Grsecurity/术语

本书使用了许多不同的术语，其中一些术语具有相同的含义。我们在这里列出了一些术语及其定义。本书还包含指向相关维基百科文章的内联链接。

访问控制列表

来自相关的 维基百科文章："访问控制列表 (ACL) 是 **与对象关联的一系列权限**。该列表指定谁或什么可以访问该对象以及允许对该对象执行哪些操作。""在本手册的语境下，ACL 用于表示单个角色或主体定义，或整个策略文件。

域

使用域，您可以将不属于同一组的用户和组组合在一起，以便他们共享一个策略。域的工作原理与角色相同。

对象

对象是系统中由系统上运行的程序使用的部分。它可以是文件或目录的绝对路径；一个 功能；一个 系统资源；一个 PaX 标志；网络访问（IP ACL）。

策略

策略是 **由 grsecurity 强制执行的一组系统范围规则**。强制访问控制 文章提供了一个非常好的描述："任何主体对任何对象的任何操作都将根据授权规则集（也称为策略）进行测试，以确定操作是否允许。"

角色

角色是一种抽象，它涵盖了 Linux 发行版 中存在的传统用户和组以及特定于 grsecurity 的特殊角色。角色可用于将系统管理的责任划分为较小的逻辑责任集，例如“数据库管理员”或“DNS 管理员”。将这种方法与使用单个 超级用户（例如 root）来执行系统上的所有管理任务进行比较。

规则集

规则集的使用方式与“访问控制列表”非常相似。它可能更常用于指代角色或主体定义，而不是整个策略文件。

主体

**主体使用和访问对象**，主体的规则集强制执行它可以使用哪些对象以及以何种方式使用。在实践中，主体最常是系统上运行的程序。在 grsecurity 中，主体被定义为指向实际程序可执行文件（例如 /sbin/init）或目录（例如 /lib/hal/scripts）的绝对路径。