ЛАБ3
.docxМИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ,
СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ
УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ
«САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ТЕЛЕКОММУНИКАЦИЙ ИМ. ПРОФ. М.А. БОНЧ-БРУЕВИЧА»
(СПбГУТ)
Факультет Инфокоммуникационных сетей и систем
Кафедра Защищенных систем связи
Дисциплина Безопасность Astra-Linux
ОТЧЕТ ПО ЛАБОРАТОРНОЙ РАБОТЕ №3
СОЗДАНИЕ И НАСТРОЙКА ПАРАМЕТРОВ МАНДАТНОГO
УПРАВЛЕНИЯ ДОСТУПОМ
(тема отчета)
Направление/специальность подготовки
10.03.01 Информационная безопасность
(код и наименование направления/специальности)
Студент:
Травкина Е.А., ИКБ-14
(Ф.И.О., № группы) (подпись)
Федченко А.С., ИКБ-14
(Ф.И.О., № группы) (подпись)
Мельцин Л.М., ИКБ-14
(Ф.И.О., № группы) (подпись)
Преподаватель:
ст. преп. Гельфанд А.М.
(должность, Ф.И.О.) (подпись)
Введение
В ходе выполнения лабораторной работы, необходимо изучить мандатную модель управления доступом ОС Astra Linux Smolenks.
Цель
Изучить особенности процесса настройки мандатную модели управления доступом.
Задачи
Создать группы пользователей
Создать пользователей
Создать четыре каталога в папку home
Переименовать категории МРД
Настроить созданным пользователям МРД
Создать содержимое каталогов
Проверить права доступа пользователями
Используемое программное обеспечение
Для выполнения лабораторной работы используется платформа виртуализации VirtualBox и установленный дистрибутив ОС Astra Linux.
Порядок выполнения
Для выполнения данной лабораторной работы последовательно выполните следующие шаги.
Создание группы пользователей
Процесс создания группы пользователей эквивалентен созданию группы пользователей, описанной в прошлой лабораторной работе. Для выполнения лабораторной работы потребуется две группы пользователей:
Student
Teacher
Рис. 1. Создание групп пользователей
Создание пользователей
Для выполнения лабораторной работы потребуются четыре пользователя:
Stud-1
Stud-2
Teac-1
Teac-2
Пользователи Stud-1 и Stud-2 должны находиться в группе Student, пользователи Teac-1 и Teac-2 должны находиться в группе Teacher.
Рис. 2. Создание пользователей
Создание каталогов
Процесс создания каталогов эквивалентен созданию каталогов, описанному в прошлой лабораторной работе, названия каталогов приведены в таблице 1, так же в данной таблице представлены владельцы и группы владельцев директорий. Сначала создали каталог University в “Файловой системе” под названием University, после чего в нем создали каталоги из таблицы 1.
Таблица 1 Соответствие каталогов пользователю и группе
№ п.п. |
Название |
Владелец |
Группа |
1 |
Share-student 0 vlv |
user |
Student |
2 |
Share-student 1 vlv |
user |
Student |
3 |
Share-teacher 0 vlv |
user |
Teacher |
4 |
Share-teacher 1 vlv |
user |
Teacher |
Для создания каталогов можно воспользоваться менеджером файлов, запущенного от пользователя root. Запуск менеджера файлов от root, выполняется через терминал fly, путем ввода команд:
sudo –i fly-fm
Рис. 3. Создали каталоги пользователей
Рис. 4. Изменили группы каталогов
Настройка категорий МРД
Четвертый этап выполнения лабораторной работы заключается в настройки категорий МРД, для выполнения данного этапа открыли управление политикой безопасности и выбрали раздел мандатные атрибуты (Рис. 5).
Рис. 5. Окно настройки мандатных атрибутов
В рамках выполнения лабораторной работы требуется переименовали категория_2 в Преподаватель, и категория_1 в Студент. Для переименования перешли в раздел категории и двойным щелчком левой кнопки мыши перешли в меню редактирования и переписали наименование категории, результат переименования представлен на Рис. 5
Настройка МРД пользователей
Пятый этап выполнения лабораторной работы заключается в настройке пользователя user и применения категорий МРД к созданным пользователям. Пользователь user конфигурируется для первичной настройки дерева каталогов. Для конфигурации открыли управление политикой безопасности и выбрали раздел пользователи (Рис. 6), выбрали пользователя user и перешли в блок привилегии (Рис. 7).
Рис. 6. Окно настройки пользователя
Для упрощения работы отсортировали по разряду привилегии parsec и установили маркеры в следующих привилегиях:
parsec_cap_file_cap, parsec_cap_setmac, parsec_cap_chmac, parsec_cap_ignmaclvl, parsec_cap_ignmaccat (Рис. 7).
