| Оглавление |
|---|
| Информация | ||
|---|---|---|
| ||
Расширенный режим МКЦ (strict mode) является развитием режима МКЦ Astra Linux и предназначен для усиления защиты ОС. Особенности работы в этом режиме описаны ниже.
| Предупреждение |
|---|
| Включение расширенного режима МКЦ может привести к сбоям в работе некоторого прикладного ПО (особенно уже установленного). Поэтому перед включением расширенного режима МКЦ в ОС администратору рекомендуется провести тестирование используемого прикладного ПО с целью проверки его работоспособности при включенном расширенном режиме МКЦ и необходимости его дополнительной настройки. |
При работе в расширенном режиме МКЦ имеются следующие особенности:
- в любом режиме МКЦ процесс при его непосредственном запуске наследует уровень целостности (
- УЦ) процесса-родителя
- , но в расширенном режиме МКЦ
- вводится дополнительное ограничение: непосредственный запуск процесса запрещен если исполняемый файл, из которого запускается процесс, имеет УЦ меньший или несравнимый с УЦ процесса-родителя. В
- таком случае процесс возможно запустить только
- посредством инструмента (системного вызова) sumic, описание которого приведено в 4.15.9.
- при работе в обычном режиме МКЦ создаваемым файловым объектам (файлам или каталогам) назначается нулевой УЦ. При работе в расширенном режиме МКЦ создаваемым файловым объектам
- назначается УЦ, равный УЦ каталога, в котором
- объект размещается. При этом запрещено создавать
- файловые объекты с УЦ выше или несравнимым с
- УЦ процесса, создающего данный объект.
- вход в пользовательские сессии с нулевой классификационной меткой возможен только на максимально доступном пользователю неиерархическом уровне целостности (выбирается автоматически). Т.е. администратор с высоким уровнем целостности, выбрав при входе в сессию нулевую метку конфиденциальности, не сможет выполнить вход на нулевом уровне целостности. И наоборот, если администратором с высоким уровнем целостности при входе в сессию была выбрана ненулевая классификационная метка, то вход будет выполнен на нулевом УЦ;
при включенном расширенном режиме МКЦ во время создания пользователя всему содержимому его домашнего каталога назначается УЦ, равный УЦ данного пользователя. В дальнейшем назначение УЦ содержимому домашних каталогов пользователей осуществляется в соответствии с общими правилам МКЦ;
- не применяется привилегия PARSEC_CAP_IGNMACINT (см. таблицу 8);
- не применяется параметр командной строки ядра parsec.ccnr_relax (см. таблицу 31);
- возможно применение привилегии PARSEC_CAP_CCNR_RELAX (см. таблицу 8);
- возможно применение атрибута irelax (см. 4.3.2).
Управление режимом МКЦ
Включение расширенного режима МКЦ осуществляется путем выполнения командыкомандой:
| Command |
|---|
| sudo astra-strictmode-control enable |
В результате выполнения этой команды:
- будут выполнены необходимые настройки
- меток целостности файловых объектов
- для параметра
- ядра parsec.strict_mode установлено значение 1.
Для активации расширенного режима МКЦ необходимо перезагрузить ОС.
Для проверки текущего состояния расширенного режима МКЦ (активен/неактивен) можно воспользоваться командой:
| Command |
|---|
| sudo astra-strictmode-control status |
В случае, если после выполнения команды включения расширенного режима МКЦ не выполнялась перезагрузка ОС, результат команды проверки состояния режима будет НЕАКТИВНО.
Для получения информации о состоянии расширенного режима МКЦ, которое будет после перезагрузки ОС, выполнить команду:
| Command |
|---|
| sudo astra-strictmode-control is-enabled |