Главная » Linux

Высокий уровень мкц linux

На чтение 8 мин Просмотров 2 Опубликовано
Содержание
  1. Обновление 12 Astra Linux SE 1.6. Не выполняются команды halt, reboot у созданных пользователей. shutdown
  2. kvv-vp
  3. ALSE_User
  4. Slava.Glotov
  5. kvv-vp
  6. Slava.Glotov
  7. ALSE_User
  8. Slava.Glotov
  9. kvv-vp
  10. ALSE_User
  11. ALSE_User
  12. Slava.Glotov
  13. ALSE_User
  14. Операционная Система Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6): ключевые изменения в системе защиты информации
  15. Значения по умолчанию
  16. Мандатные атрибуты управления доступом (флаги)
  17. Уровни целостности
  18. Уровни целостности для служб под управлением systemd
  19. Parsec-привилегии

Обновление 12 Astra Linux SE 1.6. Не выполняются команды halt, reboot у созданных пользователей. shutdown

После 12 обновления Astra Linux SE ver.2.6 у созданных пользователей в том числе с правами администратора root не выполняются команды halt, reboot. Выполняются только команды с ключом: halt — f reboot -f.
Команда shutdown срабатывает через 60 секунд.
Это недостаток, или так задумано? И как это исправить?

kvv-vp

New member

ALSE_User

New member

Slava.Glotov

New member

С приставкой выдает сообщение, что-то вроде того, что команда маскирована.
В техподдержке сообщили, что это нормально, ограничения были введены в соответствии с политикой безопасности, чтобы созданные useг(ы) и root не могли самостоятельно выключить, а том числе и удаленно, через ssh. Через ssh тоже чудеса, может комп и не выключится — зависнет.
Вообщем можно для того, чтобы дать права созданным пользователямна выключение, перезагрузку компа, необходимо выполнить тонкие настройки системы безопасности.

kvv-vp

New member

Slava.Glotov

New member

Sudo shutdown -h now — не срабатывает. Я же написал, что системой безопасности запрещено вновь созданным пользователям выключать ПК, надо дать права на выключение ПК конкретному пользователю.

ALSE_User

New member

А нет ли выставленного признака о запрете выключения пользователями в политиках безопасности ?
https://wiki.astralinux.ru/pages/viewpage.action?pageId=53642039

Slava.Glotov

New member

А нет ли выставленного признака о запрете выключения пользователями в политиках безопасности ?
https://wiki.astralinux.ru/pages/viewpage.action?pageId=53642039

kvv-vp

New member

ALSE_User

New member

Дошли у меня руки до ALSE 1.6.12. Действительно картина несколько странная, но какая-то сермяжная правда в этих решениях есть.
Итак:
— после установки обновления выключение системы из графического интерфейса через меню работает как и прежде — выключается от имени любого юзера;
— создаем нового юзера, включаем его в группу администраторов, пробуем остановить систему из командной строки — sudo shutdown -h now, в ответ тишина. Только в syslog-е появляется запись о неправомерном доступе
Feb 8 14:18:39 astra systemd[1]: PARSEC-UNIT: [poweroff.target] start spid=1378, sl=[0:0:0x0:0x0!:], opid=0, ol=[0:63:0x0:0x0!:]. Access denied.
— меняем максимальный уровень контроля целостности для нового юзера на «Высокий»;
— логинимся с «Высоким» (63) уровнем МКЦ;
— пробуем остановить систему из командной строки — sudo shutdown -h now, система остановлена — shutdown выполнена.
Вывод — остановить систему из командной строки можно повысив максимальный уровень контроля целостности до высокого, действительно давать права остановить систему кому угодно как-то нехорошо (особенно в варианте сервера).
Продолжаем изучать изменения.
В техподдержку написать что-ли, может быть пришлют вменяемую документацию ?

