Мандатный контроль доступа astra linux

Общие сведения

В операционной системе специального назначения Astra Linux Special Edition начиная с очередного обновления 1.4 и позднее возможна ситуация, когда при попытке изменения классификационной метки файлового объекта возникает «блокировка» внесения изменений:

  • на файловый объект нельзя установить классификационную метку, превышающую классификационную метку каталога, содержащего данный файловый объект;
  • на каталог нельзя установить более высокую классификационную метку, так как каталог, содержит файловые объекты с метками, меньшими устанавливаемой.

Для устранения этой «блокировки» применяется флаг ccnr в метке безопасности каталога. Этот флаг о пределяет, что контейнер (каталог) может содержать сущности (файловые объекты) с различными классификационными метками, но не большими, чем его собственная классификационная метка. Чтение содержимого такого контейнера разрешается субъекту вне зависимости от значения его классификационной метки, при этом субъекту доступна информация только про находящиеся в этом контейнере сущности с классификационной меткой не большей, чем его собственная классификационная метка, либо про сущности-контейнеры, также имеющие мандатный атрибут управления доступом ccnr.

Пример

Корневому каталогу файловой системы по умолчанию присвоена максимальная метка безопасности (в т.ч. — максимальная классификационная метка) и специальный флаг . Проверить метку безопасности файлового объекта можно командой pdp-ls:

pdp-ls -Md
drwxr-xr-xm— 22 root root Уровень_3:Высокий:Категория_1,Категория_2,0xfffffffffffffffc:ccnr /

Метка безопасности нового каталога:

Попробуем рекурсивно поменять метку безопасности на файле и директории:

pdpl-file: /mydir1: Отказано в доступе

Данное поведение обусловлено положениями ДП-модели контроля доступа, разработанной специалистами академии ФСБ России и реализованной в Astra Linux Special Edition, начиная с версии 1.4 (см. Метка безопасности: структура и состав и Уровень конфиденциальности, категории конфиденциальности и целостность: что есть что, и как с этим работать?)

Читайте также:  Linux service with parameters

Поскольку операция создания файла в каталоге является операцией записи, классификационные метки каталога и файла должны совпадать. Т.е. в каталогах с нулевой меткой безопасности (0:0:0:0) при отсутствии специальных флагов (см. ниже) могут содержаться только файлы с нулевой меткой безопасности (0:0:0:0). При изменении классификационной метки на поддереве файловой системы (как в примере выше) правомерность такого изменения проверяется для каждого объекта файловой системы в отдельности. В примере выше нельзя изменить классификационную метку каталога /mydir1 на 1:0:0:0 (повысить иерархический уровень конфиденциальности с 0 до 1), т.к. этот каталог содержит файл с нулевой классификационной меткой. В тоже время нельзя изменить классификационную метку файла /mydir1/file на 1:0:0:0, т.к. этот файл содержится в каталоге (т.е. объекте-контейнере) с нулевой классификационной меткой 0:0:0:0.

Порядок изменения значений атрибутов классификационной метки

Порядок установки ненулевых или повышения значений атрибутов классификационной метки

Как упоминалось выше, в Astra Linux Special Edition предусмотрены специальные флаги или «типы метки» для объектов-контейнеров, с помощью которых администратор безопасности может решить задачу рекурсивной смены метки безопасности на файловой системе. Их описание из руководства по КСЗ:

Дополнительные мандатные атрибуты управления доступом позволяют уточнять или изменять правила мандатного управления доступом для тех или иных субъектов или сущностей:
ccnr — может присваиваться только контейнерам. Определяет, что контейнер может содержать сущности с различными классификационными метками, но не большими, чем его собственная классификационная метка. Чтение содержимого такого контейнера разрешается субъекту вне зависимости от значения его классификационной метки, при этом субъекту доступна информация только про находящиеся в этом контейнере сущности с классификационной меткой не большей, чем его собственная классификационная метка, либо про сущности-контейнеры, также имеющие мандатный атрибут управления доступом ccnr;

ehole — может присваиваться сущностям (файлам), не являющимся контейнерами и имеющим минимальную метку безопасности (т.е. минимальную классификационную метку и минимальную метку целостности). Приводит к игнорированию мандатных правил управления доступом при получении доступа на запись к ним. Атрибут предназначен для сущностей, из которых субъект не может прочитать данные, записанные в них субъектами с более высокой классификационной меткой, чем его собственная классификационная метка (например, /dev/null);

Читайте также:  Нет пароля linux mint

whole — присваивается сущностям (файлам), не являющимся контейнерами, c максимальной классификационной меткой. Разрешает запись в них субъектам, имеющим более низкую классификационную метку (в обычном случае записывать «снизу вверх» запрещено).

