Задался вот тут вопросом, а если из коробки мандатный доступ?

selinux?

Я думал, ты норм пацан, с энтерпрайзом дружишь, а ты про селинукс в редхате (включенный по умолчанию) не слышал.

силунукс поддерживает дискретный, а вот мандатный....

лолшто

Security-Enhanced Linux (SELinux) is an implementation of a mandatory access control mechanism in the Linux kernel

вот у тебя пользователь петя, и есть директории для который совершенно секретно, как ты сделаешь это совершенно секретно, и запретишь пете работать с файлами? но внутри этой директории есть другая, на которую просто секретно, и петя туда доступ имеет? вот в ивнде для этого надо ставить СЗИ, а в линуксе?

Ты бухой что ли?

Вот смотри, у тебя петя имеет 2 группы доступа, секретно и совершенно секретно, есть директория /opt/*/**/данные, нужно чтобы при входе в систему из под группы доступа совершенно секретно, он имел доступ к этим данным и мог их редактировать, но скопировать их в другу директорию или на носитель нет, то есть вся работа в этой директории, остаётся только в этой директории, и не где больше. При этом, при входе в систему, с доступом просто секретно, он не должен иметь туда доступ. А так же это должен быть 1 пользователь, который выбирает тип доступа при входе в систему.

Какая-то слишком хитрая иерархия. Может лучше у первой дирректории сделать доступ «секретно», а внутри нее уже дирректории «секретно» и «совершенно секретно». А доступ разрулить раскидав пользователей по группам: «секретно» и «совершенно секретно»

вот то, что я описал, называют в ФСТЭК и ФСБ мандатным доступом

А если стандартными средствами linux возможность создать мандатный доступ к файлам, директориям?

да, гугли SELinux, в слаке это работает.

силунукс поддерживает дискретный, а вот мандатный....

блжад! «Дискретный» это обычные unix-like права. А силинукс — манда-тный. Вику что-ли почитай, там всё написано, даже по-русски.

Не работал плотно с селинуксом и аппармором, но на сколько помню синтаксис конфигов аппармора, такое сделать можно, т.к. там имеются запретительные правила, которые можно выставить на родительский каталог.

почитай описание мандатного доступа от ФСБ

нагугли доку от ред-хат, там всё расписано. Мне её пересказывать, да? Или сам осилишь?

в том то и дело, что написанное там, может не соответствовать нашему законодательству по мандатному доступу.

почитай описание мандатного доступа от ФСБ

это которое в МСВС? ВНЕЗАПНО: это редхат и есть с силинухом.

в том то и дело, что написанное там, может не соответствовать нашему законодательству по мандатному доступу.

не сцы. МСВС имеет все необходимые сертификаты, и структуры там те, что доктор П прописал. Вот с AppArmor у тебя _могут_ быть проблемы, хотя я и не пробовал.

осиль уже selinux и не неси чушь

При чём здесь мандатный доступ?

потому что ФСТЭК написало чушь в поправки 2014 года, я выше написал пример того, что сейчас является мандатным доступом, и как должен выглядеть, где это в selinux?

выше посмотри пример мандатного доступа, и покажи мне где это в selinux.

Сам не пробовал, но правилами selinux'а это реализуемо. Алсо, есть strict политика, которая запрещает всё, что явно не разрешено.

Читай доки и делай. Ну или можешь создать ещё 15 тем, о том, какой у нас плохой ФСТЭК.

я её смотрел, там 2 отдельных пользователя, 2 режима для 1 пользователя, я там не увидел.

что сейчас является мандатным доступом

А число pi в каком-то штате США равно четырем.

Может чем поможет: https://tails.boum.org/blueprint/Mandatory_Access_Control/

вот у тебя пользователь петя, и есть директории для который совершенно секретно

я пойду и куплю астралинукс. спешл эдишн с сертификатами фстэк и манда-кхм-тами :)

там, пишут, мандатный доступ даже для капса. документы с грифом не распечатаешь. Но сам я пока не пробовал.

напиши в рассылку про selinux, спроси как реализовать.

mgrepl/dwalsh скажут есть это или нет. если есть, то подскажут как сделать.

я её смотрел, там 2 отдельных пользователя, 2 режима для 1 пользователя, я там не увидел.

ты плохо смотрел. Там tl;dr, и этот вариант тоже присутствует. Где-то на сайте редхата доступно онлайн.

2.4.2. Мандатный принцип контроля доступа.
Для реализации этого принципа должны сопоставляться классификационные метки каждого субъекта и каждого объекта, отражающие их место в соответствующей иерархии. Посредством этих меток субъектам и объектам должны назначаться классификационные уровни (уровни уязвимости, категории секретности и т.п.), являющиеся комбинациями иерархических и неиерархических категорий. Данные метки должны служить основой мандатного принципа разграничения доступа.
КСЗ при вводе новых данных в систему должен запрашивать и получать от санкционированного пользователя классификационные метки этих данных. При санкционированном занесении в список пользователей нового субъекта должно осуществляться сопоставление ему классификационных меток. Внешние классификационные метки (субъектов, объектов) должны точно соответствовать внутренним меткам (внутри КСЗ).
КСЗ должен реализовывать мандатный принцип контроля доступа применительно ко всем объектам при явном и скрытом доступе со стороны любого из субъектов:
- субъект может читать объект, только если иерархическая классификация в классификационном уровне субъекта не меньше, чем иерархическая классификация в классификационном уровне объекта, и неиерархические категории в классификационном уровне субъекта включают в себя все иерархические категории в классификационном уровне объекта;
- субъект осуществляет запись в объект, только если классификационный уровень субъекта в иерархической классификации не больше, чем классификационный уровень объекта в иерархической классификации, и все иерархические категории в классификационном уровне субъекта включаются в неиерархические категории в классификационном уровне объекта.
Реализация мандатных ПРД должна предусматривать возможности сопровождения: изменения классификационных уровней субъектов и объектов специально выделенными субъектами.
В СВТ должен быть реализован диспетчер доступа, т.е. средство, осуществляющее перехват всех обращений субъектов к объектам, а также разграничение доступа в соответствии с заданным принципом разграничения доступа. При этом решение о санкционированности запроса на доступ должно приниматься только при одновременном разрешении его и дискреционными, и мандатными ПРД. Таким образом, должен контролироваться не только единичный акт доступа, но и потоки информации.

Руководящий документ. Решение председателя Гостехкомиссии России от 30 марта 1992 г.

вот оно.

https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html...

Посмотри на simplified mandatory access control kernel. Может поможет.