Справочный центр

Дерево страниц

Сравнение версий

Старая версия 1

changes.mady.by.user Александр Левдонский

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Александр Левдонский

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Оглавление

Информация
titleСписок использованных материалов:
  • Руководство по комплексу средств защиты информации, часть 1, 16.2. Режим киоска;
  • Руководство по комплексу средств защиты информации, часть 1, 16.3. Режим Киоск-2.



Информация
titleДанная статья применима к:
  • ОС СН Смоленск 1.6 (с установленным обновлением безопасности №20191029SE16)
    • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7)
    • Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)
    • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
    ОС СН Ленинград
    • (с установленным обновлением безопасности
    № 20191225SE81


    Общие сведения

    В данной настоящей статье сравнивается работа режима Киоск-2  и  режима киоска в ОС СН Смоленск 1.6.режимов работы подсистемы безопасности PARSEC Astra Linux Special Edition: Киоск-2 и Киоск.

    • Киоск (
    или
    • режим киоска) --
    это инструмент подсистемы безопасности PARSEC, который служит
    • инструмент (режим работы) служащий для управления ограничениями пользователей в системе. Работу
    режима киоска
    • Киоска обеспечивает пакет parsec-kiosk.
    • Киоск-2 (
    или
    • режим Киоск-2)
    это
    • более новый инструмент
    PARSEC,
    • (режим работы) заменяющий режим
    киоска
    • Киоск. Работу режима Киоск-2 обеспечивает пакет parsec-kiosk2. Пакет parsec-kiosk2 содержит инструменты для ограничения возможностей, предоставляемых непривилегированным пользователям  и представляет собой
    обновлённую
    • обновленную версию пакета parsec-kiosk. Пакет parsec-kiosk2 входит в состав обновления
    ОС СН Смоленск 1.6  № 20190912SE16
    • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)   № 20190912SE16 и более поздних обновлений.

    Системный киоск (fly-admin-kiosk) – это графическое приложение для управления ограничениями среды.

    Описание  работы режимов киоска и Киоск-2 приведено в:

    .
    • Якорь
      руксз1
      руксз1
     
    • .

    Основные отличия в работе Киоск-2 и режима киоска


    Критерий сравненияКиоск-2 (пакет parsec-kiosk2)Киоск (пакет parsec-kiosk)
    Маскирование правНет
    .
    Есть
    .
    Включение контроля доступа
    1)

    1. Включение контроля доступа  с сохранением данного состояния до перезагрузки ОС:

      Command

      echo 1 | sudo tee /sys/module/parsec/parameters/uc_enforce

    2)


    2. Включение контроля доступа  с сохранением данного состояния после перезагрузки ОС:

      Command

      echo 1 |  sudo tee /etc/parsec/kiosk2_enforce




    Включение контроля доступа  с сохранением данного состояния после перезагрузки ОС:

    Command

    echo 0003

    >

    | sudo tee /etc/parsec/kiosk_mask
    sudo reboot



    Отключение контроля доступа
    1)

    1. Отключение контроля доступа  с сохранением данного состояния до перезагрузки ОС:

      Command

      echo 0 | sudo tee /sys/module/parsec/parameters/uc_enforce

    2)


    2. Отключение контроля доступа  с сохранением данного состояния после перезагрузки ОС:

      Command

      echo 0 |  sudo tee /etc/parsec/kiosk2_enforce




    Отключение контроля доступа  с сохранением данного состояния после перезагрузки ОС:

    Command

    echo 0000

    >

    | sudo tee /etc/parsec/kiosk_mask
    sudo reboot


    Включение режима протоколирования
    1)

    1. Включение протоколирования  с сохранением данного состояния до перезагрузки ОС:

      Command

      echo 1 | sudo tee /sys/module/parsec/parameters/uc_complain

    2) Включение протоколирования 


    2. Включение протоколирования  с сохранением данного состояния после перезагрузки ОС:

      Command

      echo 1 |  sudo tee /etc/parsec/kiosk2_complain


    		Нет
    .
    Отключение режима протоколирования
    1)

    1. Отключение протоколирования  с сохранением данного состояния до перезагрузки ОС:

      Command

      echo 0 | sudo tee /sys/module/parsec/parameters/uc_complain

    2) Отключение протоколирования 


    2. Отключение протоколирования  с сохранением данного состояния после перезагрузки ОС:

      Command

      echo 0 |  sudo tee /etc/parsec/kiosk2_complain




    		Нет
    .
    Протоколирование процессов через консольЧерез dmesg (см. Руководство КСЗ, часть 1, 16.3.3.2 Протоколирование процессов).

    Через otrace

    .


    Синтаксис профилей

    Синтаксис профилей Киоск-2 отличается от синтаксиса профилей киоска. При этом

    , parsec

    Киоск-

    kiosk2

    2 распознает синтаксис профилей

    parsec-kiosk

    Киоск. Профиль, содержащий строки, написанные обоими синтаксисами будет корректно работать в режиме Киоск-2.

    Информация
    После редактирования такого профиля в fly-admin-kiosk, строки написанные по синтаксису
    parsec-kiosk
    Киоск заменятся строками с синтаксисом
    parsec
    Киоск-
    kiosk2
    2.

