Данная статья применима к:
- Astra Linux Special Edition
- Astra Linux Common Edition (только в части "Разделяемые каталоги")
Разделяемые каталоги
Для обеспечения совместной работы пользователей в Astra Linux используются разделяемые каталоги. Содержимое этих каталогов доступно всем пользователям для чтения и (частично) для записи. Эти каталоги являются частью штатной модели файловой системы ОС, и создаются автоматически при установке ОС (см. Filesystem Hierarchy Standard). Для работы устанавливаемого в ОС дополнительного ПО могут требоваться собственные разделяемые каталоги, не входящие в стандартную схему. Примерный список и описание этих каталогов приведены в таблице:
| Каталог | Описание | Стандартный каталог |
|---|---|---|
| /tmp | Каталог временных файловых объектов. Не сохраняется после перезагрузки ОС. Используется для хранения временных (рабочих) данных в файловой системе. | Да |
| /var/tmp | Каталог временных файловых объектов. Сохраняется после перезагрузки ОС. Используется для хранения повторно используемых рабочих данных в файловой системе. | Да |
| /dev/shm | Каталог разделяемой памяти. Не сохраняется после перезагрузки ОС. Используется для обмена временными рабочими данными через разделяемую оперативную память. | Да |
| /run/mount | Каталог временного монтирования пользовательских устройств. Используется для автоматического монтирования с помощью сценариев подключаемых пользовательских устройств. | Да |
| /var/cache | Каталог для кеширования данных. Обычно не используется при работе на ненулевых уровнях конфиденциальности в Astra Linux Special Edition так как не обязателен для нормальной работы ПО. | Да |
| /var/opt/cprocsp/tmp | Каталог для временных файловых объектов. Используется для работы прикладного ПО КриптоПРО. Порядок использования описан в документации. | Нет |
Разделяемые каталоги предназначены для создания в них файловых объектов, принадлежащих любым пользователям. В силу этого ограничения доступа, налагаемые моделью дискреционного управления доступом, позволяют всем пользователям выполнять создание своих файловых объектов и поиск любых (принадлежащих другим пользователям) файловых объектов во временных каталогах. Чтение и изменение содержимого не принадлежащих пользователю файловых объектов ограничивается дискреционными правами доступа. Дополнительно применяется специальное ограничение дискреционного доступа sticky-bit, запрещающее удалять и переименовывать не принадлежащие пользователю файловые объекты.
Разделяемые каталоги при работе с ненулевыми классификационными метками
При работе в пользовательских сессиях с ненулевыми классификационными метками ограничения доступа, наложенные дискреционной моделью управления доступом на разделяемые каталоги, недостаточны для полной изоляции уровней конфиденциальности и оставляют возможность появления каналов утечки информации. Для предотвращения появления таких каналов в Astra Linux Special Edition применяется собственная структура временных каталогов, обеспечивающая полную изоляцию информации.
Для обеспечения изоляции для каждого уровня конфиденциальности создается отдельная структура временных каталогов, дублирующая стандартную структуру. Для автоматического создания этой структуры используется файл /etc/parsec/mkinks, содержащий описание создаваемой структуры. Стандартное содержимое файла /etc/parsec/mlinks:
/tmp /var/private/tmp 1777 /var/tmp /var/private/vartmp 1777 # /var/cache /var/private/varcache 0755 /dev/shm /run/private/shm 1777 /run/mount /run/private/mount 0755
В каждой строке содержатся три информационных поля, разделенных пробелами:
- имя разделяемого каталога стандартной файловой системы, для которого должен быть создан дублирующий разделяемый каталог;
- имя дублирующего разделяемого каталога, в который будут перенаправлены обращения к стандартному каталогу;
- права доступа к дублирующему разделяемому каталогу (подробнее см. справку man chmod):
- 1777 - полный доступ для всех пользователей, дополненный применением sticky-bit;
- 0755 - разрешение чтения и поиска для всех пользователей;
Дублирующие разделяемые каталоги создаются при установке (загрузке) ОС, и, в дальнейшем служат корневыми каталогами для структуры сессионных каталогов. В отличие от стандартных разделяемых каталогов все дублирующие разделяемые каталоги автоматически очищаются при перезагрузке ОС.
Сессионные каталоги автоматически создаются при входе пользователей, и при работе в сессии все обращения к разделяемым каталогам автоматически перенаправляются в соответствующие сессионные каталоги. Названия сессионных каталогов формируются из параметров классификационной метки пользовательской сессии, что обеспечивает совместное использование этих каталогов только сессиями с одинаковыми классификационными метками. Название сессионных каталогов имеет вид:
l<иерархический_уровень_конфиденциальности>i<иерархический_уровень_целостности>c0x<неиерархические_категории_конфиденциальности>t0x0
где
- l<иерархический_уровень_конфиденциальности> - иерархический уровень конфиденциальности пользовательской сессии, десятичное число;
- i<уровень_целостности> - иерархический уровень целостности пользовательской сессии, десятичное число;
- c0x<неиерархические_категории_конфиденциальности> - неиерархические катагории конфиденциальности, шестнадцатиричное число;
- t0x0 - метка типа, всегда t0x0.
Пример:
При первом входе пользователя в сессию со следующими параметрами:
- иерархический уровень конфиденциальности 3;
- иерархический уровень целостности 63;
- неиерархические катагории конфиденциальности 0;
будет сформировано имя сессионного каталога:
l3i63c0x0t0x0
и будут автоматически созданы сессионные каталоги, в которые будут перенаправлены обращения к соответствующим стандартным разделяемым каталогам:
- /var/private/tmp/l3i63c0x0t0x0
- /var/private/vartmp/l3i63c0x0t0x0
- /var/private/varcache/l3i63c0x0t0x0
- /run/private/shm/l3i63c0x0t0x0
- /run/private/mount/l3i63c0x0t0x0
При дальнейшем входе пользователей в сессии с такими же классификационными метками будут использоваться уже созданные сессионные каталоги.
Нестандартные разделяемые каталоги при работе с ненулевыми классификационными метками
При использовании в ОС дополнительного прикладного ПО, использующего нестандартные разделяемые каталоги, для обеспечения работы этого ПО может понадобиться создать дополнительные дублирующие разделяемые каталоги. Для автоматичеcкого создания сессионных каталогов и перенаправления обращений соответствующая запись должна быть в ключена в файл /etc/parsec/mlinks. Например, для нестандартного разделяемого каталога /var/opt/cprocsp/tmp (используется ПО КриптоПРО) должна быть добавлена запись вида:
/var/opt/cprocsp/tmp /var/private/tmp/cprocsp 1777