Главная » Linux

Astra linux метки конфиденциальности

На чтение 6 мин Просмотров 4 Опубликовано
Содержание
  1. Контекст безопасности
  2. Мандатный контекст
  3. Метка безопасности
  4. Дополнительные мандатные атрибуты управления доступом
  5. Уровни конфиденциальности
  6. Режим Мандатного Контроля Целостности
  7. Режим Мандатного Контроля Целостности ФС
  8. Режим ЗПС (замкнутой программной среды) в исполняемых файлах
  9. Блокировка консоли для пользователей
  10. Блокировка интерпретаторов
  11. Блокировка установки бита исполнения
  12. Блокировка макросов
  13. Блокировка трассировки ptrace
  14. Гарантированное удаление файлов и папок
  15. Межсетевой экран ufw
  16. Системные ограничения ulimits
  17. Блокировка клавиш SysRq
  18. Режим ЗПС (замкнутой программной среды) в расширенных атрибутах
  19. Графический киоск
  20. Системный киоск

Контекст безопасности

Контекст безопасности — структура, включающая в себя все атрибуты управления доступом субъектов доступа (субъектов, например, процессов ) к объектам доступа (сущностям, например, файлам или каталогам) , существующие в соответствии с формальной мандатной сущностно-ролевой моделью управления доступом и информационными потоками (МРОСЛ ДП-моделью) и определяющие порядок доступа субъектов к сущностям.

В зависимости от реализации контекст безопасности может включать в себя:

  • Контекст дискреционного управления доступом (разграничения доступа);
  • Контекст мандатного управления доступом (разграничения доступа);
  • Контекст ролевого управления доступом (разграничения доступа);
  • Иные атрибуты, определяемые формальной моделью управления доступом и ее реализацией.

В рамках наст оящего документа рассматрива ю тся состав и структура контекста мандатного управления доступ ом ( мандатного контекста ) .

Мандатный контекст

Мандатный контекст представляет собой полный набор мандатных атрибутов субъекта или сущности.
Мандатный контекст включает в себя все мандатные атрибуты субъекта или сущности, и мандатных атрибутов вне мандатного контекста не существует.

Мандатный контекст включает в себя:

Субъекты или сущности, которым явно не присвоен никакой мандатный контекст, считаются имеющими минимальный (нулевой) мандатный контекст, т.е. мандатный контекст в котором все мандатные атрибуты имеют минимальные допустимые значения (например, равны нулю).

Метка безопасности

Метка безопасности является составной и включает в себя две метки:

Классификационная метка является составной и включает в себя:

  • Иерархический уровень конфиденциальности;
  • Неиерархическую категорию конфиденци альности.
Читайте также:  Топ самых красивых дистрибутивов линукс

Метка целостности представлена одним мандатным атрибутом:

Дополнительные мандатные атрибуты управления доступом

В зависимости от реализац ии формальной модел и управления доступом отдельным субъектам или сущностям может быть дополнительно присвоен набор необязательных мандатных атрибутов управления доступом, не входящих в метку. Необязательные мандатные атрибуты управления доступом позв оляют уточнять правил а мандатного доступа для отдель ных субъектов или сущносте й.

В качестве примера можно привести следующие мандатные атрибуты управления доступом, использованные в операционной системе специального назначения Astra Linux Special Edition:

    Мандатные атрибуты меток безопасности сущностей, являющихся контейнерами ( т.е. сущностей , которые могут содержать другие сущности , например, каталог ам файловой системы ):

      Мандатный атрибут ccnr. Определяет, что контейнер может содержать сущности с различными классификационными метками , но не большими, чем его собственная метка. Чтение содержимого такого контейнера разрешается субъекту вне зависимости от значения классификационной метки этого субъекта, при этом субъекту доступна информация только про находящиеся в этом контейнере сущности с классификационной меткой не большей, чем собственная классификационная метка субъекта, либо про сущности-контейнеры, также имеющие мандатный атрибут управления доступом ccnr;

    В ОС Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) с установленным обновлением № 20190222SE16 и в ОС Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1) мандатный атрибут управления доступом ccnri включен для всех контейнеров, и не может быть изменен.

