16.5 规划安全配置

　　在实施新技术时， 首先进行规划都是非常好的习惯。 在这段时间， 管理员一般都应 “进行全面的考察”， 这至少应包括下列因素：

• 方案实施的必要条件；

• 方案实施的目标；

　　就实施 MAC 而言， 这包括：

• 如何在目标系统上对信息和资源进行分类。

• 需要限制哪类信息或资源的访问， 以及应采用何种限制。

• 需要使用哪些 MAC 模块来完成这些目标。

　　尽管重新配置并修改系统资源和安全配置是可行的， 但查找整个系统并修复暨存的文件和用户帐号并不是一件轻而易举的事情。 规划有助于完成无问题且有效的可信系统实施。 事先 对采用 MAC 的可信系统， 以及其配置做试运行十分有益， 因为这对实施的成败至关重要。 草率散漫地配置 MAC 通常是导致失败的祸根。

　　不同的环境可能会有不同的需求。 建立多层次而完备的安全配置， 可以减少系统正式运转之后所需要的微调。 同样地， 接下来的章节将介绍管理员能够使用的各种不同的模块； 描述它们的使用和配置； 除此之外还有一些关于它们最适合的情景的介绍。 例如， web 服务器可能希望使用 mac_biba(4) 和 mac_bsdextended(4) 策略， 而其他情况下， 例如一台机器上只有少量的本地用户时， mac_partition(4) 则是不错的选择。