Список использованных материалов:
- Руководство по комплексу средств защиты информации, часть 1, 16.2. Режим киоска
- Руководство по комплексу средств защиты информации, часть 1, 16.3. Режим Киоск-2
Данная статья применима к:
- ОС СН Смоленск 1.6 (с установленным обновлением безопасности №20191029SE16)
Общие сведения
В данной статье сравнивается работа режима Киоск-2 и режима киоска в ОС СН Смоленск 1.6.
Киоск (или режим киоска) -- это инструмент подсистемы безопасности PARSEC, который служит для управления ограничениями пользователей в системе. Работу режима киоска обеспечивает пакет parsec-kiosk.
Киоск-2 (или режим Киоск-2) – это новый инструмент PARSEC, заменяющий режим киоска. Работу режима Киоск-2 обеспечивает пакет parsec-kiosk2. Пакет parsec-kiosk2 содержит инструменты для ограничения возможностей, предоставляемых непривилегированным пользователям и представляет собой обновлённую версию пакета parsec-kiosk. Пакет parsec-kiosk2 входит в состав обновления ОС СН Смоленск 1.6 № 20190912SE16 .
Системный киоск (fly-admin-kiosk) – это графическое приложение для управления ограничениями среды.
Описание работы режимов киоска и Киоск-2 приведено в Руководство по комплексу средств защиты информации, часть 1, глава 16, пункты 2 и 3.
Основные отличия в работе Киоск-2 и режима киоска
Критерий сравнения | Киоск-2 (parsec-kiosk2) | Киоск (parsec-kiosk) |
---|---|---|
Маскирование прав | Нет. | Есть. |
Включение контроля доступа | 1) Включение контроля доступа с сохранением данного состояния до перезагрузки ОС: echo 1 | sudo tee /sys/module/parsec/parameters/uc_enforce 2) Включение контроля доступа с сохранением данного состояния после перезагрузки ОС: echo 1 | sudo tee /etc/parsec/kiosk2_enforce | Включение контроля доступа с сохранением данного состояния после перезагрузки ОС: echo 0003 > /etc/parsec/kiosk_mask reboot |
Отключение контроля доступа | 1) Отключение контроля доступа с сохранением данного состояния до перезагрузки ОС: echo 0 | sudo tee /sys/module/parsec/parameters/uc_enforce 2) Отключение контроля доступа с сохранением данного состояния после перезагрузки ОС: echo 0 | sudo tee /etc/parsec/kiosk2_enforce | Отключение контроля доступа с сохранением данного состояния после перезагрузки ОС: echo 0000 > /etc/parsec/kiosk_mask reboot |
Включение режима протоколирования | 1) Включение протоколирования с сохранением данного состояния до перезагрузки ОС: echo 1 | sudo tee /sys/module/parsec/parameters/uc_complain 2) Включение протоколирования с сохранением данного состояния после перезагрузки ОС: echo 1 | sudo tee /etc/parsec/kiosk2_complain | Нет. |
Отключение режима протоколирования | 1) Отключение протоколирования с сохранением данного состояния до перезагрузки ОС: echo 0 | sudo tee /sys/module/parsec/parameters/uc_complain 2) Отключение протоколирования с сохранением данного состояния после перезагрузки ОС: echo 0 | sudo tee /etc/parsec/kiosk2_complain | Нет. |
Протоколирование процессов через консоль | Через dmesg (см. Руководство КСЗ, часть 1, 16.3.3.2 Протоколирование процессов). | Через otrace. |
Синтаксис профилей | Синтаксис профилей Киоск-2 отличается от синтаксиса профилей киоска. При этом, parsec-kiosk2 распознает синтаксис профилей parsec-kiosk. Профиль, содержащий строки, написанные обоими синтаксисами будет корректно работать в режиме Киоск-2. После редактирования такого профиля в fly-admin-kiosk, строки написанные по синтаксису parsec-kiosk заменятся строками с синтаксисом parsec-kiosk2. +file rwc uo: file-name +file rwc u: file-name +file r o: file-name +link rwc uo: file-name @include other-profile-name В синтаксисе режима Киоск-2 можно использовать кириллицу. В синтаксисе профилей Киоск-2 доступны метасимволы. Таблица метасимволов приведена в руководстве по комплексу средств защиты информации, часть 1, (16.3.2.1. Синтаксис профилей режима Киоск-2). | "/file/name" rwx /file/name rwx "/file/name" r-x /file/name -w- other-profile-name Метасимволы недоступны, в профилях всегда указывается конкретный файл. Синтаксис режима киоска отличается тем что:
|
Регулирование доступа к файлам, не существующим на момент применения профиля | Допускается регулирование доступа к файлам, не существующим на момент применения профиля. | Файл должен существовать заранее. |
Использование средств ядра ОС | Имеет независимые глобальные переключатели для применения ограничений к пользователям и для протоколирования запрещённых действий ядром ОС (режим протоколирования также применяется для создания новых профилей). | Не протоколирует запрещённые действия средствами ядра ОС и всегда применяет ограничения. |
Отсутствие профиля пользователя user1 | Пользователю user1 разрешены любые действия. Киоск-2 ограничивает только тех пользователей, для которых создан профиль в /etc/parsec/kiosk2. | Пользователю user1 запрещены любые действия. Ограничения режима киоска затрагивают всех пользователей системы, то есть отсутствие профиля эквивалентно пустому профилю. |
fly-admin-kiosk | При установленном parsec-kiosk2, пакет fly-admin-kiosk зависит от parsec-kiosk2. Пакет fly-admin-kiosk не требует предварительной настройки и позволяет:
| Для работы с fly-admin-kiosk требуется предварительная настройка. Пакет fly-admin-kiosk позволяет:
|