Справочный центр

Дерево страниц

Сравнение версий

Старая версия 6

changes.mady.by.user Александр Левдонский

Сохранено

по сравнению с

Новая версия 7

changes.mady.by.user Александр Левдонский

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Оглавление


Информация
titleДанная статья применима к:


Краткое описание проблемы

В сессии пользователя с ненулевой классификационной меткой и низким уровнем целостности при запуске приложения fly-scan (графическое меню "Пуск" - "Графика" - "Сканирование") сразу после обнаружения сетевого сканера приложение завершается с ошибкой "Не удалось открыть выбранный сканер". При этом в сессии пользователя с нулевой классификационной меткой и с высоким уровнем целостности приложение fly-scan запускается нормально.

Информация
  1. Для использования приложения fly-scan пользователь должен быть включен в группу scanner;
  2. Описанный ниже способ неприменим к сканерам, подключаемым через WiFi с использованием пакета sane-airscan. На момент написания настоящей статьи пакет sane-airscan не входит в состав дистрибутивов Astra Linux.


Предупреждение

Далее приводится инструкция по предоставлению доступа к сетевому ресурсу "сканер" из сессии с ненулевой классификационной меткой. Так как наличие доступа к недоверенным ресурсам (устройствам, web-сайтам и пр.), даже если доступ предоставляется только для чтения, может быть использовано для создания каналов утечки информации по времени, возможность применение подобных инструкций в конкретных ИС должна быть согласована с требованиями к защите информации в этих ИС.

Описание примера

  • Подключение к сканеру выполняется с рабочей станции с установленной ОС Astra Linux Special Edition с включенным МРД и МКЦ;
  • Подключение выполняется к сетевому сканеру с условным сетевым адресом: <IP-адрес_сканера>:<IP-порт_сканера>;

Настройка запуска fly-scan из сессии с ненулевой классификационной меткой

  1. Установить пакет haproxy:

    Command
    sudo apt install haproxy


  2. Задать правило обработки сетевого трафика, направляемого к сетевому сканеру:

    Command
    sudo iptables -t nat -A OUTPUT -d <IP-адрес_сканера> -p tcp -m owner ! --uid-owner $(id -u haproxy) -m tcp --dport <IP-порт_сканера> -j REDIRECT --to-ports <IP-порт_сканера>


  3. Для того, чтобы заданное правило сохранялось после перезагрузки ОС использовать инструкцию Сохранение и восстановление правил iptables;

  4. В файл /lib/systemd/system/haproxy.service в раздел [Service] первыми строками добавить:

    1. Для Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7):

      Блок кода
      Environment="LD_PRELOAD=/usr/lib/libparsec-spw.so.3"
CapabilitiesParsec=PARSEC_CAP_PRIV_SOCK


    2. Для Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6):

      Блок кода
      Environment="LD_PRELOAD=/usr/lib/libparsec-spw.so.2"
CapabilitiesParsec=PARSEC_CAP_PRIV_SOCK


  5. Обновить конфигурацию системных служб командой:

    Command
    sudo systemctl daemon-reload



  6. В файл /etc/haproxy/haproxy.cfg:

    1. В секцию global добавить параметр:

      Информация
      Только для Astra Linux Special Edition с включенным МРД


      Блок кода
      astra-mode off


    2. В секции defaults изменить параметры tcp и tcplog, указав приведенные ниже значения:

      Блок кода
      mode tcp
option tcplog

      Параметр "option  dontlognull" оставить неизменным.

    3. в конец файла добавить две секции:

      Предупреждение
      Для формирования отступов в добавляемых секциях использовать табуляции, а не пробелы.


      Блок кода
      frontend local
	bind 127.0.0.1:<IP-порт_сканера>
	default_backend scanner
backend scanner
	server scanner <IP-адрес_сканера>:<IP-порт_сканера>



  7. Перезапустить службу haproxy командой:

    Command
    sudo systemctl restart haproxy