LINUX.ORG.RU

Я думал, ты норм пацан, с энтерпрайзом дружишь, а ты про селинукс в редхате (включенный по умолчанию) не слышал.

anonymous
()
Ответ на: комментарий от wakuwaku

вот у тебя пользователь петя, и есть директории для который совершенно секретно, как ты сделаешь это совершенно секретно, и запретишь пете работать с файлами? но внутри этой директории есть другая, на которую просто секретно, и петя туда доступ имеет? вот в ивнде для этого надо ставить СЗИ, а в линуксе?

erzent ☆☆
() автор топика
Ответ на: комментарий от wakuwaku

Вот смотри, у тебя петя имеет 2 группы доступа, секретно и совершенно секретно, есть директория /opt/*/**/данные, нужно чтобы при входе в систему из под группы доступа совершенно секретно, он имел доступ к этим данным и мог их редактировать, но скопировать их в другу директорию или на носитель нет, то есть вся работа в этой директории, остаётся только в этой директории, и не где больше. При этом, при входе в систему, с доступом просто секретно, он не должен иметь туда доступ. А так же это должен быть 1 пользователь, который выбирает тип доступа при входе в систему.

erzent ☆☆
() автор топика
Ответ на: комментарий от erzent

Какая-то слишком хитрая иерархия. Может лучше у первой дирректории сделать доступ «секретно», а внутри нее уже дирректории «секретно» и «совершенно секретно». А доступ разрулить раскидав пользователей по группам: «секретно» и «совершенно секретно»

four_str_sam
()
Ответ на: комментарий от four_str_sam

вот то, что я описал, называют в ФСТЭК и ФСБ мандатным доступом

erzent ☆☆
() автор топика

А если стандартными средствами linux возможность создать мандатный доступ к файлам, директориям?

да, гугли SELinux, в слаке это работает.

emulek
()
Ответ на: комментарий от erzent

силунукс поддерживает дискретный, а вот мандатный....

блжад! «Дискретный» это обычные unix-like права. А силинукс — манда-тный. Вику что-ли почитай, там всё написано, даже по-русски.

emulek
()
Ответ на: комментарий от erzent

Не работал плотно с селинуксом и аппармором, но на сколько помню синтаксис конфигов аппармора, такое сделать можно, т.к. там имеются запретительные правила, которые можно выставить на родительский каталог.

anonymous
()
Ответ на: комментарий от emulek

в том то и дело, что написанное там, может не соответствовать нашему законодательству по мандатному доступу.

erzent ☆☆
() автор топика
Ответ на: комментарий от erzent

почитай описание мандатного доступа от ФСБ

это которое в МСВС? ВНЕЗАПНО: это редхат и есть с силинухом.

emulek
()
Ответ на: комментарий от erzent

в том то и дело, что написанное там, может не соответствовать нашему законодательству по мандатному доступу.

не сцы. МСВС имеет все необходимые сертификаты, и структуры там те, что доктор П прописал. Вот с AppArmor у тебя _могут_ быть проблемы, хотя я и не пробовал.

emulek
()
Ответ на: комментарий от Black_Shadow

потому что ФСТЭК написало чушь в поправки 2014 года, я выше написал пример того, что сейчас является мандатным доступом, и как должен выглядеть, где это в selinux?

erzent ☆☆
() автор топика
Ответ на: комментарий от erzent

Сам не пробовал, но правилами selinux'а это реализуемо. Алсо, есть strict политика, которая запрещает всё, что явно не разрешено.

Читай доки и делай. Ну или можешь создать ещё 15 тем, о том, какой у нас плохой ФСТЭК.

Ivan_qrt ★★★★★
()
Ответ на: комментарий от erzent

что сейчас является мандатным доступом

А число pi в каком-то штате США равно четырем.

anonymous
()
Ответ на: комментарий от erzent

вот у тебя пользователь петя, и есть директории для который совершенно секретно

я пойду и куплю астралинукс. спешл эдишн с сертификатами фстэк и манда-кхм-тами :)

там, пишут, мандатный доступ даже для капса. документы с грифом не распечатаешь. Но сам я пока не пробовал.

aol ★★★★★
()
Последнее исправление: aol (всего исправлений: 1)
Ответ на: комментарий от erzent

напиши в рассылку про selinux, спроси как реализовать.

mgrepl/dwalsh скажут есть это или нет. если есть, то подскажут как сделать.

powerguy ★★★
()
Ответ на: комментарий от erzent

я её смотрел, там 2 отдельных пользователя, 2 режима для 1 пользователя, я там не увидел.

ты плохо смотрел. Там tl;dr, и этот вариант тоже присутствует. Где-то на сайте редхата доступно онлайн.

emulek
()
Ответ на: комментарий от erzent
2.4.2. Мандатный принцип контроля доступа.
Для реализации этого принципа должны сопоставляться классификационные метки каждого субъекта и каждого объекта, отражающие их место в соответствующей иерархии. Посредством этих меток субъектам и объектам должны назначаться классификационные уровни (уровни уязвимости, категории секретности и т.п.), являющиеся комбинациями иерархических и неиерархических категорий. Данные метки должны служить основой мандатного принципа разграничения доступа.
КСЗ при вводе новых данных в систему должен запрашивать и получать от санкционированного пользователя классификационные метки этих данных. При санкционированном занесении в список пользователей нового субъекта должно осуществляться сопоставление ему классификационных меток. Внешние классификационные метки (субъектов, объектов) должны точно соответствовать внутренним меткам (внутри КСЗ).
КСЗ должен реализовывать мандатный принцип контроля доступа применительно ко всем объектам при явном и скрытом доступе со стороны любого из субъектов:
- субъект может читать объект, только если иерархическая классификация в классификационном уровне субъекта не меньше, чем иерархическая классификация в классификационном уровне объекта, и неиерархические категории в классификационном уровне субъекта включают в себя все иерархические категории в классификационном уровне объекта;
- субъект осуществляет запись в объект, только если классификационный уровень субъекта в иерархической классификации не больше, чем классификационный уровень объекта в иерархической классификации, и все иерархические категории в классификационном уровне субъекта включаются в неиерархические категории в классификационном уровне объекта.
Реализация мандатных ПРД должна предусматривать возможности сопровождения: изменения классификационных уровней субъектов и объектов специально выделенными субъектами.
В СВТ должен быть реализован диспетчер доступа, т.е. средство, осуществляющее перехват всех обращений субъектов к объектам, а также разграничение доступа в соответствии с заданным принципом разграничения доступа. При этом решение о санкционированности запроса на доступ должно приниматься только при одновременном разрешении его и дискреционными, и мандатными ПРД. Таким образом, должен контролироваться не только единичный акт доступа, но и потоки информации.

Руководящий документ. Решение председателя Гостехкомиссии России от 30 марта 1992 г.

stave ★★★★★
()
Последнее исправление: stave (всего исправлений: 1)

Посмотри на simplified mandatory access control kernel. Может поможет.

Dennis7
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.