Расширенный режим МКЦ

Расширенный режим МКЦ (strict mode) является развитием режима МКЦ Astra Linux и предназначен для усиления защиты ОС. Расширенный режим МКЦ доступен начиная со следующих обновлений Astra Linux:

• Astra Linux Special Edition РУСБ.10015-01 и РУСБ.10015-10 (очередное обновление 1.7) с установленным обновлением БЮЛЛЕТЕНЬ № 2022-0819SE17 (оперативное обновление 1.7.2);
• Astra Linux Special Edition РУСБ.10015-37 (очередное обновление 7.7);
• Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7) с установленными обновлением БЮЛЛЕТЕНЬ № 2022-0926SE47 (оперативное обновление 4.7.2).

Особенности работы в этом режиме описаны ниже.

Особенности работы в расширенном режиме МКЦ

При работе в расширенном режиме МКЦ  имеются следующие особенности (далее под термином "домашний каталог" подразумевается "домашний каталог пользователя и всё его содержимое"):

1. Процессы:
   1. В любом режиме МКЦ процесс при его непосредственном запуске наследует набор неиерархических категорий целостности (НКЦ) процесса-родителя В расширенном режиме МКЦ вводится дополнительное ограничение: если исполняемый файл, из которого запускается процесс, имеет НКЦ меньший или несравнимый с НКЦ процесса-родителя, то непосредственный запуск процесса запрещен. В таком случае процесс возможно запустить только посредством инструмента (системного вызова) sumic (см. Инструмент sumic).
2. Файловые объекты:
   1. При работе во всех режимах МКЦ по умолчанию запрещено:
      1. Создавать файловые объекты с НКЦ выше или несравнимым с НКЦ процесса, создающего объект.
      2. Создавать файловые объекты в каталоге, имеющем НКЦ выше НКЦ процесса, создающего объект.
      3. В Astra Linux Special Editin x.8 также запрещено:
         1. Создавать файловые объекты с линейным уровнем целостности выше линейного уровня целостности процесса, создающего объект.
         2. Создавать файловые объекты в каталоге, имеющем линейный уровень целостности выше линейного уровня целостности процесса, создающего объект.
   2. При работе в обычном режиме МКЦ создаваемым файловым объектам (файлам или каталогам) назначается нулевой НКЦ.
   3. При работе в расширенном режиме МКЦ:
      1. По умолчанию:
         1. В Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.8) создаваемым файловым объектам (файлам или каталогам) назначаются нулевой НКЦ и линейный уровень процесса, создающего файловый объект.
         2. В Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7) по умолчанию создаваемым файловым объектам назначается НКЦ, равный НКЦ каталога, в котором объект размещается.
      2. Если на каталог установлен флаг irelax, то файловые объекты в каталоге может создавать процесс с любым НКЦ. При этом НКЦ создаваемых объектов будет назначаться как максимальный НКЦ, меньший или равный НКЦ процесса и каталога.
      3. В Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.8):
         1. Если на каталог установлен флаг iinh (и не установлен флаг irelax), то создаваемые файловые объекты:
            1. Наследуют НКЦ каталога, в котором они создаются.
            2. Наследуют неположительный линейный уровень целостности каталога, в котором они создаются. Положительные линейные уровни целостности не используются и зарезервированы для дальнейшего применения.;
            3. Наследуют флаг iinh.
         2. Если на каталог одновременно установлены флаги irelax и iinh, то действует правило наследования метки целостности, определяемое флагом irelax. Флаг iinh при этом наследуется.
3. ?Пользовательские сессии:
   1. Вход в локальные пользовательские сессии с нулевой классификационной меткой возможен только с максимально доступным пользователю НКЦ (выбирается автоматически). Т.е. администратор с "высоким" НКЦ, выбрав при входе в сессию нулевую классификационную метку, не сможет выполнить вход с нулевым НКЦ. И наоборот, если администратором с высоким уровнем целостности при входе в сессию была выбрана ненулевая классификационная метка, то вход будет выполнен с нулевым НКЦ.
   2. При включении расширенного режима МКЦ всем домашним каталогам назначается максимальный НКЦ пользователя-владельца.
   3. При включенном расширенном режиме МКЦ:
      1. При создании нового пользователя ему назначается нулевой НКЦ. Домашнему каталогу также назначается нулевой НКЦ.
      2. При назначении новому пользователю ненулевого максимального НКЦ домашнему каталогу следует также назначить этот НКЦ.
      3. Для нового входа доменного пользователя, имеющего ненулевой максимальный НКЦ, необходимо вручную создать пустой домашний каталог и назначить ему максимальный НКЦ этого пользователя.
      4. При перезагрузке ОС всем существующим домашним каталогам принудительно назначается максимальный НКЦ владельца.
         
