Справочный центр

Дерево страниц

Сравнение версий

Старая версия 6

changes.mady.by.user Александр Левдонский

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Александр Левдонский

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Оглавление


Информация
titleДанная статья применима к:


Расширенный режим МКЦ

Расширенный режим МКЦ (strict mode) является развитием режима МКЦ Astra Linux и предназначен для усиления защиты ОС. Расширенный режим МКЦ доступен начиная со следующих обновлений Astra Linux:

Особенности работы в этом режиме описаны ниже.

Особенности работы в расширенном режиме МКЦ

Предупреждение

Включение расширенного режима МКЦ может привести к

сбоям

изменениям в работе

некоторого

стороннего прикладного ПО (особенно

уже

ранее установленного). Поэтому перед включением расширенного режима МКЦ в ОС администратору рекомендуется провести тестирование используемого прикладного ПО с целью проверки его работоспособности при включенном расширенном режиме МКЦ и необходимости его дополнительной настройки.

Предупреждение
Выключение расширенного режима МКЦ не поддерживается.


При работе в расширенном расширенном режиме МКЦ  имеются следующие особенности (далее под термином "домашний каталог" подразумевается "домашний каталог пользователя и всё его содержимое"):

  1. Процессы:
      в
      1. В любом режиме МКЦ процесс при его непосредственном запуске наследует
      уровень
      1. набор неиерархических категорий целостности (
      УЦ
      1. НКЦ) процесса-родителя
      , но в
      1. В расширенном режиме МКЦ вводится дополнительное ограничение:
      непосредственный запуск процесса запрещен
      1. если исполняемый файл, из которого запускается процесс, имеет
      УЦ
      1. НКЦ меньший или несравнимый с
      УЦ
      1. НКЦ процесса-родителя, то непосредственный запуск процесса запрещен. В таком случае процесс возможно запустить только посредством инструмента (системного вызова) sumic (см. Инструмент sumic
      , описание которого приведено в 4.15.9.
      1. ).
    1. Файловые объекты:
      1. При работе во всех режимах МКЦ по умолчанию запрещено:
        1. Создавать файловые объекты с НКЦ выше или несравнимым с НКЦ процесса, создающего объект.
        2. Создавать файловые объекты в каталоге, имеющем НКЦ выше НКЦ процесса, создающего объект.
        3. В Astra Linux Special Editin x.8 также запрещено:
          1. Создавать файловые объекты с линейным уровнем целостности выше линейного уровня целостности процесса, создающего объект.
          2. Создавать файловые объекты в каталоге, имеющем линейный уровень целостности выше линейного уровня целостности процесса, создающего объект.
      2. При
      при
      1. работе в обычном режиме МКЦ создаваемым файловым объектам (файлам или каталогам) назначается нулевой
      УЦ
      1. НКЦ.
      2. При работе в расширенном режиме МКЦ:
        1. По умолчанию:
          1. В Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.8) создаваемым файловым объектам
      назначается УЦ, равный УЦ
          1. (файлам или каталогам) назначаются нулевой НКЦ и линейный уровень процесса, создающего файловый объект.
          2. В Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7) по умолчанию создаваемым файловым объектам назначается НКЦ, равный НКЦ каталога, в котором объект размещается.
      При этом запрещено создавать файловые объекты с УЦ выше или несравнимым с УЦ процесса, создающего данный объект.
        2. Если на каталог установлен флаг irelax, то файловые объекты в каталоге может создавать процесс с любым НКЦ. При этом НКЦ создаваемых объектов будет назначаться как максимальный НКЦ, меньший или равный НКЦ процесса и каталога.
        3. В Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.8):
          1. Если на каталог установлен флаг iinh (и не установлен флаг irelax), то создаваемые файловые объекты:
            1. Наследуют НКЦ каталога, в котором они создаются.
            2. Наследуют неположительный линейный уровень целостности каталога, в котором они создаются. Положительные линейные уровни целостности не используются и зарезервированы для дальнейшего применения.;
            3. Наследуют флаг iinh.
          2. Если на каталог одновременно установлены флаги irelax и iinh, то действует правило наследования метки целостности, определяемое флагом irelax. Флаг iinh при этом наследуется.
    2. ?Пользовательские сессии:
      1. Вход в локальные
      вход в
      1. пользовательские сессии с нулевой классификационной меткой возможен только
      на
      1. с максимально
      доступном
      1. доступным пользователю
      неиерархическом уровне целостности
      1. НКЦ (выбирается автоматически). Т.е. администратор с "высоким
      уровнем целостности
      1. " НКЦ, выбрав при входе в сессию нулевую классификационную метку
      конфиденциальности
      1. , не сможет выполнить вход
      на нулевом уровне целостности
      1. с нулевым НКЦ. И наоборот, если администратором с высоким уровнем целостности при входе в сессию была выбрана ненулевая классификационная метка, то вход будет выполнен
      на нулевом УЦ;при
      1. с нулевым НКЦ.
      2. При включении расширенного режима МКЦ всем домашним каталогам назначается максимальный НКЦ пользователя-владельца.
      3. При включенном расширенном режиме МКЦ
      во время создания пользователя всему содержимому его домашнего каталога назначается УЦ, равный УЦ данного пользователя. В дальнейшем назначение УЦ содержимому домашних каталогов пользователей осуществляется в соответствии с общими правилам МКЦ;
      1. :
        1. При создании нового пользователя ему назначается нулевой НКЦ. Домашнему каталогу также назначается нулевой НКЦ.
        2. При назначении новому пользователю ненулевого максимального НКЦ домашнему каталогу следует также назначить этот НКЦ.
        3. Для нового входа доменного пользователя, имеющего ненулевой максимальный НКЦ, необходимо вручную создать пустой домашний каталог и назначить ему максимальный НКЦ этого пользователя.
        4. При перезагрузке ОС всем существующим домашним каталогам принудительно назначается максимальный НКЦ владельца.
      2. Не
      не
      1. применяется привилегия PARSEC_CAP_IGNMACINT (см.
      таблицу 8
      1. Привилегии PARSEC)
      ;
      1. .
      не
      1. Не применяется (игнорируется) параметр
      командной строки
      1. ядра parsec.ccnr_relax (см.
      таблицу 31);возможно
      1. Параметры модуля ядра Parsec, задаваемые в загрузчике).
      2. Возможно применение привилегии PARSEC_CAP_CCNR_RELAX (см.
      таблицу 8);возможно применение атрибута irelax (см. 4.3.2
      1. Привилегии PARSEC).
Управление режимом

