Смоленск 1.5 Запуск вложенной сессии с меньшей мандатной меткой.

azm9s

New member
Сообщения
200
#1
Доброго дня.
имею некоторую часть ресурсов которая работает только в 0 сессии.
но и некоторая часть ресурсов нужна под уровнем выше 0.
и это все одновременно и на одной машине.

подскажите алгоритм действий, чтобы либо в 0 сессии запустить приложение с уровнем 2, или в сессии с уровнем 2 запустить приложение под 0 уровнем.
 

oko

New member
Сообщения
550
#2
to azm9s
Под "ресурсом" что понимается? Если файлы, доступные пользователю, то только через флаги игнорирования мандатных меток. Если самостоятельные сервисы (демоны), то они вроде как сами по себе работают (тот же Apache) и доступны на тех мандатных уровнях (для подключения к ним), которые прописаны в их конфиге и заложены логикой разработчиков дистрибутива...
 

azm9s

New member
Сообщения
200
#3
nginx и циско серверы. они(веб морда, то бишь веб страницы в мазиле) работают только в 0 сессии.
psi клиент работает тоже только в 0 сессии.
 

oko

New member
Сообщения
550
#4
to azm9s
Не понял...
Т.е. с вашей юзеровской машины получается подключиться к удаленным nginx и cisco, а также jabber сервисам только в 0 сессии? Дык, оно верно, вроде как. Эти сервисы не модифицированы же на поддержку приема/передачи мандатных меток...
Если эти сервисы на локальной машине и вы обращаетесь к локальным сетевым сокетам, то модуль экстрасенсорики подсказывает, что ситуация аналогичная: сервисы не поддерживают работу в режиме !=0 и, соответственно, пользовательский мандатный контекст ими не распознается...
 

azm9s

New member
Сообщения
200
#5
так точно))
это я и так знаю, что эти сервисы работают только в 0 сессии.

поэтому и спрашиваю, как работать с такими сервисами, если запущена сессия в не нулевом уровне.
ставить рядом вторую машину для этого не вариант)))
и так в столе 6 ПЭВМ уже стоит с принудительной вентиляцией :(

просто надо одновременно работать с данными в не нулевой и в нулевой сессии....

в чате телеги о чем то таком говорили, но тогда разговор больше был, а сейчас очень очень очень понадобилось :(
сейчас рабочее место напомает такую конструкцию, как на картинке :)
1599609400131710936.jpg
 

oko

New member
Сообщения
550
#6
to azm9s
imho, такой подход в корне противоречит идее мандатной политики. И, если информация в !=0 сессии не просто конфиденциальная, а "с буковкой", то противоречит еще много чему...
Конечно, есть варианты - Страж-NT под Win тому яркий пример. Но реализовать такую систему на базе Astra Linux и доказать, что она соответствует текущей нормативной базе... Лично я бы взялся только после серьезного и глубокого анализа...
 

azm9s

New member
Сообщения
200
#7
сервисы работают только на отображение.
но информация важная, если бы можно было как то сделать чтобы работало под метками выше 0 - давно бы сделал)))
важная в том плане что нужная прям сейчас и вот тут))) а не в плане секретности.

в идеале, работать в сессии не равной нулю, а запустить firefox отдельно с 0 меткой.
 

oko

New member
Сообщения
550
#8
to azm9s
Понимаю, что структуру явно не вы планировали и не вам переделывать, но...
Оставьте 1 машину с возможностью работы только в 0 сессии. А остальные с нужными сессиями !=0. Мониторы и kvm-переключатель можно добавить по вкусу...
Сервисы, что должны работать в !=0, не сетевые?
 

azm9s

New member
Сообщения
200
#9
некуда больше ставить ПЭВМ.
это только одна.
в !=0 по сути только почта и firefox - один сайт только.
а в =0 куча большая куча веб сервисов и пси.
 

azm9s

New member
Сообщения
200
#10
а есть возможность заставить nginx игнорировать метки?
 

oko

New member
Сообщения
550
#11
to azm9s
По-идее, все потоки трафика, исходящие из пользовательского контекста в сессии !=0, должны средствами СЗИ и ядра (в его сетевом стеке) автоматом получать соответствующую метку !=0. А на приемной стороне, если пользовательская сессия имеет другую метку, - игнорироваться (блокироваться)...
Но тогда невозможно было бы собрать сервер, на котором сетевые сервисы работают на разных уровнях конфиденциальности (иногда, одновременно). Следовательно, в ALSE каждый отдельный софт (серверный сервис или пользовательский клиент) сам инжектирует (и позже анализирует) метку в сетевой трафик в зависимости от уровня своей работы (например, сессии пользователя)...
Было описание флагов и механизмов, позволяющих игнорировать метку ресурса, с которым следует работать определенному сервису. Очевидно, с трафиком возможна аналогичная ситуация. Надо долбить техподдержку на предмет таких механизмов...
Но, повторюсь, вне "тестовой среды" при "боевой эксплуатации" такая схема входит в разрез с действующими требованиями ИБ РФ (особенно в ГТ). Так что, возможно, стоит просто переделать схему рабочего места, чтобы потом не попасть, ага...
 

oko

New member
Сообщения
550
#13
to azm9s
В частности. Но у меня подозрение, что по вашей проблеме все-таки придется не ман читать, а к разработчикам обращаться...