Операционная система специального назначения «Astra linux special edition». Руководство по КСЗ. Часть 1 РУСБ.10015-01 97 01-1 Листов 138.


Чтобы посмотреть этот PDF файл с форматированием и разметкой, скачайте его и откройте на своем компьютере.
5011900101
Óòâåðæäåí
ÐÓÑÁ.10015-01-ÓÄ
Èíâ.ïîäë.Ïîäï.èäàòà
Âçàì.èíâ.
Èíâ.äóáë.
Ïîäï.èäàòà
2015
ÎÏÅÐÀÖÈÎÍÍÀßÑÈÑÒÅÌÀÑÏÅÖÈÀËÜÍÎÃÎÍÀÇÍÀ×ÅÍÈß
¾ASTRALINUXSPECIALEDITION¿
ÐóêîâîäñòâîïîÊÑÇ.×àñòü1
ÐÓÑÁ.10015-019701-1
Ëèñòîâ138
2
ÐÓÑÁ.10015-019701-1
ÀÍÍÎÒÀÖÈß
Íàñòîÿùèéäîêóìåíòÿâëÿåòñÿïåðâîé÷àñòüþðóêîâîäñòâàïîêîìïëåêñóñðåäñòâçà-
ùèòû(ÊÑÇ)îïåðàöèîííîéñèñòåìûñïåöèàëüíîãîíàçíà÷åíèÿ¾AstraLinuxSpecialEdition¿
ÐÓÑÁ.10015-01(äàëååïîòåêñòóÎÑ).
ÐóêîâîäñòâîïîÊÑÇñîñòîèòèçäâóõ÷àñòåé:

ÐÓÑÁ.10015-019701-1¾Îïåðàöèîííàÿñèñòåìàñïåöèàëüíîãîíàçíà÷åíèÿ¾Astra
LinuxSpecialEdition¿.ÐóêîâîäñòâîïîÊÑÇ.×àñòü1¿;

ÐÓÑÁ.10015-019701-2¾Îïåðàöèîííàÿñèñòåìàñïåöèàëüíîãîíàçíà÷åíèÿ¾Astra
LinuxSpecialEdition¿.ÐóêîâîäñòâîïîÊÑÇ.×àñòü2¿.
Âïåðâîé÷àñòèðóêîâîäñòâàïðèâåäåíûîáùèåñâåäåíèÿîÊÑÇ,ðàññìîòðåíûèäåí-
òèôèêàöèÿèàóòåíòèôèêàöèÿ,äèñêðåöèîííîåèìàíäàòíîåóïðàâëåíèåäîñòóïîì,î÷èñòêà
ïàìÿòè,èçîëÿöèÿìîäóëåé,ìàðêèðîâêàäîêóìåíòîâ,çàùèòàââîäà-âûâîäàèíôîðìàöèèíà
îò÷óæäàåìûéôèçè÷åñêèéíîñèòåëü,ñîïîñòàâëåíèåïîëüçîâàòåëÿñóñòðîéñòâîì,ðåãèñòðà-
öèÿñîáûòèé,íàäåæíîåâîññòàíîâëåíèå,ñðåäñòâàîãðàíè÷åíèÿïðàâäîñòóïàêñòðàíèöàì
ïàìÿòè,êîíòðîëüöåëîñòíîñòèèãåíåðàöèÿÊÑÇ,ðåæèìêèîñêà,çàïóñêÎÑ.
Âîâòîðîé÷àñòèðóêîâîäñòâàïðèâåäåíîîïèñàíèåòåñòîâÊÑÇ.
3
ÐÓÑÁ.10015-019701-1
ÑÎÄÅÐÆÀÍÈÅ
1.Îáùèåñâåäåíèÿ........................................7
1.1.ÑîñòàâÊÑÇ..........................................7
1.2.Êîíòðîëèðóåìûåôóíêöèè.................................7
1.3.ÑðåäñòâàîðãàíèçàöèèÅÏÏ................................9
2.Èäåíòèôèêàöèÿèàóòåíòèôèêàöèÿ.............................10
3.Äèñêðåöèîííîåðàçãðàíè÷åíèåäîñòóïà..........................12
3.1.Îáùèåñâåäåíèÿ.......................................12
3.2.Linux-ïðèâèëåãèè.......................................17
3.3.ÑðåäñòâàóïðàâëåíèÿäèñêðåöèîííûìèÏÐÄ......................17
3.3.1.chown............................................18
3.3.2.chgrp.............................................19
3.3.3.chmod............................................19
3.3.4.umask............................................21
4
ÐÓÑÁ.10015-019701-1
4.4.7.sumac............................................40
4.4.8.userlev............................................41
4.4.9.usercat............................................42
4.4.10.ÓñòàðåâøèåóòèëèòûóïðàâëåíèÿìàíäàòíûìèÏÐÄ................42
4.4.10.1.chmac..........................................42
4.4.10.2.macid...........................................44
4.4.10.3.lsm............................................44
4.4.10.4.psmac..........................................45
4.4.10.5.usermac.........................................45
5
ÐÓÑÁ.10015-019701-1
8.Çàùèòàââîäà-âûâîäàèíôîðìàöèèíàîò÷óæäàåìûéôèçè÷åñêèéíîñèòåëü.....81
9.Ñîïîñòàâëåíèåïîëüçîâàòåëÿñóñòðîéñòâîì.......................82
10.Ðåãèñòðàöèÿñîáûòèé....................................83
10.1.Ñðåäñòâàóïðàâëåíèÿïðîòîêîëèðîâàíèåì.......................83
6
ÐÓÑÁ.10015-019701-1
13.2.Ñðåäñòâîïîäñ÷åòàêîíòðîëüíûõñóììôàéëîââdeb-ïàêåòàõ............108
13.3.Ñðåäñòâîêîíòðîëÿñîîòâåòñòâèÿäèñòðèáóòèâó....................109
13.4.Ñðåäñòâàðåãëàìåíòíîãîêîíòðîëÿöåëîñòíîñòè....................109
13.4.1.Íàñòðîéêà.........................................109
13.5.Ñðåäñòâàñîçäàíèÿçàìêíóòîéïðîãðàììíîéñðåäû..................113
13.5.1.Íàñòðîéêàìîäóëÿdigsig_verif.............................114
13.5.2.Ïîäïèñûâàíèå......................................117
14.ÃåíåðàöèÿÊÑÇ........................................120
15.Ðåæèìêèîñêà.........................................121
15.1.Îáùèåñâåäåíèÿ......................................121
15.2.mkiosk............................................121
15.3.otrace.............................................123
15.4.y-admin-kiosk........................................127
15.5.Íàñòðîéêàðåæèìàêèîñêàäëÿïîëüçîâàòåëÿ......................127
15.6.ÊèîñêFly...........................................130
16.Ðåæèìçàïðåòàóñòàíîâêèèñïîëíÿåìîãîáèòà......................132
17.ÇàïóñêÎÑ...........................................133
17.1.Çàïóñê............................................133
17.2.Íàñòðîéêàïàðàìåòðîâ,íåîáõîäèìûõäëÿýêñïëóàòàöèèÎÑ............134
17.3.Ïðîâåðêàïðàâèëüíîñòèçàïóñêà.............................134
Ïåðå÷åíüñîêðàùåíèé......................................136
ÐÓÑÁ.10015-019701-2¾Îïåðàöèîííàÿñèñòåìàñïåöèàëüíîãîíàçíà÷åíèÿ¾AstraLinux
SpecialEdition¿.ÐóêîâîäñòâîïîÊÑÇ.×àñòü2¿
7
ÐÓÑÁ.10015-019701-1
1.ÎÁÙÈÅÑÂÅÄÅÍÈß
OCïðåäíàçíà÷åíàäëÿïîñòðîåíèÿàâòîìàòèçèðîâàííûõñèñòåìâçàùèùåííîìèñ-
ïîëíåíèè,îáðàáàòûâàþùèõèíôîðìàöèþ,ñîäåðæàùóþñâåäåíèÿ,ñîñòàâëÿþùèåãîñóäàð-
ñòâåííóþòàéíóñãðèôîìíåâûøå¾ñîâåðøåííîñåêðåòíî¿.
ÊÑÇ(ïîäñèñòåìàáåçîïàñíîñòèPARSEC)ïðåäíàçíà÷åíäëÿðåàëèçàöèèôóíêöèé
ÎÑïîçàùèòåèíôîðìàöèèîòÍÑÄèïðåäîñòàâëåíèÿàäìèíèñòðàòîðóáåçîïàñíîñòèèí-
ôîðìàöèèñðåäñòâóïðàâëåíèÿôóíêöèîíèðîâàíèåìÊÑÇ.
ÂÍÈÌÀÍÈÅ!
ÏîñëåóñòàíîâêèÎÑèíòåðàêòèâíûéâõîäâñèñòåìóñóïåðïîëüçîâà-
òåëÿ
root
ïîóìîë÷àíèþçàáëîêèðîâàí.Ñîçäàâàåìûéïðèóñòàíîâêåîïåðàöèîííîéñè-
ñòåìûïîëüçîâàòåëüâêëþ÷àåòñÿâãðóïïó
astra-admin
.Ïîëüçîâàòåëÿì,âõîäÿùèìâíà-
çâàííóþãðóïïó,÷åðåçìåõàíèçì
sudo
ïðåäîñòàâëÿþòñÿïðàâàäëÿâûïîëíåíèÿäåéñòâèé
ïîíàñòðîéêåÎÑ,òðåáóþùèõïðèâèëåãèéñóïåðïîëüçîâàòåëÿ
root
.Äàëååïîòåêñòóòàêîé
ïîëüçîâàòåëüèìåíóåòñÿàäìèíèñòðàòîðîì.
1.1.ÑîñòàâÊÑÇ
ÂñîñòàâÊÑÇâõîäÿòñëåäóþùèåîñíîâíûåïîäñèñòåìû:

