Привилегия | Битовая маска | Описание |
---|
PARSEC_CAP_AUDIT | 0x00002 | Позволяет управлять политикой аудита. |
PARSEC_CAP_BYPASS_KIOSK | 0x08000 | Parsec 2.5.257 и выше. Позволяет игнорировать ограничения киоска. В Astra Linux Special Edition очередное обновление x.7 не используется. |
PARSEC_CAP_BYPASS_XATTR | 0x40000 | Позволяет процессу игнорировать подписи файлов. Реализована в Astra Linux Special Edition очередное обновление x.7. |
PARSEC_CAP_CAP | 0x00400 | Позволяет процессу устанавливать любой непротиворечивый набор привилегий для себя. |
PARSEC_CAP_CHMAC | 0x00008 | Позволяет изменять метки безопасности файловых объектов. |
PARSEC_CAP_FILE_CAP | 0x00001 | Не используется. Для изменения меток безопасности файловых объектов см. привилегию PARSEC_CAP_CHMAC. Для изменения меток безопасности процессов см. PARSEC_CAP_SETMAC. Для изменения привилегий процессов см. PARSEC_CAP_CAP. |
PARSEC_CAP_IGNMACCAT | 0x00020 | Позволяет игнорировать мандатную политику по неиерархическим категориям конфиденциальности. См. также PARSEC_CAP_IGNMACLVL и PARSEC_CAP_IGNMACINT. |
PARSEC_CAP_IGNMACINT | 0x02000 | Позволяет игнорировать мандатную политику по уровням целостности. Игнорируется при работе в расширенном режиме МКЦ (strict-mode, см. Изменения в документацию, связанные с обновлением № 2022-0819SE17 (оперативное обновление 1.7.2). См. также PARSEC_CAP_IGNMACCAT, PARSEC_CAP_IGNMACLVL, PARSEC_CAP_INHERIT_INTEGRITY. |
PARSEC_CAP_IGNMACLVL | 0x00010 | Позволяет игнорировать мандатную политику по иерархическим уровням конфиденциальности. См. также PARSEC_CAP_IGNMACCAT и PARSEC_CAP_IGNMACINT. |
PARSEC_CAP_INHERIT_INTEGRITY | 0x20000 | При создании файловых объектов на них автоматически устанавливается максимально возможная целостность, однако не выше, чем целостность процесса-создателя и целостность контейнера, в котором создается файловый объект. Используется для установщика пакетов (dpkg). См. также PARSEC_CAP_IGNMACINT. |
PARSEC_CAP_IPC_OWNER | 0x10000 | БЮЛЛЕТЕНЬ № 20181229SE16 (оперативное обновление 1), Parsec 2.5.265 и выше. Отменяет мандатные ограничения при работе с сущностями IPC, такими как shared memory, message queue и т.д. (Parsec-аналог Linux-привилегии CAP_IPC_OWNER). |
PARSEC_CAP_MAC_SOCK | 0x00800 | Позволяет изменять метки безопасности точек соединения (UNIX-сокетов). Для сетевых сокетов см. PARSEC_CAP_PRIV_SOCK. |
PARSEC_CAP_PRIV_SOCK | 0x00100 | Позволяет создавать новые сетевые сокеты процесса в привилегированном режиме (метка ehole). Привилегированный сокет позволяет осуществлять сетевое взаимодействие, игнорируя мандатную политику. Для точек соединения (UNIX-сокетов) см. PARSEC_CAP_MAC_SOCK. |
PARSEC_CAP_PROCFS | 0x80000 | Позволяет игнорировать ограничения МРД и МКЦ на файловой системе /proc. Используется для систем контейнеризации и виртуализации. Реализована в Astra Linux Special Edition очередное обновление x.7. |
PARSEC_CAP_READSEARCH | 0x00200 | Позволяет игнорировать мандатную политику при чтении и поиске файловых объектов (но не при записи). |
PARSEC_CAP_SETMAC | 0x00004 | Для обновления БЮЛЛЕТЕНЬ № 2023-0426SE17 (оперативное обновление 1.7.4): Позволяет процессу повышать значения атрибутов собственной классификационной метки (иерархический и неиерархический уровни конфиденциальности). Процесс может понижать собственный уровень целостности, привилегии для этого не требуются (для запуска процесса на пониженном уровне используется команда sumic). Процесс не может изменять метки безопасности других процессов. Для понижения уровня целостности работающего процесса рекомендуется использовать системный вызов pdp_set_pid_safe(), закрывающий высокоцелостные дескрипторы (применять команду sumic, использующую этот системный вызов). Для более ранних обновлений: Позволяет изменять метку безопасности процессов. Привилегия не позволяет процессу повышать уровень целостности другого процесса, а только понижать. Для изменения меток безопасности файловых объектов см. PARSEC_CAP_CHMAC. Для изменения привилегий процессов см. PARSEC_CAP_CAP. |
PARSEC_CAP_SIG | 0x00040 | Позволяет посылать сигналы процессам, игнорируя мандатные права. |
PARSEC_CAP_SUMAC | 0x04000 | Parsec 2.5.251 и выше. Позволяет запускать процессы с другой классификационной меткой (с другим иерархическим уровнем конфиденциальности и другими неиерархическими категориями доступа). |
PARSEC_CAP_UNSAFE_SETXATTR | 0x01000 | Позволяет устанавливать мандатные атрибуты объектов файловой системы без учета мандатных атрибутов родительского объекта-контейнера. Привилегия используется для восстановления объектов файловой системы из резервных копий и только после установки значения «1» для параметра /parsecfs/unsecure_setxattr. |
PARSEC_CAP_UPDATE_ATIME | 0x00080 | Позволяет изменять время доступа к файловым объектам. В настоящее время не используется.
|
PARSEC_CAP_CCNR_RELAX | 0x100000 | БЮЛЛЕТЕНЬ № 2022-0819SE17 (оперативное обновление 1.7.2) и выше - при работе в расширенном режиме МКЦ (strict-mode, см. Изменения в документацию, связанные с обновлением № 2022-0819SE17 (оперативное обновление 1.7.2) позволяет осуществлять в каталоге с установленным атрибутом ccnr действия (создание, удаление и др.) над вложенными файловыми объектами с классификационными метками не выше классификационной метки данного каталога. При этом при работе в strict-mode значение параметра ядра parsec.ccnr_relax игнорируется (см. Параметры модуля ядра Parsec, задаваемые в загрузчике). |