Данная статья применима к:
Расширенный режим МКЦ
Расширенный режим МКЦ (strict mode) является развитием режима МКЦ Astra Linux и предназначен для усиления защиты ОС. Особенности работы в этом режиме описаны ниже.
Особенности работы в расширенном режиме МКЦ
При работе в расширенном режиме МКЦ имеются следующие особенности:
- В любом режиме МКЦ процесс при его непосредственном запуске наследует уровень целостности (УЦ) процесса-родителя, но в расширенном режиме МКЦ вводится дополнительное ограничение: непосредственный запуск процесса запрещен если исполняемый файл, из которого запускается процесс, имеет УЦ меньший или несравнимый с УЦ процесса-родителя. В таком случае процесс возможно запустить только посредством инструмента (системного вызова) sumic (см. Инструмент sumic).
- При работе в обычном режиме МКЦ создаваемым файловым объектам (файлам или каталогам) назначается нулевой УЦ. При работе в расширенном режиме МКЦ создаваемым файловым объектам назначается УЦ, равный УЦ каталога, в котором объект размещается. При этом запрещено создавать файловые объекты с УЦ выше или несравнимым с УЦ процесса, создающего данный объект.
- Вход в пользовательские сессии с нулевой классификационной меткой возможен только на максимально доступном пользователю неиерархическом уровне целостности (выбирается автоматически). Т.е. администратор с высоким уровнем целостности, выбрав при входе в сессию нулевую метку конфиденциальности, не сможет выполнить вход на нулевом уровне целостности. И наоборот, если администратором с высоким уровнем целостности при входе в сессию была выбрана ненулевая классификационная метка, то вход будет выполнен на нулевом УЦ;
- При включенном расширенном режиме МКЦ во время создания пользователя всему содержимому его домашнего каталога назначается УЦ, равный УЦ данного пользователя. В дальнейшем назначение УЦ содержимому домашних каталогов пользователей осуществляется в соответствии с общими правилам МКЦ;
- Не применяется привилегия PARSEC_CAP_IGNMACINT (см. Привилегии PARSEC);
- Не применяется (игнорируется) параметр ядра parsec.ccnr_relax (см. Параметры модуля ядра Parsec, задаваемые в загрузчике);
- Возможно применение привилегии PARSEC_CAP_CCNR_RELAX (см. Привилегии PARSEC);
- Возможно применение атрибута irelax (см. Метка безопасности: структура и состав).
Управление режимом МКЦ
Включение расширенного режима МКЦ осуществляется командой:
- Будут выполнены необходимые настройки меток целостности файловых объектов, в том числе домашним каталогам существующих локальных пользователей, имеющих ненулевой максимальный УЦ, будет назначен этот УЦ;
- Для параметра ядра parsec.strict_mode установлено значение 1.
Для активации расширенного режима МКЦ необходимо перезагрузить ОС.
Для проверки текущего состояния расширенного режима МКЦ (активен/неактивен) можно воспользоваться командой:
В случае, если после выполнения команды включения расширенного режима МКЦ не выполнялась перезагрузка ОС, результат команды проверки состояния режима будет НЕАКТИВНО.
Для получения информации о состоянии расширенного режима МКЦ, которое будет после перезагрузки ОС, выполнить команду:
Инструмент sumic
Инструмент sumic позволяет запускать процессы на УЦ ниже, чем УЦ процесса-родителя. При таком запуске:
- УЦ запущенного процесса будет не выше УЦ исполняемого файла, из которого он запущен;
- запущенный процесс не унаследует открытые ресурсы процесса-родителя ресурсов, имеющие УЦ, превышающий УЦ запущенного процесса;
- запуск графических утилиты выполняется в изолированном X-сервере.
Синтаксис инструмента:
- -i <уровень_целостности> — Уровень целостности, на котором будет запущен процесс указанной команды. В случае отсутствия параметра процесс будет запущен на нулевом уровне целостности;
- -v, --version — Вывести информацию о версии и выйти;
- -h, --help — Вывести справку и выйти.