Включение расширенного режима МКЦ

Включение расширенного режима МКЦ осуществляется командой:

Command
sudo astra-strictmode-control enable

В результате выполнения этой команды:

При включении расширенного режима МКЦ:

  1. Будут выполнено назначение необходимых будут выполнены необходимые настройки меток целостности файловых объектов, в том числе существующим локальным домашним каталогам существующих локальных пользователей, имеющих ненулевой максимальный УЦ, будет назначен этот УЦ; пользователей, подробнее см. Особенности использования домашних каталогов пользователей при работе в расширенном режиме МКЦ.
  2. Для для параметра ядра parsec.strict_mode установлено значение 1.

Для активации расширенного режима МКЦ необходимо перезагрузить ОС.

Информация

При включении расширенного режима МКЦ на контроллере домена аналогичный режим на компьютерах-клиентах домена автоматически не включается, и вход пользователей выполняется по обычным  правилам. При необходимости использовать расширенный режим МКЦ на компьютерах-клиентах этот режим должен быть включен на каждом из них.

Для проверки текущего состояния расширенного режима МКЦ (активен/неактивен) можно воспользоваться командой:

Command
sudo astra-strictmode-control status

В случае, если после выполнения команды включения расширенного режима МКЦ не выполнялась перезагрузка ОС, результат команды проверки состояния режима будет НЕАКТИВНО.

Для получения информации о состоянии расширенного режима МКЦ, которое будет после перезагрузки ОС, выполнить команду:

Command
sudo astra-strictmode-control is-enabled

Якорь
homes-in-sm
homes-in-sm
Особенности использования домашних каталогов пользователей при работе в расширенном режиме МКЦ

Далее для обозначения максимального разрешенного пользователю НКЦ используется сокращение МНКЦ.

  1. При работе Astra Linux Special Edition с установленным обновлением 1.7.3.UU2:
    1. При включении расширенного режима МКЦ локальным домашним каталогам всех пользователей, имеющим ненулевой МНКЦ, назначается этот НКЦ.
    2. При каждой перезагрузке ОС локальным домашним каталогам всех пользователей, имеющим ненулевой МНКЦ, назначается этот НКЦ.

  2. При работе Astra Linux Special Edition без установленного обновления 1.7.3.UU2:
    1. При включении расширенного режима МКЦ локальным домашним каталогам пользователей, входящих в группу astra-admin и имеющих ненулевой МНКЦ, назначается максимальный НКЦ, доступный в ОС.
    2. При каждой перезагрузке ОС всем локальным домашним каталогам пользователей, имеющих ненулевой МНКЦ, назначается максимальный НКЦ, доступный в ОС.

При понижении (обнулении) МНКЦ  метки целостности на домашний каталог пользователя должны быть проставлены вручную.

Якорь
sumic
sumic
Инструмент sumic

Инструмент sumic позволяет запускать процессы с НКЦ ниже, чем НКЦ процесса-родителя. При таком запуске:

  • НКЦ запущенного процесса будет не выше НКЦ исполняемого файла, из которого он запущен;
  • запущенный процесс не унаследует открытые ресурсы процесса-родителя ресурсов, имеющие НКЦ, превышающий НКЦ запущенного процесса;
  • запуск графических утилит выполняется в изолированном X-сервере.

Синтаксис инструмента:

Command
sumic [параметр] [--] [<команда>] [<параметры_запуска_команды>]

Параметры инструмента:

  • -i <уровень_целостности> — НКЦ, на котором будет запущен процесс указанной команды. В случае отсутствия параметра процесс будет запущен с нулевым УЦ;
  • -v, --version — Вывести информацию о версии и выйти;
  • -h, --help — Вывести справку и выйти.