| Оглавление |
|---|
| Информация | ||
|---|---|---|
| ||
|
Краткое описание проблемы
В сессии пользователя с ненулевой классификационной меткой и низким уровнем целостности при запуске приложения fly-scan (графическое меню "Пуск" - "Графика" - "Сканирование") сразу после обнаружения сетевого сканера приложение завершается с ошибкой "Не удалось открыть выбранный сканер". При этом в сессии пользователя с нулевой классификационной меткой и с высоким уровнем целостности приложение fly-scan запускается нормально.
| Предупреждение |
|---|
Далее приводится инструкция по предоставлению доступа к сетевому ресурсу "сканер" из сессии с ненулевой классификационной меткой. Так как наличие доступа к недоверенным ресурсам (устройствам, web-сайтам и пр.), даже если доступ предоставляется только для чтения, может быть использовано для создания каналов утечки информации по времени, возможность применение подобных инструкций в конкретных ИС должна быть согласована с требованиями к защите информации в этих ИС. |
| Информация |
|---|
|
Описание примера
- Подключение к сканеру выполняется с рабочей станции с установленной ОС компьютера под управлением Astra Linux Special Edition с включенным включенными мандатным управлением доступом (МРД) и мандатным контролем целостности (МКЦ);
- Подключение выполняется к сетевому сканеру с условным сетевым адресом: <IP-адрес_сканера>:<IP-порт_сканера>;
Настройка запуска fly-scan из сессии с ненулевой классификационной меткой
Установить пакет haproxy:
Command sudo apt install haproxy Задать правило iptables для обработки сетевого трафика, направляемого к сетевому сканеру:
Command sudo iptables -t nat -A OUTPUT -d <IP-адрес_сканера> -p tcp -m owner ! --uid-owner $(id -u haproxy) -m tcp --dport <IP-порт_сканера> -j REDIRECT --to-ports <IP-порт_сканера> - Для того, чтобы заданное правило сохранялось после перезагрузки ОС использовать инструкцию Сохранение и восстановление правил iptables;
- В файл /lib/systemd/system/haproxy.service в раздел [Service] первыми строками добавить:
Для Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7):
Блок кода Environment="LD_PRELOAD=/usr/lib/libparsec-spw.so.3" CapabilitiesParsec=PARSEC_CAP_PRIV_SOCK
Для Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6):
Блок кода Environment="LD_PRELOAD=/usr/lib/libparsec-spw.so.2" CapabilitiesParsec=PARSEC_CAP_PRIV_SOCK
Обновить конфигурацию системных служб командой:
Command sudo systemctl daemon-reload В файл /etc/haproxy/haproxy.cfg:
В секцию global добавить параметр:
Информация Только для Astra Linux Special Edition с включенным МРД в секцию global добавить параметр:
Блок кода astra-mode off
В секции defaults изменить параметры tcp и tcplogзначения параметров
mode httpиoption httplog, указав приведенные ниже значения:Блок кода mode tcp option tcplog
Параметр "
optiondontlognull" оставитьdontlognullоставить неизменным.в В конец файла добавить две секции:
Предупреждение Для формирования отступов в добавляемых секциях использовать табуляции, а не пробелы. Блок кода frontend local bind 127.0.0.1:<IP-порт_сканера> default_backend scanner backend scanner server scanner <IP-адрес_сканера>:<IP-порт_сканера>
Перезапустить службу haproxy командой:
Command sudo systemctl restart haproxy