Подробный гайд: Назначение мандатных меток в СЗИ Dallas Lock 8.0 для Linux

Подробный гайд по назначению мандатных меток в СЗИ Dallas Lock 8.0 для Linux: настройка уровней конфиденциальности и целостности через GUI, CLI и VFS.

2026.06.27                  

Подробный гайд: Назначение мандатных меток в СЗИ Dallas Lock 8.0 для LinuxПодробный гайд: Назначение мандатных меток в СЗИ Dallas Lock 8.0 для Linux Назначение мандатных меток (атрибутов мандатного разграничения доступа — МРД) в СЗИ Dallas Lock 8.0 для Linux — это ключевой процесс для обеспечения мандатного контроля целостности и конфиденциальности информации.

Ниже представлен подробный гайд, охватывающий теорию, назначение меток через графический интерфейс, командную строку и файловый менеджер, а также важные нюансы работы.

1. Подготовка и базовые понятия

Прежде чем назначать метки, убедитесь, что:

  • СЗИ Dallas Lock установлено, инициализировано и работает.
  • В политике безопасности СЗИ включена подсистема мандатного контроля (МК).
  • У вас есть права суперпользователя (root), так как изменение мандатных атрибутов требует привилегий администратора.

Из чего состоит мандатная метка в Dallas Lock:

  1. Уровень конфиденциальности (УК): от 0 до 15 (где 0 — минимальный, 15 — максимальный).
  2. Уровень целостности (УЦ): от 0 до 15.
  3. Категории (К): набор битовых флагов (обычно до 16 или 32 категорий, в зависимости от редакции), позволяющих изолировать потоки данных внутри одного уровня.

2. Способ 1: Назначение через Графическую консоль Dallas Lock

Это самый наглядный способ, если вы работаете в графической среде (X11/Wayland).

  1. Запустите Консоль управления Dallas Lock (обычно ярлык на рабочем столе или в меню приложений).
  2. Введите пароль администратора СЗИ.
  3. В главном окне перейдите в раздел Мандатный контроль (или Мандатное разграничение доступа).
  4. Выберите подраздел Мандатные метки (или Атрибуты безопасности файлов).
  5. В открывшемся окне нажмите кнопку Добавить (или Выбрать файл/каталог), чтобы указать путь к нужному объекту в файловой системе.
6. В свойствах выбранного объекта задайте параметры:
  • Уровень конфиденциальности: выберите нужное значение (0-15).
  • Уровень целостности: выберите нужное значение (0-15).
  • Категории: отметьте галочками нужные категории (если они используются в вашей модели угроз).
7. Нажмите Применить или ОК.

3. Способ 2: Назначение через командную строку (CLI)

Для администрирования серверов или автоматизации используется утилита dlmac.

Просмотр текущей мандатной метки:

sudo dlmac /путь/к/файлу_или_каталогу

Команда выведет текущие уровни конфиденциальности, целостности и категории.

Назначение новой мандатной метки:

Базовый синтаксис:

sudo dlmac -c <УК> -i <УЦ> [-C <категории>] /путь/к/объекту

Примеры:

1. Задать только уровни (без категорий):

Установить уровень конфиденциальности 5, уровень целостности 3 для файла /var/data/secret.doc:

   sudo dlmac -c 5 -i 3 /var/data/secret.doc

2. Задать уровни и категории:

Установить конфиденциальность 10, целостность 10, и назначить 1-ю и 3-ю категории для каталога /opt/secure_data/: (Формат задания категорий может зависеть от минорной версии, обычно это перечисление через запятую или битовая маска)

   sudo dlmac -c 10 -i 10 -C 1,3 /opt/secure_data/

3. Рекурсивное назначение для каталога:

Если нужно применить метку ко всем файлам внутри папки, используйте флаг рекурсии (обычно -R или --recursive, проверьте через dlmac --help для вашей конкретной сборки):

   sudo dlmac -R -c 7 -i 7 /opt/secure_data/

Примечание:

Для точного синтаксиса флагов в вашей конкретной сборке всегда можно вызвать справку: dlmac --help или man dlmac.

