Критерий сравнения | Киоск-2 (parsec-kiosk2) | Киоск (parsec-kiosk) |
---|
Маскирование прав | Нет. | Есть. |
Включение контроля доступа | 1) Включение контроля доступа с сохранением данного состояния до перезагрузки ОС: Command |
---|
echo 1 | sudo tee /sys/module/parsec/parameters/uc_enforce |
2) Включение контроля доступа с сохранением данного состояния после перезагрузки ОС: Command |
---|
echo 1 | sudo tee /etc/parsec/kiosk2_enforce |
| Включение контроля доступа с сохранением данного состояния после перезагрузки ОС: Command |
---|
echo 0003 > /etc/parsec/kiosk_mask reboot |
|
Отключение контроля доступа | 1) Отключение контроля доступа с сохранением данного состояния до перезагрузки ОС: Command |
---|
echo 0 | sudo tee /sys/module/parsec/parameters/uc_enforce |
2) Отключение контроля доступа с сохранением данного состояния после перезагрузки ОС: Command |
---|
echo 0 | sudo tee /etc/parsec/kiosk2_enforce |
| Отключение контроля доступа с сохранением данного состояния после перезагрузки ОС: Command |
---|
echo 0000 > /etc/parsec/kiosk_mask reboot |
|
Включение режима протоколирования | 1) Включение протоколирования с сохранением данного состояния до перезагрузки ОС: Command |
---|
echo 1 | sudo tee /sys/module/parsec/parameters/uc_complain |
2) Включение протоколирования с сохранением данного состояния после перезагрузки ОС: Command |
---|
echo 1 | sudo tee /etc/parsec/kiosk2_complain |
| Нет. |
Отключение режима протоколирования | 1) Отключение протоколирования с сохранением данного состояния до перезагрузки ОС: Command |
---|
echo 0 | sudo tee /sys/module/parsec/parameters/uc_complain |
2) Отключение протоколирования с сохранением данного состояния после перезагрузки ОС: Command |
---|
echo 0 | sudo tee /etc/parsec/kiosk2_complain |
| Нет. |
Протоколирование процессов через консоль | Через dmesg (см. Руководство КСЗ, часть 1, 16.3.3.2 Протоколирование процессов). | Через otrace.
|
Синтаксис профилей | Синтаксис профилей Киоск-2 отличается от синтаксиса профилей киоска. При этом, parsec-kiosk2 распознает синтаксис профилей parsec-kiosk. Профиль, содержащий строки, написанные обоими синтаксисами будет корректно работать в режиме Киоск-2.
Информация |
---|
После редактирования такого профиля в fly-admin-kiosk, строки написанные по синтаксису parsec-kiosk заменятся строками с синтаксисом parsec-kiosk2. |
Блок кода |
---|
+file rwc uo: file-name
+file rwc u: file-name
+file r o: file-name
+link rwc uo: file-name
@include other-profile-name |
Информация |
---|
В синтаксисе режима Киоск-2 можно использовать кириллицу. |
В синтаксисе профилей Киоск-2 доступны метасимволы. Таблица метасимволов приведена в руководстве по комплексу средств защиты информации, часть 1, (16.3.2.1. Синтаксис профилей режима Киоск-2). Примечание |
---|
| Метасимволы в имени файла (ссылки) не интерпретируются. |
|
Блок кода |
---|
"/file/name" rwx
/file/name rwx
"/file/name" r-x
/file/name -w-
other-profile-name
|
Метасимволы недоступны, в профилях всегда указывается конкретный файл. Синтаксис режима киоска отличается тем что: - в имени файла спецсимволы не интерпретируются;
- любое из прав на чтение (r) или исполнение (x) преобразуется в право на чтение (r), а право на запись (w) преобразуется в права на запись (w) и создание (c);
- правила одинаково применяются для доступа и владельцев, и невладельцев;
- строка обязательно должна начинаться с символа / или должна быть окружена кавычками " ;
- если файл представляет символьную ссылку, то режим Киоск-2 обрабатывает целевой файл ссылки;
- имя профиля должно начинаться только с латинской буквы, а также в нем должен отсутствовать символ слэш "/".
|
Регулирование доступа к файлам, не существующим на момент применения профиля | Допускается регулирование доступа к файлам, не существующим на момент применения профиля. | Файл должен существовать заранее. |
Использование средств ядра ОС | Имеет независимые глобальные переключатели для применения ограничений к пользователям и для протоколирования запрещённых действий ядром ОС (режим протоколирования также применяется для создания новых профилей). | Не протоколирует запрещённые действия средствами ядра ОС и всегда применяет ограничения. |
Отсутствие профиля пользователя user1 | Пользователю user1 разрешены любые действия. Киоск-2 ограничивает только тех пользователей, для которых создан профиль в /etc/parsec/kiosk2. | Пользователю user1 запрещены любые действия. Ограничения режима киоска затрагивают всех пользователей системы, то есть отсутствие профиля эквивалентно пустому профилю. |
fly-admin-kiosk | При установленном parsec-kiosk2, пакет fly-admin-kiosk зависит от parsec-kiosk2. Примечание |
---|
| Если в ОС использовался режим киоска parsec-kiosk, то при установленном в системе пакете parsec-kiosk2 графическая утилита fly-admin-kiosk не будет распознавать профили режима киоска, расположенные в каталогах /etc/parsec/kiosk/и /etc/parsec/kiosk-profiles/. Для работы с профилями режима киоска с использованием утилиты fly-admin-kiosk необходимо переместить их в каталоги /etc/parsec/kiosk2/ и /etc/parsec/kiosk2-profiles/ пакета parsec-kiosk2 соответственно. |
Пакет fly-admin-kiosk не требует предварительной настройки и позволяет: - включать и выключать режим Киоск-2;
- включать и выключать протоколирование процессов в режиме "настройка трассировки процесса" или в "режим глобальной загрузочной записи" (название отличается в зависимости от версии fly-admin-kiosk);
- создавать и редактировать профили с помощью:
- включения в профиль пользователя стандартных профилей;
- генерации набора файлов протоколированием системного или выполняемого от имени пользователя приложения;
- копировать профили пользователей;
- удалять профили пользователей;
- включать и выключать профили пользователей;
- отменять изменения в профилях.
| Для работы с fly-admin-kiosk требуется предварительная настройка. Пакет fly-admin-kiosk позволяет: - включать и отключать режим киоска;
- создавать, редактировать удалять и копировать профили;
- включать или исключать из состава профиля другие профили;
- включать или исключать из состава профиля файлы;
- настраивать трассировку (протоколирование) процесса.
|