    • Если метка целостности субъекта меньше или равна метке целостности контейнера, то создаваемые в каталоге сущности наследуют метку целостности создающего их субъекта;
    • Если метка целостности субъекта выше или несравнима с меткой целостности контейнера, то метка целостности создаваемых сущностей устанавливается как наибольшее значение, одновременно меньшее или равное значениям меток целостности контейнера и субъекта. Атрибут доступен только при включенном расширенном режиме МКЦ (расширенный режим МКЦ доступен начиная с обновления БЮЛЛЕТЕНЬ № 2022-0819SE17 (оперативное обновление 1.7.2);

    Мандатный контекст

    Метка безопасности

    Мандатные атрибуты управления доступом

    Источник

    Уровни конфиденциальности

    По умолчанию в системе мандатного контроля доступа ОС Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) настроено 4 уровня конфиденциальности:

    При необходимости, количество уровней конфиденциальности может быть увеличено до 255.

    Для того, чтобы определить уровни конфиденциальности выше созданных по умолчанию,
    и назначать их пользователям, необходимо:

      в файле конфигурации мандатных атрибутов файловой системы /usr/sbin/pdp-init-fs
      задать параметру sysmaclev значение, равное максимальному созданному уровню конфиденциальности

    Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

    Панель Управления ->
    Безопасность ->
    Политика безопасности ->
    Мандатные атрибуты ->
    Уровни целостности

    Управление в консольном режиме:

    userlev
    0 Уровень_0
    1 Уровень_1
    2 Уровень_2
    3 Уровень_3

    Режим Мандатного Контроля Целостности

    Управление в графическом режиме с помощью графического инструмента fly-admin-smc :

    Панель Управления ->
    Безопасность ->
    Политика безопасности ->
    Мандатный контроль целостности

    Управление в консольном режиме:

    cat /proc/cmdline | grep «parsec.max_ilev»

    Режим Мандатного Контроля Целостности ФС

    Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

    Управление в консольном режиме

    Режим ЗПС (замкнутой программной среды) в исполняемых файлах

    Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

    Блокировка консоли для пользователей

    Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

    Управление в консольном режиме

    systemctl is-enabled astra-console-lock
    enabled включен
    disabled выключен
    Failed to get unit file state . сервис не активирован

    Блокировка интерпретаторов

    Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

    Управление в консольном режиме

    systemctl is-enabled astra-interpreters-lock
    enabled включен
    disabled выключен
    Failed to get unit file state . сервис не активирован

    Блокировка установки бита исполнения

    Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

    Управление в консольном режиме

    cat /parsecfs/nochmodx
    1 включен
    0 выключен

    Блокировка макросов

    Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

    Управление в консольном режиме

    systemctl is-enabled astra-macros-lock
    enabled включен
    disabled выключен
    Failed to get unit file state . сервис не активирован

    Блокировка трассировки ptrace

    Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

    Панель Управления -> Безопасность -> Политика безопасности -> Настройки безопасности -> Параметры ядра

    Управление в консольном режиме

    systemctl is-enabled astra-ptrace-lock
    enabled включен
    disabled выключен
    Failed to get unit file state . сервис не активирован

    Гарантированное удаление файлов и папок

    Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

    Панель Управления -> Безопасность -> Политика безопасности -> Настройки безопасности -> Политика очистки памяти

    Управление в консольном режиме

    Межсетевой экран ufw

    Управление в графическом режиме

    Управление в консольном режиме

    ufw status
    Status: active включен
    Status: inactive выключен

    Системные ограничения ulimits

    Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

    Управление в консольном режиме

    systemctl is-enabled astra-ulimits-control
    enabled включен
    disabled выключен
    Failed to get unit file state . сервис не активирован

    Блокировка клавиш SysRq

    Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

    Панель Управления -> Безопасность -> Политика безопасности -> Настройки безопасности -> Параметры ядра

    Управление в консольном режиме

    sysctl -w kernel.sysrq=0
    sysctl -w kernel.sysrq=1

    cat /proc/sys/kernel/sysrq
    0 включен
    1 выключен

    Режим ЗПС (замкнутой программной среды) в расширенных атрибутах

    Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

    Панель Управления -> Безопасность -> Политика безопасности -> Замкнутая программная среда

    Графический киоск

    Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

    Системный киоск

    Управление в графическом режиме с помощью графического инструмента fly-admin-kiosk:

    Источник

Оцените статью
© 2023 Posetke
Adblock
detector