Подробно все изменения описаны в РУК КСЗ по ОССН Смоленск 1.6
- По умолчанию, после установки ОС:
- включен режим МКЦ ОС:
- установлен параметр ядра `max_ilev = 63`
- все процессы, начиная от init до менеджера входа fly-dm, имеют уровень целостности 63 (если в конфигурации юнита явно не указано иное).
- Графический сервер Xorg по умолчанию работает не от имени суперпользователя root (uid 0), а от пользователя, и работает на выделенном уровне МКЦ 8.
- МКЦ на ФС после установки по умолчанию не включен,
и должен быть включен после настройки ОС администратором.
- включен режим МКЦ ОС:
- По умолчанию, при входе через графический интерфейс:
Информация - Администратор, созданный при установке ОС, получает 63-й «красный» уровень МКЦ,
- Пользователи получают нулевой «синий» уровень МКЦ
- По умолчанию, при входе через SSH:
Информация - Администраторы из группы astra-admin автоматически получают 63-й «красный» уровень МКЦ
- Пользователи получают нулевой «синий» уровень МКЦ.
- Администратор, созданный при установке ОС, при входе через консоль должен вручную выставлять уровень МКЦ в 63.
- Для отдельных юнитов, в дальнейшем, возможно задать свой "выделенный уровень МКЦ" (например, apache можно запустить на первом уровне МКЦ), так же возможно задать для юнита systemd свой уровень конфиденциальности.
После включения МКЦ на ФС юниты или процессы на выделенном уровне МКЦ (например, на уровнях 1 или 2) не смогут записывать в файлы и каталоги, на которые будет установлено максимальное значение МКЦ 63 (см. set-fs-ilev или fly-admin-smc). Рекомендуемые уровни МКЦ:
| Информация |
|---|
для сетевых сервисов: - 1 для подсистем виртуализации (для гостевых систем, отличных от ОССН Смоленск и контейнеров LXC на нулевом уровне): 2, для внешнего СПО: 4 |
...
- На контейнеры (каталоги) больше нельзя устанавливать флаги ehole.
Допускается только установка флагов
...