Найти в Дзене
Imax Pro Linux Astra
47 подписчиков

Ошибка при установке пакета в Астра Линукс 1.8.4 - Операция не может продолжаться, так как не была предоставлена подходящая авторизация

56
3 мин
Что такое "Астра Linux Воронеж"? "Воронеж" — это коммерческое обозначение для версии Astra Linux Special Edition с усиленным уровнем защищенности . Для обеспечения этого уровня защиты в "Воронеже" по умолчанию включен ряд специальных механизмов. Самый важный для нас — это Мандатный контроль целостности (МКЦ). Вот как это выглядит в сравнении с другими режимами: В системе астра линукс "Воронеж" активирован Мандатный контроль целостности (МКЦ) . Каждому субъекту (пользователю, процессу) и объекту (файлу) присваивается числовой уровень целостности (например, от 0 до 4). Процесс не может записать данные в объект с более высоким уровнем целостности (правило "нельзя писать выше"). Взаимодействие с Polkit: Когда непривилегированная программа (работающая с пониженным уровнем целостности) запрашивает выполнение привилегированного действия через Polkit, служба polkitd проверяет не только права доступа, но и уровни целостности Если система не запрашивает пароль администратора при установке пакет
Оглавление

Что такое "Астра Linux Воронеж"?

"Воронеж" — это коммерческое обозначение для версии Astra Linux Special Edition с усиленным уровнем защищенности . Для обеспечения этого уровня защиты в "Воронеже" по умолчанию включен ряд специальных механизмов. Самый важный для нас — это Мандатный контроль целостности (МКЦ).

Вот как это выглядит в сравнении с другими режимами:

В системе астра линукс "Воронеж" активирован Мандатный контроль целостности (МКЦ) .

Каждому субъекту (пользователю, процессу) и объекту (файлу) присваивается числовой уровень целостности (например, от 0 до 4).

Процесс не может записать данные в объект с более высоким уровнем целостности (правило "нельзя писать выше").

Взаимодействие с Polkit: Когда непривилегированная программа (работающая с пониженным уровнем целостности) запрашивает выполнение привилегированного действия через Polkit, служба polkitd проверяет не только права доступа, но и уровни целостности

Если система не запрашивает пароль администратора при установке пакета в Астра Линукс 1.8.4 на стороне (доменного) обычного пользователя, а сразу выводит ошибку "Операция не может продолжаться, так как не была предоставлена подходящая авторизация" , значит, вы столкнулись с классической ошибкой мандатного контроля целостности (МКЦ) в Astra Linux.
Эта ошибка означает, что проверка целостности сработала до того, как Polkit вообще успел запросить пароль. Система сказала: "У этого процесса слишком низкий уровень доверия, даже спрашивать пароль бесполезно".

-2

Почему так происходит?

В режиме «Воронеж» с параметром --min-ilev-auth-admin=max логика работы polkit выглядит так:

  • Процесс (например, ваша программа) пытается выполнить административное действие.
  • Polkit получает запрос и первым делом проверяет: "Какой у этого процесса уровень целостности?"
  • Если уровень целостности ниже max (а у обычных пользовательских программ он всегда ниже), polkit даже не пытается запустить агент аутентификации (окно/консоль ввода пароля).
  • Вместо этого он сразу возвращает ошибку: "Недостаточный уровень доступа".

В более новых версиях 1.8, этот параметр уже есть. Однако в Astra Linux 1.7 версия polkitd более старая и этой опции не поддерживает.

Как это исправить?

Ошибка возникает из-за того, что процесс, с которого вы запускаете действие, работает с недостаточным уровнем целостности. Исправить это можно изменив параметр на min в unit-файле (файл описания службы) для systemd,где хранятся инструкции, как systemd должен запускать, останавливать и управлять службой polkit.

sudo nano /usr/lib/systemd/system/polkit.service
Параметр --min-ilev-auth-admin указываем min.
Параметр --min-ilev-auth-admin указываем min.

После изменения этого файла обычно нужно выполнить:

sudo systemctl daemon-reload # Перечитать все unit-файлы
sudo systemctl restart polkit # Перезапустить службу с новыми параметрами

Если вы измените --min-ilev-auth-admin с max на min, polkit будет считать, что для запроса аутентификации достаточно минимального уровня целостности. Тогда:

  • Проц с низким уровнем целостности обратится к polkit.
  • Проверка уровня пройдет успешно (у процесса есть min).
  • Polkit запустит агент аутентификации и запросит пароль.
  • После ввода пароля администратора polkit временно повысит привилегии и позволит выполнить действие.
-4

К каким последствиям это приведет?

Снижение защищенности: Главная функция режима «Воронеж» — мандатный контроль целостности (МКЦ) — будет частично отключена для сценариев авторизации через Polkit.

Это нарушает базовый принцип безопасности: субъект с низким уровнем целостности не должен влиять на объекты с высоким уровнем (системные настройки) .

Потенциально более редкие запросы пароля: В некоторых сценариях система может реже запрашивать пароль или не требовать его вовсе, так как формальное требование по целостности будет выполнено.

Нарушение сертификации: Если ваша система используется в конфигурации, требующей соответствия сертификационным требованиям (а режим «Воронеж» именно для этого и предназначен),такое изменение делает ее не соответствующей настройкам, проверенным при сертификации .

Важное предупреждение

В официальной документации Astra Linux указано, что техническая поддержка может не оказываться на системах с модифицированными настройками компонентов защиты .

Изменение этого параметра как раз относится к такой модификации. Поэтому все описанные действия не решают проблему а нарушают логику Polkit и носят ТОЛЬКО ОЗНАКОМИТЕЛЬНЫЙ ХАРАКТЕР.