Подробный гайд: Как войти в «красный интерфейс» в Astra Linux Special Edition

Вход в красный интерфейс Astra Linux: выберите уровень целостности 63 при аутентификации для пользователя из группы astra-admin

2026.04.22                  


Подробный гайд: Как войти в «красный интерфейс» в Astra Linux Special EditionПодробный гайд: Как войти в «красный интерфейс» в Astra Linux Special Edition

Важно:

  • «Красный интерфейс» в Astra Linux — это не отдельный режим, а визуальное отображение сессии с максимальным уровнем целостности (63) в системе мандатного контроля целостности (МКЦ) Parsec. Цвет рабочего стола (красный/синий) зависит от уровня целостности текущей сессии.

Что такое уровни целостности в Astra Linux

Astra Linux Special Edition использует модель мандатного управления доступом (МРД) с уровнями целостности от 0 до 63:

Уровень Цвет Назначение
0 Синий Обычные пользователи, низкий уровень доступа
1–62 Жёлтый/оранжевый Промежуточные уровни для сервисов
63 Красный Администраторы, максимальный уровень целостности

По умолчанию администратор, созданный при установке ОС, получает 63-й «красный» уровень МКЦ, а обычные пользователи — нулевой «синий» уровень.


Способы входа с красным уровнем целостности

Способ 1: Вход через графический интерфейс (fly-dm)

  1. На экране входа в систему введите имя пользователя и пароль.
  2. Если пользователь входит в группу astra-admin, система автоматически предложит выбрать уровень целостности для сессии.
  3. В диалоговом окне выберите максимальный уровень (63) и подтвердите вход.
  4. После успешной аутентификации рабочий стол отобразится с красной цветовой схемой.

При входе через графический интерфейс или консоль для администраторов предусмотрен диалог выбора мандатных атрибутов.

Способ 2: Вход через консоль (TTY)

  1. Переключитесь на текстовую консоль: Ctrl+Alt+F2 (или F3–F6).
  2. Введите логин и пароль пользователя из группы astra-admin.
  3. Система запросит выбор уровня целостности — укажите 63.
4. После входа запустите графическую сессию командой:
   startx

или

   systemctl start fly-dm

Способ 3: Вход через SSH

Для SSH-сессий поведение отличается:

  • Пользователи группы astra-admin автоматически получают уровень 63 без диалога выбора.
  • Обычные пользователи получают уровень 0.

Проверить текущий уровень целостности можно командой:

cat /proc/self/attr/current
# или
pmc -g

Управление уровнями целостности: утилиты и команды

Утилита sumic — запуск процессов с понижением уровня

# Запустить терминал с уровнем целостности 0 (синий)
sumic -i 0 fly-term

# Запустить приложение с уровнем 32
sumic -i 32 /usr/bin/myapp

sumic позволяет понижать уровень целостности, но не повышать его.

Утилита fly-admin-smc — графическое управление политикой безопасности

  1. Откройте: Панель управления → Безопасность → Управление политикой безопасности.
2. В разделе «Мандатные атрибуты» можно:
  • Просматривать и изменять метки безопасности файлов и каталогов
  • Настраивать уровни целостности для служб
  • Управлять привилегиями Parsec

Командная строка: работа с мандатными атрибутами

# Просмотр метки безопасности файла
ls -Z /path/to/file

# Установка уровня целостности для каталога (требуются права root)
chsmack -l 63 /path/to/directory

# Проверка текущего уровня целостности процесса
cat /proc/$$/attr/current

Восстановление «красного» уровня, если он пропал

Если после изменений в системе меню выбора уровня целостности перестало появляться, возможно, повреждена база мандатных атрибутов пользователя.

Решение через GRUB (аварийный режим):

  1. При загрузке в меню GRUB нажмите e для редактирования параметров ядра.
2. В строке, начинающейся с linux, добавьте параметр:
   parsec.max_ilev=0
  1. Нажмите Ctrl+X или F10 для загрузки.
4. После загрузки смонтируйте корневую файловую систему (если загружались с Live-носителя):
   mkdir /target1
   mount /dev/sda2 /target1  # замените sda2 на ваш корневой раздел

5. Создайте/исправьте файл мандатных атрибутов для пользователя (замените 1001 на UID пользователя):

   echo "username:3f" > /target1/etc/parsec/micdb/1001

Значение 3f в шестнадцатеричной системе = 63 в десятичной (максимальный уровень).

6. Перезагрузите систему:
   reboot

После перезагрузки при входе снова появится выбор уровня целостности, и при выборе 63 рабочий стол станет красным.


Важные предупреждения

  1. Привилегия PARSEC_CAP_IGNMACINT позволяет игнорировать политики целостности, но её использование запрещено в штатном режиме и допускается только для отладки.
  2. Не устанавливайте высокий уровень целостности (63) на файлы и каталоги без необходимости — это может заблокировать доступ обычным процессам.
  3. При включении МКЦ на файловой системе (fly-admin-smc → Включить МКЦ на ФС) процессы с низким уровнем не смогут записывать данные в объекты с высоким уровнем целостности.
  4. Для работы с конфиденциальной информацией соблюдайте регламенты ФСТЭК и внутренние политики безопасности вашей организации.

Диагностика и проверка

# Проверить, включён ли Parsec
lsmod | grep parsec

# Узнать максимальный доступный уровень целостности
cat /sys/module/parsec/parameters/max_ilev

# Проверить группу пользователя
groups username

# Убедиться, что пользователь в astra-admin
grep astra-admin /etc/group

Дополнительные ресурсы

  • Руководство по КСЗ: раздел «Мандатное управление доступом»
  • Уровни защищённости: «Базовый», «Усиленный», «Особый» — выбираются при установке лицензии

Совет:

  • Если вы не видите диалог выбора уровня при входе — проверьте, что пользователь входит в группу astra-admin и что в системе не отключено мандатное управление доступом.