Astra linux метки конфиденциальности

Контекст безопасности

Контекст безопасности — структура, включающая в себя все атрибуты управления доступом субъектов доступа (субъектов, например, процессов ) к объектам доступа (сущностям, например, файлам или каталогам) , существующие в соответствии с формальной мандатной сущностно-ролевой моделью управления доступом и информационными потоками (МРОСЛ ДП-моделью) и определяющие порядок доступа субъектов к сущностям.

В зависимости от реализации контекст безопасности может включать в себя:

  • Контекст дискреционного управления доступом (разграничения доступа);
  • Контекст мандатного управления доступом (разграничения доступа);
  • Контекст ролевого управления доступом (разграничения доступа);
  • Иные атрибуты, определяемые формальной моделью управления доступом и ее реализацией.

В рамках наст оящего документа рассматрива ю тся состав и структура контекста мандатного управления доступ ом ( мандатного контекста ) .

Мандатный контекст

Мандатный контекст представляет собой полный набор мандатных атрибутов субъекта или сущности.
Мандатный контекст включает в себя все мандатные атрибуты субъекта или сущности, и мандатных атрибутов вне мандатного контекста не существует.

Мандатный контекст включает в себя:

Субъекты или сущности, которым явно не присвоен никакой мандатный контекст, считаются имеющими минимальный (нулевой) мандатный контекст, т.е. мандатный контекст в котором все мандатные атрибуты имеют минимальные допустимые значения (например, равны нулю).

Метка безопасности

Метка безопасности является составной и включает в себя две метки:

Классификационная метка является составной и включает в себя:

  • Иерархический уровень конфиденциальности;
  • Неиерархическую категорию конфиденци альности.
Читайте также:  Топ самых красивых дистрибутивов линукс

Метка целостности представлена одним мандатным атрибутом:

Дополнительные мандатные атрибуты управления доступом

В зависимости от реализац ии формальной модел и управления доступом отдельным субъектам или сущностям может быть дополнительно присвоен набор необязательных мандатных атрибутов управления доступом, не входящих в метку. Необязательные мандатные атрибуты управления доступом позв оляют уточнять правил а мандатного доступа для отдель ных субъектов или сущносте й.

В качестве примера можно привести следующие мандатные атрибуты управления доступом, использованные в операционной системе специального назначения Astra Linux Special Edition:

    Мандатные атрибуты меток безопасности сущностей, являющихся контейнерами ( т.е. сущностей , которые могут содержать другие сущности , например, каталог ам файловой системы ):

      Мандатный атрибут ccnr. Определяет, что контейнер может содержать сущности с различными классификационными метками , но не большими, чем его собственная метка. Чтение содержимого такого контейнера разрешается субъекту вне зависимости от значения классификационной метки этого субъекта, при этом субъекту доступна информация только про находящиеся в этом контейнере сущности с классификационной меткой не большей, чем собственная классификационная метка субъекта, либо про сущности-контейнеры, также имеющие мандатный атрибут управления доступом ccnr;

    В ОС Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) с установленным обновлением № 20190222SE16 и в ОС Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1) мандатный атрибут управления доступом ccnri включен для всех контейнеров, и не может быть изменен.

    • Если метка целостности субъекта меньше или равна метке целостности контейнера, то создаваемые в каталоге сущности наследуют метку целостности создающего их субъекта;
    • Если метка целостности субъекта выше или несравнима с меткой целостности контейнера, то метка целостности создаваемых сущностей устанавливается как наибольшее значение, одновременно меньшее или равное значениям меток целостности контейнера и субъекта. Атрибут доступен только при включенном расширенном режиме МКЦ (расширенный режим МКЦ доступен начиная с обновления БЮЛЛЕТЕНЬ № 2022-0819SE17 (оперативное обновление 1.7.2);

    Мандатный контекст

    Метка безопасности

    Мандатные атрибуты управления доступом

    Источник

    Уровни конфиденциальности

    По умолчанию в системе мандатного контроля доступа ОС Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) настроено 4 уровня конфиденциальности:

    При необходимости, количество уровней конфиденциальности может быть увеличено до 255.

    Для того, чтобы определить уровни конфиденциальности выше созданных по умолчанию,
    и назначать их пользователям, необходимо:

      в файле конфигурации мандатных атрибутов файловой системы /usr/sbin/pdp-init-fs
      задать параметру sysmaclev значение, равное максимальному созданному уровню конфиденциальности

    Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

    Панель Управления ->
    Безопасность ->
    Политика безопасности ->
    Мандатные атрибуты ->
    Уровни целостности

    Управление в консольном режиме:

    userlev
    0 Уровень_0
    1 Уровень_1
    2 Уровень_2
    3 Уровень_3

    Режим Мандатного Контроля Целостности

    Управление в графическом режиме с помощью графического инструмента fly-admin-smc :

    Панель Управления ->
    Безопасность ->
    Политика безопасности ->
    Мандатный контроль целостности

    Управление в консольном режиме:

    cat /proc/cmdline | grep «parsec.max_ilev»

    Режим Мандатного Контроля Целостности ФС

    Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

    Управление в консольном режиме

    Режим ЗПС (замкнутой программной среды) в исполняемых файлах

    Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

    Блокировка консоли для пользователей

    Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

    Управление в консольном режиме

    systemctl is-enabled astra-console-lock
    enabled включен
    disabled выключен
    Failed to get unit file state . сервис не активирован

    Блокировка интерпретаторов

    Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

    Управление в консольном режиме

    systemctl is-enabled astra-interpreters-lock
    enabled включен
    disabled выключен
    Failed to get unit file state . сервис не активирован

    Блокировка установки бита исполнения

    Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

    Управление в консольном режиме

    cat /parsecfs/nochmodx
    1 включен
    0 выключен

    Блокировка макросов

    Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

    Управление в консольном режиме

    systemctl is-enabled astra-macros-lock
    enabled включен
    disabled выключен
    Failed to get unit file state . сервис не активирован

    Блокировка трассировки ptrace

    Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

    Панель Управления -> Безопасность -> Политика безопасности -> Настройки безопасности -> Параметры ядра

    Управление в консольном режиме

    systemctl is-enabled astra-ptrace-lock
    enabled включен
    disabled выключен
    Failed to get unit file state . сервис не активирован

    Гарантированное удаление файлов и папок

    Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

    Панель Управления -> Безопасность -> Политика безопасности -> Настройки безопасности -> Политика очистки памяти

    Управление в консольном режиме

    Межсетевой экран ufw

    Управление в графическом режиме

    Управление в консольном режиме

    ufw status
    Status: active включен
    Status: inactive выключен

    Системные ограничения ulimits

    Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

    Управление в консольном режиме

    systemctl is-enabled astra-ulimits-control
    enabled включен
    disabled выключен
    Failed to get unit file state . сервис не активирован

    Блокировка клавиш SysRq

    Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

    Панель Управления -> Безопасность -> Политика безопасности -> Настройки безопасности -> Параметры ядра

    Управление в консольном режиме

    sysctl -w kernel.sysrq=0
    sysctl -w kernel.sysrq=1

    cat /proc/sys/kernel/sysrq
    0 включен
    1 выключен

    Режим ЗПС (замкнутой программной среды) в расширенных атрибутах

    Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

    Панель Управления -> Безопасность -> Политика безопасности -> Замкнутая программная среда

    Графический киоск

    Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

    Системный киоск

    Управление в графическом режиме с помощью графического инструмента fly-admin-kiosk:

    Источник

Оцените статью
Adblock
detector