Справочный центр

Дерево страниц

Сравнение версий

Старая версия 3

changes.mady.by.user Неизвестный пользователь (alenskiy)

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Александр Левдонский

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Оглавление

Информация
titleСписок использованных материалов:
  • Руководство по комплексу средств защиты информации, часть 1, 16.2. Режим киоска;
  • Руководство по комплексу средств защиты информации, часть 1, 16.3. Режим Киоск-2.



Информация
titleДанная статья применима к:
ОС СН Смоленск
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7)
  • Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
    (с установленным обновлением безопасности №20191029SE16)


Общие сведения

В данной настоящей статье сравнивается работа режима Киоск-2  и  режима киоска в ОС СН Смоленск 1.6режимов работы подсистемы безопасности PARSEC Astra Linux Special Edition: Киоск-2 и Киоск.

  • Киоск (
или
  • режим киоска) --
это инструмент подсистемы безопасности PARSEC, который служит
  • инструмент (режим работы) служащий для управления ограничениями пользователей в системе. Работу
режима киоска
  • Киоска обеспечивает пакет parsec-kiosk.
  • Киоск-2 (
или
  • режим Киоск-2)
это
  • более новый инструмент
PARSEC,
  • (режим работы) заменяющий режим
киоска
  • Киоск. Работу режима Киоск-2 обеспечивает пакет parsec-kiosk2. Пакет parsec-kiosk2 содержит инструменты для ограничения возможностей, предоставляемых непривилегированным пользователям  и представляет собой
обновлённую
  • обновленную версию пакета parsec-kiosk. Пакет parsec-kiosk2 входит в состав обновления
ОС СН Смоленск 1.6  № 20190912SE16
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)   № 20190912SE16 и более поздних обновлений.

Системный киоск (fly-admin-kiosk) – это графическое приложение для управления ограничениями среды.

Описание  работы режимов киоска и Киоск-2 приведено в:

.
  • Якорь
    руксз1
    руксз1
 
  • .

Основные отличия в работе Киоск-2 и режима киоска


Критерий сравненияКиоск-2 (пакет parsec-kiosk2)Киоск (пакет parsec-kiosk)
Маскирование правНет
.
Есть
.
Включение контроля доступа
1)

  1. Включение контроля доступа  с сохранением данного состояния до перезагрузки ОС:

    Command

    echo 1 | sudo tee /sys/module/parsec/parameters/uc_enforce

2)


  2. Включение контроля доступа  с сохранением данного состояния после перезагрузки ОС:

    Command

    echo 1 |  sudo tee /etc/parsec/kiosk2_enforce




Включение контроля доступа  с сохранением данного состояния после перезагрузки ОС:

Command

echo 0003

>

| sudo tee /etc/parsec/kiosk_mask
sudo reboot



Отключение контроля доступа
1)

  1. Отключение контроля доступа  с сохранением данного состояния до перезагрузки ОС:

    Command

    echo 0 | sudo tee /sys/module/parsec/parameters/uc_enforce

2)


  2. Отключение контроля доступа  с сохранением данного состояния после перезагрузки ОС:

    Command

    echo 0 |  sudo tee /etc/parsec/kiosk2_enforce




Отключение контроля доступа  с сохранением данного состояния после перезагрузки ОС:

Command

echo 0000

>

| sudo tee /etc/parsec/kiosk_mask
sudo reboot


Включение режима протоколирования
1)

  1. Включение протоколирования  с сохранением данного состояния до перезагрузки ОС:

    Command

    echo 1 | sudo tee /sys/module/parsec/parameters/uc_complain

2) Включение протоколирования 


  2. Включение протоколирования  с сохранением данного состояния после перезагрузки ОС:

    Command

    echo 1 |  sudo tee /etc/parsec/kiosk2_complain


Нет
.
Отключение режима протоколирования
1)

  1. Отключение протоколирования  с сохранением данного состояния до перезагрузки ОС:

    Command

    echo 0 | sudo tee /sys/module/parsec/parameters/uc_complain

2) Отключение протоколирования 


  2. Отключение протоколирования  с сохранением данного состояния после перезагрузки ОС:

    Command

    echo 0 |  sudo tee /etc/parsec/kiosk2_complain




Нет
.
Протоколирование процессов через консольЧерез dmesg (см. Руководство КСЗ, часть 1, 16.3.3.2 Протоколирование процессов).

Через otrace

.


Синтаксис профилей

Синтаксис профилей Киоск-2 отличается от синтаксиса профилей киоска. При этом

, parsec

Киоск-

kiosk2

2 распознает синтаксис профилей

parsec-kiosk

Киоск. Профиль, содержащий строки, написанные обоими синтаксисами будет корректно работать в режиме Киоск-2.

Информация
После редактирования такого профиля в fly-admin-kiosk, строки написанные по синтаксису
parsec-kiosk
Киоск заменятся строками с синтаксисом
parsec
Киоск-
kiosk2
2.

