Справочный центр

Дерево страниц

Сравнение версий

Старая версия 2

changes.mady.by.user Александр Левдонский

Сохранено

по сравнению с

Новая версия 3

changes.mady.by.user Неизвестный пользователь (alenskiy)

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.
Комментарий: Automatic update to correct links

Оглавление


Информация
titleСписок использованных материалов:
  • Руководство по комплексу средств защиты информации, часть 1, 16.2. Режим киоска
  • Руководство по комплексу средств защиты информации, часть 1, 16.3. Режим Киоск-2



Информация
titleДанная статья применима к:
  • ОС СН Смоленск 1.6 (с установленным обновлением безопасности №20191029SE16)


Общие сведения

В данной статье сравнивается работа режима Киоск-2  и  режима киоска в ОС СН Смоленск 1.6.

Киоск (или режим киоска) -- это инструмент подсистемы безопасности PARSEC, который служит для управления ограничениями пользователей в системе. Работу режима киоска обеспечивает пакет parsec-kiosk.

Киоск-2 (или режим Киоск-2) – это новый инструмент PARSEC, заменяющий режим киоска. Работу режима Киоск-2 обеспечивает пакет parsec-kiosk2. Пакет parsec-kiosk2 содержит инструменты для ограничения возможностей, предоставляемых непривилегированным пользователям  и представляет собой обновлённую версию пакета parsec-kiosk. Пакет parsec-kiosk2 входит в состав обновления ОС СН Смоленск 1.6  № 20190912SE16 .

Системный киоск (fly-admin-kiosk) – это графическое приложение для управления ограничениями среды.

Описание  работы режимов киоска и Киоск-2 приведено в Руководство по комплексу средств защиты информации, часть 1, глава 16, пункты 2 и 3.

Якорь
руксз1
руксз1
 

Основные отличия в работе Киоск-2 и режима киоска


Критерий сравненияКиоск-2 (parsec-kiosk2)Киоск (parsec-kiosk)
Маскирование правНет.Есть.
Включение контроля доступа

1) Включение контроля доступа  с сохранением данного состояния до перезагрузки ОС:

Command

echo 1 | sudo tee /sys/module/parsec/parameters/uc_enforce


2) Включение контроля доступа  с сохранением данного состояния после перезагрузки ОС:
Command

echo 1 |  sudo tee /etc/parsec/kiosk2_enforce



Включение контроля доступа  с сохранением данного состояния после перезагрузки ОС:

Command

echo 0003 > /etc/parsec/kiosk_mask

reboot




Отключение контроля доступа

1) Отключение контроля доступа  с сохранением данного состояния до перезагрузки ОС:

Command

echo 0 | sudo tee /sys/module/parsec/parameters/uc_enforce


2) Отключение контроля доступа  с сохранением данного состояния после перезагрузки ОС:
Command

echo 0 |  sudo tee /etc/parsec/kiosk2_enforce



Отключение контроля доступа  с сохранением данного состояния после перезагрузки ОС:

Command

echo 0000 > /etc/parsec/kiosk_mask

reboot


Включение режима протоколирования

1) Включение протоколирования  с сохранением данного состояния до перезагрузки ОС:

Command

echo 1 | sudo tee /sys/module/parsec/parameters/uc_complain


2) Включение протоколирования  с сохранением данного состояния после перезагрузки ОС:
Command

echo 1 |  sudo tee /etc/parsec/kiosk2_complain



Нет.
Отключение режима протоколирования

1) Отключение протоколирования  с сохранением данного состояния до перезагрузки ОС:

Command

echo 0 | sudo tee /sys/module/parsec/parameters/uc_complain


2) Отключение протоколирования  с сохранением данного состояния после перезагрузки ОС:
Command

echo 0 |  sudo tee /etc/parsec/kiosk2_complain



Нет.
Протоколирование процессов через консольЧерез dmesg (см. Руководство КСЗ, часть 1, 16.3.3.2 Протоколирование процессов).

Через otrace.


Синтаксис профилей

Синтаксис профилей Киоск-2 отличается от синтаксиса профилей киоска. При этом, parsec-kiosk2 распознает синтаксис профилей parsec-kiosk. Профиль, содержащий строки, написанные обоими синтаксисами будет корректно работать в режиме Киоск-2.


