PARSEC-привилегии так же, как и Linux-привилегии, наследуются процессами от своих «родителей». Процессы, запущенные от имени суперпользователя, имеющего максимальный («Высокий») уровень целостности по умолчанию, независимо от явного назначения им привилегий, имеют возможность осуществлять большинство привилегированных действий.
Для настройки КСЗ могут использоваться как PARSEC-, так и Linux-привилегии.
Порядок управления привилегиями описан в Руководство по комплексу средств защиты информации, часть 1, п. 4.9
Информация |
---|
Данная статья применима к: |
|
|
Привилегия | Описание |
PARSEC_CAP_AUDIT | Позволяет управлять политикой аудита. |
PARSEC_CAP_BYPASS_KIOSK | Позволяет игнорировать ограничения киоска. |
PARSEC_CAP_CAP | Позволяет устанавливать любой непротиворечивый набор привилегий для другого процесса и читать привилегии, присвоенные процессам. |
PARSEC_CAP_CHMAC | Позволяет изменять метки безопасности файловых объектов. |
PARSEC_CAP_FILE_CAP | Не используется. |
PARSEC_CAP_IGNMACCAT | Позволяет игнорировать мандатную политику по категориям доступа. |
PARSEC_CAP_IGNMACINT | Позволяет игнорировать мандатную политику по уровням целостности. |
PARSEC_CAP_IGNMACLVL | Позволяет игнорировать мандатную политику по уровням конфиденциальности. |
PARSEC_CAP_INHERIT_INTEGRITY | При создании файловых объектов на них автоматически устанавливается максимально возможная целостность, |
PARSEC_CAP_IPC_OWNER | Отменяет мандатные ограничения при работе с сущностями IPC, такими как shared memory, message queue и т.д. |
PARSEC_CAP_MAC_SOCK | Позволяет изменять метки безопасности точек соединения (UNIX-сокетов). |
PARSEC_CAP_PRIV_SOCK | Позволяет создавать новые сетевые сокеты процесса в привилегированном режиме (метка ehole). |
PARSEC_CAP_READSEARCH | Позволяет игнорировать мандатную политику при чтении и поиске файловых объектов (но не при записи). |
PARSEC_CAP_SETMAC | Позволяет изменять метку безопасности процессов. Привилегия не позволяет процессу повышать уровень целостности другого процесса, а только понижать. |
PARSEC_CAP_SIG | Позволяет посылать сигналы процессам, игнорируя мандатные права. |
PARSEC_CAP_SUMAC | Позволяет запускать процессы с другой классификационной меткой (с другим иерархическим уровнем конфиденциальности и другими неиерархическими категориями доступа). |
PARSEC_CAP_UNSAFE_SETXATTR | Позволяет устанавливать мандатные атрибуты объектов файловой системы без учета мандатных атрибутов родительского объекта-контейнера. Привилегия используется для восстановления объектов файловой системы из резервных копий и только после установки значения «1» для параметра /parsecfs/unsecure_setxattr. |
PARSEC_CAP_UPDATE_ATIME |
В настоящее время не используется. |