Теги (модификаторы) контекста безопасности

Редактировал(а) Олеся 2021/09/28 14:40

 

Используемые в ОС ОН «Стрелец» теги (модификаторы) контекста безопасности представлены в таблице:

ID

НазваниеОписание
1CCnR Container Clearance not Required. Доступ к элементам контейнера осуществляется без учета его конфиденциальности. При использовании с контейнером – позволяет хранить в нем сущности с мандатными атрибутами, отличными от мандатных атрибутов контейнера, но не превосходящими их, в отношении объектов, не являющихся контейнерами, игнорируется
2CICnR Container Integrity Clearance not Required. Доступ к элементам контейнера осуществляется без учета его целостности. При использовании в отношении контейнера – позволяет хранить в нем объекты с различными уровнями целостности, но не превосходящими уровень целостности контейнеров, в отношении объектов, не являющихся контейнерами, игнорируется
3CHCTXВозможность смены контекста объекта. При использовании субъектом позволяет ему управлять контекстом безопасности объектов, в отношении объектов игнорируется
12SETCTXВозможность смены контекста субъекта. При использовании субъектом позволяет ему управлять собственным контекстом безопасности, в отношении объектов игнорируется
22EQUПропустить проверку МРД (конфиденциальности и целостности) для объекта. Используется с объектами, не допускающими возникновения запрещенных информационных потоков. При использовании таких объектов считается, что мандатные атрибуты контекста безопасности объекта совпадают с мандатными атрибутами контекста безопасности субъекта, который осуществляет доступ, примеры: /dev/null, /dev/full
23ADDEQUSOCKАвтоматическая установка EQU на создаваемый сокет. При использовании субъектом при создании им объекта типа «сокет» к контексту безопасности последнего будет добавлен тег EQU, в отношении объектов игнорируется
24SETXATTR_OMITMACПропустить проверку МРД в части иерархии при установке контекста безопасности объекта файловой системы через расширенные атрибуты. При использовании субъектом, например программой резервного копирования, позволяет ему при управлении контекстом безопасности объектов, непосредственно изменяя их расширенные атрибуты (SECURITY.NESSCTX), игнорировать МРД в части иерархии. Применяется только при восстановлении резервных копий, распаковки архивов и т.д., которые содержат расширенные атрибуты контекстов безопасности, и при этом невозможно обеспечить корректность этой процедуры в части иерархии согласно МРД
25OMIT*Пропустить проверку МРД (конфиденциальности и целостности) для субъекта. Используется в отношении привилегированных доверенных субъектов, не допускающих возникновения запрещенных информационных потоков, в отношении объектов игнорируется
26OMITCПропустить проверку МРД в части конфиденциальности для субъекта. Используется в отношении привилегированных доверенных субъектов, не допускающих возникновения запрещенных информационных потоков, в отношении объектов игнорируется;
27OMITIПропустить проверку МРД в части целостности для субъекта. Используется в отношении привилегированных доверенных субъектов, не допускающих возникновения запрещенных информационных потоков, в отношении объектов игнорируется
28INTERPRETER*Право субъекта запускать интерпретатор в интерактивном режиме
29NOSEUID_FIXUPНе модифицировать теги при смене EUID, тег будет сброшен после вызова seteuid(). При использовании субъектом при успешном выполнении системного вызова seteuid() теги субъекта не будут изменены, за исключением удаления тега NOSEUID_FIXUP. При отсутствии у субъекта тега NOSEUID_FIXUP перед вызовом seteuid() набор тегов субъекта будет сброшен. Применяется в отношении субъектов, которые осуществляют имперсонацию. В отношении объектов игнорируется
30

NOSEUID_FIXUP_

PERMANENT

Не модифицировать теги при смене EUID, тег НЕ будет сброшен после вызова seteuid(). Аналогично NOSEUID_FIXUP, но данный тег не сбрасывается после успешного вызова seteuid()
31BPRM_ADD_
 TAGS		После выполнения execve добавить к контексту процесса (субъекта) теги контекста BPRM_ADD_TAGS безопасности исполняемого файла (объекта)
* дополнительные пояснения по указанным тегам даны в описании ниже.

ВНИМАНИЕ!  Для упрощения использования тегов допускается замена их названий на числовые значения. Числовые значения тегов указаны в столбце ID.