Информация
После редактирования такого профиля в fly-admin-kiosk, строки написанные по синтаксису parsec-kiosk заменятся строками с синтаксисом parsec-kiosk2.


Блок кода
+file rwc uo: file-name
+file rwc u: file-name
+file r o: file-name
+link rwc uo: file-name
@include other-profile-name


Информация

В синтаксисе режима Киоск-2 можно использовать кириллицу.

В синтаксисе профилей Киоск-2 доступны метасимволы. Таблица метасимволов приведена в руководстве по комплексу средств защиты информации, часть 1, (16.3.2.1. Синтаксис профилей режима Киоск-2).

Примечание
iconfalse
titleВНИМАНИЕ!

Метасимволы в имени файла (ссылки) не интерпретируются.



Блок кода
"/file/name" rwx

/file/name rwx

"/file/name" r-x

/file/name -w-

other-profile-name

Метасимволы недоступны, в профилях всегда указывается конкретный файл.

Синтаксис режима киоска отличается тем что:

  • в имени файла спецсимволы не интерпретируются;
  • любое из прав на чтение (r) или исполнение (x) преобразуется в право на чтение (r), а право на запись (w) преобразуется в права на запись (w) и создание (c);
  • правила одинаково применяются для доступа и владельцев, и невладельцев;
  • строка обязательно должна начинаться с символа  / или должна быть окружена кавычками " ;
  • если файл представляет символьную ссылку, то режим Киоск-2 обрабатывает целевой файл ссылки;
  • имя профиля должно начинаться только с латинской буквы, а также  в нем должен отсутствовать символ слэш "/".
Регулирование доступа к файлам, не существующим на момент применения профиляДопускается регулирование доступа к файлам, не существующим на момент применения профиля.Файл должен существовать заранее.
Использование средств ядра ОСИмеет независимые глобальные переключатели для применения ограничений к пользователям и для протоколирования запрещённых действий ядром ОС (режим протоколирования также применяется для создания новых профилей).Не протоколирует запрещённые действия средствами ядра ОС и всегда применяет ограничения.
Отсутствие профиля пользователя user1

Пользователю user1 разрешены любые действия.

Киоск-2 ограничивает только тех пользователей, для которых создан профиль в /etc/parsec/kiosk2.

Пользователю user1 запрещены любые действия.

Ограничения режима киоска затрагивают всех пользователей системы, то есть отсутствие профиля эквивалентно пустому профилю.

fly-admin-kiosk

При установленном parsec-kiosk2, пакет fly-admin-kiosk зависит от parsec-kiosk2.

Примечание
iconfalse
titleВНИМАНИЕ!

Если в ОС использовался режим киоска parsec-kiosk, то при установленном в системе пакете parsec-kiosk2 графическая утилита fly-admin-kiosk не будет распознавать профили режима киоска, расположенные в каталогах /etc/parsec/kiosk/и /etc/parsec/kiosk-profiles/.

Для работы с профилями режима киоска с использованием утилиты fly-admin-kiosk необходимо переместить их в каталоги /etc/parsec/kiosk2/ и /etc/parsec/kiosk2-profiles/ пакета parsec-kiosk2 соответственно.

Пакет fly-admin-kiosk не требует предварительной настройки и позволяет:

  1. включать и выключать режим Киоск-2;
  2. включать и выключать протоколирование процессов в режиме "настройка трассировки процесса" или в "режим глобальной загрузочной записи" (название отличается в зависимости от версии fly-admin-kiosk);
  3. создавать и редактировать профили с помощью:
    1. включения в профиль пользователя стандартных профилей;
    2. генерации набора файлов протоколированием системного или выполняемого от имени пользователя приложения;
  4. копировать профили пользователей;
  5. удалять профили пользователей;
  6. включать и выключать профили пользователей;
  7. отменять изменения в профилях.

Для работы с fly-admin-kiosk требуется предварительная настройка.

Пакет fly-admin-kiosk позволяет:

  1. включать и отключать режим киоска;
  2. создавать, редактировать удалять и копировать профили;
  3. включать или исключать из состава профиля другие профили;
  4. включать или исключать из состава профиля файлы;
  5. настраивать трассировку (протоколирование) процесса.