Тест: Мандатное (обязательное) управление доступом и контроль целостности

Пожалуйста, ответьте на несколько вопросов, чтобы закрепить полученные знания. Правильные ответы для самопроверки вы сможете найти в конце списка. Обратите внимание, что у некоторых вопросов может быть несколько верных вариантов ответов.

Вопросы

Вопрос 1. Какое из следующих утверждений наилучшим образом описывает основное отличие мандатного управления доступом (МРД) от дискреционного (избирательного)?

  1. МРД проще в настройке для рядового пользователя.

  2. МРД позволяет владельцам файлов самостоятельно назначать права доступа.

  3. Управление метками безопасности в МРД может осуществлять только администратор системы.

  4. МРД не использует метки конфиденциальности.

Вопрос 2. Выберите ВСЕ верные утверждения, касающиеся модели Белла-ЛаПадулы (BLP), которая лежит в основе МРД:

  1. Субъект может читать объекты с уровнем конфиденциальности таким же или выше своего.

  2. Модель следует правилу «no read up, no write down».

  3. Модель полностью исключает возможность создания скрытых каналов передачи информации.

  4. Субъект на уровне «Secret» может записывать данные в объекты с уровнем «Confidential».

Вопрос 3. Администратор хочет делегировать пользователю localadmin права на изменение меток безопасности (МРД), но не хочет предоставлять полные права суперпользователя root. Какая привилегия для этого необходима?

  1. PARSEC_CAP_UNSAFE_SETXATTR

  2. PARSEC_CAP_CHMAC

  3. PARSEC_CAP_CCNR_RELAX

  4. PARSEC_CAP_CHMIC

Вопрос 4. Для чего используется мандатный атрибут CCNR, назначаемый на каталог?

  1. Чтобы запретить создание в каталоге объектов с разными метками конфиденциальности.

  2. Чтобы разрешить хранение в каталоге объектов с разными метками конфиденциальности, но не выше метки самого каталога.

  3. Чтобы автоматически повышать метку конфиденциальности всех новых файлов до максимального уровня.

  4. Чтобы сделать каталог доступным на запись для процессов с любой меткой целостности.

Вопрос 5. Какие из перечисленных особенностей работы с домашними каталогами пользователей в Astra Linux являются верными?

  1. Пользователь, вошедший в систему с уровнем «Секретно», увидит файлы, созданные им же в его домашнем каталоге при входе с уровнем «ДСП».

  2. Для каждого уровня конфиденциальности создается отдельный каталог в /home/.pdp/<username>/.

  3. Уровень целостности активно используется в именах и работе этих каталогов.

  4. Каталог с нулевой меткой безопасности (I0i0c0x0t0x0) активно используется для хранения личных файлов при входе с ненулевой меткой.

Вопрос 6. Какой режим защиты операционной системы Astra Linux является МИНИМАЛЬНО необходимым для полноценной работы мандатного управления доступом (МРД)?

  1. Обычный («Open»)

  2. Усиленный («Воронеж»)

  3. Максимальный («Смоленск»)

  4. Режим защиты никак не влияет на работу МРД

Вопрос 7. Выберите ВСЕ верные утверждения о мандатном контроле целостности (МКЦ) в Astra Linux 1.7.x:

  1. Модель следует правилу «запись вверх, чтение вниз» (write up, read down).

  2. Уровни целостности сравниваются по битовым маскам, а не как линейные значения.

  3. Максимальный уровень целостности по умолчанию имеет значение 63.

  4. Высокий уровень целостности (63) предназначен для повседневной работы обычных пользователей.

Вопрос 8. Какое действие выполняет утилита astra-mount-lock и каковы последствия её применения?

  1. Шифрует содержимое всех подключаемых USB-накопителей.

  2. Запрещает обычным пользователям монтирование неучтенных (незарегистрированных администратором) внешних носителей.

  3. Форматирует подключенный накопитель в файловую систему EXT4 с назначением меток безопасности.

  4. Автоматически назначает нулевую метку конфиденциальности на все файлы примонтированного накопителя.

Вопрос 9. Пользователю необходимо работать с конфиденциальными документами, хранящимися на USB-накопителе, отформатированном в EXT4. Выберите ВСЕ необходимые (или рекомендуемые) действия администратора для обеспечения безопасного использования этого носителя:

  1. Зарегистрировать накопитель как учтенное устройство в FreeIPA или локальной политике безопасности.

  2. Обязательно отформатировать накопитель в файловую систему FAT32 для корректной работы меток.

  3. Создать на накопителе структуру каталогов и назначить на них соответствующие метки безопасности с помощью pdpl-file.

  4. Назначить на точку монтирования дискреционные права, разрешающие запись нужному пользователю или группе (например, chown -R user:user /run/media).

  5. Убедиться, что значение параметра sysmaxlev достаточно для работы с требуемыми уровнями конфиденциальности.

Вопрос 10. Чем принципиально отличается поведение системы при монтировании УЧТЕННОГО накопителя с файловой системой FAT от накопителя с EXT4 с точки зрения мандатных меток?

  1. Для FAT и EXT4 метки безопасности всегда считываются из расширенных атрибутов файлов на самом носителе.

  2. Для FAT метки безопасности назначаются системой из регистрационной записи устройства, а для EXT4 — используются метки, хранящиеся в расширенных атрибутах на самом носителе.

  3. Для EXT4 метки безопасности назначаются системой из регистрационной записи устройства, а для FAT — используются метки, хранящиеся в расширенных атрибутах на самом носителе.

  4. Мандатные метки не поддерживаются для обеих файловых систем при работе со съемными носителями.