История страницы

Привилегии PARSEC

-привилегии

, так же, как и привилегии Linux

-привилегии

, наследуются процессами от своих «родителей». Процессы, запущенные от имени суперпользователя, имеющего максимальный («Высокий») уровень целостности по умолчанию, независимо от явного назначения им привилегий, имеют возможность осуществлять большинство привилегированных действий.

Для настройки КСЗ могут использоваться как PARSEC-, так и Linux-привилегии.

Порядок управления привилегиями описан в Руководстве по комплексу средств защиты информации, см.:

Информация
Данная статья применима к:

ОС СН Смолленск

Astra Linux Special Edition РУСБ.10015-01 и РУСБ.10015-10 (очередное обновление 1.7)
Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)
Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6

ОС СН Ленинград

)
Astra Linux Special Edition РУСБ.10015-16 исп. 1 иисп. 2
Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)

Привилегии PARSEC

-привилегии

и их описание приведены в таблице:

"Фильтр таблиц"

inverse	,
ddSeparator	‚
sparkName	Sparkline
column	Привилегия

Атрибут

,Битовая маска
isNew	true
separator	Point (.)
labels	‚
ddSeparators	true
default	,
isFirstTimeEnter	true
ddOperator	,
cell-width	,
datepattern	M d, yy
id	1661863279761_1358640333
worklog	365\|5\|8\|y w d h m\|y w d h m
isOR	AND
order	0,1

Привилегия	Битовая маска	Описание
PARSEC_CAP_AUDIT

pcapaudit

	0x00002	Позволяет управлять политикой аудита.
PARSEC_CAP_BYPASS_KIOSK

pcapbypasskiosk

	0x08000	Parsec 2.5.257 и выше. Позволяет игнорировать ограничения киоска. В Astra Linux Special Edition очередное обновление x.7 не используется.
PARSEC_CAP_BYPASS_XATTR	0x40000	Позволяет процессу игнорировать подписи файлов. Реализована в Astra Linux Special Edition очередное обновление x.7.
PARSEC_CAP_CAP

pcapcap

0x00400

Позволяет процессу устанавливать любой непротиворечивый набор привилегий для

другого процесса и читать привилегии, присвоенные процессам

себя.

PARSEC_CAP_CHMAC

pcapchmac

	0x00008	Позволяет изменять метки безопасности файловых объектов.
PARSEC_CAP_FILE_CAP

pcapfilecap

0x00001	Не используется. Для изменения меток безопасности файловых объектов см. привилегию PARSEC_CAP_CHMAC. Для изменения меток безопасности процессов см. PARSEC_CAP_SETMAC. Для изменения привилегий процессов см. PARSEC_CAP_CAP.
PARSEC_CAP_IGNMACCAT

pcapignmaccat

0x00020

Позволяет игнорировать мандатную политику по неиерархическим категориям

доступа

конфиденциальности.
См. также PARSEC_CAP_IGNMACLVL и PARSEC_CAP_IGNMACINT.

PARSEC_CAP_IGNMACINT

pcapignmacint

0x02000

Позволяет игнорировать мандатную политику по уровням целостности.
Игнорируется при работе в расширенном режиме МКЦ (strict-mode, см. Изменения в документацию, связанные с обновлением № 2022-0819SE17 (оперативное обновление 1.7.2).
См. также PARSEC_CAP_IGNMACCAT, PARSEC_CAP_IGNMACLVL, PARSEC_CAP_INHERIT_INTEGRITY.

PARSEC_CAP_IGNMACLVL

pcapignmaclvl

0x00010	Позволяет игнорировать мандатную политику по иерархическим уровням конфиденциальности. См. также PARSEC_CAP_IGNMACCAT и PARSEC_CAP_IGNMACINT.
PARSEC_CAP_INHERIT_INTEGRITY

pcapinheritintegrity

0x20000

При создании файловых объектов на них автоматически устанавливается максимально возможная целостность,

однако не выше, чем целостность процесса-создателя и целостность контейнера, в котором создается файловый объект. Используется для установщика пакетов (dpkg).
См. также PARSEC_CAP_IGNMACINT.

PARSEC_CAP_IPC_OWNER

pcapipcowner

0x10000

БЮЛЛЕТЕНЬ № 20181229SE16 (оперативное обновление 1), Parsec 2.5.265 и выше. Отменяет мандатные ограничения при работе с сущностями IPC, такими как shared memory, message queue и т.д.

