Добрый день, коллеги.
Использую версию ОС Astra Linux 1.6 SE с последним патчем...
1. Создаю непривилегированного пользователя "test" с диапазоном уровней 0:3 (категории и целостность можно не использовать)
2. Добавляю данному пользователю PARSEC-привилегию PARSEC_CAP_UPDATE_ATIME
3. В директории /var/run создаю директорию test, назначаю ей уровень 3 и флаг ccnr, делаю владельцем этой директории пользователя "test"
4. В директории /var/run/test создаю файл test.tmp (можно пустой) с уровнем 0, делаю владельца этим файлов пользователя "test"
5. Захожу под пользователем "test" в систему (можно в консольном режиме) под уровнем 0.
6. Вызываю команду touch /var/run/test/test,tmp - отрабатывает успешно
7. Выхожу из системы пользователем "test" и захожу заново, но уже под уровнем 3.
8. Вызываю команду touch /var/run/test/test,tmp - ошибка 'отказано в доступе'
Более того, такая же ошибка остается, даже если я даю пользователю "test" вообще все Linux и Parsec привилегии. Ситуацию спасает только установка на файл флага ehole (поскольку файл с уровнем 0 - это возможно), но в этом случае команда touch работает, даже если у пользователя нет ни одной привилегии вообще.
Что я делаю не так???
Заранее благодарен за совет
Использую версию ОС Astra Linux 1.6 SE с последним патчем...
1. Создаю непривилегированного пользователя "test" с диапазоном уровней 0:3 (категории и целостность можно не использовать)
2. Добавляю данному пользователю PARSEC-привилегию PARSEC_CAP_UPDATE_ATIME
3. В директории /var/run создаю директорию test, назначаю ей уровень 3 и флаг ccnr, делаю владельцем этой директории пользователя "test"
4. В директории /var/run/test создаю файл test.tmp (можно пустой) с уровнем 0, делаю владельца этим файлов пользователя "test"
5. Захожу под пользователем "test" в систему (можно в консольном режиме) под уровнем 0.
6. Вызываю команду touch /var/run/test/test,tmp - отрабатывает успешно
7. Выхожу из системы пользователем "test" и захожу заново, но уже под уровнем 3.
8. Вызываю команду touch /var/run/test/test,tmp - ошибка 'отказано в доступе'
Более того, такая же ошибка остается, даже если я даю пользователю "test" вообще все Linux и Parsec привилегии. Ситуацию спасает только установка на файл флага ehole (поскольку файл с уровнем 0 - это возможно), но в этом случае команда touch работает, даже если у пользователя нет ни одной привилегии вообще.
Что я делаю не так???
Заранее благодарен за совет