Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.


Информация
titleДанная статья применима к:
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7), РУСБ.10015-10
  • Astra Linux Special Edition РУСБ.10015-17
  • Astra Linux Special Edition РУСБ.10015-37 (очередное обновление 7.7)
  • Astra Linux Special Edition РУСБ.10015-03 (очередное обновление 7.6)
  • Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) с установленным оперативным обновлением № 20190912SE16 (оперативное обновление 3)

  • Astra Linux Special Edition РУСБ.10015-16 исп. 1
  • Astra Linux Special Edition РУСБ.10015-16 исп. 2
  • Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)
  • Astra Linux Common Edition 2.12


Пакет parsec-kiosk2

Пакет parsec-kiosk2 содержит инструменты для ограничения возможностей, предоставляемых непривилегированным пользователям (т.н. user confinement) и представляет собой обновленную версию пакета parsec-kiosk (см. Astra Linux Special Edition 1.6: Режим киоска). Пакет входит в состав оперативного обновления БЮЛЛЕТЕНЬ № 20190912SE16 (оперативное обновление 3) и последующие обновления и устанавливается по умолчанию при установке этого или последующего обновления. Установка пакета возможна на любой системе Astra Linux (в том числе на ОС Astra Linux Common Edition).

Графический инструмент для управления профилями

Дополнительно при установке пакета parsec-kiosk2 устанавливается обновлённый графический инструмент для управления профилями fly-admin-kiosk. После установки этот инструмент доступен через систему графических меню:

Информация
"Пуск" - "Панель управления" - "Безопасность" - "Системный киоск".

Инструмент позволяет включать и отключать режим киоска:

  • через графическое меню "Правка" - "Включить режим киоска"
  • или кнопкой с изображением ключей в панели кнопок.

Кроме того, инструмент позволяет:

  • Изменять содержимое файлов профилей (на снимке экрана приведено содержимое стандартного профиля fly-desktop, включающего стандартный профиль fly-unlock);
  • Создавать и изменять профили пользователей, в том числе:
    • Путём включения в профиль пользователя стандартных профилей (секция рабочего окна "Включить профиль");
    • Путём генерации набора файлов из трассировки приложения:
      • Системного (меню "Правка" - "Создать системный профиль для приложения");
      • Выполняемого от  имени пользователя (кнопка "Добавить файлы из") ;
    • Путём копирования существующего (типового) профиля пользователя.

Создание профиля пользователя

Для создания профиля пользователя:

  • Выбрать в левой часть окна приложения пункт "Профили пользователей" и выбрать в меню "Правка" - "Добавить" или нажать кнопку со знаком "+" в панели кнопок;
  • В открывшемся окне ввести имя пользователя и нажать кнопку "да";

Добавление контролируемого файла к профилю пользователя

  • Выбрать в левой часть окна приложения нужного пользователя (профиль пользователя должен быть ранее добавлен в приложение, см. предыдущий пункт);
  • Выбрать в меню пункт "Правка" - "Вставить файл" или нажать кнопку "+"  в панели кнопок;
  • В открывшемся окне выбрать файл и нажать кнопку "Открыть";
  • В появившейся записи параметров контроля файла выбрать нужные параметры;
  • Выбрать пункт меню "Файл" - "Сохранить" или нажать кнопку с изображением дискеты в панели кнопок;

Включение системных профилей в профиль пользователя

Для включения системных профилей в профиль пользователя:

  • Выбрать соответствующего пользователя в списке пользователей;
  • Отметить нужные профили в нижнем правой части экрана приложения (часть "Включить профиль");
  • Выбрать пункт меню "Файл" - "Сохранить" или нажать кнопку с изображением дискеты в панели кнопок;



Включение из командной строки ограничений пользователя при установленном модуле ядра

  • Включить контроль доступа и применять ограничения на работу с файлами при нарушении установленных фильтров доступа:

    Command
    echo 1 > /sys/module/parsec/parameters/uc_enforce


  • Включить протоколирование нарушений установленных фильтров доступа:

    Command
    echo 1 > /sys/module/parsec/parameters/uc_complain


Профили пакета parsec-kiosk2

Файлы с профилями parsec-kiosk2 располагаются в каталоге /etc/parsec/kiosk2-profiles/. При установке пакета в этот каталог устанавливается набор типовых профилей.

Синтаксис профилей киоска

"Современный" / базовый

Информация
+file <r/w/c> <u/o>: <filename>


Разрешить чтение/изменение/создание файловых объектов владельцу/не владельцу. В имени файла могут использоваться метасимволы, например:

Информация
+file ? u: ** (разрешить создание, запись, чтение владельцам файлов).


Вариант с чтением ссылки:

Информация
+link <r/w/c> <u/o>: <filename>


Имя файла должно соответствовать существующей символьной ссылке. Целевой файл для ссылки (который не обязан существовать в момент загрузки профиля) добавляется в список доступных. Метасимволы в имени файла (ссылки) не интерпретируются.

Информация
+link r o /lib/ld-linux.so.2

Совместимый с parsec-kiosk

Информация

"/file/name" rwx
    /file/name rwx
"/file/name" r-x
/file/name -w-

При этом:

  • Имя файла считается литералом (спецсимволы не интерпретируются);
  • Любое из прав r/x преобразуется в r, w преобразуется в wc;
  • Правила применяется одинаково и для доступа владельцев и для доступа не владельцев (uo);
  • Строка обязательно должна начинаться с символа кавычки или символа "слэш";
  • Если файл представляет символьную ссылку, в вывод профиля попадает целевой файл ссылки.

Включение файла в профиль

Вариант, совместимый со старым киоском. Имя включаемого файла обязано начинаться с латинской буквы, символы "слэш" в имени не допускаются:

Информация
other-profile-name


Новый вариант (включение в явной форме). Можно использовать абсолютные и относительные пути:
Информация
@include other-profile-name

Если в файлах профилей для одного файла (и ссылок на этот файл) указаны разные разрешения, то они объединяются.

Например, для файла /tmp/test.txt и ссылки на него /tmp/link.txt

Информация
+file r o: /tmp/test.txt
+link rw o: /tmp/link.txt

это то же самое, как если бы мы раскрыли символьную ссылку

Информация
+file r o: /tmp/test.txt
+file rw o: /tmp/test.txt


а это, в свою очередь, то же самое, что одна строчка

Информация
+file rw o: /tmp/test.txt


(объединение r и rw даёт rw)