Сравнение версий
Ключ
- Эта строка добавлена.
- Эта строка удалена.
- Изменено форматирование.
Оглавление |
---|
Информация |
---|
Данная статья применима к:
|
Пакет parsec-kiosk2
Пакет parsec-kiosk2
содержит инструменты для ограничения возможностей, предоставляемых непривилегированным пользователям (т.н. user confinement).
Пакет входит в состав
обновления ОС СН Смоленск 1.6, и устанавливается по умолчанию при установке обновления.
Кроме того, установка пакета возможна на любой системе Astra Linux (в том числе на ОС ОН Орёл).
Загрузка профилей в модуль ядра
При установке пакета parsec-kiosk2 в PAM-стек (в файл /etc/pam.d/common-session) добавляется вызов pam_exec
для инструмента ppfsm, обеспечивающего загрузку профилей в модуль ядра.
Если в системе не установлен модуль parsec с поддержкой user confinement, ppfsm немедленно завершается с кодом возврата "успех", не совершая никаких действий.
Графический инструмент для управления профилями
Дополнительно при установке пакета parsec-kiosk2 устанавливается графический инструмент fly-admin-kiosk для управления профилями.
После установки этот инструмент доступен через систему графических меню:
"Пуск" - "Панель управления" - "Безопасность" - "Системный киоск".
Включение user confinement при установленном модуле ядра:
Включить контроль доступа и применять ограничения на работу с файлами при нарушении установленных фильтров доступа:
Command echo 1 > /sys/module/parsec/parameters/uc_enforce
Включить протоколирование нарушений установленных фильтров доступа:
Command echo 1 > /sys/module/parsec/parameters/uc_complain
Профили пакета parsec-kiosk2
Файлы с профилями parsec-kiosk2 располагаются в каталоге /etc/parsec/kiosk2-profiles/.
При установке пакета в этот каталог устанавливается набор типовых профилей.
Синтаксис профилей киоска
"Современный" / базовый
Информация |
---|
+file <r/w/c> <u/o>: <filename> |
Разрешить чтение/запись/создание владельцу/невладельцу. В имени файла могут использоваться метасимволы, например:
Информация |
---|
+file ? u: ** (разрешить создание, запись, чтение владельцам файлов). |
Вариант с чтением ссылки:
Информация |
---|
+link <r/w/c> <u/o>: <filename> |
Имя файла должно соответствовать существующей символьной ссылке. Целевой файл для ссылки (который не обязан существовать в момент загрузки профиля) добавляется в список доступных. Метасимволы в имени файла (ссылки) не интерпретируются.
Информация |
---|
+link r o /lib/ld-linux.so.2 |
Совместимый с parsec-kiosk
Информация |
---|
|
При этом:
- Имя файла считается литералом (спецсимволы не интерпретируются);
- Любое из прав
r/x
преобразуется вr
,w
преобразуется вwc;
- Правила применяется одинаково и для доступа владельцев и для доступа невладельцев (uo);
- Строка обязательно должна начинаться с символа кавычки или символа "слэш";
- Если файл представляет символьную ссылку, в вывод профиля попадает целевой файл ссылки.
Включение файла
Вариант, совместимый со старым киоском. Имя включаемого файла обязано начинаться с латинской буквы, символы "слэш" в имени не допускаются:
Информация |
---|
other-profile-name |
Информация |
---|
@include other-profile-name |