ìîäóëèïîäñèñòåìûáåçîïàñíîñòèPARSEC,âõîäÿùèåâñîñòàâÿäðàÎÑ;

áèáëèîòåêè;

óòèëèòûáåçîïàñíîñòè;

ïîäñèñòåìàïðîòîêîëèðîâàíèÿ(ðåãèñòðàöèè);

ìîäóëèàóòåíòèôèêàöèè;

ãðàôè÷åñêàÿïîäñèñòåìà;

êîíñîëüíûéâõîäâñèñòåìó;

ñðåäñòâàêîíòðîëÿöåëîñòíîñòè;

ñðåäñòâàâîññòàíîâëåíèÿ;

ñðåäñòâàðàçãðàíè÷åíèÿäîñòóïàêïîäêëþ÷àåìûìóñòðîéñòâàì.
1.2.Êîíòðîëèðóåìûåôóíêöèè
ÊÑÇîáåñïå÷èâàåòðåàëèçàöèþñëåäóþùèõôóíêöèéÎÑïîçàùèòåèíôîðìàöèèîò
ÍÑÄ:

èäåíòèôèêàöèþèàóòåíòèôèêàöèþ;

äèñêðåöèîííîåðàçãðàíè÷åíèåäîñòóïà;

ìàíäàòíîåðàçãðàíè÷åíèåäîñòóïà;

î÷èñòêóïàìÿòè;

èçîëÿöèþìîäóëåé;

ìàðêèðîâêóäîêóìåíòîâ;
8
ÐÓÑÁ.10015-019701-1

çàùèòóââîäà-âûâîäàèíôîðìàöèèíàîò÷óæäàåìûéôèçè÷åñêèéíîñèòåëü;

ñîïîñòàâëåíèåïîëüçîâàòåëÿñóñòðîéñòâîì;

ðåãèñòðàöèþñîáûòèé;

íàäåæíîåâîññòàíîâëåíèå;

êîíòðîëüöåëîñòíîñòèÊÑÇ.
Ðåàëèçàöèÿïåðå÷èñëåííûõâûøåôóíêöèéîñíîâàíàíàñëåäóþùèõîñíîâíûõïî-
ëîæåíèÿõ:
1)
ñêàæäûìïîëüçîâàòåëåìñèñòåìûñâÿçàíóíèêàëüíûé÷èñëåííûéèäåíòèôèêà-
òîðèäåíòèôèêàòîðïîëüçîâàòåëÿ(UID),êîòîðûéÿâëÿåòñÿêëþ÷îìêñîîòâåòñòâó-
þùåéçàïèñèâÁÄïîëüçîâàòåëåé,ñîäåðæàùåéèíôîðìàöèþîïîëüçîâàòåëÿõ,âêëþ-
÷àÿèõðåàëüíûåèñèñòåìíûåèìåíà.ÁÄïîëüçîâàòåëåéïîääåðæèâàåòñÿèóïðàâ-
ëÿåòñÿñèñòåìíûìàäìèíèñòðàòîðîì.UIDåñòüÿðëûêñóáúåêòà(íîìèíàëüíûéñóáú-
åêò),êîòîðûìñèñòåìàïîëüçóåòñÿäëÿîïðåäåëåíèÿïðàâäîñòóïà.ÁÄïîëüçîâàòå-
ëåéâÎÑìîæåòáûòüêàêëîêàëüíîéäëÿñèñòåìû,òàêèÿâëÿòüñÿ÷àñòüþÅÏÏ,
ôóíêöèîíèðóþùåãîíàîñíîâåïðîòîêîëàLDAP;
2)
êàæäûéïîëüçîâàòåëüâõîäèòâîäíóèëèáîëååãðóïï.Ãðóïïàýòîñïèñîêïîëü-
çîâàòåëåéñèñòåìû,èìåþùèéñîáñòâåííûéèäåíòèôèêàòîð(GID).Ïîñêîëüêóãðóïïà
îáúåäèíÿåòíåñêîëüêîïîëüçîâàòåëåéñèñòåìû,âòåðìèíàõïîëèòèêèáåçîïàñíîñòè
îíàñîîòâåòñòâóåòïîíÿòèþ¾ìíîæåñòâåííûéñóáúåêò¿.GIDåñòüÿðëûêìíîæåñòâåí-
íîãîñóáúåêòà,êîòîðûõóíîìèíàëüíîãîñóáúåêòàìîæåòáûòüáîëååîäíîãî.Òàêèì
îáðàçîì,îäíîìóUIDñîîòâåòñòâóåòñïèñîêGID;
3)
ðîëüäåéñòâèòåëüíîãî(ðàáîòàþùåãîñîáúåêòàìè)ñóáúåêòàèãðàåòïðîöåññ.Êàæ-
äûéïðîöåñññíàáæåíåäèíñòâåííûìUID:ýòîèäåíòèôèêàòîðçàïóñòèâøåãîïðîöåññ
íîìèíàëüíîãîñóáúåêòà,ò.å.ïîëüçîâàòåëÿ.Ïðîöåññ,ïîðîæäåííûéíåêîòîðûìïðî-
öåññîìïîëüçîâàòåëÿ,íàñëåäóåòåãîUID.Òàêèìîáðàçîì,âñåïðîöåññû,çàïóñêà-
åìûåïîæåëàíèþïîëüçîâàòåëÿ,áóäóòèìåòüåãîèäåíòèôèêàòîð.Âñåïðîöåññû,
ïðèíàäëåæàùèåïîëüçîâàòåëþ,îáðàçóþòñåàíñïîëüçîâàòåëÿ.Ïåðâûéïðîöåñññå-
àíñàïîëüçîâàòåëÿïîðîæäàåòñÿïîñëåïðîõîæäåíèÿïðîöåäóðèäåíòèôèêàöèèè
àóòåíòèôèêàöèè.Ïðèîáðàùåíèèïðîöåññàêîáúåêòóäîñòóïïðåäîñòàâëÿåòñÿïî
ðåçóëüòàòàìïðîöåäóðûàâòîðèçàöèè,ò.å.îáðàáîòêèçàïðîñàíàîñíîâåìàíäàòíûõ
èäèñêðåöèîííûõÏÐÄ;
4)
ìåõàíèçìÏÐÄðåàëèçîâàíâÿäðåÎÑ,÷òîîáåñïå÷èâàåòåãîïðàâèëüíîåôóíê-
öèîíèðîâàíèåïðèèñïîëüçîâàíèèëþáûõêîìïîíåíò,ïðåäîñòàâëÿåìûõÎÑ.Ðåàëè-
çàöèÿìàíäàòíîãîðàçãðàíè÷åíèÿäîñòóïàçàòðàãèâàåòâñåïîäñèñòåìûÿäðà,âêîòî-
ðûõðåàëèçîâàíîäèñêðåöèîííîåðàçãðàíè÷åíèåäîñòóïà.Ïðèýòîì,îáàâèäàðàç-
ãðàíè÷åíèÿäîñòóïàôóíêöèîíèðóþòïàðàëëåëüíî,íåâëèÿÿíàïðèíÿòèåðåøåíèé
9
ÐÓÑÁ.10015-019701-1
äðóãäðóãà(íåïðîòèâîðå÷èâîñòü).Äîñòóïðàçðåøàåòñÿâòîìñëó÷àå,åñëèîíâîçìî-
æåíîòíîñèòåëüíîäèñêðåöèîííûõèìàíäàòíûõÏÐÄ.Çàïðåùàåòñÿâñëó÷àå,åñëè
äîñòóïçàïðåùåíîòíîñèòåëüíîëþáîãîèçìåõàíèçìîâ.
1.3.ÑðåäñòâàîðãàíèçàöèèÅÏÏ
ÎðãàíèçàöèÿÅÏÏîáåñïå÷èâàåò:

