各種MAC模塊。如圖1所示。

圖1

這里既可以選擇某方面做針對控制的模塊，又可以選擇整體控制的一些模塊，很方便。

在這個測試的系統中，任何用戶都可以運行ps -aux命令，查看系統中所有的活動進程，或者執行sockstat -4、netstat -an 來查看系統中所有的網絡連接以及開放的網絡套接字。如圖2、3所示。

圖2

圖3

#p#

下面我們加載MAC_SEEOTHERUIDS 模塊。執行：kldload mac_seeotheruids，如圖4所示。

圖4

注意看下面這個圖，加載TrustedBSD的MAC模塊之后，普通用戶ww已經不能看到其他人的工作進程了，也不能看到其他人的網絡連接狀態。如圖5，6所示。

圖5

圖6

這樣系統的安全性就大大提高了。如果我們希望系統啟動時自動加載這一模塊，就向/boot/loader.conf 文件中添加：mac_seeotheruids_load="YES"
如圖7所示。

圖7

如果我們想卸載這個模塊，只需要敲入命令：kldunload mac_seeotheruids即可。

大家用普通用戶（非root賬戶）在系統中執行一下netstat，ps之類的命令，很容易就能做出比較。在加載MAC模塊的狀態下，以上命令只會顯示當前用戶自己的進程及套接字。
但是不會顯示其他用戶當前正在進行的操作。

【編輯推薦】

1. 專題：探訪Linux/Unix安全世界
2. 惠普改進UNIX安全和虛擬技術提高安騰性能
3. 系統安全之全面捍衛我的UNIX 系統賬戶