    Пример:

    Блок кода
    +file rwc uo: file-name
+file rwc u: file-name
+file r o: file-name
+link rwc uo: file-name
@include other-profile-name
    info
    В синтаксисе режима Киоск-2
     можно 
    :
    • Можно использовать кириллицу.
    В синтаксисе профилей Киоск-2 доступны 
    • Доступны метасимволы. Таблица метасимволов приведена в руководстве по комплексу средств защиты информации, часть 1, (16.3.2.1. Синтаксис профилей режима Киоск-2).
     Примечание
    iconfalse
    titleВНИМАНИЕ!
    Метасимволы в 
     имени файла (ссылки) 
    именах файловых объектов не интерпретируются.


     Блок  кода
    "/file/name" rwx

/file/name rwx

"/file/name" r-x

/file/name -w-

other-profile-name

    Метасимволы недоступны, в профилях всегда указывается конкретный файл.
    Синтаксис режима киоска отличается тем что:
    • в имени файла спецсимволы не интерпретируются;
    • любое из прав на чтение (r) или исполнение (x) преобразуется в право на чтение (r), а право на запись (w) преобразуется в права на запись (w) и создание (c);
    • правила одинаково применяются для доступа и владельцев, и невладельцев;
    • строка обязательно должна начинаться с символа  / или должна быть окружена кавычками " ;
    • если файл представляет символьную ссылку, то режим Киоск-2 обрабатывает целевой файл ссылки;
    • имя профиля должно начинаться только с латинской буквы, а также  в нем должен отсутствовать символ слэш "/"
    .
    Регулирование доступа к файлам, не существующим на момент применения профиляДопускается регулирование доступа к файлам, не существующим на момент применения профиля
    .
    Файл должен существовать заранее
    .
    Использование средств ядра ОС
    Имеет независимые глобальные переключатели
     для применения ограничений к пользователям и 
    :
    • для протоколирования запрещённых действий ядром ОС (режим протоколирования также применяется для создания новых профилей)
    .
    • ;
    • для применения ограничений к пользователям
    Не протоколирует 
     запрещённые 
    запрещенные действия средствами ядра ОС
     и всегда 
    .
    Всегда применяет ограничения
    .
    Отсутствие профиля пользователя
     user1Пользователю user1 
    При отсутствии профиля пользователя ему разрешены любые действия.
    Киоск-
    2 ограничивает 
    2 ограничивает только тех пользователей, для которых создан профиль в /etc/parsec/kiosk2
    .
    При отсутствии профиля пользователю разрешены 
    Пользователю user1 запрещены 
     любые действия.
    Ограничения режима киоска затрагивают всех пользователей системы, то есть отсутствие профиля эквивалентно пустому профилю.
    Графический инструмент fly-admin-kiosk
    При установленном parsec-kiosk2, пакет fly-admin-kiosk зависит от parsec-kiosk2.
     Примечание
    iconfalse
    titleВНИМАНИЕ!
    Если 
     в ОС 
    ранее использовался режим 
     киоска parsec-kiosk
    Киоск, то 
     при установленном в системе пакете 
    после установки пакета parsec-kiosk2 графическая утилита fly-admin-kiosk не будет распознавать профили 
     режима киоска
    режимов, расположенные в каталогах /etc/parsec/kiosk/ и /etc/parsec/kiosk-profiles/. 
     Для работы с профилями 
     режима киоска с использованием утилиты fly-admin-kiosk 
    их необходимо переместить 
     их 
     в каталоги /etc/parsec/kiosk2/ и /etc/parsec/kiosk2-profiles/ 
     пакета parsec-kiosk2 
     соответственно.
    Пакет fly-admin-kiosk не требует предварительной настройки и позволяет:
    включать 
    1. Включать и выключать режим Киоск-2
    ;
    1. .
    включать 
    1. Включать и выключать протоколирование процессов в режиме "настройка трассировки процесса" или в "режим глобальной загрузочной записи" (название отличается в зависимости от версии fly-admin-kiosk)
    ;
    1. .
    создавать 
    1. Создавать и редактировать профили с помощью
    :
    1. .
      1. включения в профиль пользователя стандартных профилей
    ;
      1. .
      2. генерации набора файлов протоколированием системного или выполняемого от имени пользователя приложения;
    копировать 
    1. Копировать профили пользователей
    ;
    1. .
    удалять 
    1. Удалять профили пользователей
    ;
    1. .
    включать 
    1. Включать и выключать профили пользователей
    ;
    1. .
    отменять 
    1. Отменять изменения в профилях.
    Для работы с графическим инструментом fly-admin-kiosk требуется предварительная настройка.
    Пакет fly-admin-kiosk позволяет:
    включать 
    1. Включать и отключать режим киоска;
    создавать
    1. Создавать, редактировать удалять и копировать профили
    ;
    1. .
    включать 
    1. Включать или исключать из состава профиля другие профили
    ;включать или исключать 
    1. .
    2. Включать или исключать из состава профиля файлы
    ;
    1. .
    настраивать 
    1. Настраивать трассировку (протоколирование) процесса
    .