Мандатный контроль целостности

Имя пакета программы: astra-systemsettings
Версия пакета программы: 4:5.27.8-1astra7+ci1 и выше
Условия запуска программы: любой пользователь может запустить программу. Для работы в программе требуется ввод пароля администратора

О программе

Управление и настройка подсистемы мандатного контроля целостности.

Перед работой в программе рекомендуется ознакомиться с описанием мандатного контроля целостности в эксплуатационном документе «Руководство по КСЗ. Часть 1».

Запуск

Программа запускается:

  • в графическом интерфейсе:
    • через меню Пуск — Параметры — Управление доступом — Мандатный контроль целостности;
    • через классическое меню Пуск — Параметры системы — Управление доступом — Мандатный контроль целостности;
  • из терминала — выполнить команду:

astra-systemsettings astra_kcm_mic

Включение и выключение подсистемы

Для включения/выключения подсистемы мандатного управления доступом необходимо установить/снять флаг Включить МКЦ.

Для сохранения изменений необходимо нажать [Применить] и при запросе ввести пароль администратора.

Максимальный уровень целостности

Для просмотра информации о максимальном уровне целостности текущей сессии и максимальном уровне целостности системы необходимо нажать [Перейти к экспертному режиму].

Максимальный уровень целостности текущей сессии отображается в строке Максимальный уровень целостности (текущий) и недоступен для редактирования.

Максимальный уровень целостности системы отображается в строке Максимальный уровень целостности (в загрузчике). Для изменения максимального уровня целостности системы необходимо:

  • выключить мандатный контроль целостности (см. Включение и выключение подсистемы);
  • выбрать значение из выпадающего списка и нажать [Применить], при запросе ввести пароль администратора.

Для того чтобы изменения вступили в силу, необходимо перезагрузить систему.

Уровни целостности пользователей

В таблице Уровни целостности пользователей отображается список пользователей и данные о них:

  • имя;
  • идентификатор;
  • тип пользователя (обычный или системный);
  • минимальный и максимальный доступные уровни целостности.

По умолчанию отображаются только обычные (не системные) пользователи. Для отображения только системных пользователей необходимо из выпадающего списка выбрать Системные, для отображения всех пользователей (обычных и системных) — выбрать Все.

Для поиска пользователей можно воспользоваться фильтром по имени пользователя.

Защита файловой системы

Управление защитой файловой системы

Защита файловой системы реализуется путем установки уровней целостности для файлов/папок в соответствии с конфигурационным файлом /etc/parsec/fs-ilev.conf.

Для включения защиты файловой системы необходимо установить флаг Защита файловой системы, для выключения — снять флаг. Если флаг Защита файловой системы имеет вид многоточия, это значит, что файловая система защищена частично (некоторые файлы/папки имеют уровень целостности, не соответствующий заданному в конфигурационном файле). Для защиты всех файлов/папок в соответствии с конфигурационным файлом необходимо:

  • установить флаг Защита файловой системы;
  • нажать [Применить];
  • при запросе ввести пароль администратора.

Защита отдельного файла или папки

Чтобы изменить уровень целостности отдельного файла или папки, необходимо:

  • нажать [Перейти к экспертному режиму];
  • во вкладке Файловая система дважды нажать на нужный файл/папку в столбце Уровень целостности в конфиге, затем из выпадающего списка выбрать нужный уровень целостности;
  • нажать [Применить] и при запросе ввести пароль администратора, чтобы внести соответствующие изменения в конфигурационный файл /etc/parsec/fs-ilev.conf и применить их к файловой системе.

Редактирование конфигурационного файла

Уровни целостности файлов и папок

Для редактирования уровней целостности файлов/папок, указанных в конфигурационном файле /etc/parsec/fs-ilev.conf, необходимо:

  • нажать [Перейти к экспертному режиму];
  • перейти во вкладку Редактирование конфига.

Строки конфигурационного файла представлены в виде таблицы. Столбец Путь к объекту содержит полный путь к файлу/папке, а столбец Уровень целостности — уровень целостности, указанный для данного файла/папки.

Для добавления строки в таблицу необходимо:

  • нажать [+];
  • указать путь к файлу/папке:
    • дважды нажать в соответствующем столбце;
    • ввести путь вручную либо нажать [...], в открывшемся окне выбрать файл/папку и нажать [Открыть];
  • указать уровень целостности для файла:
    • дважды нажать в соответствующем столбце;
    • из выпадающего списка выбрать уровень целостности.

Для редактирования строки таблицы необходимо дважды нажать в нужном столбце и указать новое значение согласно описанию выше.

Для удаления строки из таблицы необходимо выбрать строку и нажать [-].

Для удаления из таблицы всех строк, указывающих уровень целостности файлов/папок, необходимо нажать [x].

Чтобы сохранить изменения, внести их в конфигурационный файл и применить к файловой системе, необходимо нажать [Применить], при запросе ввести пароль администратора.

Список исключений

Файлы/папки, указанные как исключения в конфигурационном файле /etc/parsec/fs-ilev.conf, игнорируются при проверке целостности.

Чтобы отредактировать список исключений в конфигурационном файле, необходимо:

  • нажать [Перейти к экспертному режиму];
  • перейти во вкладку Исключения. Работа во вкладке выполняется так же, как во вкладке Редактирование конфига (см. Уровни целостности файлов и папок).

Чтобы сохранить изменения, внести их в конфигурационный файл и применить к файловой системе, необходимо нажать [Применить], при запросе ввести пароль администратора.

Редактирование во внешней программе

Чтобы открыть конфигурационный файл /etc/parsec/fs-ilev.conf во внешнем текстовом редакторе, необходимо:

  • нажать [Перейти к экспертному режиму];
  • перейти во вкладку Редактирование конфига или Исключения;
  • нажать [Открыть файл конфигурации в текстовом редакторе].

Внеся изменения в конфигурационный файл /etc/parsec/fs-ilev.conf, необходимо в окне модуля «Мандатный контроль целостности» нажать [Сбросить] для обновления данных в соответствии с конфигурационным файлом.

Изоляция служб

Изоляция служб позволяет запускать службы Apache, Docker, Dovecot и Exim на выделенном уровне целостности.

Для настройки изоляции служб необходимо нажать [Перейти к экспертному режиму], перейти во вкладку Сервисы, затем:

  • для включения/выключения изоляции всех служб установить/снять флаг Запуск сервисов на изолированном уровне.
  • для включения/выключения изоляции отдельных служб установить/снять соответствующие флаги в столбце Изолировать.

Для сохранения изменений необходимо нажать [Применить] и при запросе ввести пароль администратора.