ñêâîçíóþàóòåíòèôèêàöèþâñåòè;

öåíòðàëèçàöèþõðàíåíèÿèíôîðìàöèèîáîêðóæåíèèïîëüçîâàòåëåé;

öåíòðàëèçàöèþõðàíåíèÿíàñòðîåêñèñòåìûçàùèòûèíôîðìàöèèíàñåðâåðå.
Ñåòåâàÿàóòåíòèôèêàöèÿèöåíòðàëèçàöèÿõðàíåíèÿèíôîðìàöèèîáîêðóæåíèè
ïîëüçîâàòåëÿïîäðàçóìåâàåòèñïîëüçîâàíèåäâóõîñíîâíûõìåõàíèçìîâ:ïîääåðæêèêðîññ-
ïëàòôîðìåííûõñåðâåðíûõïðèëîæåíèéäëÿîáåñïå÷åíèÿáåçîïàñíîñòè(NSS)èïîäãðóæà-
åìûõàóòåíòèôèêàöèîííûõìîäóëåé(PAM).Ñêâîçíàÿàóòåíòèôèêàöèÿâñåòèðåàëèçóåòñÿ
íàîñíîâåïðîòîêîëàKerberosñèñïîëüçîâàíèåìñëóæáûêàòàëîãîâLDAPâêà÷åñòâåèñòî÷-
íèêàäàííûõäëÿáàçîâûõñèñòåìíûõñåðâèñîâíàáàçåìåõàíèçìîâNSSèPAM.Ïîäîáíûé
ïîäõîäîáåñïå÷èâàåòöåíòðàëèçàöèþõðàíåíèÿèíôîðìàöèèîáîêðóæåíèèïîëüçîâàòåëåé
(âòîì÷èñëåïðåäíàçíà÷åííóþäëÿîáåñïå÷åíèÿìàíäàòíîãîðàçãðàíè÷åíèÿäîñòóïà):

ñóùåñòâóþùèåâñèñòåìåìàíäàòíûåóðîâíèèêàòåãîðèè;

ìèíèìàëüíûåèìàêñèìàëüíûåìàíäàòíûåóðîâíè,äîñòóïíûåïîëüçîâàòåëÿìïðè
âõîäåâñèñòåìó;

ìèíèìàëüíûåèìàêñèìàëüíûåíàáîðûìàíäàòíûõêàòåãîðèé,äîñòóïíûåïîëüçî-
âàòåëÿìïðèâõîäåâñèñòåìó;

÷ëåíûïðèâèëåãèðîâàííûõãðóïï,êîòîðûåìîãóòïîëó÷àòüèçÁÄñëóæáûêàòàëî-
ãîâLDAPîïðåäåëåííóþèíôîðìàöèþîïîëüçîâàòåëÿõ.
Êðîìåòîãî,ñèñïîëüçîâàíèåìÑÇÔÑCIFSîáåñïå÷åíîöåíòðàëèçîâàííîåõðàíåíèå
äîìàøíèõêàòàëîãîâïîëüçîâàòåëåé.
ÄëÿñíèæåíèÿíàãðóçêèíàñåòüèïîâûøåíèÿïðîèçâîäèòåëüíîñòèâÅÏÏìîæåò
ïðèìåíÿòüñÿêýøèðîâàíèåðåäêîèçìåíÿåìîéèíôîðìàöèèâëîêàëüíîìêýøå.
ÂÍÈÌÀÍÈÅ!
Èçìåíåííàÿíàñåðâåðåèíôîðìàöèÿìîæåòïîïàñòüâëîêàëü-
íûéêýøñçàäåðæêîé.Ïåðèîäîáíîâëåíèÿëîêàëüíîãîêýøàçàäàåòñÿïàðàìåòðîì
CACHE_REFRESH_PERIOD
âêîíôèãóðàöèîííîìôàéëå
10
ÐÓÑÁ.10015-019701-1
2.ÈÄÅÍÒÈÔÈÊÀÖÈßÈÀÓÒÅÍÒÈÔÈÊÀÖÈß
ÔóíêöèÿèäåíòèôèêàöèèèàóòåíòèôèêàöèèïîëüçîâàòåëåéâÎÑîñíîâûâàåòñÿíà
èñïîëüçîâàíèèìåõàíèçìàPAM.
PAMïðåäñòàâëÿþòñîáîéíàáîððàçäåëÿåìûõáèáëèîòåê(ò.í.¾ìîäóëåé¿),ñïîìî-
ùüþêîòîðûõñèñòåìíûéàäìèíèñòðàòîðìîæåòîðãàíèçîâàòüïðîöåäóðóàóòåíòèôèêàöèè
(ïîäòâåðæäåíèåïîäëèííîñòè)ïîëüçîâàòåëåéïðèêëàäíûìèïðîãðàììàìè.Êàæäûéìîäóëü
ðåàëèçóåòñîáñòâåííûéìåõàíèçìàóòåíòèôèêàöèè.Èçìåíÿÿíàáîðèïîðÿäîêñëåäîâàíèÿ
ìîäóëåé,ìîæíîïîñòðîèòüñöåíàðèéàóòåíòèôèêàöèè.
Ïîäîáíûéïîäõîäïîçâîëÿåòèçìåíÿòüïðîöåäóðóàóòåíòèôèêàöèèáåçèçìåíåíèÿ
èñõîäíîãîêîäàèïîâòîðíîãîêîìïèëèðîâàíèÿPAM.
Ñöåíàðèèàóòåíòèôèêàöèè(ò.å.ðàáîòàýòèõôóíêöèé)îïèñûâàþòñÿâêîíôèãóðà-
öèîííîìôàéëå
11
ÐÓÑÁ.10015-019701-1
êàòàëîãîâLDAP.ÑåðâèñûLDAPïîçâîëÿþòðàçãðàíè÷èâàòüäîñòóïïîëüçîâàòåëåéêðàçíûì
ïîääåðåâüÿìêàòàëîãà,õîòÿïîóìîë÷àíèþâÎÑðåàëèçóåòñÿñõåìàîäíîãîäîìåíà.
Äëÿóïðàâëåíèÿïîëüçîâàòåëÿìè,ãðóïïàìèèíàñòðîéêàìèèõàòðèáóòîâèñïîëüçóåò-
ñÿãðàôè÷åñêàÿóòèëèòà
fly-admin-smc
.Îïèñàíèåãðàôè÷åñêîéóòèëèòûñì.âýëåêòðîí-
íîéñïðàâêå.
ÄëÿóïðàâëåíèÿÁÄALDâðåæèìåêîìàíäíîéñòðîêèèñïîëüçóåòñÿóòèëèòà
ald-admin
,ïîäðîáíîåîïèñàíèåêîòîðîéïðèâåäåíîâ
manald-admin
.
Ïðèìå÷àíèå.ÏðèñîçäàíèèëîêàëüíûõïîëüçîâàòåëåéèëèïîëüçîâàòåëåéÅÏÏ
íåîáõîäèìîîáÿçàòåëüíîóñòàíàâëèâàòüäëÿíèõäèàïàçîíûäîïóñòèìûõìàíäàòíûõóðîâ-
íåéèêàòåãîðèé:ìèíèìàëüíûéèìàêñèìàëüíûéìàíäàòíûåóðîâíè,ìèíèìàëüíûéèìàê-
ñèìàëüíûéíàáîðûìàíäàòíûõêàòåãîðèé(ðàçäåë4).Îòñóòñòâèåóñòàíîâëåííûõäîïóñòè-
ìûõäèàïàçîíîâìàíäàòíûõàòðèáóòîâïðèâîäèòêçàïðåùåíèþäîñòóïàïðèîáðàùåíèèê
ñåòåâûìñåðâèñàìçàùèùåííûõêîìïëåêñîâïðîãðàììãèïåðòåêñòîâîéîáðàáîòêèäàííûõ,
ýëåêòðîííîéïî÷òû,ÑÓÁÄèïå÷àòè.
Ïîóìîë÷àíèþâñöåíàðèè
12
ÐÓÑÁ.10015-019701-1
3.ÄÈÑÊÐÅÖÈÎÍÍÎÅÐÀÇÃÐÀÍÈ×ÅÍÈÅÄÎÑÒÓÏÀ
3.1.Îáùèåñâåäåíèÿ
ÂÎÑðåàëèçîâàíìåõàíèçìäèñêðåöèîííûõÏÐÄèìåíîâàííûõñóáúåêòîâ(ïîëüçî-
âàòåëåé)êèìåíîâàííûìîáúåêòàì.ÐåàëèçàöèÿìåõàíèçìàäèñêðåöèîííûõÏÐÄîáåñïå÷è-
âàåòíàëè÷èåäëÿêàæäîéïàðû(ñóáúåêò-îáúåêò)ÿâíîåèíåäâóñìûñëåííîåïåðå÷èñëåíèå
äîïóñòèìûõòèïîâäîñòóïà.
Äèñêðåöèîííûéêîíòðîëüäîñòóïàïðèìåíÿåòñÿêêàæäîìóîáúåêòóèêàæäîìóñóáú-
åêòóèçàêëþ÷àåòñÿâòîì,÷òîíàçàùèùàåìûåèìåíîâàííûåîáúåêòûóñòàíàâëèâàþòñÿ(àâ-
òîìàòè÷åñêèïðèèõñîçäàíèè)áàçîâûåÏÐÄââèäåèäåíòèôèêàòîðîâíîìèíàëüíûõñóáúåê-
òîâ(UIDèGID),êîòîðûåâïðàâåðàñïîðÿæàòüñÿäîñòóïîìêäàííîìóîáúåêòóèïðàâäîñòóïà
êîáúåêòó.Îïðåäåëÿþòñÿòðèâèäàäîñòóïà:÷òåíèå(read,r),çàïèñü(write,w)èèñïîëíåíèå
(execution,x).Ïðàâàäîñòóïàâêëþ÷àþòñïèñîê(áèòîâóþìàñêó)èçäåâÿòèïóíêòîâ:ïîòðè
âèäàäîñòóïàäëÿòðåõêëàññîâ-ïîëüçîâàòåëÿ-âëàäåëüöà,ãðóïïû-âëàäåëüöàèâñåõîñòàëü-
íûõ.Êàæäûéïóíêòâýòîìñïèñêåìîæåòáûòüëèáîðàçðåøåí,ëèáîçàïðåùåí(ðàâåí1èëè
0).
Ïðèîáðàùåíèèïðîöåññàêîáúåêòó(ñçàïðîñîìäîñòóïàîïðåäåëåííîãîâèäà,ò.å.íà
÷òåíèå,çàïèñüèëèèñïîëíåíèå)ñèñòåìàïðîâåðÿåòñîâïàäåíèåèäåíòèôèêàòîðîââëàäåëü-
öåâïðîöåññàèâëàäåëüöåâôàéëàâîïðåäåëåííîìïîðÿäêå,èâçàâèñèìîñòèîòðåçóëüòàòà,
ïðèìåíÿåòòóèëèèíóþãðóïïóïðàâ.
Ïðàâàäîñòóïàôàéëîâîãîîáúåêòàìîãóòáûòüèçìåíåíû,åñëèýòîðàçðåøåíî(ñàíê-
öèîíèðîâàíî)òåêóùèìèïðàâèëàìèðàçãðàíè÷åíèÿäîñòóïà.
Ñóùåñòâóþòòàêæåñïåöèàëüíûåáèòû,òàêèåêàê:

SUID
13
ÐÓÑÁ.10015-019701-1
ÄîïîëíèòåëüíîâÎÑìåõàíèçìîìäèñêðåöèîííûõÏÐÄïîääåðæèâàþòñÿñïèñêèêîí-
òðîëÿäîñòóïàACL(AccessControlList),ðåàëèçîâàííûåíàîñíîâåðàñøèðåííûõàòðèáóòîâ
ôàéëîâûõñèñòåì.ÑèñïîëüçîâàíèåìACLìîæíîäîïîëíèòåëüíîäëÿêàæäîãîîáúåêòàçà-
äàâàòüïðàâàíàäîñòóïñóáúåêòîâêíåìó.
ACLñîñòîèòèçíàáîðàçàïèñåé.Ïðàâàäîñòóïàêîáúåêòóäëÿïîëüçîâàòåëÿ-
âëàäåëüöà,ãðóïïû-âëàäåëüöàèâñåõîñòàëüíûõèìåþòñîîòâåòñòâóþùååïðåäñòàâëåíèå
âACLââèäåîòäåëüíûõçàïèñåé.ACLñîîòâåòñòâóþùèéáàçîâûìÏÐÄíàçûâàåòñÿìèíè-
ìàëüíûìACL.Òàêèìîáðàçîì,êêàæäîìóîáúåêòóäîñòóïàâñåãäàñîïîñòàâëÿåòñÿìèíè-
ìàëüíûéACL,âêëþ÷àþùèéòðèçàïèñè:äëÿïîëüçîâàòåëÿ-âëàäåëüöà,ãðóïïû-âëàäåëüöàè
âñåõîñòàëüíûõ.Ïðàâàäîñòóïàäëÿäîïîëíèòåëüíûõñóáúåêòîâîïðåäåëÿþòñÿâäîïîëíè-
òåëüíûõçàïèñÿõACL.
ACLâêëþ÷àþùèéáîëååòðåõçàïèñåéíàçûâàåòñÿðàñøèðåííûìACL.Îíäîïîëíè-
òåëüíîñîäåðæèòçàïèñüäëÿìàñêèäîñòóïàèíàáîðçàïèñåéäëÿèìåíîâàííûõïîëüçîâàòå-
ëåéèèìåíîâàííûõãðóïï.
Âîáùåìñëó÷àåACLâêëþ÷àåòçàïèñèñëåäóþùèõòèïîâ:

ïîëüçîâàòåëü-âëàäåëåö(òåêñòîâîåïðåäñòàâëåíèå:
user::rwx
);

èìåíîâàííûéïîëüçîâàòåëü(òåêñòîâîåïðåäñòàâëåíèå:
user:user_name:rwx
);

ãðóïïà-âëàäåëüöà(òåêñòîâîåïðåäñòàâëåíèå:
group::rwx
);

èìåíîâàííàÿãðóïïà(òåêñòîâîåïðåäñòàâëåíèå:
user:group_name:rwx
);

ìàñêàäîñòóïà(òåêñòîâîåïðåäñòàâëåíèå:
mask::rwx
);

âñåîñòàëüíûå(òåêñòîâîåïðåäñòàâëåíèå:
other::rwx
).
Çàïèñüìàñêèäîñòóïàèñïîëüçóåòñÿäëÿîãðàíè÷åíèÿðàñïðîñòðàíåíèÿïðàâäîñòó-
ïàèìåíîâàííûõïîëüçîâàòåëåéèãðóïï.
ÂìåõàíèçìåäèñêðåöèîííûõÏÐÄðåàëèçîâàíîîòîáðàæåíèåïðàâäîñòóïàêîáú-
åêòó,óêàçàííûõâáèòîâîéìàñêåäëÿòðåõêëàññîâ(ïîëüçîâàòåëÿ-âëàäåëüöà,ãðóïïû-
âëàäåëüöàèâñåõîñòàëüíûõ)âñîîòâåòñòâóþùèåçàïèñèACL.
ÏðèèñïîëüçîâàíèèìèíèìàëüíîãîACL:

ïðàâàäîñòóïàèçáèòîâîéìàñêèäëÿêëàññàïîëüçîâàòåëü-âëàäåëåö(íàïðèìåð,
rwx
)îòîáðàæàþòñÿâèäåíòè÷íûåïðàâàäîñòóïàçàïèñèACLòèïàïîëüçîâàòåëü-
âëàäåëåö(íàïðèìåð,
user::rwx
);

ïðàâàäîñòóïàèçáèòîâîéìàñêèäëÿêëàññàãðóïïà-âëàäåëüöà(íàïðèìåð,
rw-
)
îòîáðàæàþòñÿâèäåíòè÷íûåïðàâàäîñòóïàçàïèñèACLòèïàãðóïïà-âëàäåëüöà(íà-
ïðèìåð,
group::rw-
);