П р и м е ч а н и е. Мандатный атрибут управления доступом ccnri более не используется в ОС для управления доступом, при этом штатное функционирование ОС соответствует функционированию с установленным мандатным атрибутом ccnri. Возможность установки и получения данного мандатного атрибута сохранена в ОС для обеспечения совместимости с системами и ПО, которые его использует. Мандатный атрибут управления доступом ccnra в ОС приравнивается к ccnr и также сохранен для обеспечения совместимости и не рекомендован к использованию.

В ОС предусмотрено существование объектов-контейнеров (например, каталогов), т.е. объектов, которые могут содержать другие объекты. Метка безопасности объекта-контейнера определяет максимальную метку безопасности вложенных объектов. Тип метки безопасности может использоваться для того, чтобы изменять ее эффективное действие:

– тип метки ehole применяется к объектам-контейнерам и простым объектам для игнорирования мандатных правил разграничения доступа к ним;
– тип метки ccnr применяется к объектам-контейнерам и определяет, что объект контейнер может содержать объекты с различными метками безопасности, но не превышающими метку безопасности объекта-контейнера;
– тип метки ccnri применяется к объектам-контейнерам и определяет, что объект контейнер может содержать объекты с различными уровнями целостности, но не превышающими уровень целостности объекта-контейнера;
Ненулевой тип метки безопасности может быть установлен только привилегированным процессом. Перечисленные типы могут использоваться совместно. Таким образом, объект-контейнер может иметь тип: ccnr,ccnri,ehole.

Для того чтобы установить (повысить) классификационную метку на поддереве файловой системы выполнить следующее:

  1. Рекурсивно установить на все каталоги поддерева, начиная с верхнего, классификационную метку с требуемыми значениями иерархического уровня конфиденциальности, набором неиерархических категорий конфиденциальности и флагом ccnr. Если предполагается, что в поддереве будут содержаться файловые объекты с разными классификационными метками, то на каждый подкаталог следует установить максимальную для содержащихся в нем файловых объектов классификационную метку;
  2. Установить на файлы поддерева классификационную метку с требуемыми значениями атрибутов;
  3. Снять c каталогов флаг ccnr (если этот флаг не нужен, т.е. все содержащиеся в поддереве файловые объекты имеют одинаковые классификационные метки);
Читайте также:  Firewall service in linux

Пример

Для созданного в предыдущем примере каталога /mydir1, имеющего нулевую классификационную метку и содержащего файл /mydir1/file, также имеющего нулевую классификационную метку:

    Рекурсивно (флаг -R команды pdpl-file) изменить классификационные метки на каталогах и добавить флаг ccnr:

Порядок установки нулевых или понижения значений атрибутов классификационной метки

Для понижения значений атрибутов классификационной метки можно использовать ключ -r команды pdpl-file («r-строчное» в отличие от ранее использованного ключа -R — рекурсивное выполнение). При использовании этого ключа рекурсивное изменение мандатных атрибутов выполняется в обратном порядке, начиная с вложенных файловых объектов. Такой порядок изменения позволяет сначала понизить классификационную метку файлов, а затем — классификационную метку содержащего их каталога. Реверсивный порядок внесения изменений при понижении значений меток необходим так как попытка понизить сначала классификационную метку каталога приведет к ошибке (каталог не может содержать файловые объекты с классификационной меткой большей чем метка самого каталога).

    Рекурсивно (флаг -R команды pdpl-file) установить классификационные метки на каталогах, добавив флаг ccnr:

Источник

Оцените статью
Adblock
detector