Справочный центр

Дерево страниц

Сравнение версий

Старая версия 2

changes.mady.by.user Александр Левдонский

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Александр Левдонский

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Оглавление


Информация
titleДанная статья применима к:


Расширенный режим МКЦ

Расширенный режим МКЦ (strict mode) является развитием режима МКЦ Astra Linux и предназначен для усиления защиты ОС. Расширенный режим МКЦ доступен начиная со следующих обновлений Astra Linux:

Особенности работы в этом режиме описаны ниже.

Особенности работы в расширенном режиме МКЦ

Предупреждение

Включение расширенного режима МКЦ может привести к изменениям в работе стороннего прикладного ПО (особенно ранее установленного). Поэтому перед включением расширенного режима МКЦ в ОС администратору рекомендуется провести тестирование используемого прикладного ПО с целью проверки его работоспособности при включенном расширенном режиме МКЦ и необходимости его дополнительной настройки.

Предупреждение
Выключение расширенного режима МКЦ не поддерживается.


При работе в расширенном режиме МКЦ  имеются следующие особенности (далее под термином "домашний каталог" подразумевается "домашний каталог пользователя и всё его содержимое"):

  1. Процессы:
    1. В любом режиме МКЦ процесс при его непосредственном запуске наследует набор неиерархических категорий целостности (НКЦ) процесса-родителя В расширенном режиме МКЦ вводится дополнительное ограничение:
При работе Astra Linux с включенным мандатным контролем целостности (МКЦ) каждый процесс при запуске получает неиерархический уровень целостности (далее - УЦ) процесса-родителя. В расширенном режиме МКЦ (strict mode) дополнительно запрещается запуск процесса в том случае,
    1. если исполняемый файл, из которого запускается процесс, имеет
УЦ
    1. НКЦ меньший или несравнимый с
УЦ
    1. НКЦ процесса-родителя, то непосредственный запуск процесса запрещен. В
данном
    1. таком случае процесс возможно запустить только
с использованием инструмента sumic.
    1. посредством инструмента (системного вызова) sumic (см. Инструмент sumic).
  2. Файловые объекты:
    1. При работе во всех режимах МКЦ по умолчанию запрещено:
      1. Создавать файловые объекты с НКЦ выше или несравнимым с НКЦ процесса, создающего объект.
      2. Создавать файловые объекты в каталоге, имеющем НКЦ выше НКЦ процесса, создающего объект.
      3. В Astra Linux Special Editin x.8 также запрещено:
        1. Создавать файловые объекты с линейным уровнем целостности выше линейного уровня целостности процесса, создающего объект.
        2. Создавать файловые объекты в каталоге, имеющем линейный уровень целостности выше линейного уровня целостности процесса, создающего объект.
    2. При работе в обычном режиме МКЦ создаваемым файловым объектам (файлам или каталогам) назначается нулевой НКЦ.
    3. При работе в расширенном режиме МКЦ:
      1. По умолчанию:
        1. В Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.8) создаваемым файловым объектам (файлам или каталогам) назначаются нулевой НКЦ и линейный уровень процесса, создающего файловый объект.
        2. В Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7) по умолчанию создаваемым файловым объектам назначается НКЦ, равный НКЦ каталога, в котором объект размещается.
      2. Если на каталог установлен флаг irelax, то файловые объекты в каталоге может создавать процесс с любым НКЦ. При этом НКЦ создаваемых объектов будет назначаться как максимальный НКЦ, меньший или равный НКЦ процесса и каталога.
      3. В Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.8):
        1. Если на каталог установлен флаг iinh (и не установлен флаг irelax), то создаваемые файловые объекты:
          1. Наследуют НКЦ каталога, в котором они создаются.
          2. Наследуют неположительный линейный уровень целостности каталога, в котором они создаются. Положительные линейные уровни целостности не используются и зарезервированы для дальнейшего применения.;
          3. Наследуют флаг iinh.
        2. Если на каталог одновременно установлены флаги irelax и iinh, то действует правило наследования метки целостности, определяемое флагом irelax. Флаг iinh при этом наследуется.
  3. ?Пользовательские сессии:
    1. Вход в локальные пользовательские сессии с нулевой классификационной меткой возможен только с максимально доступным пользователю НКЦ (выбирается автоматически). Т.е. администратор с "высоким" НКЦ, выбрав при входе в сессию нулевую классификационную метку, не сможет выполнить вход с нулевым НКЦ. И наоборот, если администратором с высоким уровнем целостности при входе в сессию была выбрана ненулевая классификационная метка, то вход будет выполнен с нулевым НКЦ.
    2. При включении расширенного режима МКЦ всем домашним каталогам назначается максимальный НКЦ пользователя-владельца.
    3. При включенном расширенном режиме МКЦ:
      1. При создании нового пользователя ему назначается нулевой НКЦ. Домашнему каталогу также назначается нулевой НКЦ.
      2. При назначении новому пользователю ненулевого максимального НКЦ домашнему каталогу следует также назначить этот НКЦ.
      3. Для нового входа доменного пользователя, имеющего ненулевой максимальный НКЦ, необходимо вручную создать пустой домашний каталог и назначить ему максимальный НКЦ этого пользователя.
      4. При перезагрузке ОС всем существующим домашним каталогам принудительно назначается максимальный НКЦ владельца.
    4. Не применяется привилегия PARSEC_CAP_IGNMACINT (см. Привилегии PARSEC).
    5. Не применяется (игнорируется) параметр ядра parsec.ccnr_relax (см. Параметры модуля ядра Parsec, задаваемые в загрузчике).
    6. Возможно применение привилегии PARSEC_CAP_CCNR_RELAX (см. Привилегии PARSEC).