ïðàâàäîñòóïàèçáèòîâîéìàñêèäëÿêëàññàâñåîñòàëüíûå(íàïðèìåð,
r--
)îòîá-
ðàæàþòñÿâèäåíòè÷íûåïðàâàäîñòóïàçàïèñèACLòèïàâñåîñòàëüíûå(íàïðèìåð,
group::r--
).
14
ÐÓÑÁ.10015-019701-1
ÏðèèñïîëüçîâàíèèðàñøèðåííîãîACL:

ïðàâàäîñòóïàèçáèòîâîéìàñêèäëÿêëàññàïîëüçîâàòåëü-âëàäåëåö(íàïðèìåð,
rwx
)îòîáðàæàþòñÿâèäåíòè÷íûåïðàâàäîñòóïàçàïèñèACLòèïàïîëüçîâàòåëü-
âëàäåëåö(íàïðèìåð,
user::rwx
);

ïðàâàäîñòóïàèçáèòîâîéìàñêèäëÿêëàññàãðóïïà-âëàäåëüöà(íàïðèìåð,
rw-
)
îòîáðàæàþòñÿâèäåíòè÷íûåïðàâàäîñòóïàçàïèñèACLòèïàìàñêàäîñòóïà(íàïðè-
ìåð,
mask::rw-
);

ïðàâàäîñòóïàèçáèòîâîéìàñêèäëÿêëàññàâñåîñòàëüíûå(íàïðèìåð,
r--
)îòîá-
ðàæàþòñÿâèäåíòè÷íûåïðàâàäîñòóïàçàïèñèACLòèïàâñåîñòàëüíûå(íàïðèìåð,
group::r--
).
ÐåàëèçîâàííàÿâìåõàíèçìåäèñêðåöèîííûõÏÐÄïðîâåðêàïðàâäîñòóïàñóáúåêòà
êîáúåêòó,âûïîëíÿåòñÿâäâàýòàïà.ÍàïåðâîìýòàïåâûáèðàåòñÿçàïèñüACL,ñîîòâåòñòâó-
þùàÿñóáúåêòóäîñòóïà.ÇàïèñèACLäëÿîáúåêòàäîñòóïàïðîñìàòðèâàþòñÿâñëåäóþùåì
ïîðÿäêå:
1)
çàïèñüäëÿïîëüçîâàòåëÿ-âëàäåëüöà;
2)
çàïèñèèìåíîâàííûõïîëüçîâàòåëåé;
3)
çàïèñüãðóïïû-âëàäåëüöà;
4)
çàïèñèèìåíîâàííûõãðóïï;
5)
çàïèñüäëÿâñåõîñòàëüíûõ.
ÐåøåíèåîäîñòóïåïðèíèìàåòñÿòîëüêîíàîñíîâåîäíîéâûáðàííîéçàïèñèACL.
Íàâòîðîìýòàïåïðîâåðÿåòñÿ,÷òîçàïèñüACLñîäåðæèòíåîáõîäèìûåïðàâàäîñòóïà.
Àëãîðèòìïðîâåðêèïðàâäîñòóïàèìååòñëåäóþùèéâèä:
1)
Ïðîâåðÿåòñÿÿâëÿåòñÿëèñóáúåêòäîñòóïàïîëüçîâàòåëåì-âëàäåëüöåìîáúåêòà.
Åñëèñóáúåêòäîñòóïàíåÿâëÿåòñÿïîëüçîâàòåëåì-âëàäåëüöåìîáúåêòà,òîïðîâåðêà
ïðîäîëæàåòñÿ.Åñëèñóáúåêòäîñòóïàÿâëÿåòñÿïîëüçîâàòåëåì-âëàäåëüöåìîáúåêòà,
òîïðîâåðÿåòñÿðàçðåøåíëèâñîîòâåòñòâèèñâûáðàííîéçàïèñüþACLçàïðîøåí-
íûéñóáúåêòîìâèääîñòóïà.Ïîðåçóëüòàòàìïðîâåðêèäîñòóïëèáîðàçðåøàåòñÿ
ëèáîçàïðåùàåòñÿ.
2)
Ïðîâåðÿåòñÿÿâëÿåòñÿëèñóáúåêòäîñòóïàîäíèìèçèìåíîâàííûõïîëüçîâàòå-
ëåé,óêàçàííûõâçàïèñÿõACL.Åñëèñóáúåêòäîñòóïàíåÿâëÿåòñÿèìåíîâàííûì
ïîëüçîâàòåëåì,óêàçàííûìâçàïèñÿõACL,òîïðîâåðêàïðîäîëæàåòñÿ.Åñëèñóáú-
åêòäîñòóïàÿâëÿåòñÿèìåíîâàííûìïîëüçîâàòåëåì,òîïðîâåðÿåòñÿðàçðåøåíëèâ
ñîîòâåòñòâèèñâûáðàííîéçàïèñüþACLèçàïèñüþìàñêèäîñòóïàACLçàïðîøåí-
íûéñóáúåêòîìâèääîñòóïà.Ïîðåçóëüòàòàìïðîâåðêèäîñòóïëèáîðàçðåøàåòñÿ
ëèáîçàïðåùàåòñÿ.
3)
Ïðîâåðÿåòñÿ,ÿâëÿåòñÿëèîäíàèçãðóïïñóáúåêòàäîñòóïàãðóïïîé-âëàäåëüöà
15
ÐÓÑÁ.10015-019701-1
îáúåêòà.Åñëèíèîäíàèçãðóïïñóáúåêòàäîñòóïàíåÿâëÿåòñÿãðóïïîé-âëàäåëüöà
îáúåêòà,òîïðîâåðêàïðîäîëæàåòñÿ.Åñëèîäíàèçãðóïïñóáúåêòäîñòóïàÿâëÿåòñÿ
ãðóïïîé-âëàäåëüöàîáúåêòà,òîïðîâåðÿåòñÿðàçðåøåíëèâñîîòâåòñòâèèñâûáðàí-
íîéçàïèñüþACLçàïðîøåííûéñóáúåêòîìâèääîñòóïà.Ïîðåçóëüòàòàìïðîâåðêè
äîñòóïëèáîðàçðåøàåòñÿëèáîçàïðåùàåòñÿ.
4)
Ïðîâåðÿåòñÿÿâëÿåòñÿëèîäíàèçãðóïïñóáúåêòàäîñòóïàîäíîéèçèìåíîâàííûõ
ãðóïï,óêàçàííûõâçàïèñÿõACL.Åñëèíèîäíàèçãðóïïñóáúåêòàäîñòóïàíåÿâëÿ-
åòñÿèìåíîâàííîéãðóïïîé,óêàçàííîéâçàïèñÿõACL,òîïðîâåðêàïðîäîëæàåòñÿ.
Åñëèîäíàèçãðóïïñóáúåêòäîñòóïàÿâëÿåòñÿèìåíîâàííîéãðóïïîé,òîïðîâåðÿåò-
ñÿðàçðåøåíëèâñîîòâåòñòâèèñâûáðàííîéçàïèñüþACLèçàïèñüþìàñêèäîñòóïà
ACLçàïðîøåííûéñóáúåêòîìâèääîñòóïà.Ïîðåçóëüòàòàìïðîâåðêèäîñòóïëèáî
ðàçðåøàåòñÿëèáîçàïðåùàåòñÿ.
5)
ÏðîâåðÿåòñÿðàçðåøåíëèâñîîòâåòñòâèèñçàïèñüþACLäëÿâñåõîñòàëüíûõ
çàïðîøåííûéñóáúåêòîìâèääîñòóïà.Ïîðåçóëüòàòàìïðîâåðêèäîñòóïëèáîðàçðå-
øàåòñÿëèáîçàïðåùàåòñÿ.
6)
Åñëèäîñòóïíåáûëðàçðåøåíïðèïðîâåäåíèèïðåäûäóùèõïðîâåðîê,òîäîñòóï
çàïðåùàåòñÿ.
ÐåàëèçîâàííûéâÎÑìåõàíèçìäèñêðåöèîííûõÏÐÄïðåäóñìàòðèâàåòíàëè÷èåó
îáúåêòîâ-êîíòåéíåðîâACL,èñïîëüçóåìîãîïîóìîë÷àíèþ.ÍàçâàííûéACLíàñëåäóåòñÿ
îáúåêòàìè,ñîçäàâàåìûìèâîáúåêòå-êîíòåéíåðå.
Îáúåêòàìèäîñòóïàÿâëÿþòñÿ:

ôàéëû;

ñîåäèíåíèÿ(ñîêåòû);

ñåòåâûåïàêåòû;

ìåõàíèçìûIPC(ðàçäåëÿåìàÿïàìÿòü,î÷åðåäèñîîáùåíèéèäð.).
Ìåõàíèçì,ðåàëèçóþùèéäèñêðåöèîííîåðàçãðàíè÷åíèåäîñòóïà,îáåñïå÷èâàåòâîç-
ìîæíîñòüñàíêöèîíèðîâàííîãîèçìåíåíèÿñïèñêàïîëüçîâàòåëåéèñïèñêàçàùèùàåìûõ
ôàéëîâûõîáúåêòîâ.
ÏðàâîèçìåíåíèÿÏÐÄïðåäîñòàâëåíîâûäåëåííîìóñóáúåêòó-ñóïåðïîëüçîâàòå-
ëþroot(ïîëüçîâàòåëþñUID,èìåþùèìçíà÷åíèå0).Àäìèíèñòðàòîðìîæåòèçìåíÿòüïðà-
âàñèñïîëüçîâàíèåììåõàíèçìà
sudo
.Êðîìåòîãî,ïðàâàäîñòóïàêîáúåêòó,êàêóêàçàí-
íûåâáèòîâîéìàñêåäëÿòðåõêëàññîâ(ïîëüçîâàòåëÿ-âëàäåëüöà,ãðóïïû-âëàäåëüöàèâñåõ
îñòàëüíûõ),òàêóêàçàííûåâçàïèñÿõACLìîãóòáûòüèçìåíåíûñóáúåêòîìÿâëÿþùèìñÿ
ïîëüçîâàòåëåì-âëàäåëüöåìîáúåêòà.
ÐåàëèçàöèÿâÎÑìåõàíèçìàäèñêðåöèîííûõÏÐÄîáåñïå÷èâàåòíåïðîòèâîðå÷è-
âîñòüïðàâèëèçìåíåíèÿäèñêðåöèîííûõÏÐÄ.
16
ÐÓÑÁ.10015-019701-1
ÏðèèñïîëüçîâàíèèäëÿîáúåêòàìèíèìàëüíîãîACLïðÿìîåèîáðàòíîåîòîáðàæå-
íèåÏÐÄîáåñïå÷èâàåòñÿñëåäóþùèìîáðàçîì:
1)
Ïðèèçìåíåíèèïðàâäîñòóïàâáèòîâîéìàñêåäëÿïîëüçîâàòåëÿ-âëàäåëüöà
èäåíòè÷íûìîáðàçîìèçìåíÿþòñÿïðàâàäîñòóïàäëÿïîëüçîâàòåëÿ-âëàäåëüöàâçà-
ïèñèACL.
2)
Ïðèèçìåíåíèèïðàâäîñòóïàäëÿïîëüçîâàòåëÿ-âëàäåëüöàâçàïèñèACLèäåí-
òè÷íûìîáðàçîìèçìåíÿþòñÿïðàâàäîñòóïàâáèòîâîéìàñêåäëÿïîëüçîâàòåëÿ-
âëàäåëüöà.
3)
Ïðèèçìåíåíèèïðàâäîñòóïàâáèòîâîéìàñêåäëÿãðóïïû-âëàäåëüöàèäåíòè÷-
íûìîáðàçîìèçìåíÿþòñÿïðàâàäîñòóïàäëÿãðóïïû-âëàäåëüöàâçàïèñèACL.
4)
Ïðèèçìåíåíèèïðàâäîñòóïàäëÿãðóïïû-âëàäåëüöàâçàïèñèACLèäåíòè÷íûì
îáðàçîìèçìåíÿþòñÿïðàâàäîñòóïàâáèòîâîéìàñêåäëÿãðóïïû-âëàäåëüöà.
5)
Ïðèèçìåíåíèèïðàâäîñòóïàâáèòîâîéìàñêåäëÿâñåõîñòàëüíûõèäåíòè÷íûì
îáðàçîìèçìåíÿþòñÿïðàâàäîñòóïàäëÿâñåõîñòàëüíûõâçàïèñèACL.
6)
ÏðèèçìåíåíèèïðàâäîñòóïàäëÿâñåõîñòàëüíûõâçàïèñèACLèäåíòè÷íûìîá-
ðàçîìèçìåíÿþòñÿïðàâàäîñòóïàäëÿâñåõîñòàëüíûõâáèòîâîéìàñêå.
ÏðèèñïîëüçîâàíèèäëÿîáúåêòàðàñøèðåííîãîACLïðÿìîåèîáðàòíîåîòîáðàæå-
íèåÏÐÄîáåñïå÷èâàåòñÿñëåäóþùèìîáðàçîì:
1)
Ïðèèçìåíåíèèïðàâäîñòóïàâáèòîâîéìàñêåäëÿïîëüçîâàòåëÿ-âëàäåëüöà
èäåíòè÷íûìîáðàçîìèçìåíÿþòñÿïðàâàäîñòóïàäëÿïîëüçîâàòåëÿ-âëàäåëüöàâçà-
ïèñèACL.
2)
Ïðèèçìåíåíèèïðàâäîñòóïàäëÿïîëüçîâàòåëÿ-âëàäåëüöàâçàïèñèACLèäåí-
òè÷íûìîáðàçîìèçìåíÿþòñÿïðàâàäîñòóïàâáèòîâîéìàñêåäëÿïîëüçîâàòåëÿ-
âëàäåëüöà.
3)
Ïðèèçìåíåíèèïðàâäîñòóïàâáèòîâîéìàñêåäëÿãðóïïû-âëàäåëüöàèäåíòè÷-
íûìîáðàçîìèçìåíÿåòñÿìàñêàäîñòóïàâçàïèñèACL.
4)
ÏðèèçìåíåíèèìàñêèäîñòóïàâçàïèñèACLèäåíòè÷íûìîáðàçîìèçìåíÿþòñÿ
ïðàâàäîñòóïàâáèòîâîéìàñêåäëÿãðóïïû-âëàäåëüöà.
5)
Ïðèèçìåíåíèèïðàâäîñòóïàâáèòîâîéìàñêåäëÿâñåõîñòàëüíûõèäåíòè÷íûì
îáðàçîìèçìåíÿþòñÿïðàâàäîñòóïàäëÿâñåõîñòàëüíûõâçàïèñèACL.
6)
ÏðèèçìåíåíèèïðàâäîñòóïàäëÿâñåõîñòàëüíûõâçàïèñèACLèäåíòè÷íûìîá-
ðàçîìèçìåíÿþòñÿïðàâàäîñòóïàäëÿâñåõîñòàëüíûõâáèòîâîéìàñêå.
Òàêèìîáðàçîì,ðåàëèçîâàííûéâÎÑìåõàíèçì,ðåãóëèðóþùèéäèñêðåöèîííûé
ïðèíöèïêîíòðîëÿäîñòóïà,ïðåäóñìàòðèâàåòñàíêöèîíèðîâàííîåèçìåíåíèåäèñêðåöèîí-
íûõÏÐÄ,âêëþ÷àÿñàíêöèîíèðîâàííîåèçìåíåíèåñïèñêàñóáúåêòîâèñïèñêàçàùèùàåìûõ
îáúåêòîâ.
17
ÐÓÑÁ.10015-019701-1
3.2.Linux-ïðèâèëåãèè
Linux-ïðèâèëåãèèïðåäíàçíà÷åíûäëÿïåðåäà÷èîòäåëüíûìïîëüçîâà-
òåëÿìïðàââûïîëíåíèÿîïðåäåëåííûõàäìèíèñòðàòèâíûõäåéñòâèéèÿâëÿ-
þùèõñÿñòàíäàðòíûìèäëÿñèñòåìûLinux:
CAP_CHOWN
,
CAP_DAC_OVERRIDE
,
CAP_DAC_READ_SEARCH
,
CAP_FOWNER
,
18
ÐÓÑÁ.10015-019701-1
3.3.1.chown
Ñèíòàêñèñ:
chown[OPTION]...OWNER[:[GROUP]]FILE...
chown[OPTION]...:GROUPFILE...
chown[OPTION]...--reference=RFILEFILE...
Êîìàíäà
chown
èçìåíÿåòâëàäåëüöàè/èëèãðóïïó,âëàäåþùóþêàæäûìèçóêàçàí-
íûõôàéëîâ,ñîãëàñíîçàäàííûìàðãóìåíòàì,êîòîðûåèíòåðïðåòèðóþòñÿâïîñëåäîâàòåëü-
íîìïîðÿäêå.Åñëèçàäàíîòîëüêîèìÿïîëüçîâàòåëÿ(èëèåãî÷èñëîâîéèäåíòèôèêàòîð),òî
