Найти в Дзене
Записки инженера
90 подписчиков

О пользе мандатов в защите информации

104
1 мин
Здравствуй, Инженер! Ты попал ко мне на канал, а значит ты в поиске свежих идей или пищи для размышлений! 👨‍🚒 Люди, которые работают в условиях мандатной политики, часто (я бы даже сказал, весьма часто) недоумевают для чего она. Однако, на предприятии может быть информация, утечка которой грозит ущербом, потерей прибыли, подрывом доверия клиентов и другими неприятностями. Очень важно инкапсулировать такую информацию в какой-то отдельной среде. Такую среду и обеспечивают мандатные метки, навешиваемые на защищаемые файлы, словно этикетки "Печать запрещена", " Запись на внешние носители запрещена" и так далее. Вместе с тем, мандатная политика может заменить и групповую политику, если каждой группе пользователей выдать его мандат, снабжённый множеством полномочий. В Debian например, мандатная политика может задаваться на уровне LDAP (контроллера домена) или локально с помощью инструмента PARSec. Файлы настройки лежат в папке /etc/parsec. Файл mac_levels содержит как раз набор набор манда

Здравствуй, Инженер!

Ты попал ко мне на канал, а значит ты в поиске свежих идей или пищи для размышлений! 👨‍🚒

Люди, которые работают в условиях мандатной политики, часто (я бы даже сказал, весьма часто) недоумевают для чего она.

Однако, на предприятии может быть информация, утечка которой грозит ущербом, потерей прибыли, подрывом доверия клиентов и другими неприятностями. Очень важно инкапсулировать такую информацию в какой-то отдельной среде. Такую среду и обеспечивают мандатные метки, навешиваемые на защищаемые файлы, словно этикетки "Печать запрещена", " Запись на внешние носители запрещена" и так далее. Вместе с тем, мандатная политика может заменить и групповую политику, если каждой группе пользователей выдать его мандат, снабжённый множеством полномочий.

Изображение взято из открытого источника
Изображение взято из открытого источника

В Debian например, мандатная политика может задаваться на уровне LDAP (контроллера домена) или локально с помощью инструмента PARSec. Файлы настройки лежат в папке /etc/parsec.

Файл mac_levels содержит как раз набор набор мандатных уровней в формате

Название уровня:номер

После изменения этого файла необходимо будет перезагрузить PARSec командой

sudo /etc/init.d/parsec restart

и выйти из системы. После этого необходимо пользователям раздать мандаты командами типа

pdp-ulbls -m 0:1 username

Приведенная команда говорит о том, что пользователь username может входить в систему с мандатными уровнями от 0 до 1.

Чтобы посмотреть мандатные атрибуты файлов и папок, есть команда

pdp-ls /folder/path

Для смены мандатных атрибутов необходимо имея привелегии mac-администратора использовать команду:

pdp-flbl -m 0:0:0 /path/to/file.any

Первый ноль в команде - мандатный уровень, второй - уровень целостности, а третий - категории доступа. Про второй и третий нули мы с вами поговорим в следующих статьях, посвященных этим возможностям PARSec.

Посмотреть мандатный уровень текущей сессии можно командой macid.

После того, как установлена PARSec, можно задать уровни вручную через fly-admin-smc (Редактор локальной политики).

Итак, мы выяснили для чего предназначены мандатные уровни, как их настраивать, как смотреть и задавать мандатные атрибуты файлов и полномочия пользователей.

Я дал тебе пищу для размышлений, ты можешь разжевать ее в комментариях, поставить лайк статье, если она была полезной и подписаться на канал, чтоб не пропустить новые статьи из этого цикла.