Практическая работа: Модуль 13. Мандатное (обязательное) управление доступом и контроль целостности

См. также Требования, правила и цели выполнения практической работы

Практические задания

Задание 1.

  1. В каталоге /Документы создайте подкаталог Отдел_кадров и в нем еще четыре подкаталога: для документов с грифами «Совершенно секретно», «Секретно», «Для служебного пользования» и «Общего назначения».

  2. В разделе «Мандатные атрибуты» создайте новую категорию «Отдел_кадров».

  3. Создайте нового пользователя hr_user.

  4. Настройте политику безопасности для пользователя hr_user: максимальный уровень конфиденциальности «Секретно», категория «Отдел_Кадров».

  5. Назначьте соответствующие уровни конфиденциальности на подкаталоги в каталоге /Документы/Отдел_кадров.

  6. Настройте на эти каталоги дискреционные права для пользователя hr_user.

  7. Выполните вход в систему пользователем hr_user с уровнем конфиденциальности «Секретно» и категорией «Отдел_кадров». Убедитесь, что пользователь может создавать и редактировать файлы в каталоге /Документы/Отдел_кадров/Секретно, но не может этого делать в остальных каталогах.

Задание 2.

  1. Подключите к виртуальной машине USB носитель, отформатируйте его в EXT4.

  2. Создайте на USB носителе каталог Отдел_кадров и в нем еще четыре подкаталога: для документов с грифами «Совершенно секретно», «Секретно», «Для служебного пользования» и «Общего назначения».

  3. Назначьте соответствующие уровни конфиденциальности на подкаталоги в каталоге /Отдел_кадров.

  4. Настройте дискреционные права так, чтобы к информации на носителе имел доступ только пользователь hr_user.

  5. Выполните вход в систему пользователем hr_user с уровнем конфиденциальности «Секретно» и категорией «Отдел_кадров». Убедитесь, что пользователь может создавать и редактировать файлы в каталоге /Отдел_кадров/Секретно, но не может этого делать в остальных каталогах.

Практические задания (с ответами)

Задание 1.

  1. Войдите в систему локальным администратором с высоким уровнем целостности, который имеет право выполнять команды от имени root с использованием утилиты sudo. Создайте каталоги:

    sudo mkdir -p /Документы/Отдел_кадров/Документы_общего_пользования
sudo mkdir /Документы/Отдел_кадров/Для_служебного_пользования
sudo mkdir /Документы/Отдел_кадров/Секретно
sudo mkdir /Документы/Отдел_кадров/Совершенно_секретно

  2. Откройте оснастку Параметры системы ‣ Безопасность ‣ Политика безопасности ‣ Мандатные атрибуты, на вкладке Категории добавьте запись «Отдел_Кадров».

../_images/aldpro_mod_13_practice_img05.png

рис. 459 Новая категория «Отдел_Кадров»

  1. Создайте нового пользователя hr_user:abbr:

    sudo adduser hr_user

  2. Откройте оснастку Параметры системы ‣ Безопасность ‣ Политика безопасности ‣ Пользователи ‣ hr_user. На вкладке МРД настройте: - Максимальный уровень конфиденциальности «2:Секретно» - Максимальная категория конфиденциальности «5 Отдел_Кадров»

../_images/aldpro_mod_13_practice_img10.png

рис. 460 Категории и уровни конфиденциальности

  1. Назначьте соответствующие уровни конфиденциальности на каталоги (0x20 соответствует новой категории «Отдел_Кадров»):

    sudo pdpl-file 4:0:0x20:ccnr /Документы/Отдел_Кадров
sudo pdpl-file 0:0:0x20:0 /Документы/Отдел_кадров/Документы_общего_пользования
sudo pdpl-file 1:0:0x20:0 /Документы/Отдел_кадров/Для_служебного_пользования
sudo pdpl-file 2:0:0x20:0 /Документы/Отдел_кадров/Секретно
sudo pdpl-file 3:0:0x20:0 /Документы/Отдел_кадров/Совершенно_секретно

  2. Настройте на эти каталоги дискреционные права для пользователя hr_user:abbr:

    sudo setfacl --modify u:hr_user:rx /Документы/
sudo setfacl --recursive --modify u:hr_user:rwx,d:u:hr_user:rwx /Документы/Отдел_Кадров
sudo setfacl --modify u:hr_user:rx /Документы/Отдел_Кадров

  3. Выполните вход в систему пользователем hr_user с уровнем конфиденциальности «Секретно» и категорией «Отдел_кадров».