Рис. 7. Окно настройки привилегий
Далее назначили пользователям Stud-1, Stud-2, Teac-1, Teac-2 мандатные категории, для этого выбрали пользователя перешли в блок МРД и выбрали соответствующую категорию, таблица 2, так же выбрали уровни конфиденциальности и целостности, таблица 3.
Таблица 2. Категории для пользователя
№ п.п. |
Пользователь |
Наименование |
Мин |
Макс |
1 |
Stud-1 |
Студент |
да |
да |
2 |
Stud-2 |
Студент |
да |
да |
3 |
Teac-1 |
Преподаватель |
да |
да |
4 |
Teac-2 |
Преподаватель |
да |
да |
Важно!
Пользователи группы Student должны иметь категорию Студент, пользователи группы Teacher должны иметь категорию Преподаватель.
Таблица 3 Метки целостности для пользователя
№ п.п |
Пользователь |
Конфиденциальность |
|
Целостность |
|||
Мин |
Макс |
Мин |
|
Макс |
|||
1 |
Stud-1 |
0 |
0 |
0 |
|
0 |
|
2 |
Stud-2 |
0 |
1 |
0 |
|
0 |
|
3 |
Teac-1 |
0 |
0 |
0 |
|
0 |
|
4 |
Teac-2 |
0 |
1 |
0 |
|
0 |
|
Важно!
В рамках выполнения лабораторной работы изменять мандатные метки целостности не требуется.
Пример настройки МРД пользователя Stud-2 представлен на Рис. 8.
Рис. 8. Окно настройки МРД
Назначение МРД каталогам
Шестой шаг выполнения лабораторной работы заключается в настройки мандатных меток каталогам, в соответствии с таблицей 4. Перед тем как настраивать мандатные метки в созданных каталогах, поставили мандатные метки в основной каталоге по примеру ниже.
Таблица 4. Мандатные метки для каталогов
№ п. п. |
Каталог |
Уровень конфидент. |
Уровень целостности |
Категории |
Спец атрибуты |
1 |
Share-student 0 vlv |
0 |
низкий |
Студент |
ccnr |
2 |
Share-student 1 vlv |
1 |
низкий |
Студент |
ccnr |
3 |
Share-teacher 0 vlv |
0 |
низкий |
Преподаватель |
ccnr |
4 |
Share-teacher 1 vlv |
1 |
низкий |
Преподаватель |
ccnr |
Для назначения мандатных меток в менеджере файлов нажали правой кнопкой мыши на соответствующей директории и выбрали из выпадающего списка свойства (Рис. 8).
Рис. 9. Окно настройки мандатных меток
Дополнительно настроили пользователей в дискреционных атрибутах, чтобы пользователь мог создавать файлы в своём каталоге (Рис. 10).
Рис. 10. Дискреционная настройка пользователя файла
Проверка правильности настроек МРД
Последний шаг выполнения лабораторной работы заключается в проверке правильности настроек МРД, для проверки необходимо последовательно выполнить следующие действия:
Войти в систему от пользователя Stud-1 с уровнем конфиденциальность 0 и создать в директории Share-student 0 vlv файл otchet-1.txt и каталог stud-1.
Войти в систему от пользователя Stud-2 с уровнем конфиденциальность 1 и создать в директории Share-student 1 vlv файл otchet-2.txt и каталог stud-2.
Войти в систему от пользователя Teac-1 с уровнем конфиденциальность 0 и создать в директории Share-teacher 0 vlv файл lec-1.txt и каталог teach-1.
Войти в систему от пользователя Teac-2 с уровнем конфиденциальность 1 и создать в директории Share-teacher 1 vlv файл lec-2.txt и каталог teach-1.
После создания файлов и директорий должно получиться дерево каталогов эквивалентная Рис. 11.
Рис. 11. Дерево каталогов
В результате выполненных действий пользователи с уровнем конфиденциальности 1, имеют возможность просматривать директории и файлы с уровнем конфиденциальности 0 (Рис. 12). При проверке прав доступа в Менеджере файлов вкладке “Вид” поставить галочку на пункте “Отображать скрытое”.
Рис. 12. Просмотр доступных каталогов 0 уровня пользователем с доступом 1 уровня
А также возможно просматривать директории и файлы с уровнем конфиденциальности 1.
Вывод
В ходе выполнения лабораторной работы №3 была изучена мандатная модель управления доступом ОС Astra Linux Smolenks. А именно, разобран процесс создания пользователей, группы пользователей, каталогов, переименованы категорий МРД, изучен процесс настройки мандатной модели управления доступом, настроено созданным пользователям МРД и проверены права доступа пользователями.