Читайте также:  Debian linux with kde

ALSE_User

New member

Slava.Glotov

New member

Дошли у меня руки до ALSE 1.6.12. Действительно картина несколько странная, но какая-то сермяжная правда в этих решениях есть.
Итак:
— после установки обновления выключение системы из графического интерфейса через меню работает как и прежде — выключается от имени любого юзера;
— создаем нового юзера, включаем его в группу администраторов, пробуем остановить систему из командной строки — sudo shutdown -h now, в ответ тишина. Только в syslog-е появляется запись о неправомерном доступе
Feb 8 14:18:39 astra systemd[1]: PARSEC-UNIT: [poweroff.target] start spid=1378, sl=[0:0:0x0:0x0!:], opid=0, ol=[0:63:0x0:0x0!:]. Access denied.
— меняем максимальный уровень контроля целостности для нового юзера на «Высокий»;
— логинимся с «Высоким» (63) уровнем МКЦ;
— пробуем остановить систему из командной строки — sudo shutdown -h now, система остановлена — shutdown выполнена.
Вывод — остановить систему из командной строки можно повысив максимальный уровень контроля целостности до высокого, действительно давать права остановить систему кому угодно как-то нехорошо (особенно в варианте сервера).
Продолжаем изучать изменения.
В техподдержку написать что-ли, может быть пришлют вменяемую документацию ?

ALSE_User

New member

Например
sudo pdpl-user -i 63 administrator
или из оснастки управления безопасностью
А вот учетную запись root рекомендуется отключить

Источник

Операционная Система Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6): ключевые изменения в системе защиты информации

Подробно все изменения описаны в РУК КСЗ по Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6).

Значения по умолчанию

  • По умолчанию, после установки ОС:
    • включен режим МКЦ ОС:
      • установлен параметр ядра `max_ilev = 63`
      • все процессы, начиная от init до менеджера входа fly-dm, имеют уровень целостности 63 (если в конфигурации юнита явно не указано иное).
      • Графический сервер Xorg по умолчанию работает не от имени суперпользователя root (uid 0), а от пользователя, и работает на выделенном уровне МКЦ 8.
      • Администратор, созданный при установке ОС, получает 63-й «красный» уровень МКЦ (при входе в графическую и терминальную сессии предусмотрен диалог выбора значений мандатных атрибутов для сессии);
      • Пользователи получают нулевой «синий» уровень МКЦ ((при входе в графическую и терминальную сессии предусмотрен диалог выбора значений атрибутов конфиденциальности для сессии, если такой выбор имеется).
      • Администраторы из группы astra-admin, имеющие 63-й «красный» уровень целостности, автоматически получают этот уровень целостности (диалог выбора значений мандатных атрибутов при входе НЕ ПРЕДУСМОТРЕН);
      • Другие пользователи получают нулевой «синий» уровень МКЦ.
      • для сетевых сервисов: 1;
      • для подсистем виртуализации (для гостевых систем, отличных от ОС Astra Linux Special Edition РУСБ.10015-01 и контейнеров LXC на нулевом уровне): 2;
      • для внешнего СПО: 4.

      Мандатные атрибуты управления доступом (флаги)

      Описание значений мандатных атрибутов управления флагов см. в статье Метка безопасности: структура и состав

      • На контейнеры (каталоги) больше нельзя устанавливать флаги ehole.
      • На контейнеры допускается только установка флагов
        • ccnr
        • ccnri

        Для упрощения адаптации пользователей к особенностям реализации мандатного контроля целостности, при установке обновления безопасности БЮЛЛЕТЕНЬ № 20190222SE16 значение мандатного атрибута ccnri принудительно фиксируется во включенном состоянии для всех каталогов файловой системы. Мандатный атрибут ccnri определяет, что контейнер может содержать сущности с различными уровнями целостности, но не большими, чем его собственный уровень целостности и применяется только к контейнерам (каталогам файловой системы).

