Режим киоск служит для огрaничения прав пользовaтелей в системе. Степень этих ограничений задается маской киоска. Ее действие aналогично действию маски umask с тем отличием, что если umask накладывается при создании новых объектов ФС, то маска киоска накладывается на права доступа к фaйлу при любой попытке пользовaтеля получить доступ.

Маскa киоска задaется в конфигурационном фaйле и по умолчанию режим киоскa выключен. Если устaновить маску равной типичному значению при включенном режиме киоска, для пользователя блокируется доступ по записи и исполнению ко всем файлaм, не принадлежaщим ему, либо группе, в которую он входит.

При выключенном режиме киоскa, поведение системы остаётся стaндартным, и на правa доступа пользователя не накладывается никаких ограничений. Маска киоска применяется только к обычным файлам. К директориям, сокетaм и т.д. маска не применяется.

В режиме киоскa (маскa по умолчанию) пользователь не имеет возможности зaпустить ни одну системную программу, т.к. эти действия замaскированы. Особенность режимa киоска в Операци0нной системе специального назначения Astra Linux Special Edition заключaется в том, что данный режим работает на уровне ядра, а не на уровне пользовательских приложений. Пример применения Режимa киоска:
- Платежный терминал;
- Узкоспециализировaнное рабочее место пользовaтеля (бухгалтер предприятия и т.д.).

Скачать профили режима киоск можно с нашего сайта тут: kios-profiles.tgz

Использование fly-kiosk в режиме ЕПП возможно только в случaе локального(без nfs и cifs) рaсположения домашнего каталога на клиентской машине.
1. Создать доменного пользователя, в качестве ФС выбрать local

2. Зайти вновь созданным пользователем на клиентской мaшине для создания структуры домaшней директории. При необходимости, зайти под нужными мандатными уровнями, для создания структуры домашней директории для кaждого уровня.

3. На клиентской мaшине в файл /etc/ald/ald.conf добавить группу lock в строку ALLOWED_LOCAL_GROUPS:

ALLOWED_LOCAL_GROUPS=users,audio,video,scanner,lock

Применить конфигурацию командой: ald-client commit-config

4.На клиентской машине, от имени суперпользователя выполнить: fly-kiosk -u <имя_пользователя> --action lock --home <домашняя_директория_пользователя> -p <приложение>

Системный Киоск: пакет parsec-kiosk2 (ограничения пользователя) Astra Linux Common Edition

Пакет parsec-kiosk2

Пакет parsec-kiosk2 содержит инструменты для ограничения возможностей, предоставляемых непривилегированным пользователям (т.н. user confinement) и представляет собой обновлённую версию пакета parsec-kiosk.

Пакет входит в состав оперативного обновления БЮЛЛЕТЕНЬ № 20190912SE16 (оперативное обновление 3) и устанавливается по умолчанию при установке этого или последующего обновления.
Установка пакета возможна на любой системе Astra Linux (в том числе на ОС Astra Linux Common Edition).


Загрузка профилей в модуль ядра Astra Linux Common Edition

При установке пакета parsec-kiosk2 в PAM-стек (в файл /etc/pam.d/common-session) добавляется вызов pam_exec для инструмента ppfsm, обеспечивающего загрузку профилей в модуль ядра:

session required pam_exec.so seteuid /usr/lib/parsec/bin/ppfsm.tcl

Если в системе не установлен модуль parsec с поддержкой user confinement, вызов ppfsm немедленно завершается с кодом возврата "успех", не совершая никаких действий.

Графический инструмент для управления профилями

Дополнительно при установке пакета parsec-kiosk2 устанавливается обновлённый графический инструмент для управления профилями fly-admin-kiosk. После установки этот инструмент доступен через систему графических меню:

"Пуск" - "Панель управления" - "Безопасность" - "Системный киоск".



Инструмент позволяет включать и отключать режим киоска:
- через графическое меню "Правка" - "Включить режим киоска"
- или кнопкой с изображением ключей в панели кнопок.

