Использование средств ядра ОС

1. parsec-kiosk
Не протоколирует запрещённые действия средствами ядра ОС и всегда применяет ограничения.

2. parsec-kiosk2
Имеет независимые глобальные переключатели для применения ограничений к пользователям и для протоколирования запрещённых действий ядром ОС (режим протоколирования также применяется для создания новых профилей).


Маскирование прав
1. parsec-kiosk
Есть.

2. parsec-kiosk2
Нет.

Отключение контроля доступа

1. parsec-kiosk
Отключение контроля доступа с сохранением данного состояния после перезагрузки ОС:

echo 0000 > /etc/parsec/kiosk_mask

reboot

2. parsec-kiosk2
1) Отключение контроля доступа с сохранением данного состояния до перезагрузки ОС:

echo 0 | sudo tee /sys/module/parsec/parameters/uc_enforce

2) Отключение контроля доступа с сохранением данного состояния после перезагрузки ОС:

echo 0 | sudo tee /etc/parsec/kiosk2_enforce

Отключение режима протоколирования

1. parsec-kiosk
Нет.

2. parsec-kiosk2
1) Отключение протоколирования с сохранением данного состояния до перезагрузки ОС:

echo 0 | sudo tee /sys/module/parsec/parameters/uc_complain

2) Отключение протоколирования с сохранением данного состояния после перезагрузки ОС:

echo 0 | sudo tee /etc/parsec/kiosk2_complain

Отсутствие профиля пользователя user1

1. parsec-kiosk
Пользователю user1 запрещены любые действия.

Ограничения режима киоска затрагивают всех пользователей системы, то есть отсутствие профиля эквивалентно пустому профилю.

2. parsec-kiosk2
Пользователю user1 разрешены любые действия.

Киоск-2 ограничивает только тех пользователей, для которых создан профиль в /etc/parsec/kiosk2.


Протоколирование процессов через консоль

1. parsec-kiosk
Через otrace

2. parsec-kiosk2
Через dmesg


Регулирование доступа к файлам, не существующим на момент применения профиля

1. parsec-kiosk
Файл должен существовать заранее.

2. parsec-kiosk2
Допускается регулирование доступа к файлам, не существующим на момент применения профиля.

Синтаксис профилей

1. parsec-kiosk

"/file/name" rwx

/file/name rwx

"/file/name" r-x

/file/name -w-

other-profile-name

Метасимволы недоступны, в профилях всегда указывается конкретный файл.

Синтаксис режима киоска отличается тем что:
- в имени файла спецсимволы не интерпретируются;
- любое из прав на чтение (r) или исполнение (x) преобразуется в право на чтение (r), а право на запись (w) преобразуется в права на запись (w) и создание (c);
- правила одинаково применяются для доступа и владельцев, и невладельцев;
- строка обязательно должна начинаться с символа / или должна быть окружена кавычками " ;
- если файл представляет символьную ссылку, то режим Киоск-2 обрабатывает целевой файл ссылки;
- имя профиля должно начинаться только с латинской буквы, а также в нем должен отсутствовать символ слэш "/".

2. parsec-kiosk2
Синтаксис профилей Киоск-2 отличается от синтаксиса профилей киоска. При этом, parsec-kiosk2 распознает синтаксис профилей parsec-kiosk. Профиль, содержащий строки, написанные обоими синтаксисами будет корректно работать в режиме Киоск-2.



+file rwc uo: file-name
+file rwc u: file-name
+file r o: file-name
+link rwc uo: file-name
@include other-profile-name

В синтаксисе режима Киоск-2 можно использовать кириллицу.

В синтаксисе профилей Киоск-2 доступны метасимволы. Таблица метасимволов приведена в руководстве по комплексу средств защиты информации, часть 1, (16.3.2.1. Синтаксис профилей режима Киоск-2).

ВНИМАНИЕ!

Метасимволы в имени файла (ссылки) не интерпретируются.