Привилегии PARSEC, так же, как и привилегии Linux, наследуются процессами от своих «родителей». Процессы, запущенные от имени суперпользователя, имеющего максимальный («Высокий») уровень целостности по умолчанию, независимо от явного назначения им привилегий, имеют возможность осуществлять большинство привилегированных действий.
Для настройки КСЗ могут использоваться как PARSEC-, так и Linux-привилегии.
Порядок управления привилегиями описан в Руководство по комплексу средств защиты информации, часть 1, п. 4.9
Информация |
---|
Данная статья применима к:
|
Привилегия | Битовая маска | Описание |
PARSEC_CAP_AUDIT | 0x00002 | Позволяет управлять политикой аудита. |
PARSEC_CAP_BYPASS_KIOSK | 0x08000 | Parsec 2.5.257 и выше. Позволяет игнорировать ограничения киоска. В Astra Linux Special Edition очередное обновление x.7 не используется. |
PARSEC_CAP_BYPASS_XATTR | 0x40000 | Позволяет процессу игнорировать подписи файлов. Реализована в Astra Linux Special Edition очередное обновление x.7. |
PARSEC_CAP_CAP | 0x00400 | Позволяет процессу устанавливать любой непротиворечивый набор привилегий для себя. |
PARSEC_CAP_CHMAC | 0x00008 | Позволяет изменять метки безопасности файловых объектов. |
PARSEC_CAP_FILE_CAP | 0x00001 | Не используется. |
PARSEC_CAP_IGNMACCAT | 0x00020 | Позволяет игнорировать (Parsec 2.5.265 и выше), отменяющая мандатные ограничения при работе с объектами IPC, такими как shared memory, message queue и т.д. (Parsec-аналог Linux-привилегии CAP_IPC_OWNER) мандатную политику по категориям доступа. |
PARSEC_CAP_IGNMACINT | 0x02000 | Позволяет игнорировать мандатную политику по уровням целостности. |
PARSEC_CAP_IGNMACLVL | 0x00010 | Позволяет игнорировать мандатную политику по уровням конфиденциальности. |
PARSEC_CAP_INHERIT_INTEGRITY | 0x20000 | При создании файловых объектов на них автоматически устанавливается максимально возможная целостность, однако не выше, чем целостность процесса-создателя и целостность контейнера, в котором создается файловый объект. Используется для установщика пакетов (dpkg). |
PARSEC_CAP_IPC_OWNER | 0x10000 | БЮЛЛЕТЕНЬ № 20181229SE16 (оперативное обновление 1), Parsec 2.5.265 и выше. Отменяет мандатные ограничения при работе с сущностями IPC, такими как shared memory, message queue и т.д. (Parsec-аналог Linux-привилегии CAP_IPC_OWNER). |
PARSEC_CAP_MAC_SOCK | 0x00800 | Позволяет изменять метки безопасности точек соединения (UNIX-сокетов). |
PARSEC_CAP_PRIV_SOCK | 0x00100 | Позволяет создавать новые сетевые сокеты процесса в привилегированном режиме (метка ehole). |
PARSEC_CAP_PROCFS | 0x80000 | Позволяет игнорировать ограничения МРД и МКЦ на файловой системе /proc. Используется для систем контейнеризации и виртуализации. |
PARSEC_CAP_READSEARCH | 0x00200 | Позволяет игнорировать мандатную политику при чтении и поиске файловых объектов (но не при записи). |
PARSEC_CAP_SETMAC | 0x00004 | Позволяет изменять метку безопасности процессов. Привилегия не позволяет процессу повышать уровень целостности другого процесса, а только понижать. |
PARSEC_CAP_SIG | 0x00040 | Позволяет посылать сигналы процессам, игнорируя мандатные права. |
PARSEC_CAP_SUMAC | 0x04000 | Parsec 2.5.251 и выше. Позволяет запускать процессы с другой классификационной меткой (с другим иерархическим уровнем конфиденциальности и другими неиерархическими категориями доступа). |
PARSEC_CAP_UNSAFE_SETXATTR | 0x01000 | Позволяет устанавливать мандатные атрибуты объектов файловой системы без учета мандатных атрибутов родительского объекта-контейнера. Привилегия используется для восстановления объектов файловой системы из резервных копий и только после установки значения «1» для параметра /parsecfs/unsecure_setxattr. |
PARSEC_CAP_UPDATE_ATIME | 0x00080 |
|