Кроме того, инструмент позволяет:
1. Изменять содержимое файлов профилей (на снимке экрана приведено содержимое стандартного профиля fly-desktop, включающего стандартный профиль fly-unlock);
2. Создавать и изменять профили пользователей, в том числе:
- Путём включения в профиль пользователя стандартных профилей (секция рабочего окна "Включить профиль");
- Путём генерации набора файлов из трассировки приложения:
*** Системного (меню "Правка" - "Создать системный профиль для приложения");
*** Выполняемого от имени пользователя (кнопка "Добавить файлы из") ;
- Путём копирования существующего (типового) профиля пользователя.

Создание профиля пользователя

Для создания профиля пользователя:
- Выбрать в левой часть окна приложения пункт "Профили пользователей" и выбрать в меню "Правка" - "Добавить" или нажать кнопку со знаком "+" в панели кнопок;
- В открывшемся окне ввести имя пользователя и нажать кнопку "да".

Добавление контролируемого файла к профилю пользователя:
- Выбрать в левой часть окна приложения нужного пользователя (профиль пользователя должен быть ранее добавлен в приложение, см. предыдущий пункт);
- Выбрать в меню пункт "Правка" - "Вставить файл" или нажать кнопку "+" в панели кнопок;
- В открывшемся окне выбрать файл и нажать кнопку "Открыть";
- В появившейся записи параметров контроля файла выбрать нужные параметры;
- Выбрать пункт меню "Файл" - "Сохранить" или нажать кнопку с изображением дискеты в панели кнопок.

Включение системных профилей в профиль пользователя

Для включения системных профилей в профиль пользователя:
- Выбрать соответствующего пользователя в списке пользователей;
- Отметить нужные профили в нижнем правой части экрана приложения (часть "Включить профиль");
- Выбрать пункт меню "Файл" - "Сохранить" или нажать кнопку с изображением дискеты в панели кнопок.

Включение из командной строки ограничений пользователя при установленном модуле ядра

Включить контроль доступа и применять ограничения на работу с файлами при нарушении установленных фильтров доступа:

echo 1 > /sys/module/parsec/parameters/uc_enforce

Включить протоколирование нарушений установленных фильтров доступа:

echo 1 > /sys/module/parsec/parameters/uc_complain

Профили пакета parsec-kiosk2

Файлы с профилями parsec-kiosk2 располагаются в каталоге /etc/parsec/kiosk2-profiles/. При установке пакета в этот каталог устанавливается набор типовых профилей.

Синтаксис профилей киоска

"Современный" / базовый

+file <r/w/c> <u/o>: <filename>

Разрешить чтение/изменение/создание файловых объектов владельцу/не владельцу. В имени файла могут использоваться метасимволы, например:

+file ? u: ** (разрешить создание, запись, чтение владельцам файлов).

Вариант с чтением ссылки:

+link <r/w/c> <u/o>: <filename>

Имя файла должно соответствовать существующей символьной ссылке. Целевой файл для ссылки (который не обязан существовать в момент загрузки профиля) добавляется в список доступных. Метасимволы в имени файла (ссылки) не интерпретируются.

+link r o /lib/ld-linux.so.2

Совместимый с parsec-kiosk

"/file/name" rwx
/file/name rwx
"/file/name" r-x
/file/name -w-

При этом:
- Имя файла считается литералом (спецсимволы не интерпретируются);
- Любое из прав r/x преобразуется в r, w преобразуется в wc;
- Правила применяется одинаково и для доступа владельцев и для доступа не владельцев (uo);
- Строка обязательно должна начинаться с символа кавычки или символа "слэш";
- Если файл представляет символьную ссылку, в вывод профиля попадает целевой файл ссылки.

