PARSEC-привилегии так же, как и Linux-привилегии, наследуются процессами от своих «родителей». Процессы, запущенные от имени суперпользователя, имеющего максимальный («Высокий») уровень целостности по умолчанию, независимо от явного назначения им привилегий, имеют возможность осуществлять большинство привилегированных действий.
Для настройки КСЗ могут использоваться как PARSEC-, так и Linux-привилегии.
Порядок управления привилегиями описан в Руководство по комплексу средств защиты информации, часть 1, п. 4.9
Данная статья применима к:
Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
Astra Linux Special Edition РУСБ.10015-16 исп. 1
Astra Linux Special Edition РУСБ.10015-16 исп. 2
Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)
Привилегия | Описание |
PARSEC_CAP_AUDIT | Позволяет управлять политикой аудита. |
PARSEC_CAP_BYPASS_KIOSK | Позволяет игнорировать ограничения киоска. |
PARSEC_CAP_CAP | Позволяет процессу устанавливать любой непротиворечивый набор привилегий для себя. |
PARSEC_CAP_CHMAC | Позволяет изменять метки безопасности файловых объектов. |
PARSEC_CAP_FILE_CAP | Не используется. |
PARSEC_CAP_IGNMACCAT | Позволяет игнорировать мандатную политику по категориям доступа. |
PARSEC_CAP_IGNMACINT | Позволяет игнорировать мандатную политику по уровням целостности. |
PARSEC_CAP_IGNMACLVL | Позволяет игнорировать мандатную политику по уровням конфиденциальности. |
PARSEC_CAP_INHERIT_INTEGRITY | При создании файловых объектов на них автоматически устанавливается максимально возможная целостность, |
PARSEC_CAP_IPC_OWNER | Отменяет мандатные ограничения при работе с сущностями IPC, такими как shared memory, message queue и т.д. |
PARSEC_CAP_MAC_SOCK | Позволяет изменять метки безопасности точек соединения (UNIX-сокетов). |
PARSEC_CAP_PRIV_SOCK | Позволяет создавать новые сетевые сокеты процесса в привилегированном режиме (метка ehole). |
PARSEC_CAP_READSEARCH | Позволяет игнорировать мандатную политику при чтении и поиске файловых объектов (но не при записи). |
PARSEC_CAP_SETMAC | Позволяет изменять метку безопасности процессов. Привилегия не позволяет процессу повышать уровень целостности другого процесса, а только понижать. |
PARSEC_CAP_SIG | Позволяет посылать сигналы процессам, игнорируя мандатные права. |
PARSEC_CAP_SUMAC | Позволяет запускать процессы с другой классификационной меткой (с другим иерархическим уровнем конфиденциальности и другими неиерархическими категориями доступа). |
PARSEC_CAP_UNSAFE_SETXATTR | Позволяет устанавливать мандатные атрибуты объектов файловой системы без учета мандатных атрибутов родительского объекта-контейнера. Привилегия используется для восстановления объектов файловой системы из резервных копий и только после установки значения «1» для параметра /parsecfs/unsecure_setxattr. |
PARSEC_CAP_UPDATE_ATIME |
В настоящее время не используется. |