Astra linux уровень целостности

В Astra Linux уровень целостности — ключевой элемент системы защиты информации, реализуемый через мандатный контроль целостности (МКЦ). Он предотвращает модификацию критически важных компонентов системы недоверенными процессами.

Как работает МКЦ

МКЦ основан на метках целостности, присваиваемых:

• субъектам (пользователям, процессам);
• сущностям (файлам, каталогам).

Метка включает:

• иерархический уровень целостности (число от −128 до 127);
• неиерархическую категорию целостности (32‑битная маска).

Уровни целостности по умолчанию

В Astra Linux 1.7 определены 4 неиерархических уровня (могут быть расширены):

1. 1 — для сетевых служб;
2. 2 — для виртуализации;
3. 4 — для специального ПО;
4. 8 — для графического сервера.

Особые случаи:

• 0 — уровень целостности обычных пользователей (по умолчанию);
• 63 — максимальный уровень для администратора (битовая маска 00111111).

Правила доступа

МКЦ гарантирует:

• субъект может изменять только сущности с уровнем целостности ≤ своему;
• запись «вверх» (в объекты с более высокой целостностью) запрещена.

Пример:
Почтовый сервер работает на уровне 1, а его конфигурационные файлы — на уровне 63. Сервер может читать файлы, но не может их изменять — это защищает от взлома.

Уровни защищённости Astra Linux

1. «Орёл» (базовый):
   нет мандатного контроля целостности;
   подходит для общедоступной информации.
2. «Воронеж» (усиленный):
   включён МКЦ (файловый и процессорный);
   для информации ограниченного доступа (не гостайна);
   доступны механизмы очистки памяти и замкнутой программной среды.
3. «Смоленск» (максимальный):
   полная защита информации с гостайной;
   расширенные настройки категорий доступа.

Как проверить уровень целостности

1. При входе в систему:
   тёмная тема (Astra Proxima Служебная) — высокий уровень (администратор);
   светлая тема — низкий уровень (обычный пользователь).
2. Через интерфейс:
   В правом нижнем углу рабочего стола — значок щита со звездой. При наведении отображается метка целостности пользователя.
3. Командная строка (для продвинутых):pdpl-user <имя_пользователя> # показать метку целостности
   

Важные ограничения

• При высоком уровне целостности нельзя менять тему/обои — это предотвращает несанкционированные изменения.
• Для административных задач требуется высокий уровень целостности (63).
• Обычным пользователям по умолчанию назначается уровень 0 — этого достаточно для повседневных задач, но недостаточно для изменения системных файлов.

Настройка (для администраторов)

1. Изменение диапазона категорий целостности — через системные утилиты после установки.
2. Назначение меток — с помощью pdpl-file и pdpl-user.
3. Управление PARSEC‑привилегиями — для тонкой настройки правил доступа.

Итог:
Уровень целостности в Astra Linux — это механизм защиты от несанкционированных изменений системных компонентов. Он работает «прозрачно» для пользователя, но критически важен для безопасности в режимах «Воронеж» и «Смоленск».