Справочный центр

Дерево страниц

Сравнение версий

Старая версия 19

changes.mady.by.user Александр Левдонский

Сохранено

по сравнению с

Новая версия 20

changes.mady.by.user Александр Левдонский

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

  • По умолчанию, после установки ОС:
    • включен режим МКЦ ОС:
      • установлен параметр ядра `max_ilev = 63`
      • все процессы, начиная от init до менеджера входа fly-dm, имеют уровень целостности 63 (если в конфигурации юнита явно не указано иное).
      • Графический сервер Xorg по умолчанию работает не от имени суперпользователя root (uid 0), а от пользователя, и работает на выделенном уровне МКЦ 8.

    • МКЦ на ФС после установки по умолчанию не включен,
      и должен быть включен после настройки ОС администратором.

    • в системе МРД настроено 4 уровня конфиденциальности (0 - 3), количество которых можно увеличить до 255 (см. Администрирование системы)

  • По умолчанию, при входе через графический интерфейс:

    Информация
    • Администратор, созданный при установке ОС, получает 63-й «красный» уровень МКЦ,
    • Пользователи получают нулевой «синий» уровень МКЦ


  • По умолчанию, при входе через SSH:

    Информация
    • Администраторы из группы astra-admin автоматически получают 63-й «красный» уровень МКЦ
    • Пользователи получают нулевой «синий» уровень МКЦ.


  • Администратор, созданный при установке ОС, при входе через консоль должен вручную выставлять уровень МКЦ в 63.

  • Для отдельных юнитов, в дальнейшем, возможно задать свой "выделенный уровень МКЦ" (например, apache можно запустить на первом уровне МКЦ), так же возможно задать для юнита systemd свой уровень конфиденциальности.
    После включения МКЦ на ФС юниты или процессы на выделенном уровне МКЦ (например, на уровнях 1 или 2) не смогут записывать в файлы и каталоги, на которые будет установлено максимальное значение МКЦ 63 (см. set-fs-ilev или fly-admin-smc). Рекомендуемые уровни МКЦ:

...

  • На контейнеры (каталоги) больше нельзя устанавливать флаги ehole.
    Допускается только установка флаговфлага
Информация
ccnr (для конфиденциальности)
ccnri (для целостности).

Можно использовать псевдоним CCNRA (соответствует одновременно установленным флагам ccnr и ccnri).

...

  • Флаг ehole доступен, как и ранее, для установки на файлах, и, дополнительно, введен новый флаг

...

  • Запись в каталог с высокой целостностью и установленным флагом ccnri
    не может быть выполнена процессом с более низким уровнем целостности чем у контейнера (каталога).

...

  • Пользователь не может производить запись в контейнер (каталог)
    с установленным больше нуля уровнем МКЦ  и с установленным флагом ccnri, МКЦ
    если он не вошел в систему на уровне МКЦ равном или большем уровню МКЦ контейнера,
    или не обладает привилегией parsec_cap_ignmacint.

...

Формат метки аналогичен принятому в системе Parsec (pdpl-file --help), за исключением поля типа метки: метка процесса не может иметь флагов ccnr/ccnri/ehole/whole.

При этом, при задании уровней мандатных привилегий рекомендуется использовать числовые обозначения,
так как при разрешении имён могут оказаться задействованы сетевые ресурсы (например, LDAP-каталоги),
что может приводить к сложно диагностируемым ошибкам конфигурации.

...