9、资源访问控制与系统安全保障

资源访问控制与系统安全保障

1. RADIUS 服务与防火墙基础

RADIUS 服务由 launchd 启动和管理，使用 /System/Library/LaunchDaemons/org.freeradius.radiusd.plist 文件。其运行时配置依赖于 /etc/raddb 目录下的多个文件。RADIUS 服务的日志记录在两个位置：
- /Library/Logs/radiusconfig.log ：记录配置更改，如添加或删除设备。
- /var/log/radius/radius.log ：记录常规活动。

Mac OS X 和 Mac OS X Server 内置了基于开源 ipfw 项目的有状态数据包防火墙，它能跟踪网络连接状态。Mac OS X Server 运行的 emond 服务会监控错误登录尝试，连续 10 次错误登录会触发自适应防火墙，在 ipfw 中注入规则，将其完全阻止 15 分钟。

2. 防火墙与 RADIUS 服务的故障排除

2.1 防火墙故障排除

防火墙服务需要精心规划，每次只做一项更改并确保达到预期效果，同时记录更改。当规则看似正常但不起作用时，可使用 tcpdump 数据包嗅探器。以下是一些常见的 tcpdump 使用示例：
- 捕获 en0 接口的所有数据包并输出到标准输出：

# tcpdump -i en0

• 限制捕