Включение расширенного режима МКЦ

Включение расширенного режима МКЦ осуществляется командой:

Command
sudo astra-strictmode-control enable

При включении расширенного режима МКЦ:

  1. Будут выполнено назначение необходимых меток целостности файловых объектов, в том числе существующим локальным домашним каталогам пользователей, подробнее см. Особенности использования домашних каталогов пользователей при работе в расширенном режиме МКЦ.
  2. Для параметра

Аналогичным образом создаваемому файлу и каталогу назначается уровень целостности, равный уровню целостности каталога, в котором выполняется создание. При этом запрещено создавать файл (каталог) с уровнем целостности выше или несравнимым с
уровнем целостности процесса, создающего данный файл (каталог).

Включение расширенного режима МКЦ осуществляется путем выполнения от имени администратора команды:
astra-strictmode-control enable

В результате будут выполнены необходимые настройки уровней целостности сущностей и для параметра командной строки
  1. ядра parsec.strict_mode установлено значение 1.

Для активации расширенного режима МКЦ необходимо перезагрузить ОС.

Информация

При включении расширенного режима МКЦ на контроллере домена аналогичный режим на компьютерах-клиентах домена автоматически не включается, и вход пользователей выполняется по обычным  правилам. При необходимости использовать расширенный режим МКЦ на компьютерах-клиентах этот режим должен быть включен на каждом из них.

Для проверки текущего состояния расширенного режима МКЦ (активен/неактивен) можно воспользоваться командой:

Command
sudo astra-strictmode-control status

В случае, если после выполнения команды включения расширенного режима МКЦ не выполнялась перезагрузка ОС, результат команды проверки состояния режима будет НЕАКТИВНО.

Для получения информации о состоянии расширенного режима МКЦ, которое будет после перезагрузки ОС, выполнить команду:

Command
sudo astra-strictmode-control is-enabled

Якорь
homes-in-sm
homes-in-sm
Особенности использования домашних каталогов пользователей при работе в расширенном режиме МКЦ

Далее для обозначения максимального разрешенного пользователю НКЦ используется сокращение МНКЦ.

  1. При работе Astra Linux Special Edition с установленным обновлением 1.7.3.UU2:
    1. При включении расширенного режима МКЦ локальным домашним каталогам всех пользователей, имеющим ненулевой МНКЦ, назначается этот НКЦ.
    2. При каждой перезагрузке ОС локальным домашним каталогам всех пользователей, имеющим ненулевой МНКЦ, назначается этот НКЦ.

  2. При работе Astra Linux Special Edition без установленного обновления 1.7.3.UU2:
    1. При включении расширенного режима МКЦ локальным домашним каталогам пользователей, входящих в группу astra-admin и имеющих ненулевой МНКЦ, назначается максимальный НКЦ, доступный в ОС.
    2. При каждой перезагрузке ОС всем локальным домашним каталогам пользователей, имеющих ненулевой МНКЦ, назначается максимальный НКЦ, доступный в ОС.

При понижении (обнулении) МНКЦ  метки целостности на домашний каталог пользователя должны быть проставлены вручную.

Якорь
sumic
sumic
Инструмент sumic

Инструмент sumic позволяет запускать процессы с НКЦ ниже, чем НКЦ процесса-родителя. При таком запуске:

  • НКЦ запущенного процесса будет не выше НКЦ исполняемого файла, из которого он запущен;
  • запущенный процесс не унаследует открытые ресурсы процесса-родителя ресурсов, имеющие НКЦ, превышающий НКЦ запущенного процесса;
  • запуск графических утилит выполняется в изолированном X-сервере.

Синтаксис инструмента:

Command
sumic [параметр] [--] [<команда>] [<параметры_запуска_команды>]

Параметры инструмента:

  • -i <уровень_целостности> — НКЦ, на котором будет запущен процесс указанной команды. В случае отсутствия параметра процесс будет запущен с нулевым УЦ;
  • -v, --version — Вывести информацию о версии и выйти;
  • -h, --help — Вывести справку и выйти
Расширенный режим МКЦ будет применяться только при загрузке ОС с ядром 5.4. При включенном расширенном режиме МКЦ во время создания пользователя всему содержимому его домашнего каталога назначается уровень целостности, равный уровню
целостность данного пользователя. В дальнейшем назначение уровней целостности содержимому домашних каталогов пользователей осуществляется в соответствии с общими правилам мандатного контроля целостности
  • .