Включение файла в профиль

Вариант, совместимый со старым киоском. Имя включаемого файла обязано начинаться с латинской буквы, символы "слэш" в имени не допускаются:

other-profile-name

Новый вариант (включение в явной форме). Можно использовать абсолютные и относительные пути:

@include other-profile-name

Если в файлах профилей для одного файла (и ссылок на этот файл) указаны разные разрешения, то они объединяются.

Например, для файла /tmp/test.txt и ссылки на него /tmp/link.txt

+file r o: /tmp/test.txt
+link rw o: /tmp/link.txt

это то же самое, как если бы мы раскрыли символьную ссылку

+file r o: /tmp/test.txt
+file rw o: /tmp/test.txt

а это, в свою очередь, то же самое, что одна строчка

+file rw o: /tmp/test.txt

(объединение r и rw даёт rw)

Сравнение работы режима Киоск-2 и режима киоска

Общие сведения

В данной статье сравнивается работа режима Киоск-2 и режима киоска в Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6).

Киоск (или режим киоска) -- это инструмент подсистемы безопасности PARSEC, который служит для управления ограничениями пользователей в системе. Работу режима киоска обеспечивает пакет parsec-kiosk.

Киоск-2 (или режим Киоск-2) – это новый инструмент PARSEC, заменяющий режим киоска. Работу режима Киоск-2 обеспечивает пакет parsec-kiosk2. Пакет parsec-kiosk2 содержит инструменты для ограничения возможностей, предоставляемых непривилегированным пользователям и представляет собой обновлённую версию пакета parsec-kiosk. Пакет parsec-kiosk2 входит в состав обновления Astra Linux Special Edition РУСБ.10015-01.

Системный киоск (fly-admin-kiosk) – это графическое приложение для управления ограничениями среды.

Описание работы режимов киоска и Киоск-2 приведено в Руководство по комплексу средств защиты информации, часть 1, глава 16, пункты 2 и 3

Основные отличия в работе Киоск-2 и режима киоска

fly-admin-kiosk
1. parsec-kiosk
Для работы с fly-admin-kiosk требуется предварительная настройка.

Пакет fly-admin-kiosk позволяет:
- включать и отключать режим киоска;
- создавать, редактировать удалять и копировать профили;
- включать или исключать из состава профиля другие профили;
- включать или исключать из состава профиля файлы;
- настраивать трассировку (протоколирование) процесса.

2. parsec-kiosk2


Пакет fly-admin-kiosk не требует предварительной настройки и позволяет:
1. включать и выключать режим Киоск-2;
2. включать и выключать протоколирование процессов в режиме "настройка трассировки процесса" или в "режим глобальной загрузочной записи" (название отличается в зависимости от версии fly-admin-kiosk);
3. создавать и редактировать профили с помощью:
- включения в профиль пользователя стандартных профилей;
- генерации набора файлов протоколированием системного или выполняемого от имени пользователя приложения;
4. копировать профили пользователей;
5. удалять профили пользователей;
6. включать и выключать профили пользователей;
7. отменять изменения в профилях.

Включение контроля доступа

1. parsec-kiosk
Включение контроля доступа с сохранением данного состояния после перезагрузки ОС:

echo 0003 > /etc/parsec/kiosk_mask

reboot

2. parsec-kiosk2
1) Включение контроля доступа с сохранением данного состояния до перезагрузки ОС:

echo 1 | sudo tee /sys/module/parsec/parameters/uc_enforce

2) Включение контроля доступа с сохранением данного состояния после перезагрузки ОС:

echo 1 | sudo tee /etc/parsec/kiosk2_enforce

Включение режима протоколирования

1. parsec-kiosk
Нет.

2. parsec-kiosk2
1) Включение протоколирования с сохранением данного состояния до перезагрузки ОС:

echo 1 | sudo tee /sys/module/parsec/parameters/uc_complain

2) Включение протоколирования с сохранением данного состояния после перезагрузки ОС:

echo 1 | sudo tee /etc/parsec/kiosk2_complain