Справочный центр

Дерево страниц

Список использованных материалов:

  • Руководство по комплексу средств защиты информации, часть 1, 16.2. Режим киоска;
  • Руководство по комплексу средств защиты информации, часть 1, 16.3. Режим Киоск-2.

Данная статья применима к:

  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7)
  • Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
    (с установленным обновлением безопасности №20191029SE16)

Общие сведения

В настоящей статье сравнивается работа режимов работы подсистемы безопасности PARSEC Astra Linux Special Edition: Киоск-2 и Киоск.

  • Киоск (режим киоска) -- инструмент (режим работы) служащий для управления ограничениями пользователей в системе. Работу Киоска обеспечивает пакет parsec-kiosk.
  • Киоск-2 (режим Киоск-2) – более новый инструмент (режим работы) заменяющий режим Киоск. Работу режима Киоск-2 обеспечивает пакет parsec-kiosk2. Пакет parsec-kiosk2 содержит инструменты для ограничения возможностей, предоставляемых непривилегированным пользователям  и представляет собой обновленную версию пакета parsec-kiosk. Пакет parsec-kiosk2 входит в состав обновления Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)   № 20190912SE16 и более поздних обновлений.

Системный киоск (fly-admin-kiosk) – это графическое приложение для управления ограничениями среды.

Описание  работы режимов киоска и Киоск-2 приведено в:

Основные отличия в работе Киоск-2 и режима киоска


Критерий сравненияКиоск-2 (пакет parsec-kiosk2)Киоск (пакет parsec-kiosk)
Маскирование правНетЕсть
Включение контроля доступа

  1. Включение контроля доступа  с сохранением данного состояния до перезагрузки ОС:

    echo 1 | sudo tee /sys/module/parsec/parameters/uc_enforce

  2. Включение контроля доступа  с сохранением данного состояния после перезагрузки ОС:

    echo 1 |  sudo tee /etc/parsec/kiosk2_enforce


Включение контроля доступа  с сохранением данного состояния после перезагрузки ОС:

echo 0003 | sudo tee /etc/parsec/kiosk_mask
sudo reboot


Отключение контроля доступа

  1. Отключение контроля доступа  с сохранением данного состояния до перезагрузки ОС:

    echo 0 | sudo tee /sys/module/parsec/parameters/uc_enforce

  2. Отключение контроля доступа  с сохранением данного состояния после перезагрузки ОС:

    echo 0 |  sudo tee /etc/parsec/kiosk2_enforce


Отключение контроля доступа  с сохранением данного состояния после перезагрузки ОС:

echo 0000 | sudo tee /etc/parsec/kiosk_mask
sudo reboot

Включение режима протоколирования

  1. Включение протоколирования  с сохранением данного состояния до перезагрузки ОС:

    echo 1 | sudo tee /sys/module/parsec/parameters/uc_complain

  2. Включение протоколирования  с сохранением данного состояния после перезагрузки ОС:

    echo 1 |  sudo tee /etc/parsec/kiosk2_complain

Нет
Отключение режима протоколирования

  1. Отключение протоколирования  с сохранением данного состояния до перезагрузки ОС:

    echo 0 | sudo tee /sys/module/parsec/parameters/uc_complain

  2. Отключение протоколирования  с сохранением данного состояния после перезагрузки ОС:

    echo 0 |  sudo tee /etc/parsec/kiosk2_complain


Нет
Протоколирование процессов через консольЧерез dmesg (см. Руководство КСЗ, часть 1, 16.3.3.2 Протоколирование процессов).

Через otrace


Синтаксис профилей

Синтаксис профилей Киоск-2 отличается от синтаксиса профилей киоска. При этом Киоск-2 распознает синтаксис профилей Киоск. Профиль, содержащий строки, написанные обоими синтаксисами будет корректно работать в режиме Киоск-2.

После редактирования такого профиля в fly-admin-kiosk, строки написанные по синтаксису Киоск заменятся строками с синтаксисом Киоск-2.