(Parsec-аналог Linux-привилегии CAP_IPC_OWNER).

)

PARSEC_CAP_MAC_SOCK

pcapmacsock

	0x00800	Позволяет изменять метки безопасности точек соединения (UNIX-сокетов). Для сетевых сокетов см. PARSEC_CAP_PRIV_SOCK.
PARSEC_CAP_PRIV_SOCK

pcapprivsock

	0x00100	Позволяет создавать новые сетевые сокеты процесса в привилегированном режиме (метка ehole). Привилегированный сокет позволяет осуществлять сетевое взаимодействие, игнорируя мандатную политику. Для точек соединения (UNIX-сокетов) см. PARSEC_CAP_MAC_SOCK.
PARSEC_CAP_

READSEARCH
pcapreadsearch

PROCFS	0x80000	Позволяет игнорировать ограничения МРД и МКЦ на файловой системе /proc. Используется для систем контейнеризации и виртуализации. Реализована в Astra Linux Special Edition очередное обновление x.7.
PARSEC_CAP_READSEARCH	0x00200	Позволяет игнорировать мандатную политику при чтении и поиске файловых объектов (но не при записи).
PARSEC_CAP_SETMAC

pcapsetmac
0x00004

0x00004

Для обновления БЮЛЛЕТЕНЬ № 2023-0426SE17 (оперативное обновление 1.7.4):

Позволяет процессу изменять (повышать или понижать) значения атрибутов собственной классификационной метки (иерархический и неиерархический уровни конфиденциальности). Процесс может понижать собственный уровень целостности, привилегии для этого не требуются (для запуска процесса на пониженном уровне используется команда sumic). Процесс не может повышать собственный уровень целостности и изменять метки безопасности других процессов. Для понижения уровня целостности работающего процесса рекомендуется использовать системный вызов pdp_set_pid_safe(), закрывающий высокоцелостные дескрипторы (применять команду sumic, использующую этот системный вызов).

Для более ранних обновлений:

Позволяет изменять метку безопасности процессов. Привилегия не позволяет процессу повышать уровень целостности другого процесса, а только понижать.

Для изменения меток безопасности файловых объектов см. PARSEC_CAP_CHMAC.
Для изменения привилегий процессов см. PARSEC_CAP_CAP.

PARSEC_CAP_SIG

pcapsig

	0x00040	Позволяет посылать сигналы процессам, игнорируя мандатные права.
PARSEC_CAP_SUMAC

pcapsumac

	0x04000	Parsec 2.5.251 и выше. Позволяет запускать процессы с другой классификационной меткой (с другим иерархическим уровнем конфиденциальности и другими неиерархическими категориями доступа).
PARSEC_CAP_UNSAFE_SETXATTR

pcapunsafesetxat

	0x01000	Позволяет устанавливать мандатные атрибуты объектов файловой системы без учета мандатных атрибутов родительского объекта-контейнера. Привилегия используется для восстановления объектов файловой системы из резервных копий и только после установки значения «1» для параметра /parsecfs/unsecure_setxattr.
PARSEC_CAP_UPDATE_ATIME

pcapupdateatime

0x00080

~~Позволяет изменять время доступа к файловым объектам.~~ В настоящее время не используется.

PARSEC_CAP_CCNR_RELAX

0x100000

БЮЛЛЕТЕНЬ № 2022-0819SE17 (оперативное обновление 1.7.2) и выше - при работе в расширенном режиме МКЦ (strict-mode, см. Изменения в документацию, связанные с обновлением № 2022-0819SE17 (оперативное обновление 1.7.2) позволяет осуществлять в каталоге с установленным атрибутом ccnr действия (создание, удаление и др.) над вложенными файловыми объектами с классификационными метками не выше классификационной метки данного каталога. Важно:

при работе в расширенном режиме МКЦ значение параметра ядра parsec.ccnr_relax игнорируется (см. Параметры модуля ядра Parsec, задаваемые в загрузчике);
при работе в обычном режиме МКЦ привилегия PARSEC_CAP_CCNR_RELAX игнорируется.

Дерево страниц

Сравнение версий

Старая версия 1

Новая версия Текущий

Ключ