Оглавление |
---|
Подробно все изменения описаны в РУК КСЗ по ОССН Смоленск 1.6
Значения по умолчанию
- По умолчанию, после установки ОС:
- включен режим МКЦ ОС:
- установлен параметр ядра `max_ilev = 63`
- все процессы, начиная от init до менеджера входа fly-dm, имеют уровень целостности 63 (если в конфигурации юнита явно не указано иное).
- Графический сервер Xorg по умолчанию работает не от имени суперпользователя root (uid 0), а от пользователя, и работает на выделенном уровне МКЦ 8.
- МКЦ на ФС после установки по умолчанию не включен,
и должен быть включен после настройки ОС администратором.
- включен режим МКЦ ОС:
- По умолчанию, при входе через графический интерфейс:
Информация - Администратор, созданный при установке ОС, получает 63-й «красный» уровень МКЦ,
- Пользователи получают нулевой «синий» уровень МКЦ
- По умолчанию, при входе через SSH:
Информация - Администраторы из группы astra-admin автоматически получают 63-й «красный» уровень МКЦ
- Пользователи получают нулевой «синий» уровень МКЦ.
- Администратор, созданный при установке ОС, при входе через консоль должен вручную выставлять уровень МКЦ в 63.
- Для отдельных юнитов, в дальнейшем, возможно задать свой "выделенный уровень МКЦ" (например, apache можно запустить на первом уровне МКЦ), так же возможно задать для юнита systemd свой уровень конфиденциальности.
После включения МКЦ на ФС юниты или процессы на выделенном уровне МКЦ (например, на уровнях 1 или 2) не смогут записывать в файлы и каталоги, на которые будет установлено максимальное значение МКЦ 63 (см. set-fs-ilev или fly-admin-smc). Рекомендуемые уровни МКЦ:
...
- X-сервер в общем случае (если есть поддержка KMS в ядре) по умолчанию работает от имени пользователя fly-dm под выделенным уровнем МКЦ 8.
...
Флаги мандатной метки
- На контейнеры (каталоги) больше нельзя устанавливать флаги ehole.
Допускается только установка флагов
...
то непривилегированный пользователь получит возможность производить запись файлов с разным уровнем конфиденциальности в контейнер (каталог) с установленным флагом ccnr.
...
Уровни целостности
- Сравнение уровней целостности проводится по битовой маске:
...
Информация |
---|
63 0b00111111 |
...
Уровни целостности для systemd-служб
- Механизм одновременной работы с разными уровнями sumac теперь доступен только для тех пользователей,
которым задана привилегия parsec_cap_sumac.
...
и по определённому pid процесса узнайте метку
Информация |
---|
pdpl-ps <pid> |
...
Parsec-привилегии
- Добавлена Parsec-привилегия
PARSEC_CAP_SUMAC
, позволяющая запускать процессы другим уровнем конфиденциальности.
Поддерживаются привилегии, добавленные в предыдущей версии ОССН Смоленск:
- Привилегия
PARSEC_CAP_UNSAFE_SETXATTR
, позволяющая устанавливать мандатные атрибуты объектов ФС без учета мандатных атрибутов родительского объекта-контейнера.
Привилегия используется для восстановления объектов ФС из резервных копий, и действует только после установки значения 1 для параметра /parsecfs/unsecure_setxattr - Привилегия
PARSEC_CAP_IGNMACINT
, разрешающая игнорировать мандатную политику по уровням целостности