Проблема

При входе в систему невозможно выбрать уровень целостности.

Диагностика

  • Выполнить команды:

    sudo pdpl-user user
sudo astra-mic-control status
    CODE

    и проверить, что отображается информация о выставленном уровне целостности и состоянии мандатного контроля целостности (МКЦ). Например:

    sudo pdpl-user user         
минимальная метка: Уровень_0:Низкий:Нет:0x0
  0:0:0x0:0x0
максимальная метка: Уровень_0:63:Нет:0x0
  0:63:0x0:0x0 

sudo astra-mic-control status
НЕАКТИВНО
    CODE

    Уровень целостности высокий, МКЦ выключен.

Возможная причина: Выключен мандатный контроль целостности. Перейти к решению.

  • Проверить:
    • уровень защищенности ОС согласно статье Базы знаний;

    • параметр загрузки ядра ОС:

      sudo cat /var/log/kern.log | grep 'Kernel command line'
      CODE

      вывод:

      Jul  3 15:07:12 astra1 kernel: Kernel command line: BOOT_IMAGE=/boot/vmlinuz-5.15.0-70-generic root=UUID=0321e046-f3e2-42de-aa0d-250eb64b96de ro quiet net.ifnames=0
Jul  3 16:40:54 astra1 kernel: Kernel command line: BOOT_IMAGE=/boot/vmlinuz-5.15.0-70-generic root=UUID=0321e046-f3e2-42de-aa0d-250eb64b96de ro quiet net.ifnames=0
Jul  3 17:51:06 astra1 kernel: Kernel command line: BOOT_IMAGE=/boot/vmlinuz-5.15.0-70-generic root=UUID=0321e046-f3e2-42de-aa0d-250eb64b96de ro quiet net.ifnames=0
      CODE

    • конфигурационный файл загрузчика GRUB2:

      sudo cat /boot/grub/grub.cfg | grep /boot/
      CODE

      вывод:

      linux   /boot/vmlinuz-5.15.0-70-generic root=UUID=0321e046-f3e2-42de-aa0d-250eb64b96de ro quiet net.ifnames=0
initrd  /boot/initrd.img-5.15.0-70-generic
linux   /boot/vmlinuz-5.15.0-70-generic root=UUID=0321e046-f3e2-42de-aa0d-250eb64b96de ro single  
initrd  /boot/initrd.img-5.15.0-70-generic
linux   /boot/vmlinuz-5.10.176-1-generic root=UUID=0321e046-f3e2-42de-aa0d-250eb64b96de ro quiet net.ifnames=0
initrd  /boot/initrd.img-5.10.176-1-generic
linux   /boot/vmlinuz-5.10.176-1-generic root=UUID=0321e046-f3e2-42de-aa0d-250eb64b96de ro single  
initrd  /boot/initrd.img-5.10.176-1-generic
      CODE

      В обоих выводах после параметра ro отсутствует параметр parsec.max_ilev=63;

    • значение, указанное в файле /sys/module/parsec/parameters/max_ilev:

      sudo cat /sys/module/parsec/parameters/max_ilev
      CODE

      вывод:

      0
      CODE

      указывает на максимальный уровень целостности.

Возможная причина: Отсутствует параметр ядра parsec.max_ilev=63. Перейти к решению.

  • Убедиться, что все учетные записи заходят под 63 уровнем целостности.

Возможная причина: Ошибка в файле настройки модуля. Перейти к решению.

Возможные причины