Справочный центр

Дерево страниц

Сравнение версий

Старая версия 22

changes.mady.by.user Александр Левдонский

Сохранено

по сравнению с

Новая версия 23

changes.mady.by.user Александр Левдонский

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Для обеспечения возможности работы службы pcscd с ненулевой меткой безопасности в конфигурационный файл /lib/systemd/system/сокету pcscd.socket в секцию [socket] добавить параметр CapabilitiesParsec=необходимо добавить привилегию PARSEC_CAP_PRIV_SOCK (см. Привилегии PARSEC). Для этого выполнить :

  1. Выполнить команду:

    Command

    sudo systemctl edit pcscd.socket

...


  2. В открывшемся текстовом редакторе указать следующий текст:

    Блок кода
    [Socket]

...

  1. 
CapabilitiesParsec=PARSEC_CAP_PRIV_SOCK

...


  2. Сохранить изменения;
  3. Перезапустить сокет:
     Command
    sudo systemctl restart pcscd.socket


После запуска перезапуска сокета pcscd.socket убедиться, что ему присвоен атрибут ehole. Для этого воспользуйтесь командойиспользовать команду:
 Command
sudo pdp-ls -Ma /var/run/pcscd/pcscd.comm

 Примечание
1) Атрибуты файле pcscd.comm, должно быть такимАтрибуты файла /var/run/pcscd/pcscd.comm  должны быть такими:
 Блок  кода
srw-rw-rw-m-- 1 root root Уровень_0:Низкий:Нет:ehole /var/run/pcscd/pcscd.comm
2) В ином случае следует удалить pcscd.comm командой:
 Command
sudo rm -r /var/run/pcscd/pcscd.comm
и перезагрузить ПК.
Проверка
...
Для проверки , следует зайти под пользователем обратиться к токену из процесса с ненулевой классификационной меткой безопасности и обратиться к токену, например, с командой:
 Command
sudo pdp-exec -l 1:0:0 opensc-explorer
В случае успеха , Opensc explorer сообщит, что обратился к слоту с токеном:
...
Запуск с определенным уровнем конфиденциальности 
...
Для запуска службы pcscd с определенной ненулевой классификационной меткой , в конфигурационный файл /lib/systemd/system/pcscd.service в секцию [Service] следует добавить параметр PDPLabel, значение которого будет определять  классификационную следует назначить службе эту метку. Для этого использовать :
  1. Выполнить команду:
     Command
    sudo systemctl edit pcscd.service
...

  2. В открывшемся текстовом редакторе указать имя секции [Service] и нужную метку, например, для задания метки иерархическим уровнем конфиденциальности равным единице:
     Блок  кода
...
  1. [Service]

...
  1. PDPLabel=1:63:0
...

  1.  Информация
    titleФормат метки:
    PDPLabel=<Уровень>:<Уровень целостности>:<Категории>
    Формат метки PDPLabel аналогичен принятому в системе PARSEC за исключением поля типа - метки.
...

  2. Сохранить изменения;

  3. Перезапустить службу:
     Command
    sudo systemctl restart pcscd.service