        • Флаг ehole доступен, как и ранее, для установки на файлах, и, дополнительно, введен новый флаг whole, дающий разрешение записывать в файл «снизу вверх» (чтение по обычным правилам МРД). Новый флаг whole также нельзя устанавливать на контейнерах.
        • Запись в каталог с высокой целостностью не может быть выполнена процессом с более низким уровнем целостности чем у контейнера (каталога).
        • Пользователь не может производить запись в контейнер (каталог) с установленным больше нуля уровнем МКЦ если он не вошел в систему на уровне МКЦ равном или большем уровню МКЦ контейнера, или не обладает привилегией parsec_cap_ignmacint.
        • Пользователь не может производить запись в контейнер (каталог) с установленной (ненулевой) меткой конфиденциальности и с установленным флагом ccnr информации, отличной от уровня конфиденциальности контейнера, если он не зашел под уровнем конфиденциальности равным уровню конфиденциальности контейнера (каталога), или не обладает привилегиями parsec_cap_ignmaccat и parsec_cap_ignmaclvl.

        Уровни целостности

        запись в объект (или остановка процесса или юнита) разрешена, если набор бит уровня МКЦ субъекта «включает» в себя (операция сравнения &) набор бит уровня МКЦ объекта.

        000 0b00000000 — Нулевой уровень. «Низкий», или «Low»
        001 0b00000001 — Уровень задействован как «Сетевые сервисы»
        002 0b00000010 — Уровень задействован как «Виртуализация»
        004 0b00000100 — Уровень задействован как «Специальное ПО»
        008 0b00001000 — Уровень задействован как «Графический сервер»
        016 0b00010000 — Свободен, может быть использован для СУБД.
        032 0b00100000 — Свободен, может быть использован для сетевых сервисов.
        064 0b01000000 — Зарезервирован, и может быть использован при поднятии max_ilev.
        128 0b10000000 — Зарезервирован, и может быть использован при поднятии max_ilev.

        • изолированные уровни 1,2,4,8-задействованы;
        • уровни 16,32 также могут быть использованы для различных сетевых сервисов и СПО;
        • Уровни 64 и 128 зарезервированы, и могут быть использованы только при одновременном поднятии max_ilev.

        соответственно, запись в эти объекты ФС будет возможна только для процессов, имеющих уровни целостности

        Уровни целостности для служб под управлением systemd

        • Механизм одновременной работы с разными уровнями sumac теперь доступен только для тех пользователей, которым задана привилегия parsec_cap_sumac.

        Формат указания метки безопасности аналогичен принятому в системе Parsec (pdpl-file —help) , за исключением поля типа метки: метка процесса не может иметь флагов ccnr/ehole/whole .
        При задании уровней мандатных привилегий рекомендуется использовать числовые обозначения, так как при разрешении имен могут оказаться задействованы сетевые ресурсы (например, каталоги LDAP), что может приводить к сложно диагностируемым ошибкам конфигурации.
        После редактирования unit-файла выполнить команды:

        Parsec-привилегии

        • С выходом оперативного обновления БЮЛЛЕТЕНЬ № 20181229SE16 (оперативное обновление 1):
          • добавлена новая Parsec-привилегия PARSEC_CAP_IPC_OWNER (версия Parsec 2.5.265 и выше), отменяющая мандатные ограничения при работе с объектами IPC, такими как shared memory, message queue и т.д. (Parsec-аналог Linux-привилегии CAP_IPC_OWNER);
          • добавлена новая Parsec-привилегия PARSEC_CAP_BYPASS_KIOSK (версия Parsec 2.5.257 и выше), позволяющая игнорировать ограничения киоска;

          Поддерживаются привилегии, добавленные в предыдущем очередном обновлении ОС Astra Linux Special Edition РУСБ.10015-01:

          • Привилегия PARSEC_CAP_UNSAFE_SETXATTR , позволяющая устанавливать мандатные атрибуты объектов ФС без учета мандатных атрибутов родительского объекта-контейнера. Привилегия используется для восстановления объектов ФС из резервных копий, и действует только после установки значения 1 для параметра /parsecfs/unsecure_setxattr.
          • Привилегия PARSEC_CAP_IGNMACINT , разрешающая игнорировать мандатную политику по уровням целостности

          Источник

Оцените статью
© 2023 Posetke
Adblock
detector