   4. Не применяется привилегия PARSEC_CAP_IGNMACINT (см. Привилегии PARSEC).
   5. Не применяется (игнорируется) параметр ядра parsec.ccnr_relax (см. Параметры модуля ядра Parsec, задаваемые при загрузке).
   6. Возможно применение привилегии PARSEC_CAP_CCNR_RELAX (см. Привилегии PARSEC).

Включение расширенного режима МКЦ

Включение расширенного режима МКЦ осуществляется командой:

При включении расширенного режима МКЦ:

1. Будут выполнено назначение необходимых меток целостности файловых объектов, в том числе существующим локальным домашним каталогам пользователей, подробнее см. Особенности использования домашних каталогов пользователей при работе в расширенном режиме МКЦ.
2. Для параметра ядра parsec.strict_mode установлено значение 1.

Для активации расширенного режима МКЦ необходимо перезагрузить ОС.

Для проверки текущего состояния расширенного режима МКЦ (активен/неактивен) можно воспользоваться командой:

В случае, если после выполнения команды включения расширенного режима МКЦ не выполнялась перезагрузка ОС, результат команды проверки состояния режима будет НЕАКТИВНО.

Для получения информации о состоянии расширенного режима МКЦ, которое будет после перезагрузки ОС, выполнить команду:

Особенности использования домашних каталогов пользователей при работе в расширенном режиме МКЦ

Далее для обозначения максимального разрешенного пользователю НКЦ используется сокращение МНКЦ.

1. При работе Astra Linux Special Edition с установленным обновлением 1.7.3.UU2:
   1. При включении расширенного режима МКЦ локальным домашним каталогам всех пользователей, имеющим ненулевой МНКЦ, назначается этот НКЦ.
   2. При каждой перезагрузке ОС локальным домашним каталогам всех пользователей, имеющим ненулевой МНКЦ, назначается этот НКЦ.
      
      
2. При работе Astra Linux Special Edition без установленного обновления 1.7.3.UU2:
   1. При включении расширенного режима МКЦ локальным домашним каталогам пользователей, входящих в группу astra-admin и имеющих ненулевой МНКЦ, назначается максимальный НКЦ, доступный в ОС.
   2. При каждой перезагрузке ОС всем локальным домашним каталогам пользователей, имеющих ненулевой МНКЦ, назначается максимальный НКЦ, доступный в ОС.

При понижении (обнулении) МНКЦ  метки целостности на домашний каталог пользователя должны быть проставлены вручную.

Инструмент sumic

Инструмент sumic позволяет запускать процессы с НКЦ ниже, чем НКЦ процесса-родителя. При таком запуске:

• НКЦ запущенного процесса будет не выше НКЦ исполняемого файла, из которого он запущен;
• запущенный процесс не унаследует открытые ресурсы процесса-родителя ресурсов, имеющие НКЦ, превышающий НКЦ запущенного процесса;
• запуск графических утилит выполняется в изолированном X-сервере.

Синтаксис инструмента:

Параметры инструмента:

• -i <уровень_целостности> — НКЦ, на котором будет запущен процесс указанной команды. В случае отсутствия параметра процесс будет запущен с нулевым УЦ;
• -v, --version — Вывести информацию о версии и выйти;
• -h, --help — Вывести справку и выйти.