äàííûéïîëüçîâàòåëüñòàíîâèòñÿâëàäåëüöåìêàæäîãîèçóêàçàííûõôàéëîâ,àãðóïïàýòèõ
ôàéëîâíåèçìåíÿåòñÿ.Åñëèçàèìåíåìïîëüçîâàòåëÿ÷åðåçäâîåòî÷èåñëåäóåòèìÿãðóï-
ïû(èëè÷èñëîâîéèäåíòèôèêàòîðãðóïïû)áåçïðîáåëîâìåæäóíèìè,òîèçìåíÿåòñÿòàêæå
èãðóïïàôàéëîâ.Åñëèäâîåòî÷èåèëèòî÷êàñëåäóåòçàèìåíåìïîëüçîâàòåëÿ,íîãðóïïà
íåçàäàíà,òîäàííûéïîëüçîâàòåëüñòàíîâèòñÿâëàäåëüöåìóêàçàííûõôàéëîâ,àãðóïïà
óêàçàííûõôàéëîâèçìåíÿåòñÿíàîñíîâíóþãðóïïóïîëüçîâàòåëÿ.Åñëèîïóùåíîèìÿïîëü-
çîâàòåëÿ,àäâîåòî÷èåèëèòî÷êàâìåñòåñãðóïïîéçàäàíû,òîáóäåòèçìåíåíàòîëüêîãðóïïà
óêàçàííûõôàéëîâ;âýòîìñëó÷àå
chown
âûïîëíÿåòòóæåôóíêöèþ,÷òîè
chgrp
(3.3.2).Êî-
ìàíäà
chown
èçìåíÿåòâëàäåëüöàè/èëèãðóïïóêàæäîãî
FILE
íà
OWNER
è/èëè
GROUP
.
Îïöèèïðèâåäåíûâòàáëèöå1.
Òàáëèöà1
Îïöèÿ
Îïèñàíèå
-c
,
--changes
Òîæå,÷òîè
--verbose
.Ïîäðîáíîîïèñûâàòüòîëüêîôàéëû,÷åé
âëàäåëåöäåéñòâèòåëüíîèçìåíÿåòñÿ
--dereference
Èçìåíèòüâëàäåëüöàôàéëà,íàêîòîðûéóêàçûâàåòñèìâîëüíàÿ
ññûëêà,âìåñòîñàìîéñèìâîëüíîéññûëêè
-h
,
--no-dereference
Ðàáîòàòüññàìèìèñèìâîëüíûìèññûëêàìè,àíåñôàéëàìè,íà
êîòîðûåîíèóêàçûâàþò.Äàííàÿîïöèÿäîñòóïíà,òîëüêîåñëèèìå-
åòñÿñèñòåìíûéâûçîâ
lchown
--from=CURRENT_OWNER:
CURRENT_GROUP
Èçìåíèòüâëàäåëüöàè/èëèãðóïïóêàæäîãîôàéëà,òîëü-
êîåñëèòåêóùèéâëàäåëåöè/èëèãðóïïàñîâïàäàåòñ
CURRENT_OWNER:CURRENT_GROUP
.Êàêãðóïïà,òàêèâëàäå-
ëåöìîãóòáûòüîïóùåíû,âýòîìñëó÷àåñîâïàäåíèåäëÿäàííîãî
àòðèáóòàíåîáÿçàòåëüíî
-f
,
--silent
,
Íåâûâîäèòüñîîáùåíèÿîáîøèáêàõíàôàéëû,÷åéâëàäåëåöíå
ìîæåòáûòüèçìåíåí
--reference=RFILE
Âìåñòîçàäàííûõçíà÷åíèé
OWNER:GROUP
èñïîëüçîâàòüâëàäåëüöà
èãðóïïóôàéëà,êîòîðûåèìåþò
RFILE
-R
,
--recursive
Ðåêóðñèâíîèçìåíÿòüâëàäåëüöàêàòàëîãîâèâñåãîèõñîäåðæèìîãî
--help
Âûâåñòèñïðàâêóèâûéòè
--version
Âûâåñòèèíôîðìàöèþîâåðñèèèâûéòè
19
ÐÓÑÁ.10015-019701-1
Âëàäåëåöíåèçìåíÿåòñÿ,åñëèîííåñóùåñòâóåò.Ãðóïïàòàêæåíåèçìåíÿåòñÿ,åñëè
îòñóòñòâóåò,íîèçìåíÿåòñÿíàãðóïïóïîóìîë÷àíèþ,åñëèíåçàäàíïîëüçîâàòåëü.
3.3.2.chgrp
Ñèíòàêñèñ:
chgrp[OPTION]...GROUPFILE...
chgrp[OPTION]...--reference=RFILEFILE...
Êîìàíäà
chgrp
èçìåíÿåòãðóïïó,âëàäåþùóþêàæäûìèçóêàçàííûõôàéëîâ
FILE
,
íàãðóïïó
GROUP
,êîòîðàÿìîæåòáûòüçàäàíàèìåíåìãðóïïûèëè÷èñëîâûìèäåíòèôèêàòî-
ðîìãðóïïû.
Îïöèèïðèâåäåíûâòàáëèöå2.
Òàáëèöà2
Îïöèÿ
Îïèñàíèå
-c
,
--changes
Òîæå,÷òîè
--verbose
,íîâûâîäèòüñîîáùåíèåòîëüêîòîãäà,êîãäà
äåéñòâèòåëüíîáûëàèçìåíåíàãðóïïàôàéëà
--dereference
Èçìåíèòüâëàäåëüöàôàéëà,íàêîòîðûéóêàçûâàåòñèìâîëüíàÿññûë-
êà,âìåñòîñàìîéñèìâîëüíîéññûëêè
-h
,
--no-dereference
Èçìåíèòüâëàäåëüöàñèìâîëüíîéññûëêè,àíåâëàäåëüöàôàéëà,íà
êîòîðûéóêàçûâàåòýòàññûëêà(äîñòóïíàòîëüêîíàñèñòåìàõ,èìåþ-
ùèõñèñòåìíûéâûçîâ
lchown
)
-f
,
--silent
,
Íåâûâîäèòüñîîáùåíèÿîáîøèáêàõ
--reference=RFILE
Èçìåíèòüãðóïïóôàéëà
FILE
íàòó,÷òîâëàäååòôàéëîì
RFILE
-R
,
--recursive
Ðåêóðñèâíîèçìåíÿòüâëàäåëüöàêàòàëîãîâèèõñîäåðæèìîãî
-v
,
--verbose
Âûâîäèòüäèàãíîñòè÷åñêîåñîîáùåíèåîáèçìåíåíèèâëàäåëüöàäëÿ
êàæäîãîôàéëà
--help
Âûâåñòèñïðàâêóèâûéòè
--version
Âûâåñòèèíôîðìàöèþîâåðñèèèâûéòè
3.3.3.chmod
Ñèíòàêñèñ:
chmod[OPTION]...MODE[,MODE]...FILE...
chmod[OPTION]...OCTAL-MODE...FILE...
chmod[OPTION]...--reference=RFILEFILE...
Êîìàíäà
chmod
èçìåíÿåòïðàâàäîñòóïàóêàçàííîãîôàéëà
FILE
âñîîòâåòñòâèè
ñïðàâàìèäîñòóïà,óêàçàííûìèâïàðàìåòðå
MODE
,êîòîðûéìîæåòáûòüïðåäñòàâëåíêàê
âñèìâîëüíîìâèäå,òàêèââèäåâîñüìåðè÷íîãî÷èñëà,ïðåäñòàâëÿþùåãîáèòîâóþìàñêó
íîâûõïðàâäîñòóïà.
Ôîðìàòñèìâîëüíîãîðåæèìà:
[ugoa...][[+-=][rwxXstugo...]...][,...]
20
ÐÓÑÁ.10015-019701-1
Êàæäûéàðãóìåíòýòîñïèñîêñèìâîëüíûõêîìàíäèçìåíåíèÿïðàâäîñòóïà,ðàç-
äåëåííûõçàïÿòûìè.Êàæäàÿòàêàÿêîìàíäàíà÷èíàåòñÿñíóëÿèëèáîëååáóêâ
