При работе Astra Linux с включенным мандатным контролем целостности (МКЦ) каждый процесс при запуске получает неиерархический уровень целостности (далее - УЦ) процесса-родителя. В расширенном режиме МКЦ (strict mode) дополнительно запрещается запуск процесса в том случае, если исполняемый файл, из которого запускается процесс, имеет УЦ меньший или несравнимый с УЦ процесса-родителя. В данном случае процесс возможно запустить только с использованием инструмента sumic.
Аналогичным образом создаваемому файлу и каталогу назначается УЦ, равный УЦ каталога, в котором выполняется создание. При этом запрещено создавать файл (каталог) с УЦ выше или несравнимым с УЦ процесса, создающего данный файл (каталог).
Включение расширенного режима МКЦ осуществляется путем выполнения команды:
sudo astra-strictmode-control enable
В результате будут выполнены необходимые настройки уровней целостности сущностей и для параметра командной строки ядра parsec.strict_mode установлено значение 1. Для активации расширенного режима МКЦ необходимо перезагрузить ОС.
Для проверки текущего состояния расширенного режима МКЦ (активен/неактивен) можно воспользоваться командой:
sudo astra-strictmode-control status
В случае, если после выполнения команды включения расширенного режима МКЦ не выполнялась перезагрузка ОС, результат команды проверки состояния режима будет НЕАКТИВНО. Для получения информации о состоянии расширенного режима МКЦ, которое будет после перезагрузки ОС, выполнить команду:
sudo astra-strictmode-control is-enabled
Расширенный режим МКЦ будет применяться только при загрузке ОС с ядром 5.4. При включенном расширенном режиме МКЦ во время создания пользователя всему содержимому его домашнего каталога назначается УЦ, равный УЦ данного пользователя. В дальнейшем назначение УЦ содержимому домашних каталогов пользователей осуществляется в соответствии с общими правилам МКЦ.