Подробный гайд по утилите mark в Astra Linux Special Edition

Утилита mark в Astra Linux SE позволяет просматривать и назначать метки конфиденциальности для мандатного контроля доступа Parsec

2026.05.14                  

Подробный гайд по утилите mark в Astra Linux Special EditionПодробный гайд по утилите mark в Astra Linux Special Edition

Важно:

Утилита mark (пакет astra-mark / mark) работает только в Astra Linux Special Edition с активированной системой мандатного контроля доступа (МКД / Parsec). В Common Edition функционал недоступен или ограничен.

1. Назначение пакета mark

mark — консольная утилита для управления метками конфиденциальности (confidentiality labels) в рамках подсистемы безопасности Parsec.

Позволяет:

  • Просматривать текущие метки файлов, каталогов, устройств
  • Назначать, изменять и очищать метки
  • Проверять доступность меток в политике безопасности

Метки используются для реализации мандатного контроля доступа: процесс или пользователь может получить доступ к объекту только если его уровень допуска и категории покрывают метку объекта.

2. Требования и установка

Параметр Значение
ОС Astra Linux Special Edition (1.7.x / 1.8.x)
Подсистема Parsec (МКД) должна быть активна
Права root или cap_mac_admin
Пакет Обычно предустановлен. Если отсутствует: sudo apt update && sudo apt install astra-mark

Проверка активности МКД:

systemctl status parsecd
pdpl-status

Если служба не активна, метки назначаться не будут, а доступ будет регулироваться только DAC.

3. Основные понятия меток

Метка конфиденциальности состоит из двух компонентов:

[уровень]:[категория1,категория2,...]
  • Уровень — степень конфиденциальности (настраивается администратором): и т.д.
  • Категории — логические группы: отделы, проекты, типы данных, классы доступа.

Конфигурация меток обычно хранится в:

  • /etc/parsec/labels.conf
  • /etc/security/parsec/
  • Или управляется через fly-admin-smc (графическая консоль безопасности)

4. Синтаксис и команды mark

Точные опции могут незначительно отличаться в версиях 1.7 и 1.8. Всегда проверяйте mark --help или man mark.

Команда Описание
mark <путь> Показать метку объекта (по умолчанию)
mark -s "метка" <путь> Установить метку
mark -c <путь> Очистить метку (сбросить к значениям по умолчанию)
mark -l Вывести список доступных меток в системе
mark -R <путь> Рекурсивная обработка каталога (если поддерживается версией)
mark -p <путь> Проверить применимость метки без фактического изменения

5. Практические примеры

Просмотр метки

mark /opt/confidential/report.doc
# Вывод: ....

Установка метки

sudo mark -s "с...о:финансы,2026_аудит" /var/data/finance.xlsx

Очистка метки

sudo mark -c /var/data/finance.xlsx

Рекурсивное применение (если поддерживается)

sudo mark -s "н....о:открытые_данные" -R /srv/public/

Проверка доступных меток

mark -l
# Вывод:
# н...о
# с...о:отдел1,отдел2
# совершенно с....о:проектХ,управление

6. Интеграция с политикой безопасности

  • Метки применяются только если разрешены активной политикой Parsec.
  • Назначение метки, отсутствующей в конфигурации, вызовет ошибку Invalid label.
  • Процессы наследуют метку от пользователя/сеанса. Проверить можно через:
  mark -s $$  # метка текущего процесса
  • Изменения меток логируются в /var/log/parsec/ и auditd (если настроен).
- Для применения изменений в политике без перезагрузки:
  sudo parsec-admin reload

7. Диагностика и типичные ошибки

Ошибка Причина Решение
Operation not permitted Отсутствует cap_mac_admin или политика запрещает изменение sudo или настройка capabilities, проверка политики в fly-admin-smc
Invalid label Метка не описана в конфигурации Parsec Добавить метку через fly-admin-smc или /etc/parsec/labels.conf
No such file or directory Объект не существует или путь неверен Проверить путь, права DAC
Parsec not active Служба МКД остановлена sudo systemctl enable --now parsecd
Метка не влияет на доступ Политика разрешает доступ несмотря на метку Проверить правила доступа в parsec-policy или fly-admin-smc

Логи для диагностики:

journalctl -u parsecd -f
cat /var/log/parsec/audit.log
dmesg | grep parsec

8. Рекомендации по безопасности

  1. Не отключайте Parsec в рабочих системах без согласования с отделом ИБ.
  2. Тестируйте изменения меток на копии данных или в изолированной среде.
3. Используйте cap_mac_admin вместо постоянного root:
   sudo setcap cap_mac_admin+ep /usr/bin/mark
4. Регулярно аудитируйте метки:
   find / -xdev -exec mark {} \; 2>/dev/null | grep -v "несекретно"
  1. Синхронизируйте метки с учётной системой ИБ и политикой классификации данных.
6. Резервируйте конфигурацию Parsec:
   sudo cp -a /etc/parsec /backup/parsec_$(date +%F)

9. Официальная документация

  • doc.astralinux.ru → Раздел: БезопасностьМандатный контроль доступаУтилиты управления метками
  • man mark (если установлен пакет manpages-astra)
  • fly-admin-smc → Модуль Политика безопасностиМетки конфиденциальности
  • Репозиторий пакетов: apt show astra-mark

Примечание по версиям

Версия Astra Linux SE Особенности mark
1.7.x Классический синтаксис, опции -s, -c, -l
1.8.x Возможны изменения в формате меток, добавлена поддержка mark set/get, улучшена интеграция с pdpl

Рекомендуется всегда сверяться с документацией, поставляемой с вашей конкретной версией ОС, или обращаться в техническую поддержку АО «НПО РусБИТех».

×

Полный размер Слайдшоу Предыдущий Следующий