Справочный центр

Дерево страниц

Вы просматриваете старую версию данной страницы. Смотрите текущую версию.

Сравнить с текущим просмотр истории страницы

« Предыдущий Версия 6 Следующий »



Данная статья применима к:

  • ОС СН Смоленск 1.6
  • ОС СН Ленинград 8.1
  • ОС ОН Орёл 2.12

Пакет parsec-kiosk2

Пакет parsec-kiosk2 содержит инструменты для ограничения возможностей, предоставляемых непривилегированным пользователям (т.н. user confinement).
Пакет входит в состав обновления ОС СН Смоленск 1.6, и устанавливается по умолчанию при установке обновления.
Кроме того, установка пакета возможна на любой системе Astra Linux (в том числе на ОС ОН Орёл).


Загрузка профилей в модуль ядра

При установке пакета parsec-kiosk2 в PAM-стек (в файл /etc/pam.d/common-session) добавляется вызов pam_exec для инструмента ppfsm, обеспечивающего загрузку профилей в модуль ядра.
Если в системе не установлен модуль parsec с поддержкой user confinement, ppfsm немедленно завершается с кодом возврата "успех", не совершая никаких действий.

Графический инструмент для управления профилями

Дополнительно при установке пакета parsec-kiosk2 устанавливается графический инструмент fly-admin-kiosk для управления  профилями.
После установки этот инструмент доступен через систему графических меню:

"Пуск" - "Панель управления" - "Безопасность" - "Системный киоск".


Включение user confinement при установленном модуле ядра:

  • Включить контроль доступа и применять ограничения на работу с файлами при нарушении установленных фильтров доступа:

    echo 1 > /sys/module/parsec/parameters/uc_enforce

  • Включить протоколирование нарушений установленных фильтров доступа:

    echo 1 > /sys/module/parsec/parameters/uc_complain

Профили пакета parsec-kiosk2

Файлы с профилями parsec-kiosk2 располагаются в каталоге /etc/parsec/kiosk2-profiles/.
При установке пакета в этот каталог устанавливается набор типовых профилей.


Синтаксис профилей киоска

"Современный" / базовый

+file <r/w/c> <u/o>: <filename>


Разрешить чтение/запись/создание владельцу/невладельцу. В имени файла могут использоваться метасимволы, например:

+file ? u: ** (разрешить создание, запись, чтение владельцам файлов).


Вариант с чтением ссылки:

+link <r/w/c> <u/o>: <filename>


Имя файла должно соответствовать существующей символьной ссылке. Целевой файл для ссылки (который не обязан существовать в момент загрузки профиля) добавляется в список доступных. Метасимволы в имени файла (ссылки) не интерпретируются.

+link r o /lib/ld-linux.so.2

Совместимый с parsec-kiosk

"/file/name" rwx
    /file/name rwx
"/file/name" r-x
/file/name -w-

При этом:

  • Имя файла считается литералом (спецсимволы не интерпретируются);
  • Любое из прав r/x преобразуется в r, w преобразуется в wc;
  • Правила применяется одинаково и для доступа владельцев и для доступа невладельцев (uo);
  • Строка обязательно должна начинаться с символа кавычки или символа "слэш";
  • Если файл представляет символьную ссылку, в вывод профиля попадает целевой файл ссылки.

Включение файла


Вариант, совместимый со старым киоском. Имя включаемого файла обязано начинаться с латинской буквы, символы "слэш" в имени не допускаются:


other-profile-name


Новый вариант (включение в явной форме). Можно использовать абсолютные и относительные пути:
@include other-profile-name




  • Нет меток