Пример:

Блок кода
+file rwc uo: file-name
+file rwc u: file-name
+file r o: file-name
+link rwc uo: file-name
@include other-profile-name
info
В синтаксисе режима Киоск-2
 можно 
:
  • Можно использовать кириллицу.
В синтаксисе профилей Киоск-2 доступны 
  • Доступны метасимволы. Таблица метасимволов приведена в руководстве по комплексу средств защиты информации, часть 1, (16.3.2.1. Синтаксис профилей режима Киоск-2).
 Примечание
iconfalse
titleВНИМАНИЕ!
Метасимволы в 
 имени файла (ссылки) 
именах файловых объектов не интерпретируются.


 Блок  кода
"/file/name" rwx

/file/name rwx

"/file/name" r-x

/file/name -w-

other-profile-name

Метасимволы недоступны, в профилях всегда указывается конкретный файл.
Синтаксис режима киоска отличается тем что:
  • в имени файла спецсимволы не интерпретируются;
  • любое из прав на чтение (r) или исполнение (x) преобразуется в право на чтение (r), а право на запись (w) преобразуется в права на запись (w) и создание (c);
  • правила одинаково применяются для доступа и владельцев, и невладельцев;
  • строка обязательно должна начинаться с символа  / или должна быть окружена кавычками " ;
  • если файл представляет символьную ссылку, то режим Киоск-2 обрабатывает целевой файл ссылки;
  • имя профиля должно начинаться только с латинской буквы, а также  в нем должен отсутствовать символ слэш "/"
.
Регулирование доступа к файлам, не существующим на момент применения профиляДопускается регулирование доступа к файлам, не существующим на момент применения профиля
.
Файл должен существовать заранее
.
Использование средств ядра ОС
Имеет независимые глобальные переключатели
 для применения ограничений к пользователям и для 
:
  • для протоколирования запрещённых действий ядром ОС (режим протоколирования также применяется для создания новых профилей)
.
  • ;
  • для применения ограничений к пользователям
Не протоколирует 
 запрещённые 
запрещенные действия средствами ядра ОС
 и всегда 
.
Всегда применяет ограничения
.
Отсутствие профиля пользователя
 user1Пользователю user1 
При отсутствии профиля пользователя ему разрешены любые действия.
Киоск-
2 ограничивает 
2 ограничивает только тех пользователей, для которых создан профиль в /etc/parsec/kiosk2
.
При отсутствии профиля пользователю разрешены 
Пользователю user1 запрещены 
 любые действия.
Ограничения режима киоска затрагивают всех пользователей системы, то есть отсутствие профиля эквивалентно пустому профилю.
Графический инструмент fly-admin-kiosk
При установленном parsec-kiosk2, пакет fly-admin-kiosk зависит от parsec-kiosk2.
 Примечание
iconfalse
titleВНИМАНИЕ!
Если 
 в ОС 
ранее использовался режим 
 киоска parsec-kiosk
Киоск, то 
 при установленном в системе пакете 
после установки пакета parsec-kiosk2 графическая утилита fly-admin-kiosk не будет распознавать профили 
 режима киоска
режимов, расположенные в каталогах /etc/parsec/kiosk/ и /etc/parsec/kiosk-profiles/. 
 Для работы с профилями 
 режима киоска с использованием утилиты fly-admin-kiosk 
их необходимо переместить 
 их 
 в каталоги /etc/parsec/kiosk2/ и /etc/parsec/kiosk2-profiles/ 
 пакета parsec-kiosk2 
 соответственно.
Пакет fly-admin-kiosk не требует предварительной настройки и позволяет:
включать 
  1. Включать и выключать режим Киоск-2
;
  1. .
включать 
  1. Включать и выключать протоколирование процессов в режиме "настройка трассировки процесса" или в "режим глобальной загрузочной записи" (название отличается в зависимости от версии fly-admin-kiosk)
;
  1. .
создавать 
  1. Создавать и редактировать профили с помощью
:
  1. .
    1. включения в профиль пользователя стандартных профилей
;
    1. .
    2. генерации набора файлов протоколированием системного или выполняемого от имени пользователя приложения;
копировать 
  1. Копировать профили пользователей
;
  1. .
удалять 
  1. Удалять профили пользователей
;
  1. .
включать 
  1. Включать и выключать профили пользователей
;
  1. .
отменять 
  1. Отменять изменения в профилях.
Для работы с графическим инструментом fly-admin-kiosk требуется предварительная настройка.
Пакет fly-admin-kiosk позволяет:
включать 
  1. Включать и отключать режим киоска;
создавать
  1. Создавать, редактировать удалять и копировать профили
;
  1. .
включать 
  1. Включать или исключать из состава профиля другие профили
;включать или исключать 
  1. .
  2. Включать или исключать из состава профиля файлы
;
  1. .
настраивать 
  1. Настраивать трассировку (протоколирование) процесса
.