本文分析FreeBSD 10.0【 http://xrefs.info/freebsd-10.0/ 】的MAC Framework的整体流程。

在【/usr/src/sys/security/mac/mac_framework.c】中有如下一段注释，描述了MAC Framework实现的三大功能：

也就是说，1）可以按照不同的安全保护策略，实现不同的策略模块，并通过在<security/mac/mac_policy.h> 中定义的接口向MAC Framework注册；2）各内核子系统可以通过<security/mac/mac_framework.h>中定义的与各子系统相关的接口来请求MAC Framework进行安全判定；3）MAC Framework在接收到安全判定请求时，会循序调用已经注册的各个策略模块的判定函数，实现安全判定；4）提供了用户空间接口用于设置受控资源对象的安全属性（label state）。

MAC代码布局

整体而言，FreeBSD的MAC相关代码位于【/usr/src/sys/security/】目录下面。其中mac目录是框架本身，audit目录是负责安全审计的模块（TrustedBSD Mandatory Access Control Framework分析