Дерево страниц

Сравнение версий

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Оглавление


Информация
titleДанная статья применима к:


Расширенный режим МКЦ

Расширенный режим МКЦ (strict mode) является развитием режима МКЦ Astra Linux и предназначен для усиления защиты ОС. Расширенный режим МКЦ доступен в следующих обновлениях Astra Linux:

Особенности работы в этом режиме описаны ниже.

Особенности работы в расширенном режиме МКЦ

Предупреждение

Включение расширенного режима МКЦ может привести к изменениям в работе стороннего прикладного ПО (особенно ранее установленного). Поэтому перед включением расширенного режима МКЦ в ОС администратору рекомендуется провести тестирование используемого прикладного ПО с целью проверки его работоспособности при включенном расширенном режиме МКЦ и необходимости его дополнительной настройки.

Предупреждение
Выключение расширенного режима МКЦ не поддерживается.


При работе в расширенном режиме МКЦ  имеются следующие особенности (далее под термином "домашний каталог" подразумевается "домашний каталог пользователя и всё его содержимое"):

  1. В любом режиме МКЦ процесс при его непосредственном запуске наследует неиерархический уровень целостности (УЦ) процесса-родителя В расширенном режиме МКЦ вводится дополнительное ограничение: если исполняемый файл, из которого запускается процесс, имеет УЦ меньший или несравнимый с УЦ процесса-родителя, то непосредственный запуск процесса запрещен. В таком случае процесс возможно запустить только посредством инструмента (системного вызова) sumic (см. Инструмент sumic).

  2. При работе в обычном режиме МКЦ создаваемым файловым объектам (файлам или каталогам) назначается нулевой УЦ. При работе в расширенном режиме МКЦ создаваемым файловым объектам назначается УЦ, равный УЦ каталога, в котором объект размещается. При этом запрещено создавать файловые объекты с УЦ выше или несравнимым с УЦ процесса, создающего данный объект.

  3. Вход в локальные пользовательские сессии с нулевой классификационной меткой возможен только с максимально доступным пользователю неиерархическим уровнем целостности (выбирается автоматически). Т.е. администратор с высоким уровнем целостности, выбрав при входе в сессию нулевую классификационную метку, не сможет выполнить вход с нулевым УЦ. И наоборот, если администратором с высоким уровнем целостности при входе в сессию была выбрана ненулевая классификационная метка, то вход будет выполнен с нулевым УЦ;.

  4. При включении расширенного режима МКЦ всем домашним каталогам назначается каталогам назначается максимальный УЦ пользователя-владельца;.

  5. При включенном расширенном режиме МКЦ:
    1. При создании нового пользователя ему назначается нулевой УЦ. Домашнему каталогу также назначается нулевой УЦ;.
    2. При назначении новому пользователю ненулевого максимального УЦ домашнему каталогу следует также назначить этот УЦ;.
    3. Для нового входа доменного пользователя, имеющего ненулевой максимальный УЦ, необходимо вручную создать пустой домашний каталог и назначить ему максимальный УЦ этого пользователя;.
    4. При перезагрузке ОС всем существующим домашним каталогам принудительно назначается максимальный УЦ владельца;.

  6. Не применяется привилегия PARSEC_CAP_IGNMACINT (см. Привилегии PARSEC);.

  7. Не применяется (игнорируется) параметр ядра parsec.ccnr_relax (см. Параметры модуля ядра Parsec, задаваемые в загрузчике);.

  8. Возможно применение привилегии PARSEC_CAP_CCNR_RELAX (см. Привилегии PARSEC);.

  9. Возможно применение атрибута irelax (см. Метка безопасности: структура и состав).

Включение расширенного режима МКЦ

Включение расширенного режима МКЦ осуществляется командой:

Command
sudo astra-strictmode-control enable

В результате выполнения этой командыПри включении расширенного режима МКЦ:

  1. Будут выполнены необходимые настройки выполнено назначение необходимых меток целостности файловых объектов, в том числе существующим локальным домашним каталогам существующих локальных пользователей, имеющих ненулевой максимальный УЦ, будет назначен их максимальный УЦ; пользователей, подробнее см. Особенности использования домашних каталогов пользователей при работе в расширенном режиме МКЦ.
  2. Для параметра ядра parsec.strict_mode установлено значение 1.

Для активации расширенного режима МКЦ необходимо перезагрузить ОС.

Информация

При включении расширенного режима МКЦ на контроллере домена аналогичный режим на компьютерах-клиентах домена автоматически не включается, и вход пользователей выполняется по обычным  правилам. При необходимости использовать расширенный режим МКЦ на компьютерах-клиентах этот режим должен быть включен на каждом из них.

Для проверки текущего состояния расширенного режима МКЦ (активен/неактивен) можно воспользоваться командой:

Command
sudo astra-strictmode-control status

В случае, если после выполнения команды включения расширенного режима МКЦ не выполнялась перезагрузка ОС, результат команды проверки состояния режима будет НЕАКТИВНО.

Для получения информации о состоянии расширенного режима МКЦ, которое будет после перезагрузки ОС, выполнить команду:

Command
sudo astra-strictmode-control is-enabled

Якорь
homes-in-sm
homes-in-sm
Особенности использования домашних каталогов пользователей при работе в расширенном режиме МКЦ

Далее для обозначения максимального разрешенного пользователю неиерархического уровня целостности используется сокращение МРУЦ.

  1. При работе Astra Linux Special Edition с установленным обновлением 1.7.3.UU2:
    1. При включении расширенного режима МКЦ локальным домашним каталогам всех пользователей, имеющим ненулевой МРУЦ, назначается этот УЦ.
    2. При каждой перезагрузке ОС локальным домашним каталогам всех пользователей, имеющим ненулевой МРУЦ, назначается этот УЦ.

  2. При работе Astra Linux Special Edition без установленного обновления 1.7.3.UU2:
    1. При включении расширенного режима МКЦ локальным домашним каталогам пользователей, входящих в группу astra-admin и имеющих ненулевой МРУЦ, назначается максимальный УЦ, доступный в ОС.
    2. При каждой перезагрузке ОС всем локальным домашним каталогам пользователей, имеющих ненулевой МРУЦ, назначается максимальный УЦ, доступный в ОС.

При понижении (обнулении) МРУЦ  метки целостности на домашний каталог пользователя должны быть проставлены вручную.

Якорь
sumic
sumic
Инструмент sumic

Инструмент sumic позволяет запускать процессы на УЦ ниже, чем УЦ процесса-родителя. При таком запуске:

  • УЦ запущенного процесса будет не выше УЦ исполняемого файла, из которого он запущен;
  • запущенный процесс не унаследует открытые ресурсы процесса-родителя ресурсов, имеющие УЦ, превышающий УЦ запущенного процесса;
  • запуск графических утилиты выполняется в изолированном X-сервере.

Синтаксис инструмента:

Command
sumic [параметр] [--] [<команда>] [<параметры_запуска_команды>]

Параметры инструмента:

  • -i <уровень_целостности> — УЦ, на котором будет запущен процесс указанной команды. В случае отсутствия параметра процесс будет запущен с нулевым УЦ;
  • -v, --version — Вывести информацию о версии и выйти;
  • -h, --help — Вывести справку и выйти.