Astra linux parsec настройка
Настройка разрешений PARSEC (Astra Linux)
В системах, оснащенных подсистемой безопасности PARSEC (система управления мандатным доступом) из-за разности уровней привилегий, необходимых для доступа к файлам, монитор SpIDer Guard в режиме работы по умолчанию ( Mode = AUTO ) не может перехватывать события о доступе к файлам с более высокими уровнями привилегий, нежели уровень привилегий, на котором запущен SpIDer Guard. Кроме того, в случае если пользователь работает на отличном от нуля уровне привилегий, утилита управления Dr.Web для файловых серверов UNIX из командной строки Dr.Web Ctl не может взаимодействовать с монитором SpIDer Guard и демоном управления конфигурацией Dr.Web ConfigD , работающими на других уровнях привилегий, в том числе может отсутствовать доступ к консолидированному карантину .
Для настройки разрешений необходимы права суперпользователя (пользователя root ). Для получения прав суперпользователя воспользуйтесь командой смены пользователя su или командой выполнения от имени другого пользователя sudo .
Настройка SpIDer Guard для перехвата событий доступа к файлам с любым уровнем привилегий
Для предоставления файловому монитору SpIDer Guard возможности обнаруживать доступ к файлам, имеющим любой уровень привилегий доступа, необходимо перевести SpIDer Guard в режим работы LKM (будет использован специальный загружаемый модуль ядра Linux , поставляемый совместно с Dr.Web для файловых серверов UNIX ).
Чтобы перевести SpIDer Guard в режим работы LKM , выполните следующую команду :
# drweb-ctl cfset LinuxSpider.Mode LKM
Для получения дополнительной информации используйте команду:
Настройка корректного запуска Dr.Web для файловых серверов UNIX на любом уровне привилегий
Чтобы все компоненты Dr.Web для файловых серверов UNIX корректно взаимодействовали между собой при их запуске на разных уровнях привилегий, внесите изменения в сценарий запуска демона управления конфигурацией Dr.Web ConfigD ( drweb-configd ):
1. Совершите вход в систему с использованием нулевого уровня привилегий.
2. В любом текстовом редакторе откройте файл сценария /etc/init.d/drweb-configd (необходимы права суперпользователя).
3. Найдите в этом файле определение функции start_daemon , в которой замените строку
«$DAEMON» -d -p «$PIDFILE» >/dev/null 2>&1
execaps -c 0x100 — «$DAEMON» -d -p «$PIDFILE» >/dev/null 2>&1
4. В некоторых ОС (например, Astra Linux SE 1.3) может потребоваться указать дополнительно зависимость запуска компонента от подсистемы PARSEC . В этом случае также необходимо модифицировать в этом файле строку:
# Required-Start: $local_fs $network
Измените данную строку следующим образом:
# Required-Start: $local_fs $network parsec
5. Сохраните файл и перезапустите систему.
Монтирования с метками PARSEC
Вспомогательные утилиты для работы с метками PARSEC в Astra Linux Special Edition.
Лицензия
Все материалы распространяются на условиях стандартной общественной лицензии GNU (GPL) версии 3.
Полный текст лицензии находится в файле LICENSE.
Проблема
Постоянные метки
Права на специальные каталоги, такие как /var , /dev и т.п. устанавливаются при загрузке операционной системы с помощью утилиты /usr/sbin/pdp-init-fs . Набор каталогов, на которые устанавливаются метки статичен, как и уровень меток.
Нельзя просто внести свой файл и каталог в список обрабатываемых при загрузке операционной системы.
Подключение файловых систем
Astra Linux Special Edition сбрасывает метку в нулевую при монтировании файловых систем, например через FUSE. Неважно, поддерживает монтируемая ФС мандатное разделение доступа или нет.
Таком образом, какую бы вы метку не ставили на точку монтирования, после монтирования эта метка будет сброшена и вы не сможете использовать МРД на вашей ФС. А иногда очень надо!
parsec-mount-helper
Утилита и сервис parsec-mount-helper помогает гибко устанавливать метки на нужные каталоги и файлы:
- при загрузке операционной системы (реально при старте демона);
- при подключении (монтировании) файловых систем.
Настройки демона находятся в каталоге /etc/parsec/fs .
Перманентные мандатные метки
Список перманентных файлов и каталогов хранится в файле /etc/parsec/fs/onboot . Каждая строка представляет собой путь в файловой системе и мандатные атрибуты:
/absolute/path ключ1=значение1 ключ2=значение2 . Где ключN один из вариантов:
- level (мандатный уровень);
- category (мандатные категории);
- integrity (мандатный уровень целостности);
- flags (дополнительные параметры).
Если уровень и категория не указываются, то считывается метка родительского каталога ( .. ) и используются соответствующие параметры, кроме дополнительных параметров (flags).
Пример файла /etc/parsec/fs/onboot :
/srv flags=ccnr integrity=0 /srv/level1 level=1 /srv/level2 level=2Утилитой будет установлена метка 3:0:0xffffffffffffffff:ccnr на /srv , 1:0:0xffffffffffffffff на /srv/level1 и 2:0:0xffffffffffffffff на /srv/level2 .
Метки монтирования
Список точек монтирования хранится в файле /etc/parsec/fs/onmount . Формат файла аналогичен onboot .
Демон следит за подключением файловых систем. При монтировании или перемонтировании, в случае, если точка монтирования упомянута в файле /etc/parsec/fs/onmount , будет установлена соответствующая мандатная метка.
Мы так монтируем GlusterFS с МРД.
Пример файла /etc/parsec/fs/onmount :
/srv/mnt flags=ccnr integrity=0Запуск и остановка
Сервис запускается при загрузке операционной системы. После изменения файла /etc/parsec/fs/onboot его нужно перезапустить вручную с помощью команды
systemctl restart parsec-mount-helperПривилегии PARSEC
Привилегии PARSEC, так же, как и привилегии Linux, наследуются процессами от своих «родителей». Процессы, запущенные от имени суперпользователя, имеющего максимальный («Высокий») уровень целостности по умолчанию, независимо от явного назначения им привилегий, имеют возможность осуществлять большинство привилегированных действий.
Для настройки КСЗ могут использоваться как PARSEC-, так и Linux-привилегии.
Данная статья применима к:
- Astra Linux Special Edition РУСБ.10015-01 и РУСБ.10015-10 (очередное обновление 1.7)
- Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)
- Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
- Astra Linux Special Edition РУСБ.10015-16 исп. 1 иисп. 2
- Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)
Привилегии PARSEC и их описание приведены в таблице:
Пожалуйста, разместите таблицу или макрос, генерирующий таблицы, в макросе «Фильтр таблиц».
Таблица загружается. Пожалуйста, подождите.
Позволяет управлять политикой аудита.
Parsec 2.5.257 и выше. Позволяет игнорировать ограничения киоска. В Astra Linux Special Edition очередное обновление x.7 не используется.
Позволяет процессу устанавливать любой непротиворечивый набор привилегий для себя.
Позволяет изменять метки безопасности файловых объектов.
Не используется.
Для изменения меток безопасности файловых объектов см. привилегию PARSEC_CAP_CHMAC.
Для изменения меток безопасности процессов см. PARSEC_CAP_SETMAC.
Для изменения привилегий процессов см. PARSEC_CAP_CAP.
Позволяет игнорировать мандатную политику по неиерархическим категориям конфиденциальности.
См. также PARSEC_CAP_IGNMACLVL и PARSEC_CAP_IGNMACINT.
Позволяет игнорировать мандатную политику по уровням целостности.
Игнорируется при работе в расширенном режиме МКЦ (strict-mode, см. Изменения в документацию, связанные с обновлением № 2022-0819SE17 (оперативное обновление 1.7.2).
См. также PARSEC_CAP_IGNMACCAT, PARSEC_CAP_IGNMACLVL, PARSEC_CAP_INHERIT_INTEGRITY.
Позволяет игнорировать мандатную политику по иерархическим уровням конфиденциальности.
См. также PARSEC_CAP_IGNMACCAT и PARSEC_CAP_IGNMACINT.
При создании файловых объектов на них автоматически устанавливается максимально возможная целостность, однако не выше, чем целостность процесса-создателя и целостность контейнера, в котором создается файловый объект. Используется для установщика пакетов (dpkg).
См. также PARSEC_CAP_IGNMACINT.
БЮЛЛЕТЕНЬ № 20181229SE16 (оперативное обновление 1), Parsec 2.5.265 и выше. Отменяет мандатные ограничения при работе с сущностями IPC, такими как shared memory, message queue и т.д. (Parsec-аналог Linux-привилегии CAP_IPC_OWNER).
Позволяет изменять метки безопасности точек соединения (UNIX-сокетов).
Для сетевых сокетов см. PARSEC_CAP_PRIV_SOCK.
Позволяет создавать новые сетевые сокеты процесса в привилегированном режиме (метка ehole).
Привилегированный сокет позволяет осуществлять сетевое взаимодействие, игнорируя мандатную политику.
Для точек соединения (UNIX-сокетов) см. PARSEC_CAP_MAC_SOCK.
Позволяет игнорировать ограничения МРД и МКЦ на файловой системе /proc. Используется для систем контейнеризации и виртуализации.
Реализована в Astra Linux Special Edition очередное обновление x.7.
Позволяет игнорировать мандатную политику при чтении и поиске файловых объектов (но не при записи).
Позволяет изменять метку безопасности процессов. Привилегия не позволяет процессу повышать уровень целостности другого процесса, а только понижать.
Для изменения меток безопасности файловых объектов см. PARSEC_CAP_CHMAC.
Для изменения привилегий процессов см. PARSEC_CAP_CAP.
Позволяет посылать сигналы процессам, игнорируя мандатные права.
Parsec 2.5.251 и выше. Позволяет запускать процессы с другой классификационной меткой (с другим иерархическим уровнем конфиденциальности и другими неиерархическими категориями доступа).
Позволяет устанавливать мандатные атрибуты объектов файловой системы без учета мандатных атрибутов родительского объекта-контейнера. Привилегия используется для восстановления объектов файловой системы из резервных копий и только после установки значения «1» для параметра /parsecfs/unsecure_setxattr.
Позволяет изменять время доступа к файловым объектам. В настоящее время не используется.
БЮЛЛЕТЕНЬ № 2022-0819SE17 (оперативное обновление 1.7.2) и выше — при работе в расширенном режиме МКЦ (strict-mode, см. Изменения в документацию, связанные с обновлением № 2022-0819SE17 (оперативное обновление 1.7.2) позволяет осуществлять в каталоге с установленным атрибутом ccnr действия (создание, удаление и др.) над вложенными файловыми объектами с классификационными метками не выше классификационной метки данного каталога. При этом при работе в strict-mode значение параметра ядра parsec.ccnr_relax игнорируется (см. Параметры модуля ядра Parsec, задаваемые в загрузчике).