Режим киоска в Astra Linux (Астра Линукс)

#13 2022.06.23 12:38:12

0

Использование средств ядра ОС

1. parsec-kiosk
Не протоколирует запрещённые действия средствами ядра ОС и всегда применяет ограничения.

2. parsec-kiosk2
Имеет независимые глобальные переключатели для применения ограничений к пользователям и для протоколирования запрещённых действий ядром ОС (режим протоколирования также применяется для создания новых профилей).


Маскирование прав
1. parsec-kiosk
Есть.

2. parsec-kiosk2
Нет.
Отредактировано: Raijin 2022.06.23 12:38:58
#14 2022.06.23 12:40:15

0

Отключение контроля доступа

1. parsec-kiosk
Отключение контроля доступа с сохранением данного состояния после перезагрузки ОС:

echo 0000 > /etc/parsec/kiosk_mask

reboot


2. parsec-kiosk2
1) Отключение контроля доступа с сохранением данного состояния до перезагрузки ОС:

echo 0 | sudo tee /sys/module/parsec/parameters/uc_enforce

2) Отключение контроля доступа с сохранением данного состояния после перезагрузки ОС:

echo 0 | sudo tee /etc/parsec/kiosk2_enforce
#15 2022.06.23 12:41:04

0

Отключение режима протоколирования

1. parsec-kiosk
Нет.

2. parsec-kiosk2
1) Отключение протоколирования с сохранением данного состояния до перезагрузки ОС:

echo 0 | sudo tee /sys/module/parsec/parameters/uc_complain

2) Отключение протоколирования с сохранением данного состояния после перезагрузки ОС:

echo 0 | sudo tee /etc/parsec/kiosk2_complain
#16 2022.06.23 12:43:26

0

Отсутствие профиля пользователя user1

1. parsec-kiosk
Пользователю user1 запрещены любые действия.

Ограничения режима киоска затрагивают всех пользователей системы, то есть отсутствие профиля эквивалентно пустому профилю.

2. parsec-kiosk2
Пользователю user1 разрешены любые действия.

Киоск-2 ограничивает только тех пользователей, для которых создан профиль в /etc/parsec/kiosk2.


Протоколирование процессов через консоль

1. parsec-kiosk
Через otrace

2. parsec-kiosk2
Через dmesg


Регулирование доступа к файлам, не существующим на момент применения профиля

1. parsec-kiosk
Файл должен существовать заранее.

2. parsec-kiosk2
Допускается регулирование доступа к файлам, не существующим на момент применения профиля.
Отредактировано: Raijin 2022.06.23 12:43:34
#17 2022.06.23 12:49:33

0

Синтаксис профилей

1. parsec-kiosk

"/file/name" rwx

/file/name rwx

"/file/name" r-x

/file/name -w-

other-profile-name


Метасимволы недоступны, в профилях всегда указывается конкретный файл.

Синтаксис режима киоска отличается тем что:
- в имени файла спецсимволы не интерпретируются;
- любое из прав на чтение (r) или исполнение (x) преобразуется в право на чтение (r), а право на запись (w) преобразуется в права на запись (w) и создание (c);
- правила одинаково применяются для доступа и владельцев, и невладельцев;
- строка обязательно должна начинаться с символа / или должна быть окружена кавычками " ;
- если файл представляет символьную ссылку, то режим Киоск-2 обрабатывает целевой файл ссылки;
- имя профиля должно начинаться только с латинской буквы, а также в нем должен отсутствовать символ слэш "/".

2. parsec-kiosk2
Синтаксис профилей Киоск-2 отличается от синтаксиса профилей киоска. При этом, parsec-kiosk2 распознает синтаксис профилей parsec-kiosk. Профиль, содержащий строки, написанные обоими синтаксисами будет корректно работать в режиме Киоск-2.

 parsec-kiosk2 писал(а) 

После редактирования такого профиля в fly-admin-kiosk, строки написанные по синтаксису parsec-kiosk заменятся строками с синтаксисом parsec-kiosk2.


+file rwc uo: file-name
+file rwc u: file-name
+file r o: file-name
+link rwc uo: file-name
@include other-profile-name


В синтаксисе режима Киоск-2 можно использовать кириллицу.

В синтаксисе профилей Киоск-2 доступны метасимволы. Таблица метасимволов приведена в руководстве по комплексу средств защиты информации, часть 1, (16.3.2.1. Синтаксис профилей режима Киоск-2).

ВНИМАНИЕ!

Метасимволы в имени файла (ссылки) не интерпретируются.
7750
Серверов всего
5721
Серверов онлайн
138903
Игроков онлайн
Добавить сервер