Смоленск 1.4 Соответствие требованиям 1Б

kostia

New member
Сообщения
162
#21
Дополню. После проведения регламентного тестировани КСЗ
Не описано в документации, что после проведения тестов в корне ФС остается пайп testfifo (а может и еще где-то? где?).
еще в корне остается каталог parsec_testdir с правами
drwxrwxrwxm 2 777 777 255:Низкий:0xfffffffffffffffe:ccnr,ccnri,ehole parsec_testdir
Ребяты, ну так нельзя! В него же все кто угодно с любого уровня секретности с любой категорией писать могут.
Получается что проверка КСЗ сама же и нарушает комплекс средств защиты. По крайней мере документ с названием "Матрица доступа".
 

kostia

New member
Сообщения
162
#22
Так что делать то? Как правильно проводить регламентное тестирование КСЗ?
 

kostia

New member
Сообщения
162
#25
Продублирую сюда.

Добрый день!
ОС Astra-Linux SE 1.4. В соответствии с "Руководство по КСЗ. Часть 2" проводим тестирование КСЗ.
Тест не проходит. В лог файле:
mac set-get test: INFO: Начинаем тест: mac set-get test...
mac set-get test: INFO: Итерация 0.
PARSEC FMAC TEST: ERROR: test2: Отказано в доступе: ошибка вызова mac_set_file()
mac set-get test: INFO: mac set-get test провалился
mac access test: INFO: Начинаем тест: mac access test...
mac access test: INFO: Итерация 0.
mac access test: INFO: mac access test провалился
PARSEC FMAC TEST: INFO: ТЕСТ ПРОВАЛИЛСЯ!ОБЩИЙ СТАТУС = 2
[!] Test FAIL with code: 2

устанавливаем мандатную метку на корень ФС
pdp-flbl 255:0:-1:CCNRALL /
После этого тест заврешается успешно, но в корне файловой системы остается каталог parsec_testdir с правами
drwxrwxrwxm 2 777 777 255:Низкий:0xfffffffffffffffe:ccnr,ccnri,ehole parsec_testdir

Прошу официальный ответ, как правильно проводить регламентное тестирование КСЗ, для включения в документацию по разрабатываемой АС.
 

kostia

New member
Сообщения
162
#27
Проверям код возврата при выполнении афиска. Если не равен нулю то запускаем скриптик который останавливает сервисы nscd и nslcd, после чего на АРМ можно залогиниться только локальным пользователем (у нас кроме одного все пользователи доменные). Этим-же скриптом подменяем картинку бекграунда на картинку с надписью "Компьютер заблокирован" и рестартуем fly-dm.
 

kostia

New member
Сообщения
162
#28
Да собственно вот
Bash:
#!/bin/bash
## Скрипт блокировки и разблокировки компьютера.
case $1 in
    "-l" | "--lock" )
    sudo /usr/sbin/service nscd stop
    sudo /usr/sbin/service nslcd stop
    sudo cp -f /usr/share/fly-dm/themes/fly/background-lock.jpg /usr/share/fly-dm/themes/fly/background.jpg
    sudo /etc/init.d/samba stop
    logger -t OBIEVENT  -p local0.alert "Компьютер $HOSTNAME заблокирован пользователем $USER"
    nohup sudo /usr/sbin/service fly-dm restart > /dev/null &
    ;;
    "-u" | "--unlock" )
    sudo /usr/sbin/service nscd restart
    sudo /usr/sbin/service nslcd restart
    sudo cp -f /usr/share/fly-dm/themes/fly/background-ulock.jpg /usr/share/fly-dm/themes/fly/background.jpg
    sudo /etc/init.d/samba start
    logger -t OBIEVENT  -p local0.alert "Компьютер $HOSTNAME разблокирован пользователем $USER"
    nohup sudo /usr/sbin/service fly-dm restart > /dev/null &
    ;;
    * )
    echo "Утилита должна запускаться с указанием параметра:"
    echo "-l | --lock заблокировать компьютер"
    echo "-u | --unlock разблокировать компьютер"
    ;;
esac
 
Сообщения
4
#29
Да собственно вот
Bash:
#!/bin/bash
## Скрипт блокировки и разблокировки компьютера.
case $1 in
    "-l" | "--lock" )
    sudo /usr/sbin/service nscd stop
    sudo /usr/sbin/service nslcd stop
    sudo cp -f /usr/share/fly-dm/themes/fly/background-lock.jpg /usr/share/fly-dm/themes/fly/background.jpg
    sudo /etc/init.d/samba stop
    logger -t OBIEVENT  -p local0.alert "Компьютер $HOSTNAME заблокирован пользователем $USER"
    nohup sudo /usr/sbin/service fly-dm restart > /dev/null &
    ;;
    "-u" | "--unlock" )
    sudo /usr/sbin/service nscd restart
    sudo /usr/sbin/service nslcd restart
    sudo cp -f /usr/share/fly-dm/themes/fly/background-ulock.jpg /usr/share/fly-dm/themes/fly/background.jpg
    sudo /etc/init.d/samba start
    logger -t OBIEVENT  -p local0.alert "Компьютер $HOSTNAME разблокирован пользователем $USER"
    nohup sudo /usr/sbin/service fly-dm restart > /dev/null &
    ;;
    * )
    echo "Утилита должна запускаться с указанием параметра:"
    echo "-l | --lock заблокировать компьютер"
    echo "-u | --unlock разблокировать компьютер"
    ;;
esac
Спасибо!
А вариант блокировки с убиением всех процессов интерактивных пользователей не прорабатывали?
 

kostia

New member
Сообщения
162
#30
А вариант блокировки с убиением всех процессов интерактивных пользователей не прорабатывали?
Специально нет, но когда fly-dm рестартует сессия пользователя в иксах прерывается, соответственно процессы дохнут. Могу конечно остаться пользовательские процессы в фоне и в консольной сессии.