Привилегия | Битовая маска | Описание |
---|
PARSEC_CAP_AUDIT | 0x00002 | Позволяет управлять политикой аудита. |
PARSEC_CAP_BYPASS_KIOSK | 0x08000 | Parsec 2.5.257 и выше. Позволяет игнорировать ограничения киоска. В Astra Linux Special Edition очередное обновление x.7 не используется. |
PARSEC_CAP_BYPASS_XATTR | 0x40000 | Позволяет процессу игнорировать подписи файлов. Реализована в Astra Linux Special Edition очередное обновление x.7. |
PARSEC_CAP_CAP | 0x00400 | Позволяет процессу устанавливать любой непротиворечивый набор привилегий для себя. |
PARSEC_CAP_CHMAC | 0x00008 | Позволяет изменять метки безопасности файловых объектов. |
PARSEC_CAP_FILE_CAP | 0x00001 | Не используется. Для изменения меток безопасности файловых объектов см. привилегию PARSEC_CAP_CHMAC. Для изменения меток безопасности процессов см. PARSEC_CAP_SETMAC. Для изменения привилегий процессов см. PARSEC_CAP_CAP. |
PARSEC_CAP_IGNMACCAT | 0x00020 | Позволяет игнорировать мандатную политику по неиерархическим категориям конфиденциальности. См. также PARSEC_CAP_IGNMACLVL и PARSEC_CAP_IGNMACINT. |
PARSEC_CAP_IGNMACINT | 0x02000 | Позволяет игнорировать мандатную политику по уровням целостности. Игнорируется при работе в расширенном режиме МКЦ (strict-mode, см. Изменения в документацию, связанные с обновлением № 2022-0819SE17 (оперативное обновление 1.7.2). См. также PARSEC_CAP_IGNMACCAT, PARSEC_CAP_IGNMACLVL, PARSEC_CAP_INHERIT_INTEGRITY. |
PARSEC_CAP_IGNMACLVL | 0x00010 | Позволяет игнорировать мандатную политику по иерархическим уровням конфиденциальности. См. также PARSEC_CAP_IGNMACCAT и PARSEC_CAP_IGNMACINT. |
PARSEC_CAP_INHERIT_INTEGRITY | 0x20000 | При создании файловых объектов на них автоматически устанавливается максимально возможная целостность, однако не выше, чем целостность процесса-создателя и целостность контейнера, в котором создается файловый объект. Используется для установщика пакетов (dpkg). См. также PARSEC_CAP_IGNMACINT. |
PARSEC_CAP_IPC_OWNER | 0x10000 | БЮЛЛЕТЕНЬ № 20181229SE16 (оперативное обновление 1), Parsec 2.5.265 и выше. Отменяет мандатные ограничения при работе с сущностями IPC, такими как shared memory, message queue и т.д. (Parsec-аналог Linux-привилегии CAP_IPC_OWNER). |
PARSEC_CAP_MAC_SOCK | 0x00800 | Позволяет изменять метки безопасности точек соединения (UNIX-сокетов). Для сетевых сокетов см. PARSEC_CAP_PRIV_SOCK. |
PARSEC_CAP_PRIV_SOCK | 0x00100 | Позволяет создавать новые сетевые сокеты процесса в привилегированном режиме (метка ehole). Привилегированный сокет позволяет осуществлять сетевое взаимодействие, игнорируя мандатную политику. Для точек соединения (UNIX-сокетов) см. PARSEC_CAP_MAC_SOCK. |
PARSEC_CAP_PROCFS | 0x80000 | Позволяет игнорировать ограничения МРД и МКЦ на файловой системе /proc. Используется для систем контейнеризации и виртуализации. Реализована в Astra Linux Special Edition очередное обновление x.7. |
PARSEC_CAP_READSEARCH | 0x00200 | Позволяет игнорировать мандатную политику при чтении и поиске файловых объектов (но не при записи). |
PARSEC_CAP_SETMAC | 0x00004 | Для обновления БЮЛЛЕТЕНЬ № 2023-0426SE17 (оперативное обновление 1.7.4): Позволяет процессу изменять (повышать или понижать) значения атрибутов собственной классификационной метки (иерархический и неиерархический уровни конфиденциальности). Процесс может понижать собственный уровень целостности, привилегии для этого не требуются (для запуска процесса на пониженном уровне используется команда sumic). Процесс не может повышать собственный уровень целостности и изменять метки безопасности других процессов. Для понижения уровня целостности работающего процесса рекомендуется использовать системный вызов pdp_set_pid_safe(), закрывающий высокоцелостные дескрипторы (применять команду sumic, использующую этот системный вызов). Для более ранних обновлений: Позволяет изменять метку безопасности процессов. Привилегия не позволяет процессу повышать уровень целостности другого процесса, а только понижать. Для изменения меток безопасности файловых объектов см. PARSEC_CAP_CHMAC. Для изменения привилегий процессов см. PARSEC_CAP_CAP. |
PARSEC_CAP_SIG | 0x00040 | Позволяет посылать сигналы процессам, игнорируя мандатные права. |
PARSEC_CAP_SUMAC | 0x04000 | Parsec 2.5.251 и выше. Позволяет запускать процессы с другой классификационной меткой (с другим иерархическим уровнем конфиденциальности и другими неиерархическими категориями доступа). |
PARSEC_CAP_UNSAFE_SETXATTR | 0x01000 | Позволяет устанавливать мандатные атрибуты объектов файловой системы без учета мандатных атрибутов родительского объекта-контейнера. Привилегия используется для восстановления объектов файловой системы из резервных копий и только после установки значения «1» для параметра /parsecfs/unsecure_setxattr. |
PARSEC_CAP_UPDATE_ATIME | 0x00080 | Позволяет изменять время доступа к файловым объектам. В настоящее время не используется.
|
PARSEC_CAP_CCNR_RELAX | 0x100000 | Привилегия PARSEC_CAP_CCNR_RELAX доступна начиная с обновления БЮЛЛЕТЕНЬ № 2022-0819SE17 (оперативное обновление 1.7.2) и |