например команда: 
sudo runcon t=CHCTX,OMIT,SETXATTER_OMITMAC rsync -avzAX /home /tmp/home_bak

будет равносильна команде: 
sudo runcon t=3,25,24 rsync -avzAX /home /tmp/home_bak

Тег INTERPRETER

Если установлена политика ness-policy-interpreter, на интерпретаторы устанавливается тег INTERPRETER, и тогда только субъект с тегом INTERPRETER может вызывать интерпретаторы интерактивно. В то же время всем субъектам разрешается запускать скрипты, в которых эти интерпретаторы вызываются через shebang (строки вида #!/bin/bash, #!/usr/bin/python, и т.п. в начале файла).

Для запрета исполнения произвольных скриптов требуется применять режимы ЗПС или киоска (киосков).

Примеры использования INTERPRETER:

1) Администратор (или разработчик) может поставить себе в доступные теги INTERPRETER:

sudo nessctx-user -c t+INTERPRETER <adminname>

либо отметив тег INTERPRETER себе в графической утилите muser.

Тогда при входе в систему появится диалог выбора контекста.

Если администратор отметит INTERPRETER, этот тег будет добавлен, и администратор сможет запускать интерактивно команды в терминале.

Если не отметит, такая возможность для его сессии будет заблокирована.

2) Администратор (или разработчик) может поставить себе в минимальные теги INTERPRETER:

sudo nessctx-user -c t+INTERPRETER <adminname>

либо отметив тег себе минимально в контексте INTERPRETER в графической утилите muser.

Тогда для него тег будет проставлен всегда, диалог появляться не будет (при условии, что нет других параметров для выбора), интерактивный терминал будет доступен такому пользователю всегда.

3) Пользователю следует не выдавать такой тег вообще. Тогда ему будет заблокирован интерактивный терминал.

Тег OMIT

Процессы могут видеть друг друга (с нижеследующими ограничениями). Процесс, наблюдающий за другими, считается процессом субъектом. Процесс, за которым наблюдают, считается процессом объектом.

Правила

Процесс A как субъект видит процесс B как объект, только если мандатный уровень доступа B <= мандатный уровень доступа A (условие МРД).

Процесс A как субъект видит процесс B как объект, только если мандатные категории доступа B содержатся (включаются) в мандатные категории доступа A (все мандатные категории доступа B есть у A) (условие МРД).

Процесс A как субъект видит процесс B как объект только если теги B содержатся (включаются) в тегах A (все теги B есть у A).

Процесс субъект с тегом OMIT видит все процессы объекты.

Посмотреть видеоуроки:

 

 

Навигация

Поиск

Облако тегов

  1. afick
  2. ansible
  3. apache
  4. apt
  5. aptitude
  6. AstraLinux
  7. awx
  8. AWX-Стрелец
  9. Bacula
  10. ClickHouse
  11. cron
  12. crontab
  13. django
  14. dpkg
  15. FAQ
  16. gostsum
  17. Guardant ID
  18. http
  19. https
  20. ISO
  21. JaCarta
  22. Kaspersky Endpoint Security
  23. libvirt
  24. logrotate
  25. Luckybackup
  26. muser
  27. MyOffice
  28. ndds
  29. nginx
  30. paxrat
  31. playbook
  32. root
  33. rsync
  34. ssh
  35. sudo
  36. synaptic
  37. tar
  38. ufix
  39. ViPNet
  40. Zoom
  41. Аctive Directory
  42. автоматизация заданий
  43. администрирование
  44. АПМДЗ
  45. аудит
  46. аутентификация
  47. видеоуроки
  48. виртуальная машина
  49. ВМ
  50. Глоссарий
  51. домен
  52. ЗПС
  53. контекст безопасности
  54. контроль целостности
  55. контрольная сумма
  56. КриптоПро CSP
  57. Кузнечик
  58. кумулятивное обновление
  59. маркировка
  60. менеджер пакетов
  61. МойОфис
  62. МРД
  63. назначение
  64. НДВ
  65. обновления
  66. ОС ОН
  67. РД НДВ
  68. регулярное обновление
  69. резервное копирование
  70. репозиторий
  71. сайт
  72. сертификат
  73. сертификат совместимости
  74. СЗИ
  75. состав
  76. Стороннее ПО
  77. Стрелец
  78. суперпользователь
  79. теги
  80. телеграмм
  81. техподдержка
  82. установка
  83. электронная подпись
  84. ЭП
  85. эталонный список

Недавно созданные

strelets.net
telegram: @os_strelets