Пример:

+file rwc uo: file-name
+file rwc u: file-name
+file r o: file-name
+link rwc uo: file-name
@include other-profile-name

В синтаксисе режима Киоск-2:

  • Можно использовать кириллицу.
  • Доступны метасимволы. Таблица метасимволов приведена в руководстве по комплексу средств защиты информации, часть 1, (16.3.2.1. Синтаксис профилей режима Киоск-2).

ВНИМАНИЕ!

Метасимволы в именах файловых объектов не интерпретируются.


"/file/name" rwx

/file/name rwx

"/file/name" r-x

/file/name -w-

other-profile-name

Метасимволы недоступны, в профилях всегда указывается конкретный файл.

Синтаксис режима киоска отличается тем что:

  • в имени файла спецсимволы не интерпретируются;
  • любое из прав на чтение (r) или исполнение (x) преобразуется в право на чтение (r), а право на запись (w) преобразуется в права на запись (w) и создание (c);
  • правила одинаково применяются для доступа и владельцев, и невладельцев;
  • строка обязательно должна начинаться с символа  / или должна быть окружена кавычками " ;
  • если файл представляет символьную ссылку, то режим Киоск-2 обрабатывает целевой файл ссылки;
  • имя профиля должно начинаться только с латинской буквы, а также  в нем должен отсутствовать символ слэш "/"
Регулирование доступа к файлам, не существующим на момент применения профиляДопускается регулирование доступа к файлам, не существующим на момент применения профиляФайл должен существовать заранее
Использование средств ядра ОС

Имеет независимые глобальные переключатели:

  • для протоколирования запрещённых действий ядром ОС (режим протоколирования также применяется для создания новых профилей);
  • для применения ограничений к пользователям

Не протоколирует запрещенные действия средствами ядра ОС.
Всегда применяет ограничения

Отсутствие профиля пользователя

При отсутствии профиля пользователя ему разрешены любые действия.
Киоск-2 ограничивает только тех пользователей, для которых создан профиль в /etc/parsec/kiosk2

При отсутствии профиля пользователю разрешены любые действия.
Ограничения режима киоска затрагивают всех пользователей системы, то есть отсутствие профиля эквивалентно пустому профилю.

Графический инструмент fly-admin-kiosk

При установленном parsec-kiosk2, пакет fly-admin-kiosk зависит от parsec-kiosk2.

ВНИМАНИЕ!

Если ранее использовался режим Киоск, то после установки пакета parsec-kiosk2 графическая утилита fly-admin-kiosk не будет распознавать профили режимов, расположенные в каталогах /etc/parsec/kiosk/ и /etc/parsec/kiosk-profiles/. Для работы с профилями их необходимо переместить в каталоги /etc/parsec/kiosk2/ и /etc/parsec/kiosk2-profiles/ соответственно.

Пакет fly-admin-kiosk не требует предварительной настройки и позволяет:

  1. Включать и выключать режим Киоск-2.
  2. Включать и выключать протоколирование процессов в режиме "настройка трассировки процесса" или в "режим глобальной загрузочной записи" (название отличается в зависимости от версии fly-admin-kiosk).
  3. Создавать и редактировать профили с помощью.
    1. включения в профиль пользователя стандартных профилей.
    2. генерации набора файлов протоколированием системного или выполняемого от имени пользователя приложения;
  4. Копировать профили пользователей.
  5. Удалять профили пользователей.
  6. Включать и выключать профили пользователей.
  7. Отменять изменения в профилях.

Для работы с графическим инструментом fly-admin-kiosk требуется предварительная настройка.

Пакет fly-admin-kiosk позволяет:

  1. Включать и отключать режим киоска;
  2. Создавать, редактировать удалять и копировать профили.
  3. Включать или исключать из состава профиля другие профили.
  4. Включать или исключать из состава профиля файлы.
  5. Настраивать трассировку (протоколирование) процесса