Оглавление

Информация

title	Данная статья применима к:

Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7)
Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)
Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
Astra Linux Special Edition РУСБ.10015-16 исп. 1 и исп. 2
Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5) (частично)
Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)
Astra Linux Common Edition 2.12

Уровни конфиденциальности

По умолчанию в системе мандатного контроля доступа ОС Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) настроено 4 уровня конфиденциальности:

Номер уровня	Название по умолчанию
0	Уровень_0
1	Уровень_1
2	Уровень_2
3	Уровень_3

Якорь

	pdp_init_fs sysmaclev
	pdp_init_fs sysmaclev

При необходимости, количество уровней конфиденциальности может быть увеличено до 255.

Предупреждение

Для того, чтобы определить уровни конфиденциальности выше созданных по умолчанию,
и назначать их пользователям, необходимо:

в файле конфигурации мандатных атрибутов файловой системы /usr/sbin/pdp-init-fs
задать параметру sysmaclev значение, равное максимальному созданному уровню конфиденциальности
после внесения изменений перезагрузить машину

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Информация
Панель Управления -> Безопасность -> Политика безопасности -> Мандатные атрибуты -> Уровни целостности

Управление в консольном режиме:

Информация
userlev --help

Проверка состояния:

Информация
userlev 0 Уровень_0 1 Уровень_1 2 Уровень_2 3 Уровень_3

Режим Мандатного Контроля Целостности

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Информация
Панель Управления -> Безопасность -> Политика безопасности -> Мандатный контроль целостности

Управление в консольном режиме:

Информация
astra-mic-control [enable/disable]

Проверка состояния

Информация

cat /proc/cmdline | grep "parsec.max_ilev"

parsec.max_ilev=63 - включен

Режим Мандатного Контроля Целостности ФС

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Информация
Панель Управления -> Безопасность -> Политика безопасности -> Мандатный контроль целостности

Управление в консольном режиме

Информация
set-fs-ilev unset-fs-ilev

Режим ЗПС (замкнутой программной среды) в исполняемых файлах

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Информация
Панель Управления -> Безопасность -> Политика безопасности -> Замкнутая программная среда

Блокировка консоли для пользователей

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Информация
Панель Управления -> Безопасность -> Политика безопасности -> Настройки безопасности

Управление в консольном режиме

Информация
astra-console-lock [enable/disable]

Проверка состояния

Информация
systemctl is-enabled astra-console-lock enabled включен disabled выключен Failed to get unit file state ... сервис не активирован

Блокировка интерпретаторов

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Информация
Панель Управления -> Безопасность -> Политика безопасности -> Настройки безопасности

Управление в консольном режиме

Информация
astra-interpreters-lock [enable/disable]

Проверка состояния

Информация
systemctl is-enabled astra-interpreters-lock enabled включен disabled выключен Failed to get unit file state ... сервис не активирован

Блокировка установки бита исполнения

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Информация
Панель Управления -> Безопасность -> Политика безопасности -> Настройки безопасности

Управление в консольном режиме

Информация
astra-nochmodx-lock [enable/disable]

Проверка состояния:

Информация
cat /parsecfs/nochmodx 1 включен 0 выключен

Блокировка макросов

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Информация
Панель Управления -> Безопасность -> Политика безопасности -> Настройки безопасности

Управление в консольном режиме

Информация
astra-macros-lock [enable/disable]

Проверка состояния

Информация
systemctl is-enabled astra-macros-lock enabled включен disabled выключен Failed to get unit file state ... сервис не активирован

Блокировка трассировки ptrace

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Информация
Панель Управления -> Безопасность -> Политика безопасности -> Настройки безопасности -> Параметры ядра

Управление в консольном режиме

Информация
astra-ptrace-lock [enable/disable]

Проверка состояния

Информация
systemctl is-enabled astra-ptrace-lock enabled включен disabled выключен Failed to get unit file state ... сервис не активирован

Гарантированное удаление файлов и папок

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Информация
Панель Управления -> Безопасность -> Политика безопасности -> Настройки безопасности -> Политика очистки памяти

Управление в консольном режиме

Информация
Добавить опцию монтирования secdel в файле /etc/fstab

Межсетевой экран ufw

Управление в графическом режиме

Информация
gufw

Управление в консольном режиме

Информация
astra-ufw-control [enable/disable]

Проверка состояния

Информация
ufw status Status: active включен Status: inactive выключен

Системные ограничения ulimits

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Информация
Панель Управления -> Безопасность -> Политика безопасности -> Настройки безопасности

Управление в консольном режиме

Информация
astra-ulimits-control [enable/disable]

Проверка состояния

Информация
systemctl is-enabled astra-ulimits-control enabled включен disabled выключен Failed to get unit file state ... сервис не активирован

Блокировка клавиш SysRq

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Информация
Панель Управления -> Безопасность -> Политика безопасности -> Настройки безопасности -> Параметры ядра

Управление в консольном режиме

Информация
sysctl -w kernel.sysrq=0 sysctl -w kernel.sysrq=1

Проверка состояния

Информация
cat /proc/sys/kernel/sysrq 0 включен 1 выключен

Режим ЗПС (замкнутой программной среды) в расширенных атрибутах

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Информация
Панель Управления -> Безопасность -> Политика безопасности -> Замкнутая программная среда

Графический киоск

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Информация
Панель Управления -> Безопасность -> Политика безопасности

Системный киоск

Управление в графическом режиме с помощью графического инструмента fly-admin-kiosk:

Информация
Панель Управления -> Безопасность -> Системный киоск

Дерево страниц

Сравнение версий

Старая версия 8

Новая версия 9

Ключ

Уровни конфиденциальности

Режим Мандатного Контроля Целостности

Режим Мандатного Контроля Целостности ФС

Режим ЗПС (замкнутой программной среды) в исполняемых файлах

Блокировка консоли для пользователей

Блокировка интерпретаторов

Блокировка установки бита исполнения

Блокировка макросов

Блокировка трассировки ptrace

Гарантированное удаление файлов и папок

Межсетевой экран ufw

Системные ограничения ulimits

Блокировка клавиш SysRq

Режим ЗПС (замкнутой программной среды) в расширенных атрибутах

Графический киоск

Системный киоск

Дерево страниц

История страницы

Сравнение версий

Старая версия 8

Новая версия 9

Ключ

Уровни конфиденциальности

Режим Мандатного Контроля Целостности

Режим Мандатного Контроля Целостности ФС

Режим ЗПС (замкнутой программной среды) в исполняемых файлах

Блокировка консоли для пользователей

Блокировка интерпретаторов

Блокировка установки бита исполнения

Блокировка макросов

Блокировка трассировки ptrace

Гарантированное удаление файлов и папок

Межсетевой экран ufw

Системные ограничения ulimits

Блокировка клавиш SysRq

Режим ЗПС (замкнутой программной среды) в расширенных атрибутах

Графический киоск

Системный киоск