Привилегии PARSEC Справочный центр Exported on 2024-06-03 07:48:38 Справочный центр – Привилегии PARSEC Table of Contents No table of contents entries found. Table of Contents – 2 Справочный центр – Привилегии PARSEC Привилегии PARSEC, так же, как и привилегии Linux, наследуются процессами от своих «родителей». Процессы, запущенные от имени суперпользователя, имеющего максимальный («Высокий») уровень целостности по умолчанию, независимо от явного назначения им привилегий, имеют возможность осуществлять большинство привилегированных действий. Для настройки КСЗ могут использоваться как PARSEC-, так и Linux-привилегии. Порядок управления привилегиями описан в Руководстве по комплексу средств защиты информации, см.: Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7). Эксплуатационная и дополнительная документация; Руководство по комплексу средств защиты информации, часть 1, п. 4.9 Данная статья применима к: Astra Linux Special Edition РУСБ.10015-01 и РУСБ.1001510 (очередное обновление 1.7) Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7) Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) Astra Linux Special Edition РУСБ.10015-16 исп. 1 иисп. 2 Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1) Привилегии PARSEC и их описание приведены в таблице: Привилегия Битова Описание я маска PARSEC_CAP_IPC_OWNER 0x1000 БЮЛЛЕТЕНЬ № 0 20181229SE16 (оперативное обновление 1), Parsec 2.5.265 и PARSEC_CAP_CCNR_RELAX 0x100000 выше. Отменяет мандатные ограничения при работе с сущностями IPC, такими как shared memory, message queue и т.д. (Parsec-аналог Linux-привилегии CAP_IPC_OWNER). БЮЛЛЕТЕНЬ № 2022-0819SE17 (оперативное обновление 1.7.2) и выше - при работе в расширенном режиме МКЦ (strict-mode, см. Изменения в документацию, связанные с обновлением № 20220819SE17 (оперативное обновление 1.7.2) позволяет осуществлять в каталоге с установленным атрибутом ccnr действия (создание, удаление и др.) над вложенными файловыми Ошибка! Используйте вкладку "Главная" для применения Heading 1 к тексту, который должен здесь отображаться. – 3 Справочный центр – Привилегии PARSEC PARSEC_CAP_SETMAC 0x00004 PARSEC_CAP_FILE_CAP 0x00001 объектами с классификационными метками не выше классификационной метки данного каталога. Важно: при работе в расширенном режиме МКЦ значение параметра ядра parsec.ccnr_relax игнорируется (см. Параметры модуля ядра Parsec, задаваемые в загрузчике); при работе в обычном режиме МКЦ привилегия PARSEC_CAP_CCNR_RELA X игнорируется. Для обновления БЮЛЛЕТЕНЬ № 2023-0426SE17 (оперативное обновление 1.7.4): Позволяет процессу изменять (повышать или понижать) значения атрибутов собственной классификационной метки (иерархический и неиерархический уровни конфиденциальности). Процесс может понижать собственный уровень целостности, привилегии для этого не требуются (для запуска процесса на пониженном уровне используется команда sumic). Процесс не может повышать собственный уровень целостности и изменять метки безопасности других процессов. Для понижения уровня целостности работающего процесса рекомендуется использовать системный вызов pdp_set_pid_safe(), закрывающий высокоцелостные дескрипторы (применять команду sumic, использующую этот системный вызов). Для более ранних обновлений: Позволяет изменять метку безопасности процессов. Привилегия не позволяет процессу повышать уровень целостности другого процесса, а только понижать. Для изменения меток безопасности файловых объектов см. PARSEC_CAP_CHMAC. Для изменения привилегий процессов см. PARSEC_CAP_CAP. Не используется. Для изменения меток безопасности файловых объектов см. привилегию Ошибка! Используйте вкладку "Главная" для применения Heading 1 к тексту, который должен здесь отображаться. – 4 Справочный центр – Привилегии PARSEC PARSEC_CAP_IGNMACLVL 0x00010 PARSEC_CAP_IGNMACCAT 0x00020 PARSEC_CAP_IGNMACINT 0x02000 PARSEC_CAP_READSEARCH 0x00200 PARSEC_CAP_PROCFS 0x80000 PARSEC_CAP_UPDATE_ATIME 0x00080 PARSEC_CAP_MAC_SOCK 0x00800 PARSEC_CAP_CHMAC 0x00008 PARSEC_CAP_SIG 0x00040 PARSEC_CAP_BYPASS_XATTR 0x40000 PARSEC_CAP_CHMAC. Для изменения меток безопасности процессов см. PARSEC_CAP_SETMAC. Для изменения привилегий процессов см. PARSEC_CAP_CAP. Позволяет игнорировать мандатную политику по иерархическим уровням конфиденциальности. См. также PARSEC_CAP_IGNMACCAT и PARSEC_CAP_IGNMACINT. Позволяет игнорировать мандатную политику по неиерархическим категориям конфиденциальности. См. также PARSEC_CAP_IGNMACLVL и PARSEC_CAP_IGNMACINT. Позволяет игнорировать мандатную политику по уровням целостности. Игнорируется при работе в расширенном режиме МКЦ (strictmode, см. Изменения в документацию, связанные с обновлением № 2022-0819SE17 (оперативное обновление 1.7.2). См. также PARSEC_CAP_IGNMACCAT, PARSEC_CAP_IGNMACLVL, PARSEC_CAP_INHERIT_INTEGRIT Y. Позволяет игнорировать мандатную политику при чтении и поиске файловых объектов (но не при записи). Позволяет игнорировать ограничения МРД и МКЦ на файловой системе /proc. Используется для систем контейнеризации и виртуализации. Реализована в Astra Linux Special Edition очередное обновление x.7. Позволяет изменять время доступа к файловым объектам. В настоящее время не используется. Позволяет изменять метки безопасности точек соединения (UNIX-сокетов). Для сетевых сокетов см. PARSEC_CAP_PRIV_SOCK. Позволяет изменять метки безопасности файловых объектов. Позволяет посылать сигналы процессам, игнорируя мандатные права. Позволяет процессу игнорировать подписи файлов. Ошибка! Используйте вкладку "Главная" для применения Heading 1 к тексту, который должен здесь отображаться. – 5 Справочный центр – Привилегии PARSEC PARSEC_CAP_CAP 0x00400 PARSEC_CAP_AUDIT 0x00002 PARSEC_CAP_UNSAFE_SETXATT R 0x01000 PARSEC_CAP_INHERIT_INTEGRIT Y 0x20000 PARSEC_CAP_SUMAC 0x04000 PARSEC_CAP_BYPASS_KIOSK 0x08000 Реализована в Astra Linux Special Edition очередное обновление x.7. Позволяет процессу устанавливать любой непротиворечивый набор привилегий для себя. Позволяет управлять политикой аудита. Позволяет устанавливать мандатные атрибуты объектов файловой системы без учета мандатных атрибутов родительского объекта-контейнера. Привилегия используется для восстановления объектов файловой системы из резервных копий и только после установки значения «1» для параметра /parsecfs/unsecure_setxattr. При создании файловых объектов на них автоматически устанавливается максимально возможная целостность, однако не выше, чем целостность процессасоздателя и целостность контейнера, в котором создается файловый объект. Используется для установщика пакетов (dpkg). См. также PARSEC_CAP_IGNMACINT. Parsec 2.5.251 и выше. Позволяет запускать процессы с другой классификационной меткой (с другим иерархическим уровнем конфиденциальности и другими неиерархическими категориями доступа). Parsec 2.5.257 и выше. Позволяет игнорировать ограничения киоска. В Astra Linux Special Edition очередное обновление x.7 не используется. Ошибка! Используйте вкладку "Главная" для применения Heading 1 к тексту, который должен здесь отображаться. – 6