Данная статья применима к:
- Astra Linux Special Edition РУСБ.10015-01 и РУСБ.10015-10 (очередное обновление 1.7) с установленным обновлением БЮЛЛЕТЕНЬ № 2022-0819SE17 (оперативное обновление 1.7.2)
- Astra Linux Special Edition РУСБ.10015-37 (очередное обновление 7.7)
- Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7) с установленными обновлением БЮЛЛЕТЕНЬ № 2022-0926SE47 (оперативное обновление 4.7.2)
Расширенный режим МКЦ
Расширенный режим МКЦ (strict mode) является развитием режима МКЦ Astra Linux и предназначен для усиления защиты ОС. Расширенный режим МКЦ доступен в следующих обновлениях Astra Linux:
- Astra Linux Special Edition РУСБ.10015-01 и РУСБ.10015-10 (очередное обновление 1.7) с установленным обновлением БЮЛЛЕТЕНЬ № 2022-0819SE17 (оперативное обновление 1.7.2)
- Astra Linux Special Edition РУСБ.10015-37 (очередное обновление 7.7)
- Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7) с установленными обновлением БЮЛЛЕТЕНЬ № 2022-0926SE47 (оперативное обновление 4.7.2)
Особенности работы в этом режиме описаны ниже.
Особенности работы в расширенном режиме МКЦ
Включение расширенного режима МКЦ может привести к изменениям в работе стороннего прикладного ПО (особенно ранее установленного). Поэтому перед включением расширенного режима МКЦ в ОС администратору рекомендуется провести тестирование используемого прикладного ПО с целью проверки его работоспособности при включенном расширенном режиме МКЦ и необходимости его дополнительной настройки.
При работе в расширенном режиме МКЦ имеются следующие особенности (далее под термином "домашний каталог" подразумевается "домашний каталог пользователя и всё его содержимое"):
- В любом режиме МКЦ процесс при его непосредственном запуске наследует уровень целостности (УЦ) процесса-родителя В расширенном режиме МКЦ вводится дополнительное ограничение: если исполняемый файл, из которого запускается процесс, имеет УЦ меньший или несравнимый с УЦ процесса-родителя, то непосредственный запуск процесса запрещен. В таком случае процесс возможно запустить только посредством инструмента (системного вызова) sumic (см. Инструмент sumic).
- При работе в обычном режиме МКЦ создаваемым файловым объектам (файлам или каталогам) назначается нулевой УЦ. При работе в расширенном режиме МКЦ создаваемым файловым объектам назначается УЦ, равный УЦ каталога, в котором объект размещается. При этом запрещено создавать файловые объекты с УЦ выше или несравнимым с УЦ процесса, создающего данный объект.
- Вход в пользовательские сессии с нулевой классификационной меткой возможен только с максимально доступным пользователю неиерархическим уровнем целостности (выбирается автоматически). Т.е. администратор с высоким уровнем целостности, выбрав при входе в сессию нулевую классификационную метку, не сможет выполнить вход с нулевым УЦ. И наоборот, если администратором с высоким уровнем целостности при входе в сессию была выбрана ненулевая классификационная метка, то вход будет выполнен с нулевым УЦ;
- При включении расширенного режима МКЦ всем домашним каталогам назначается максимальный УЦ пользователя-владельца;
- При включенном расширенном режиме МКЦ:
- При создании нового пользователя ему назначается нулевой УЦ. Домашнему каталогу также назначается нулевой УЦ;
- При назначении новому пользователю ненулевого максимального УЦ домашнему каталогу следует также назначить этот УЦ;
- Для нового входа доменного пользователя, имеющего ненулевой максимальный УЦ, необходимо вручную создать пустой домашний каталог и назначить ему максимальный УЦ этого пользователя;
- При перезагрузке ОС всем существующим домашним каталогам принудительно назначается максимальный УЦ владельца;
- Не применяется привилегия PARSEC_CAP_IGNMACINT (см. Привилегии PARSEC);
- Не применяется (игнорируется) параметр ядра parsec.ccnr_relax (см. Параметры модуля ядра Parsec, задаваемые в загрузчике);
- Возможно применение привилегии PARSEC_CAP_CCNR_RELAX (см. Привилегии PARSEC);
- Возможно применение атрибута irelax (см. Метка безопасности: структура и состав).
Управление режимом МКЦ
Включение расширенного режима МКЦ осуществляется командой:
sudo astra-strictmode-control enable
В результате выполнения этой команды:- Будут выполнены необходимые настройки меток целостности файловых объектов, в том числе домашним каталогам существующих локальных пользователей, имеющих ненулевой максимальный УЦ, будет назначен их максимальный УЦ;
- Для параметра ядра parsec.strict_mode установлено значение 1.
Для активации расширенного режима МКЦ необходимо перезагрузить ОС.
Для проверки текущего состояния расширенного режима МКЦ (активен/неактивен) можно воспользоваться командой:
sudo astra-strictmode-control status
В случае, если после выполнения команды включения расширенного режима МКЦ не выполнялась перезагрузка ОС, результат команды проверки состояния режима будет НЕАКТИВНО.
Для получения информации о состоянии расширенного режима МКЦ, которое будет после перезагрузки ОС, выполнить команду:
sudo astra-strictmode-control is-enabled
Инструмент sumic
Инструмент sumic позволяет запускать процессы на УЦ ниже, чем УЦ процесса-родителя. При таком запуске:
- УЦ запущенного процесса будет не выше УЦ исполняемого файла, из которого он запущен;
- запущенный процесс не унаследует открытые ресурсы процесса-родителя ресурсов, имеющие УЦ, превышающий УЦ запущенного процесса;
- запуск графических утилиты выполняется в изолированном X-сервере.
Синтаксис инструмента:
sumic [параметр] [--] [<команда>] [<параметры_запуска_команды>]
Параметры инструмента:- -i <уровень_целостности> — УЦ, на котором будет запущен процесс указанной команды. В случае отсутствия параметра процесс будет запущен с нулевым УЦ;
- -v, --version — Вывести информацию о версии и выйти;
- -h, --help — Вывести справку и выйти.