Справочный центр

Дерево страниц

Вы просматриваете старую версию данной страницы. Смотрите текущую версию.

Сравнить с текущим просмотр истории страницы

Версия 1 Следующий »

Данная статья применима к:


При работе Astra Linux с включенным мандатным контролем целостности (МКЦ) каждый процесс при запуске получает неиерархический уровень целостности (далее - УЦ) процесса-родителя. В расширенном режиме МКЦ (strict mode) дополнительно запрещается запуск процесса в том случае, если исполняемый файл, из которого запускается процесс, имеет УЦ меньший или несравнимый с УЦ процесса-родителя. В данном случае процесс возможно запустить только с использованием инструмента sumic.

Аналогичным образом создаваемому файлу и каталогу назначается уровень целостности, равный уровню целостности каталога, в котором выполняется создание. При этом запрещено создавать файл (каталог) с уровнем целостности выше или несравнимым с
уровнем целостности процесса, создающего данный файл (каталог).
Включение расширенного режима МКЦ осуществляется путем выполнения от имени администратора команды:
astra-strictmode-control enable
В результате будут выполнены необходимые настройки уровней целостности сущностей и для параметра командной строки ядра parsec.strict_mode установлено значение 1. Для активации расширенного режима МКЦ необходимо перезагрузить ОС.
Для проверки текущего состояния расширенного режима МКЦ (активен/неактивен) можно воспользоваться командой:
astra-strictmode-control status
В случае, если после выполнения команды включения расширенного режима МКЦ не выполнялась перезагрузка ОС, результат команды проверки состояния режима будет НЕАКТИВНО. Для получения информации о состоянии расширенного режима МКЦ, которое будет после перезагрузки ОС, выполнить команду:
astra-strictmode-control is-enabled
Расширенный режим МКЦ будет применяться только при загрузке ОС с ядром 5.4. При включенном расширенном режиме МКЦ во время создания пользователя всему содержимому его домашнего каталога назначается уровень целостности, равный уровню
целостность данного пользователя. В дальнейшем назначение уровней целостности содержимому домашних каталогов пользователей осуществляется в соответствии с общими правилам мандатного контроля целостности.

  • Нет меток