4. Способ 3: Через файловый менеджер (Интеграция VFS)

Если в системе установлен модуль интеграции Dallas Lock с файловым менеджером (Nautilus, Thunar, Dolphin и т.д.):

  1. Откройте файловый менеджер.
  2. Найдите нужный файл или каталог.
  3. Кликните по нему правой кнопкой мыши и выберите Свойства (Properties).
  4. Перейдите на вкладку Dallas Lock или Мандатные атрибуты (название может немного отличаться в зависимости от оболочки).
  5. С помощью выпадающих списков или ползунков установите нужные уровни УК, УЦ и категории.
  6. Нажмите Применить.

5. Проверка применения меток

Чтобы убедиться, что метка успешно записана в расширенные атрибуты (xattr) файловой системы, выполните:

Через утилиту Dallas Lock:

dlmac /путь/к/файлу

Через стандартную утилиту Linux (getfattr):

Мандатные метки Dallas Lock хранятся в расширенных атрибутах. Вы можете увидеть "сырой" атрибут:

sudo getfattr -n security.dlmac /путь/к/файлу

(Значение будет выведено в виде закодированной строки, которую интерпретирует именно ядро СЗИ).

6. Важные нюансы и правила МРД (Тракт Белла-ЛаПадулы и Биба)

При назначении меток помните, как ядро Dallas Lock будет применять правила мандатного контроля к процессам и файлам:

1. Правила конфиденциальности ("Не читать вверх", "Не писать вниз"):

  • Процесс с уровнем конфиденциальности N может читать файлы с уровнем конфиденциальности <= N.
  • Процесс с уровнем конфиденциальности N может писать в файлы с уровнем конфиденциальности >= N.

2. Правила целостности:

  • Процесс с уровнем целостности N может модифицировать (писать в) файлы с уровнем целостности <= N.
  • Процесс может читать файлы, если уровень целостности процесса >= уровня целостности файла.

3. Наследование меток:

  • По умолчанию файлы, создаваемые в каталоге, не наследуют мандатную метку родительского каталога автоматически, если не настроено специальное правило наследования в политике СЗИ. Новым файлам обычно присваивается метка по умолчанию (часто 0/0) или метка создавшего их процесса.

4. Требования к файловым системам:

  • Мандатные метки хранятся в расширенных атрибутах (extended attributes / xattr). Убедитесь, что файловая система (ext4, xfs и т.д.) смонтирована с поддержкой user_xattr (в современных ядрах Linux это включено по умолчанию, но в старых или специфичных сборках может требовать явного указания в /etc/fstab).

7. Возможные проблемы (Troubleshooting)

Ошибка "Operation not permitted" при назначении метки:

Убедитесь, что вы выполняете команду от имени root (или через sudo). Обычный пользователь не может повышать мандатные уровни.

Метка не сохраняется / пропадает после перезагрузки:

Файловая система не поддерживает xattr или смонтирована в режиме read-only. Проверьте mount | grep xattr.

Доступ к файлу заблокирован после назначения метки:

Вы случайно назначили метку, которая конфликтует с мандатной меткой вашего текущего сеанса (процесса). Проверьте метку вашего процесса командой dlmac $$ (или через консоль СЗИ) и убедитесь, что она соответствует правилам МРД для доступа к данному файлу.

Информация предоставлена в ознакомительных целях. Применение описанных настроек в системах, должно осуществляться только после согласования с ответственными за информационную безопасность и в соответствии с требованиями ФСТЭК, ФСБ и иных уполномоченных органов.

Статью подготовил: Денис Аверко @Nymexis г. Омск
×

Полный размер Слайдшоу Предыдущий Следующий

Комментарии

Загрузка...
Если комментарии не загружаются, можете попробовать отключить блокировщик рекламы для этого сайта