../_images/aldpro_mod_13_practice_img15.png

рис. 461 Вход с уровнем «Секретно» и категорией «Отдел_кадров»

Убедитесь, что пользователь может создавать и редактировать файлы в каталоге /Документы/Отдел_кадров/Секретно, но не может этого делать в остальных каталогах.

hr_user@pc-1:~$ echo "Здесь содержится секретная информация" > /Документы/Отдел_Кадров/Секретно/readme.txt
hr_user@pc-1:~$ cat /Документы/Отдел_Кадров/Секретно/readme.txt
Здесь содержится секретная информация

hr_user@pc-1:~$ cat /Документы/Отдел_Кадров/Секретно/readme.txt > /Документы/Отдел_Кадров/Для_служебного_пользования/readme.txt
bash: /Документы/Отдел_Кадров/Для_служебного_пользования/readme.txt: Отказано в доступе

Задание 2.

  1. Войдите в систему локальным администратором с высоким уровнем целостности, который имеет право выполнять команды от имени root с использованием утилиты sudo. Подключите к виртуальной машине USB носитель. Информация о том, как подключить USB носитель в VirtualBox изложена в основном модуле в разделе Использование внешних носителей в VirtualBox. Отформатировать USB носитель можно, например, с помощью утилиты fly-admin-format.

../_images/aldpro_mod_13_practice_img20.png

рис. 462 Утилита fly-admin-format

  1. Создайте точку монтирования и примонтируйте USB накопитель:

    sudo mkdir /run/media
sudo mount /dev/sdb1 /run/media

Назначьте на корень носителя максимальную метку с атрибутом ccnr:

sudo pdpl-file 4:0:-1:ccnr /run/media

Создайте требуемую структуру каталогов:

sudo mkdir -p /run/media/Отдел_кадров/Документы_общего_пользования
sudo mkdir /run/media/Отдел_кадров/Для_служебного_пользования
sudo mkdir /run/media/Отдел_кадров/Секретно
sudo mkdir /run/media/Отдел_кадров/Совершенно_секретно

  1. Назначьте соответствующие уровни конфиденциальности на каталоги (0x20 соответствует категории «Отдел_Кадров»):

    sudo pdpl-file 4:0:0x20:ccnr /run/media/Отдел_Кадров
sudo pdpl-file 0:0:0x20:0 /run/media/Отдел_кадров/run/Документы_общего_пользования
sudo pdpl-file 1:0:0x20:0 /run/media/Отдел_кадров/Для_служебного_пользования
sudo pdpl-file 2:0:0x20:0 /run/media/Отдел_кадров/Секретно
sudo pdpl-file 3:0:0x20:0 /run/media/Отдел_кадров/Совершенно_секретно

  2. Настройте дискреционные права так, чтобы к информации на носителе имел доступ только пользователь hr_user:

    sudo chmod -R 770 /run/media/
sudo chown -R hr_user:hr_user /run/media/

Внимание

Сразу после этих команд носитель станет доступен только пользователю hr_user.

  1. Выполните вход в систему пользователем hr_user с уровнем конфиденциальности «Секретно» и категорией «Отдел_кадров». Убедитесь, что пользователь может создавать и редактировать файлы в каталоге /Отдел_кадров/Секретно, но не может этого делать в остальных каталогах:

    hr_user@pc-1:~$ echo "Здесь содержится секретная информация" > /run/media/Отдел_Кадров/Секретно/readme.txt
hr_user@pc-1:~$ cat /run/media/Отдел_Кадров/Секретно/readme.txt
Здесь содержится секретная информация

hr_user@pc-1:~$ cat /run/media/Отдел_Кадров/Секретно/readme.txt > /run/media/Отдел_Кадров/Для_служебного_пользования/readme.txt
bash: /Документы/Отдел_Кадров/Для_служебного_пользования/readme.txt: Отказано в доступе