Смоленск 1.5 Запуск вложенной сессии с меньшей мандатной меткой.

azm9s

New member
Сообщения
277
#1
Доброго дня.
имею некоторую часть ресурсов которая работает только в 0 сессии.
но и некоторая часть ресурсов нужна под уровнем выше 0.
и это все одновременно и на одной машине.

подскажите алгоритм действий, чтобы либо в 0 сессии запустить приложение с уровнем 2, или в сессии с уровнем 2 запустить приложение под 0 уровнем.
 

oko

New member
Сообщения
1 257
#2
to azm9s
Под "ресурсом" что понимается? Если файлы, доступные пользователю, то только через флаги игнорирования мандатных меток. Если самостоятельные сервисы (демоны), то они вроде как сами по себе работают (тот же Apache) и доступны на тех мандатных уровнях (для подключения к ним), которые прописаны в их конфиге и заложены логикой разработчиков дистрибутива...
 

azm9s

New member
Сообщения
277
#3
nginx и циско серверы. они(веб морда, то бишь веб страницы в мазиле) работают только в 0 сессии.
psi клиент работает тоже только в 0 сессии.
 

oko

New member
Сообщения
1 257
#4
to azm9s
Не понял...
Т.е. с вашей юзеровской машины получается подключиться к удаленным nginx и cisco, а также jabber сервисам только в 0 сессии? Дык, оно верно, вроде как. Эти сервисы не модифицированы же на поддержку приема/передачи мандатных меток...
Если эти сервисы на локальной машине и вы обращаетесь к локальным сетевым сокетам, то модуль экстрасенсорики подсказывает, что ситуация аналогичная: сервисы не поддерживают работу в режиме !=0 и, соответственно, пользовательский мандатный контекст ими не распознается...
 

azm9s

New member
Сообщения
277
#5
так точно))
это я и так знаю, что эти сервисы работают только в 0 сессии.

поэтому и спрашиваю, как работать с такими сервисами, если запущена сессия в не нулевом уровне.
ставить рядом вторую машину для этого не вариант)))
и так в столе 6 ПЭВМ уже стоит с принудительной вентиляцией :(

просто надо одновременно работать с данными в не нулевой и в нулевой сессии....

в чате телеги о чем то таком говорили, но тогда разговор больше был, а сейчас очень очень очень понадобилось :(
сейчас рабочее место напомает такую конструкцию, как на картинке :)
1599609400131710936.jpg
 

oko

New member
Сообщения
1 257
#6
to azm9s
imho, такой подход в корне противоречит идее мандатной политики. И, если информация в !=0 сессии не просто конфиденциальная, а "с буковкой", то противоречит еще много чему...
Конечно, есть варианты - Страж-NT под Win тому яркий пример. Но реализовать такую систему на базе Astra Linux и доказать, что она соответствует текущей нормативной базе... Лично я бы взялся только после серьезного и глубокого анализа...
 

azm9s

New member
Сообщения
277
#7
сервисы работают только на отображение.
но информация важная, если бы можно было как то сделать чтобы работало под метками выше 0 - давно бы сделал)))
важная в том плане что нужная прям сейчас и вот тут))) а не в плане секретности.

в идеале, работать в сессии не равной нулю, а запустить firefox отдельно с 0 меткой.
 

oko

New member
Сообщения
1 257
#8
to azm9s
Понимаю, что структуру явно не вы планировали и не вам переделывать, но...
Оставьте 1 машину с возможностью работы только в 0 сессии. А остальные с нужными сессиями !=0. Мониторы и kvm-переключатель можно добавить по вкусу...
Сервисы, что должны работать в !=0, не сетевые?
 

azm9s

New member
Сообщения
277
#9
некуда больше ставить ПЭВМ.
это только одна.
в !=0 по сути только почта и firefox - один сайт только.
а в =0 куча большая куча веб сервисов и пси.
 

azm9s

New member
Сообщения
277
#10
а есть возможность заставить nginx игнорировать метки?
 

oko

New member
Сообщения
1 257
#11
to azm9s
По-идее, все потоки трафика, исходящие из пользовательского контекста в сессии !=0, должны средствами СЗИ и ядра (в его сетевом стеке) автоматом получать соответствующую метку !=0. А на приемной стороне, если пользовательская сессия имеет другую метку, - игнорироваться (блокироваться)...
Но тогда невозможно было бы собрать сервер, на котором сетевые сервисы работают на разных уровнях конфиденциальности (иногда, одновременно). Следовательно, в ALSE каждый отдельный софт (серверный сервис или пользовательский клиент) сам инжектирует (и позже анализирует) метку в сетевой трафик в зависимости от уровня своей работы (например, сессии пользователя)...
Было описание флагов и механизмов, позволяющих игнорировать метку ресурса, с которым следует работать определенному сервису. Очевидно, с трафиком возможна аналогичная ситуация. Надо долбить техподдержку на предмет таких механизмов...
Но, повторюсь, вне "тестовой среды" при "боевой эксплуатации" такая схема входит в разрез с действующими требованиями ИБ РФ (особенно в ГТ). Так что, возможно, стоит просто переделать схему рабочего места, чтобы потом не попасть, ага...
 

oko

New member
Сообщения
1 257
#13
to azm9s
В частности. Но у меня подозрение, что по вашей проблеме все-таки придется не ман читать, а к разработчикам обращаться...
 

azm9s

New member
Сообщения
277
#14
как ни странно, но ситуация и конфигурация выше прошла аттестацию :)
аргументы:
на ПЭВМ не обрабатываются доки с грифами, а что она отображает разные грифы одновременно - видят только люди с соответствующим допуском. не так страшно)))

сам в афиге.
правда жду ещё ключи зпс под программы и все будет ок.
 
Сообщения
16
#15
Почти аналогичная ситуация. Есть клиент, который мониторит разные железки. Информация мониторинга оперативная и во время работы изделия должна быть проанализирована незамедлительно. Все работает в режиме метка = 0. Но также на АРМ необходимо работать в режимах метка !=0. В этом случае клиент просто не подключается к удаленному железу. Если с сервисами был пример с файлом privsock.conf , то с сетевым клиентом немного не ясно. Если ли у кого решение?
 

azm9s

New member
Сообщения
277
#16
Почти аналогичная ситуация. Есть клиент, который мониторит разные железки. Информация мониторинга оперативная и во время работы изделия должна быть проанализирована незамедлительно. Все работает в режиме метка = 0. Но также на АРМ необходимо работать в режимах метка !=0. В этом случае клиент просто не подключается к удаленному железу. Если с сервисами был пример с файлом privsock.conf , то с сетевым клиентом немного не ясно. Если ли у кого решение?
если у вас домен поднят не с параметрами сетевого домашнего каталога, то утилита sumac в помощь.
у меня она работает только на тех машинах, где в ald.conf параметр FSTYPE=none стоит. если cifs то облом не работает.
запускать так:
sumac -x -l 0 -c 0x0 "firefox -p profile_3"
sumac -x -l 1 -c 0x0 "firefox -p profile_2"
sumac -x -l 2 -c 0x0 "firefox -p profile_1"
в терминале, а если закрыт доступ, то в ярлыке запуска.
одновременно два профиля не могут работать - глюков потом - тьма.