Смоленск 1.6 Не удаётся изменить мандатную метку.

Nukopol

New member
Сообщения
4
#1
Пытаюсь разобраться как менять мандатные метки файлам.
Гоняю на почти дефолтном пользователе "user" и дефолтных категориях и уровнях конфиденциальности мандатных меток.
В "Управление политикой безопасности" на нужном пользователе во вкладке "Привилегии" добавил parsec_cap_chmac. Применил изменения.
Там же во вкладке "МРД" указал минимальный уровень конфиденциальности 0 и максимальный 3. Опять применил.
Перелогинился под этим же пользователем, но под 3 уровнем конфиденциальности. Создал текстовый файл.
Автоматически при создании файлу выдался уровень 3.
ПКМ на файле -> Свойства -> Мандатные метки.
Пытаюсь понизить уровень конфиденциальности. При попытке применить изменения выдаётся ошибка "Не удалось изменить мандатную метку".

Подскажите, что я пропустил.
 

Montfer

New member
Сообщения
514
#3
В том и задумка МРД, что файл более высокого уровня нельзя перевести на более низкий.
 

Nukopol

New member
Сообщения
4
#7
Установить соответствующие привилегии пользователю (при назначение прав) или процессу (execaps)
Смотрим "Руководство по КСЗ. Часть1 "
Спасибо, действительно про этот флаг проглядел.
Можете подсказать еще, похоже недопонимание у меня более общее.
Всё так же пользуюсь дефолтным набором категорий. Есть две папки, обе с флагом ccnr. В у первой категория 1 и создан там файл. У второй папки категория 3, т.е. более высокая.
Но при этом система не даёт скопировать данный файл из папки 1 в папку 2.
Хотя можно создать файл и понизить ему категорию.
 

FrostSrg

New member
Сообщения
8
#8
Категории - это нечто другое.
Это механизм, позволяющий при одном и том же уровне конфиденциальности разграничить доступ к информации (разного рода).
Для их игнорирования другой флаг существует - ccnri
 

Nukopol

New member
Сообщения
4
#9
Категории - это нечто другое.
Это механизм, позволяющий при одном и том же уровне конфиденциальности разграничить доступ к информации (разного рода).
Для их игнорирования другой флаг существует - ccnri
Ой, прошу прощения. Имел ввиду уровни конфиденциальности.
Не понимаю почему невозможно скопировать файл с уровнем 1 из папки с уровнем 1 в в папку с уровнем 3. При выставленных флагах ccnr .
 

FrostSrg

New member
Сообщения
8
#10
Проверил - все норм.
Создал каталог /testdir с флагом ccnr и уровнем 3
В нем подкаталоги L0, L1, L2, L3 с флагом ccnr и уровнями 0, 1, 2 и 3 соответственно.
Выставил дискреционные права доступа.
Заходя под уровнями создал в подкаталогах L0, L1, L2, L3 файлы.
Под уровнем 3 скопировал файлы из L0, L1, L2 в каталог L3.
Скопировалось без проблем, файлы получили 3 уровень.
 

Nukopol

New member
Сообщения
4
#11
Проверил - все норм.
Создал каталог /testdir с флагом ccnr и уровнем 3
В нем подкаталоги L0, L1, L2, L3 с флагом ccnr и уровнями 0, 1, 2 и 3 соответственно.
Выставил дискреционные права доступа.
Заходя под уровнями создал в подкаталогах L0, L1, L2, L3 файлы.
Под уровнем 3 скопировал файлы из L0, L1, L2 в каталог L3.
Скопировалось без проблем, файлы получили 3 уровень.
То есть в рамках одной папки не могут существовать файлы с разными уровнями?
 

FrostSrg

New member
Сообщения
8
#12
Могут. Если в ручную изменить уровень (к примеру, с использованием команды pdpl-file).
Но пользователь (процесс) должен иметь для этого соответствующие привилегии.