#1 2022.05.27 09:22:58
0
Они позволяют уточнять или изменять правила мандатного доступа для отдельных контейнеров, субъектов или сущностей.
В ОС используются следующие мандатные атрибуты управления доступом:
ccnr — может присваиваться только контейнерам. Определяет, что контейнер может содержать сущности с различными классификационными метками, но не большими, чем его собственная классификационная метка. Чтение содержимого такого контейнера разрешается субъекту вне зависимости от значения его классификационной метки, при этом субъекту доступна информация только про находящиеся в этом контейнере сущности с классификационной меткой не большей, чем его собственная классификационная метка, либо про сущности-контейнеры, также имеющие мандатный атрибут управления доступом ccnr;
ehole — может присваиваться сущностям (файлам), не являющимся контейнерами и имеющим минимальную классификационную метку. Приводит к игнорированию мандатных правил управления доступом к ним. Атрибут предназначен для сущностей, из которых субъект не может прочитать данные, записанные в них субъектами с более высокой классификационной меткой, чем его собственная классификационная метка (например, /dev/null);
whole — присваивается сущностям (файлам), не являющимся контейнерами, c максимальной классификационной меткой. Разрешает запись в них субъектам, имеющим более низкую классификационную метку (тогда как в обычном случае записывать «снизу вверх» запрещено);
привилегии — присваиваются субъектам. Предоставляют права выполнения определенных административных действий. Полный перечень привилегий и предоставляемых ими прав приведен в документе РУСБ.10015-01 97 01-1.
В ОС используются следующие мандатные атрибуты управления доступом:
ccnr — может присваиваться только контейнерам. Определяет, что контейнер может содержать сущности с различными классификационными метками, но не большими, чем его собственная классификационная метка. Чтение содержимого такого контейнера разрешается субъекту вне зависимости от значения его классификационной метки, при этом субъекту доступна информация только про находящиеся в этом контейнере сущности с классификационной меткой не большей, чем его собственная классификационная метка, либо про сущности-контейнеры, также имеющие мандатный атрибут управления доступом ccnr;
ehole — может присваиваться сущностям (файлам), не являющимся контейнерами и имеющим минимальную классификационную метку. Приводит к игнорированию мандатных правил управления доступом к ним. Атрибут предназначен для сущностей, из которых субъект не может прочитать данные, записанные в них субъектами с более высокой классификационной меткой, чем его собственная классификационная метка (например, /dev/null);
whole — присваивается сущностям (файлам), не являющимся контейнерами, c максимальной классификационной меткой. Разрешает запись в них субъектам, имеющим более низкую классификационную метку (тогда как в обычном случае записывать «снизу вверх» запрещено);
привилегии — присваиваются субъектам. Предоставляют права выполнения определенных административных действий. Полный перечень привилегий и предоставляемых ими прав приведен в документе РУСБ.10015-01 97 01-1.
Мандатный атрибут управления доступом ccnri более не используется в ОС (начиная с 1.7) для управления доступом, при этом штатное функционирование ОС соответствует функционированию с установленным мандатным атрибутом ccnri. Возможность установки и получения данного мандатного атрибута сохранена в ОС для обеспечения совместимости с системами и ПО, которые его использует. Мандатный атрибут управления доступом ccnra в ОС (начиная с 1.7) приравнивается к ccnr и также сохранен только для обеспечения совместимости и не рекомендован к использованию.Отредактировано: Panda 2022.05.27 09:23:21