Дерево страниц

Привилегии PARSEC, так же, как и привилегии Linux, наследуются процессами от своих «родителей». Процессы, запущенные от имени суперпользователя, имеющего максимальный («Высокий») уровень целостности по умолчанию, независимо от явного назначения им привилегий, имеют возможность осуществлять большинство привилегированных действий.

Для настройки КСЗ могут использоваться как PARSEC-, так и Linux-привилегии.

Порядок управления привилегиями описан в Руководстве по комплексу средств защиты информации, см.:



Данная статья применима к:

  • Astra Linux Special Edition РУСБ.10015-01 и РУСБ.10015-10  (очередное обновление 1.7)
  • Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)

  • Astra Linux Special Edition РУСБ.10015-16 исп. 1 иисп. 2

  • Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)

Привилегии PARSEC и их описание приведены в таблице:

      PARSEC_CAP_AUDIT

      0x00002

      Позволяет управлять политикой аудита.

      PARSEC_CAP_BYPASS_KIOSK

      0x08000

      Parsec 2.5.257 и выше. Позволяет игнорировать ограничения киоска. В Astra Linux Special Edition очередное обновление x.7 не используется.

      PARSEC_CAP_BYPASS_XATTR0x40000Позволяет процессу игнорировать подписи файлов.
      Реализована в Astra Linux Special Edition очередное обновление x.7.

      PARSEC_CAP_CAP

      0x00400

      Позволяет процессу устанавливать любой непротиворечивый набор привилегий для себя.

      PARSEC_CAP_CHMAC

      0x00008

      Позволяет изменять метки безопасности файловых объектов.

      PARSEC_CAP_FILE_CAP

      0x00001

      Не используется.
      Для изменения меток безопасности файловых объектов см. привилегию PARSEC_CAP_CHMAC.
      Для изменения меток безопасности процессов см. PARSEC_CAP_SETMAC.
      Для изменения привилегий процессов см. PARSEC_CAP_CAP.

      PARSEC_CAP_IGNMACCAT

      0x00020

      Позволяет игнорировать мандатную политику по неиерархическим категориям конфиденциальности.
      См. также PARSEC_CAP_IGNMACLVL и PARSEC_CAP_IGNMACINT.

      PARSEC_CAP_IGNMACINT

      0x02000

      Позволяет игнорировать мандатную политику по уровням целостности.
      Игнорируется при работе в расширенном режиме МКЦ (strict-mode, см. Изменения в документацию, связанные с обновлением № 2022-0819SE17 (оперативное обновление 1.7.2).
      См. также PARSEC_CAP_IGNMACCAT, PARSEC_CAP_IGNMACLVL, PARSEC_CAP_INHERIT_INTEGRITY.

      PARSEC_CAP_IGNMACLVL

      0x00010

      Позволяет игнорировать мандатную политику по иерархическим уровням конфиденциальности.
      См. также PARSEC_CAP_IGNMACCAT и PARSEC_CAP_IGNMACINT.

      PARSEC_CAP_INHERIT_INTEGRITY

      0x20000

      При создании файловых объектов на них автоматически устанавливается максимально возможная целостность, однако не выше, чем целостность процесса-создателя и целостность контейнера, в котором создается файловый объект. Используется для установщика пакетов (dpkg).
      См. также PARSEC_CAP_IGNMACINT.

      PARSEC_CAP_IPC_OWNER

      0x10000

      БЮЛЛЕТЕНЬ № 20181229SE16 (оперативное обновление 1), Parsec 2.5.265 и выше. Отменяет мандатные ограничения при работе с сущностями IPC, такими как shared memory, message queue и т.д. (Parsec-аналог Linux-привилегии CAP_IPC_OWNER).

      PARSEC_CAP_MAC_SOCK

      0x00800

      Позволяет изменять метки безопасности точек соединения (UNIX-сокетов).
      Для сетевых сокетов см. PARSEC_CAP_PRIV_SOCK.

      PARSEC_CAP_PRIV_SOCK

      0x00100

      Позволяет создавать новые сетевые сокеты процесса в привилегированном режиме (метка ehole).
      Привилегированный сокет позволяет осуществлять сетевое взаимодействие, игнорируя мандатную политику.
      Для точек соединения (UNIX-сокетов) см. PARSEC_CAP_MAC_SOCK.

      PARSEC_CAP_PROCFS

      0x80000

      Позволяет игнорировать ограничения МРД и МКЦ на файловой системе /proc. Используется для систем контейнеризации и виртуализации.
      Реализована в Astra Linux Special Edition очередное обновление x.7.

      PARSEC_CAP_READSEARCH

      0x00200

      Позволяет игнорировать мандатную политику при чтении и поиске файловых объектов (но не при записи).

      PARSEC_CAP_SETMAC

      0x00004

      Для обновления БЮЛЛЕТЕНЬ № 2023-0426SE17 (оперативное обновление 1.7.4):

      Позволяет процессу изменять (повышать или понижать) значения атрибутов собственной классификационной метки (иерархический и неиерархический уровни конфиденциальности). Процесс может понижать собственный уровень целостности, привилегии для этого не требуются (для запуска процесса на пониженном уровне используется команда sumic). Процесс не может повышать собственный уровень целостности и изменять метки безопасности других процессов. Для понижения уровня целостности работающего процесса рекомендуется использовать системный вызов pdp_set_pid_safe(), закрывающий высокоцелостные дескрипторы (применять команду sumic, использующую этот системный вызов).

      Для более ранних обновлений:

      Позволяет изменять метку безопасности процессов. Привилегия не позволяет процессу повышать уровень целостности другого процесса, а только понижать.

      Для изменения меток безопасности файловых объектов см. PARSEC_CAP_CHMAC.
      Для изменения привилегий процессов см. PARSEC_CAP_CAP.

      PARSEC_CAP_SIG

      0x00040

      Позволяет посылать сигналы процессам, игнорируя мандатные права.

      PARSEC_CAP_SUMAC

      0x04000

      Parsec 2.5.251 и выше. Позволяет запускать процессы с другой классификационной меткой (с другим иерархическим уровнем конфиденциальности и другими неиерархическими категориями доступа).

      PARSEC_CAP_UNSAFE_SETXATTR

      0x01000

      Позволяет устанавливать мандатные атрибуты объектов файловой системы без учета мандатных атрибутов родительского объекта-контейнера. Привилегия используется для восстановления объектов файловой системы из резервных копий и только после установки значения «1» для параметра /parsecfs/unsecure_setxattr.

      PARSEC_CAP_UPDATE_ATIME

      0x00080

      Позволяет изменять время доступа к файловым объектам. В настоящее время не используется.

      PARSEC_CAP_CCNR_RELAX

      0x100000

      Привилегия PARSEC_CAP_CCNR_RELAX доступна начиная с обновления БЮЛЛЕТЕНЬ № 2022-0819SE17 (оперативное обновление 1.7.2) и БЮЛЛЕТЕНЬ № 2022-0926SE47 (оперативное обновление 4.7.2).

      При работе в расширенном режиме МКЦ (strict-mode, см. Изменения в документацию, связанные с обновлением № 2022-0819SE17 (оперативное обновление 1.7.2) привилегия PARSEC_CAP_CCNR_RELAX позволяет осуществлять в каталоге с установленным атрибутом ccnr действия (создание, удаление и др.) над вложенными файловыми объектами с классификационными метками не выше классификационной метки данного каталога. Важно: