- Операционная Система Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6): ключевые изменения в системе защиты информации
- Значения по умолчанию
- Мандатные атрибуты управления доступом (флаги)
- Уровни целостности
- Уровни целостности для служб под управлением systemd
- Parsec-привилегии
- Контекст безопасности
- Мандатный контекст
- Метка безопасности
- Дополнительные мандатные атрибуты управления доступом
Операционная Система Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6): ключевые изменения в системе защиты информации
Подробно все изменения описаны в РУК КСЗ по Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6).
Значения по умолчанию
- По умолчанию, после установки ОС:
- включен режим МКЦ ОС:
- установлен параметр ядра `max_ilev = 63`
- все процессы, начиная от init до менеджера входа fly-dm, имеют уровень целостности 63 (если в конфигурации юнита явно не указано иное).
- Графический сервер Xorg по умолчанию работает не от имени суперпользователя root (uid 0), а от пользователя, и работает на выделенном уровне МКЦ 8.
- Администратор, созданный при установке ОС, получает 63-й «красный» уровень МКЦ (при входе в графическую и терминальную сессии предусмотрен диалог выбора значений мандатных атрибутов для сессии);
- Пользователи получают нулевой «синий» уровень МКЦ ((при входе в графическую и терминальную сессии предусмотрен диалог выбора значений атрибутов конфиденциальности для сессии, если такой выбор имеется).
- Администраторы из группы astra-admin, имеющие 63-й «красный» уровень целостности, автоматически получают этот уровень целостности (диалог выбора значений мандатных атрибутов при входе НЕ ПРЕДУСМОТРЕН);
- Другие пользователи получают нулевой «синий» уровень МКЦ.
- для сетевых сервисов: 1;
- для подсистем виртуализации (для гостевых систем, отличных от ОС Astra Linux Special Edition РУСБ.10015-01 и контейнеров LXC на нулевом уровне): 2;
- для внешнего СПО: 4.
Мандатные атрибуты управления доступом (флаги)
Описание значений мандатных атрибутов управления флагов см. в статье Метка безопасности: структура и состав
- На контейнеры (каталоги) больше нельзя устанавливать флаги ehole.
- На контейнеры допускается только установка флагов
- ccnr
- ccnri
Для упрощения адаптации пользователей к особенностям реализации мандатного контроля целостности, при установке обновления безопасности БЮЛЛЕТЕНЬ № 20190222SE16 значение мандатного атрибута ccnri принудительно фиксируется во включенном состоянии для всех каталогов файловой системы. Мандатный атрибут ccnri определяет, что контейнер может содержать сущности с различными уровнями целостности, но не большими, чем его собственный уровень целостности и применяется только к контейнерам (каталогам файловой системы).
- Флаг ehole доступен, как и ранее, для установки на файлах, и, дополнительно, введен новый флаг whole, дающий разрешение записывать в файл «снизу вверх» (чтение по обычным правилам МРД). Новый флаг whole также нельзя устанавливать на контейнерах.
- Запись в каталог с высокой целостностью не может быть выполнена процессом с более низким уровнем целостности чем у контейнера (каталога).
- Пользователь не может производить запись в контейнер (каталог) с установленным больше нуля уровнем МКЦ если он не вошел в систему на уровне МКЦ равном или большем уровню МКЦ контейнера, или не обладает привилегией parsec_cap_ignmacint.
- Пользователь не может производить запись в контейнер (каталог) с установленной (ненулевой) меткой конфиденциальности и с установленным флагом ccnr информации, отличной от уровня конфиденциальности контейнера, если он не зашел под уровнем конфиденциальности равным уровню конфиденциальности контейнера (каталога), или не обладает привилегиями parsec_cap_ignmaccat и parsec_cap_ignmaclvl.
Уровни целостности
запись в объект (или остановка процесса или юнита) разрешена, если набор бит уровня МКЦ субъекта «включает» в себя (операция сравнения &) набор бит уровня МКЦ объекта.
000 0b00000000 — Нулевой уровень. «Низкий», или «Low»
001 0b00000001 — Уровень задействован как «Сетевые сервисы»
002 0b00000010 — Уровень задействован как «Виртуализация»
004 0b00000100 — Уровень задействован как «Специальное ПО»
008 0b00001000 — Уровень задействован как «Графический сервер»
016 0b00010000 — Свободен, может быть использован для СУБД.
032 0b00100000 — Свободен, может быть использован для сетевых сервисов.
064 0b01000000 — Зарезервирован, и может быть использован при поднятии max_ilev.
128 0b10000000 — Зарезервирован, и может быть использован при поднятии max_ilev.- изолированные уровни 1,2,4,8-задействованы;
- уровни 16,32 также могут быть использованы для различных сетевых сервисов и СПО;
- Уровни 64 и 128 зарезервированы, и могут быть использованы только при одновременном поднятии max_ilev.
соответственно, запись в эти объекты ФС будет возможна только для процессов, имеющих уровни целостности
Уровни целостности для служб под управлением systemd
- Механизм одновременной работы с разными уровнями sumac теперь доступен только для тех пользователей, которым задана привилегия parsec_cap_sumac.
Формат указания метки безопасности аналогичен принятому в системе Parsec (pdpl-file —help) , за исключением поля типа метки: метка процесса не может иметь флагов ccnr/ehole/whole .
