мандатное управление доступом

Olej

New member
Сообщения
1 203
#1
Где можно почитать более-менее детально (технически) про мандатное управление доступом как оно реализуется (с точки зрения пользователя, использования - как это работает)? Ссылки?
Только не "бла-бла-бла", как это описывается в обзорных публикациях, но и без излишней детализации как это реализовано. Т.е. на уровне изложения "руководства пользователя", но не "руководство разработчика".
Спасибо. ;)
 

Olej

New member
Сообщения
1 203
#2
Astra Linux.Мандатное разграничение доступа
Вместо системы принудительного контроля доступа SELinux, в Astra Linux Special Edition используется запатентованная[1] мандатная сущностно-ролевая ДП-модель управления доступом и информационными потокам (МРОСЛ ДП-модель)[2], которая лишена недостатков модели Белла — Лападулы (деклассификация, нарушение логики доступа к данным при обработке потока информации в распределенной среде ) и содержит дополнительные способы разграничения доступа, например, два уровня целостности системы[3].
В отличие от классической модели мандатного управления доступом, в МРОСЛ ДП-модели дополнительно к мандатному управлению доступом реализован мандатный контроль целостности дистрибутива и файловой системы (препятствующий доступу к защищаемой информации скомпрометированными субъектами после перехвата управления и повышения привилегий (получения административных прав), предусмотрено ролевое управление доступом, наличие иерархии сущностей и применено противодействие запрещённым потокам по памяти и по времени[4].
Указанная математическая модель реализована в программном коде специалистами ОАО «НПО „РусБИТех“» и Академии ФСБ Росиии и верифицирована Институтом Системного программирования Российской Академии Наук. В результате дедуктивной верификации[5] модель была полностью формализована и верифицирована.[6]
В настоящее время используемая в Astra Linux Special Edition модель разграничения доступа является единственной практически реализованной моделью, не основанной на SELinux, в российских реализациях операционных систем на базе Linux.
Используется ли мандатное управление доступом в Astra CE? Или только в Astra SE?
Если 2-е, то администраторы-модераторы - перенесите тему, пожалуйста, в соответствующий раздел форума.

P.S. Но как бы там ни было, права и полномочия в Astra CE отличаются от Debian, на котором он базируется ... это хорошо видно, например, при запуске типовых скриптов из ISO гостевых расширений VirtualBox (VBoxLinuxAdditions.run).
 

Olej

New member
Сообщения
1 203
#5
Но остаётся ещё вопрос почему выполнение скриптов, с установленным флагом Х, в Astra CE происходит не так, как в базовом Debian ... да и вообще в любых основных дистрибутивах Linux;
P.S. Но как бы там ни было, права и полномочия в Astra CE отличаются от Debian, на котором он базируется ... это хорошо видно, например, при запуске типовых скриптов из ISO гостевых расширений VirtualBox (VBoxLinuxAdditions.run).
Сравниваем (как видно по знаку приглашения, это выполняется под root):
Код:
root@astra:/media/cdrom0# ./VBoxLinuxAdditions.run
bash: ./VBoxLinuxAdditions.run: Отказано в доступе
И то же самое так:
Код:
root@astra:/media/cdrom0# sh VBoxLinuxAdditions.run 
Verifying archive integrity... All good.
Uncompressing VirtualBox 6.0.8 Guest Additions for Linux........
VirtualBox Guest Additions installer
Copying additional installer modules ...
Installing additional modules ...
VirtualBox Guest Additions: Starting.
VirtualBox Guest Additions: Building the VirtualBox Guest Additions kernel
modules.  This may take a while.
VirtualBox Guest Additions: To build modules for other installed kernels, run
VirtualBox Guest Additions:   /sbin/rcvboxadd quicksetup <version>
VirtualBox Guest Additions: or
VirtualBox Guest Additions:   /sbin/rcvboxadd quicksetup all
VirtualBox Guest Additions: Building the modules for kernel 4.15.3-1-hardened.
update-initramfs: Generating /boot/initrd.img-4.15.3-1-hardened
VirtualBox Guest Additions: Running kernel modules will not be replaced until
the system is restarted
P.S. Как можете видеть, это, чтобы не быть голословным, скопировано с терминала, а не показано "по памяти".
 

Olej

New member
Сообщения
1 203
#7
Бит исполнения на файле стоит?
"Элементарно, Ватсон" :D - это было бы слишком просто:
Код:
root@astra:/media/cdrom0# ls -l
итого 71931
-r--r--r-- 1 root root      763 Янв 21 19:01 AUTORUN.INF
-r-xr-xr-x 1 root root     6384 Май 13 16:51 autorun.sh
dr-xr-xr-x 2 root root      792 Май 13 16:58 cert
dr-xr-xr-x 2 root root     1824 Май 13 16:58 NT3x
dr-xr-xr-x 2 root root     2652 Май 13 16:58 OS2
-r-xr-xr-x 1 root root     4821 Май 13 16:51 runasroot.sh
-r--r--r-- 1 root root      547 Май 13 16:58 TRANS.TBL
-r--r--r-- 1 root root  3729045 Май 13 16:50 VBoxDarwinAdditions.pkg
-r--r--r-- 1 root root     3949 Май 13 16:50 VBoxDarwinAdditionsUninstall.tool
-r-xr-xr-x 1 root root  9696690 Май 13 16:52 VBoxLinuxAdditions.run
-r--r--r-- 1 root root 20642816 Май 13 16:52 VBoxSolarisAdditions.pkg
-r-xr-xr-x 1 root root 26277000 Май 13 16:57 VBoxWindowsAdditions-amd64.exe
-r-xr-xr-x 1 root root   270104 Май 13 16:51 VBoxWindowsAdditions.exe
-r-xr-xr-x 1 root root 13015696 Май 13 16:54 VBoxWindowsAdditions-x86.exe
Это же стандартная поставка ISO гостевых расширений VirtualBox ... которой я пользуюсь в разных Linux лет 10-15 (разве что версия VirtualBox совершенно свежей линейки 6.0.8).