PARSEC-привилегии так же, как и Linux-привилегии, наследуются процессами от своих «родителей». Процессы, запущенные от имени суперпользователя, имеющего максимальный («Высокий») уровень целостности по умолчанию, независимо от явного назначения им привилегий, имеют возможность осуществлять большинство привилегированных действий.

Для настройки КСЗ могут использоваться как PARSEC-, так и Linux-привилегии.

Порядок управления привилегиями описан в Руководство по комплексу средств защиты информации, часть 1, п. 4.9



Данная статья применима к:

  • ОС СН Смолленск 1.6
  • ОС СН Ленинград 8.1


PARSEC-привилегии и их описание приведены в таблице:


Привилегия
Атрибут
Битовая маска

Описание

PARSEC_CAP_AUDIT
pcapaudit
0x00002

Позволяет управлять политикой аудита.

PARSEC_CAP_BYPASS_KIOSK
pcapbypasskiosk
0x08000

Позволяет игнорировать ограничения киоска.

PARSEC_CAP_CAP
pcapcap
0x00400

Позволяет устанавливать любой непротиворечивый набор привилегий для другого процесса и читать привилегии, присвоенные процессам.

PARSEC_CAP_CHMAC
pcapchmac
0x00008

Позволяет изменять метки безопасности файловых объектов.

PARSEC_CAP_FILE_CAP
pcapfilecap
0x00001

Не используется.
Для изменения меток безопасности файловых объектов см. привилегию PARSEC_CAP_CHMAC.
Для изменения меток безопасности процессов см. PARSEC_CAP_SETMAC.
Для изменения привилегий процессов см. PARSEC_CAP_CAP.

PARSEC_CAP_IGNMACCAT
pcapignmaccat
0x00020

Позволяет игнорировать мандатную политику по категориям доступа.
См. также PARSEC_CAP_IGNMACLVL и PARSEC_CAP_IGNMACINT.

PARSEC_CAP_IGNMACINT
pcapignmacint
0x02000

Позволяет игнорировать мандатную политику по уровням целостности.
См. также PARSEC_CAP_IGNMACCAT, PARSEC_CAP_IGNMACLVL, PARSEC_CAP_INHERIT_INTEGRITY.

PARSEC_CAP_IGNMACLVL
pcapignmaclvl
0x00010

Позволяет игнорировать мандатную политику по уровням конфиденциальности.
См. также PARSEC_CAP_IGNMACCAT и PARSEC_CAP_IGNMACINT.

PARSEC_CAP_INHERIT_INTEGRITY
pcapinheritintegrity
0x20000

При создании файловых объектов на них автоматически устанавливается максимально возможная целостность,
однако не выше, чем целостность процесса-создателя и целостность контейнера, в котором создается файловый объект. Используется для установщика пакетов (dpkg).
См. также PARSEC_CAP_IGNMACINT.

PARSEC_CAP_IPC_OWNER
pcapipcowner
0x10000

Отменяет мандатные ограничения при работе с сущностями IPC, такими как shared memory, message queue и т.д.
(Parsec-аналог Linux-привилегии CAP_IPC_OWNER.)

PARSEC_CAP_MAC_SOCK
pcapmacsock
0x00800

Позволяет изменять метки безопасности точек соединения (UNIX-сокетов).
Для сетевых сокетов см. PARSEC_CAP_PRIV_SOCK.

PARSEC_CAP_PRIV_SOCK
pcapprivsock
0x00100

Позволяет создавать новые сетевые сокеты процесса в привилегированном режиме (метка ehole).
Привилегированный сокет позволяет осуществлять сетевое взаимодействие, игнорируя мандатную политику.
Для точек соединения (UNIX-сокетов) см. PARSEC_CAP_MAC_SOCK.

PARSEC_CAP_READSEARCH
pcapreadsearch
0x00200

Позволяет игнорировать мандатную политику при чтении и поиске файловых объектов (но не при записи).

PARSEC_CAP_SETMAC
pcapsetmac
0x00004

Позволяет изменять метку безопасности процессов. Привилегия не позволяет процессу повышать уровень целостности другого процесса, а только понижать.
Для изменения меток безопасности файловых объектов см. PARSEC_CAP_CHMAC.
Для изменения привилегий процессов см. PARSEC_CAP_CAP.

PARSEC_CAP_SIG
pcapsig
0x00040

Позволяет посылать сигналы процессам, игнорируя мандатные права.

PARSEC_CAP_SUMAC
pcapsumac
0x04000

Позволяет запускать процессы с другой классификационной меткой (с другим иерархическим уровнем конфиденциальности и другими неиерархическими категориями доступа).

PARSEC_CAP_UNSAFE_SETXATTR
pcapunsafesetxat
0x01000

Позволяет устанавливать мандатные атрибуты объектов файловой системы без учета мандатных атрибутов родительского объекта-контейнера. Привилегия используется для восстановления объектов файловой системы из резервных копий и только после установки значения «1» для параметра /parsecfs/unsecure_setxattr.

PARSEC_CAP_UPDATE_ATIME
pcapupdateatime
0x00080

Позволяет изменять время доступа к файловым объектам.

В настоящее время не используется.