При задании уровней мандатных привилегий рекомендуется использовать числовые обозначения, так как при разрешении имен могут оказаться задействованы сетевые ресурсы (например, каталоги LDAP), что может приводить к сложно диагностируемым ошибкам конфигурации.
После редактирования unit-файла выполнить команды:Parsec-привилегии
- С выходом оперативного обновления БЮЛЛЕТЕНЬ № 20181229SE16 (оперативное обновление 1):
- добавлена новая Parsec-привилегия PARSEC_CAP_IPC_OWNER (версия Parsec 2.5.265 и выше), отменяющая мандатные ограничения при работе с объектами IPC, такими как shared memory, message queue и т.д. (Parsec-аналог Linux-привилегии CAP_IPC_OWNER);
- добавлена новая Parsec-привилегия PARSEC_CAP_BYPASS_KIOSK (версия Parsec 2.5.257 и выше), позволяющая игнорировать ограничения киоска;
Поддерживаются привилегии, добавленные в предыдущем очередном обновлении ОС Astra Linux Special Edition РУСБ.10015-01:
- Привилегия PARSEC_CAP_UNSAFE_SETXATTR , позволяющая устанавливать мандатные атрибуты объектов ФС без учета мандатных атрибутов родительского объекта-контейнера. Привилегия используется для восстановления объектов ФС из резервных копий, и действует только после установки значения 1 для параметра /parsecfs/unsecure_setxattr.
- Привилегия PARSEC_CAP_IGNMACINT , разрешающая игнорировать мандатную политику по уровням целостности
Контекст безопасности
Контекст безопасности — структура, включающая в себя все атрибуты управления доступом субъектов доступа (субъектов, например, процессов ) к объектам доступа (сущностям, например, файлам или каталогам) , существующие в соответствии с формальной мандатной сущностно-ролевой моделью управления доступом и информационными потоками (МРОСЛ ДП-моделью) и определяющие порядок доступа субъектов к сущностям.
В зависимости от реализации контекст безопасности может включать в себя:
- Контекст дискреционного управления доступом (разграничения доступа);
- Контекст мандатного управления доступом (разграничения доступа);
- Контекст ролевого управления доступом (разграничения доступа);
- Иные атрибуты, определяемые формальной моделью управления доступом и ее реализацией.
В рамках наст оящего документа рассматрива ю тся состав и структура контекста мандатного управления доступ ом ( мандатного контекста ) .
Мандатный контекст
Мандатный контекст представляет собой полный набор мандатных атрибутов субъекта или сущности.
Мандатный контекст включает в себя все мандатные атрибуты субъекта или сущности, и мандатных атрибутов вне мандатного контекста не существует.Мандатный контекст включает в себя:
Субъекты или сущности, которым явно не присвоен никакой мандатный контекст, считаются имеющими минимальный (нулевой) мандатный контекст, т.е. мандатный контекст в котором все мандатные атрибуты имеют минимальные допустимые значения (например, равны нулю).
Метка безопасности
Метка безопасности является составной и включает в себя две метки:
Классификационная метка является составной и включает в себя:
- Иерархический уровень конфиденциальности;
- Неиерархическую категорию конфиденци альности.
Метка целостности представлена одним мандатным атрибутом:
Дополнительные мандатные атрибуты управления доступом
В зависимости от реализац ии формальной модел и управления доступом отдельным субъектам или сущностям может быть дополнительно присвоен набор необязательных мандатных атрибутов управления доступом, не входящих в метку. Необязательные мандатные атрибуты управления доступом позв оляют уточнять правил а мандатного доступа для отдель ных субъектов или сущносте й.
В качестве примера можно привести следующие мандатные атрибуты управления доступом, использованные в операционной системе специального назначения Astra Linux Special Edition:
- Мандатные атрибуты меток безопасности сущностей, являющихся контейнерами ( т.е. сущностей , которые могут содержать другие сущности , например, каталог ам файловой системы ):
- Если метка целостности субъекта меньше или равна метке целостности контейнера, то создаваемые в каталоге сущности наследуют метку целостности создающего их субъекта;
- Если метка целостности субъекта выше или несравнима с меткой целостности контейнера, то метка целостности создаваемых сущностей устанавливается как наибольшее значение, одновременно меньшее или равное значениям меток целостности контейнера и субъекта. Атрибут доступен только при включенном расширенном режиме МКЦ (расширенный режим МКЦ доступен начиная с обновления БЮЛЛЕТЕНЬ № 2022-0819SE17 (оперативное обновление 1.7.2);
- Мандатный атрибут ccnr. Определяет, что контейнер может содержать сущности с различными классификационными метками , но не большими, чем его собственная метка. Чтение содержимого такого контейнера разрешается субъекту вне зависимости от значения классификационной метки этого субъекта, при этом субъекту доступна информация только про находящиеся в этом контейнере сущности с классификационной меткой не большей, чем собственная классификационная метка субъекта, либо про сущности-контейнеры, также имеющие мандатный атрибут управления доступом ccnr;
В ОС Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) с установленным обновлением № 20190222SE16 и в ОС Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1) мандатный атрибут управления доступом ccnri включен для всех контейнеров, и не может быть изменен.
Мандатный контекст
Метка безопасности
Мандатные атрибуты управления доступом
- включен режим МКЦ ОС: