Загрузил fgj2020

Привилегии PARSEC-v29-20240603 074838

реклама
Привилегии PARSEC
Справочный центр
Exported on 2024-06-03 07:48:38
Справочный центр – Привилегии PARSEC
Table of Contents
No table of contents entries found.
Table of Contents – 2
Справочный центр – Привилегии PARSEC
Привилегии PARSEC, так же, как и
привилегии Linux, наследуются
процессами от своих «родителей».
Процессы, запущенные от имени
суперпользователя, имеющего
максимальный («Высокий»)
уровень целостности по
умолчанию, независимо от явного
назначения им привилегий, имеют
возможность осуществлять
большинство привилегированных
действий.
Для настройки КСЗ могут
использоваться как PARSEC-, так и
Linux-привилегии.
Порядок управления привилегиями
описан в Руководстве по комплексу
средств защиты информации, см.:
 Astra Linux Special Edition
РУСБ.10015-01 (очередное
обновление 1.7).
Эксплуатационная и
дополнительная
документация;
 Руководство по комплексу
средств защиты
информации, часть 1, п. 4.9
Данная статья применима к:
 Astra Linux Special Edition
РУСБ.10015-01 и
РУСБ.1001510 (очередное
обновление 1.7)
 Astra Linux Special Edition
РУСБ.10152-02
(очередное обновление
4.7)
 Astra Linux Special Edition
РУСБ.10015-01
(очередное обновление
1.6)
 Astra Linux Special Edition
РУСБ.10015-16 исп. 1
иисп. 2
 Astra Linux Special Edition
РУСБ.10265-01
(очередное обновление
8.1)
Привилегии PARSEC и их описание приведены в таблице:
Привилегия
Битова Описание
я маска
PARSEC_CAP_IPC_OWNER 0x1000 БЮЛЛЕТЕНЬ №
0
20181229SE16 (оперативное
обновление 1), Parsec 2.5.265 и
PARSEC_CAP_CCNR_RELAX
0x100000
выше. Отменяет мандатные
ограничения при работе с
сущностями IPC, такими как shared
memory, message queue и т.д.
(Parsec-аналог Linux-привилегии
CAP_IPC_OWNER).
БЮЛЛЕТЕНЬ № 2022-0819SE17
(оперативное обновление 1.7.2) и
выше - при работе в расширенном
режиме МКЦ (strict-mode,
см. Изменения в документацию,
связанные с обновлением № 20220819SE17 (оперативное
обновление 1.7.2) позволяет
осуществлять в каталоге с
установленным атрибутом ccnr
действия (создание, удаление и
др.) над вложенными файловыми
Ошибка! Используйте вкладку "Главная" для применения Heading 1 к тексту, который
должен здесь отображаться. – 3
Справочный центр – Привилегии PARSEC
PARSEC_CAP_SETMAC
0x00004
PARSEC_CAP_FILE_CAP
0x00001
объектами с классификационными
метками не выше
классификационной метки данного
каталога. Важно:
 при работе в расширенном
режиме МКЦ значение
параметра ядра
parsec.ccnr_relax
игнорируется
(см. Параметры модуля
ядра Parsec, задаваемые в
загрузчике);
 при работе в обычном
режиме МКЦ привилегия
PARSEC_CAP_CCNR_RELA
X игнорируется.
Для обновления БЮЛЛЕТЕНЬ №
2023-0426SE17 (оперативное
обновление 1.7.4):
Позволяет процессу изменять
(повышать или понижать)
значения атрибутов собственной
классификационной метки
(иерархический и
неиерархический уровни
конфиденциальности). Процесс
может понижать собственный
уровень целостности,
привилегии для этого не
требуются (для запуска
процесса на пониженном уровне
используется команда sumic).
Процесс не может повышать
собственный уровень
целостности и изменять метки
безопасности других процессов.
Для понижения уровня
целостности работающего
процесса рекомендуется
использовать системный вызов
pdp_set_pid_safe(),
закрывающий высокоцелостные
дескрипторы (применять
команду sumic, использующую
этот системный вызов).
Для более ранних обновлений:
Позволяет изменять метку
безопасности процессов.
Привилегия не позволяет
процессу повышать уровень
целостности другого процесса, а
только понижать.
Для изменения меток безопасности
файловых объектов см.
PARSEC_CAP_CHMAC.
Для изменения привилегий
процессов см. PARSEC_CAP_CAP.
Не используется.
Для изменения меток безопасности
файловых объектов см. привилегию
Ошибка! Используйте вкладку "Главная" для применения Heading 1 к тексту, который
должен здесь отображаться. – 4
Справочный центр – Привилегии PARSEC
PARSEC_CAP_IGNMACLVL
0x00010
PARSEC_CAP_IGNMACCAT
0x00020
PARSEC_CAP_IGNMACINT
0x02000
PARSEC_CAP_READSEARCH
0x00200
PARSEC_CAP_PROCFS
0x80000
PARSEC_CAP_UPDATE_ATIME
0x00080
PARSEC_CAP_MAC_SOCK
0x00800
PARSEC_CAP_CHMAC
0x00008
PARSEC_CAP_SIG
0x00040
PARSEC_CAP_BYPASS_XATTR
0x40000
PARSEC_CAP_CHMAC.
Для изменения меток безопасности
процессов см.
PARSEC_CAP_SETMAC.
Для изменения привилегий
процессов см. PARSEC_CAP_CAP.
Позволяет игнорировать
мандатную политику по
иерархическим уровням
конфиденциальности.
См. также
PARSEC_CAP_IGNMACCAT и
PARSEC_CAP_IGNMACINT.
Позволяет игнорировать
мандатную политику по
неиерархическим категориям
конфиденциальности.
См. также
PARSEC_CAP_IGNMACLVL и
PARSEC_CAP_IGNMACINT.
Позволяет игнорировать
мандатную политику по уровням
целостности.
Игнорируется при работе в
расширенном режиме МКЦ (strictmode, см. Изменения в
документацию, связанные с
обновлением № 2022-0819SE17
(оперативное обновление 1.7.2).
См. также
PARSEC_CAP_IGNMACCAT,
PARSEC_CAP_IGNMACLVL,
PARSEC_CAP_INHERIT_INTEGRIT
Y.
Позволяет игнорировать
мандатную политику при чтении и
поиске файловых объектов (но не
при записи).
Позволяет игнорировать
ограничения МРД и МКЦ на
файловой системе /proc.
Используется для систем
контейнеризации и виртуализации.
Реализована в Astra Linux Special
Edition очередное обновление x.7.
Позволяет изменять время доступа
к файловым объектам. В
настоящее время не используется.
Позволяет изменять метки
безопасности точек соединения
(UNIX-сокетов).
Для сетевых сокетов см.
PARSEC_CAP_PRIV_SOCK.
Позволяет изменять метки
безопасности файловых объектов.
Позволяет посылать сигналы
процессам, игнорируя мандатные
права.
Позволяет процессу игнорировать
подписи файлов.
Ошибка! Используйте вкладку "Главная" для применения Heading 1 к тексту, который
должен здесь отображаться. – 5
Справочный центр – Привилегии PARSEC
PARSEC_CAP_CAP
0x00400
PARSEC_CAP_AUDIT
0x00002
PARSEC_CAP_UNSAFE_SETXATT
R
0x01000
PARSEC_CAP_INHERIT_INTEGRIT
Y
0x20000
PARSEC_CAP_SUMAC
0x04000
PARSEC_CAP_BYPASS_KIOSK
0x08000
Реализована в Astra Linux Special
Edition очередное обновление x.7.
Позволяет процессу устанавливать
любой непротиворечивый набор
привилегий для себя.
Позволяет управлять политикой
аудита.
Позволяет устанавливать
мандатные атрибуты объектов
файловой системы без учета
мандатных атрибутов
родительского объекта-контейнера.
Привилегия используется для
восстановления объектов
файловой системы из резервных
копий и только после установки
значения «1» для параметра
/parsecfs/unsecure_setxattr.
При создании файловых объектов
на них автоматически
устанавливается максимально
возможная целостность, однако не
выше, чем целостность процессасоздателя и целостность
контейнера, в котором создается
файловый объект. Используется
для установщика пакетов (dpkg).
См. также
PARSEC_CAP_IGNMACINT.
Parsec 2.5.251 и выше. Позволяет
запускать процессы с другой
классификационной меткой (с
другим иерархическим уровнем
конфиденциальности и другими
неиерархическими категориями
доступа).
Parsec 2.5.257 и выше. Позволяет
игнорировать ограничения киоска. В
Astra Linux Special Edition
очередное обновление x.7 не
используется.
Ошибка! Используйте вкладку "Главная" для применения Heading 1 к тексту, который
должен здесь отображаться. – 6
Скачать