ugoa
,êîì-
áèíàöèÿêîòîðûõóêàçûâàåò,÷üèïðàâàäîñòóïàêôàéëóáóäóòèçìåíåíû:ïîëüçîâàòåëÿ,
âëàäåþùåãîôàéëîì(
u
);ïîëüçîâàòåëåéâäàííîéãðóïïå(
g
);îñòàëüíûõïîëüçîâàòåëåé,íå
âõîäÿùèõâäàííóþãðóïïó(
o
),èëèæåâñåõïîëüçîâàòåëåé(
a
).Áóêâà
a
ýêâèâàëåíòíà
ugo
.
Åñëèíåçàäàíàíèîäíàáóêâà,òîàâòîìàòè÷åñêèáóäåòèñïîëüçîâàòüñÿáóêâà
a
,íîáèòû,
óñòàíîâëåííûåâ
umask
,íåáóäóòçàòðîíóòû.
Îïåðàòîð¾+¿äîáàâëÿåòâûáðàííûåïðàâàäîñòóïàêóæåèìåþùèìñÿóêàæäîãî
ôàéëà;¾-¿óäàëÿåòýòèïðàâà;à¾=¿ïðèñâàèâàåòòîëüêîýòèïðàâàêàæäîìóóêàçàííîìó
ôàéëó.
Áóêâû
rwxXstugo
âûáèðàþòíîâûåïðàâàäîñòóïàäëÿïîëüçîâàòåëÿ,çàäàííîãîîä-
íîéèçáóêâ
ugoa
:÷òåíèå(
r
);çàïèñü(
w
);èñïîëíåíèå(èëèäîñòóïêêàòàëîãó)(
x
);âûïîëíå-
íèå,åñëèôàéëÿâëÿåòñÿêàòàëîãîìèëèóæåèìååòïðàâîíàâûïîëíåíèåäëÿêàêîãî-íèáóäü
ïîëüçîâàòåëÿ(
X
21
ÐÓÑÁ.10015-019701-1
Òàáëèöà3
Îïöèÿ
Îïèñàíèå
-c,--changes
Òîæå,÷òîè
--verbose
,íîâûâîäèòüñîîáùåíèåòîëüêîòîãäà,êîãäà
áûëèïðîèçâåäåíûèçìåíåíèÿ
-f,--silent,
Íåâûäàâàòüñîîáùåíèÿîáîøèáêàõíàòåôàéëû,÷üèïðàâàíåìîãóò
áûòüèçìåíåíû
-v,--verbose
Ïîäðîáíîîïèñûâàòüèçìåíåííûåïðàâàäîñòóïà
--reference=RFILE
Èçìåíèòüïðàâàäîñòóïàêôàéëóíàòåïðàâà,÷òîèìååò
RFILE
-R,--recursive
Ðåêóðñèâíîåèçìåíåíèåïðàâäîñòóïàäëÿêàòàëîãîâèèõñîäåðæèìîãî
--help
Âûâåñòèñïðàâêóèâûéòè
--version
Âûâåñòèèíôîðìàöèþîâåðñèèèâûéòè
Êàæäûé
MODE
ïðåäñòàâëÿåòñîáîéêîìáèíàöèþèçîäíîãîèëèáîëååñèìâîëîâ
ugoa
âíà÷àëåèîäèíèçñèìâîëîâ¾+¿,¾-¿,¾=¿,çàòåìîäíàèëèíåñêîëüêîáóêâèç
rwxXstugo
.
Ñèìâîëüíàÿôîðìàïðèâåäåíàâòàáëèöå4.
Òàáëèöà4
Îïöèÿ
Îïèñàíèå
u
Ïîëüçîâàòåëü(âëàäåëåöôàéëà)îòuser(ïîëüçîâàòåëü)
g
Ãðóïïàîògroup(ãðóïïà)
o
Îñòàëüíûåïîëüçîâàòåëèîòother(îñòàëüíûå)
a
Âñåïîëüçîâàòåëèîòall(âñå)
+
Äîáàâèòüðàçðåøåíèÿêòåêóùèìïðàâàìäîñòóïà
-
Óäàëèòüðàçðåøåíèÿèçòåêóùèõïðàâäîñòóïà
=
Óñòàíîâèòüðàçðåøåíèÿâíåçàâèñèìîñòèîòòåêóùèõïðàâäîñòóïà
r
Ðàçðåøåíèåíà÷òåíèåîòread(÷èòàòü)
w
Ðàçðåøåíèåíàèçìåíåíèåîòwrite(ïèñàòü)
x
Ðàçðåøåíèåíàèñïîëíåíèåîòexecute(âûïîëíÿòü)
l
Áëîêèðîâêàôàéëàäëÿäðóãèõïîëüçîâàòåëåéïðèäîñòóïå
3.3.4.umask
Ñèíòàêñèñ:
umask[-p][-S][ìàñêà]
Ïîëüçîâàòåëüñêàÿìàñêàñîçäàíèÿôàéëàóñòàíàâëèâàåòñÿðàâíîéàðãóìåíòó
ìàñêà
.Åñëèìàñêàíà÷èíàåòñÿñöèôðû,îíàèíòåðïðåòèðóåòñÿêàêâîñüìåðè÷íîå÷èñëî,
èíà÷åêàêìàñêàâñèìâîëüíîìôîðìàòå,àíàëîãè÷íîìèñïîëüçóåìîìóâêîìàíäå
chmod
(ñì.3.3.3).Åñëèìàñêàíåóêàçàíàèëèçàäàíàîïöèÿ
-S
,âûäàåòñÿòåêóùååçíà÷åíèåìàñêè.
22
ÐÓÑÁ.10015-019701-1
Îïöèÿ
-S
âûçûâàåòâûäà÷óìàñêèâñèìâîëüíîìôîðìàòå;ïîóìîë÷àíèþâûäàåòñÿâîñü-
ìåðè÷íîå÷èñëî.Åñëèóêàçàíàîïöèÿ
-p
,àìàñêàíåçàäàíà,ðåçóëüòàòâûäàåòñÿââèäå,
êîòîðûéìîæíîèñïîëüçîâàòüâîâõîäíîéêîìàíäå.Ñòàòóñâûõîäà0,åñëèìàñêàáûëà
óñïåøíîèçìåíåíàèëèíåóêàçàíà,è1âïðîòèâíîìñëó÷àå.
Êîìàíäà
umask
ðàñïîçíàåòñÿèâûïîëíÿåòñÿîáîëî÷êîé
shell
.
Êîìàíäó
umask
öåëåñîîáðàçíîâêëþ÷èòüâïîëüçîâàòåëüñêèépro-ôàéë.Òîãäàîíà
áóäåòàâòîìàòè÷åñêèâûçûâàòüñÿïðèâõîäåâñèñòåìóèóñòàíîâèòíóæíûéðåæèìäîñòóïà
êñîçäàâàåìûìôàéëàìèêàòàëîãàì.
23
ÐÓÑÁ.10015-019701-1
Äëÿáîëüøîãîêîëè÷åñòâàôàéëîâ
Îïöèÿ
Îïèñàíèå
--access
ÂûâåñòèòîëüêîACLôàéëà
-d
,
--default
ÂûâåñòèòîëüêîACL-ïîóìîë÷àíèþ
--omit-header
Íåïîêàçûâàòüçàãîëîâîê(èìÿôàéëà)
--all-effective
Ïîêàçàòüâñåýôôåêòèâíûåïðàâà
--no-effective
Íåïîêàçûâàòüýôôåêòèâíûåïðàâà
--skip-base
Ïðîïóñêàòüôàéëû,èìåþùèåòîëüêîîñíîâíûåçàïèñè
-R
,
--recursive
Äëÿïîäêàòàëîãîâðåêóðñèâíî
-L
,
--logical
Ñëåäîâàòüïîñèìâîëè÷åñêèìññûëêàì,ïîóìîë÷àíèþñèìâîëè÷åñêèå
ññûëêè,íåóêàçàííûåâêîìàíäíîéñòðîêå,èãíîðèðóþòñÿ
-P
,
--physical
Íåñëåäîâàòüïîñèìâîëè÷åñêèìññûëêàì,äàæååñëèîíèóêàçàíûâêî-
ìàíäíîéñòðîêå
--tabular
Èñïîëüçîâàòüòàáóëèðîâàííûéôîðìàòâûâîäà
--numeric
Ïîêàçûâàòü÷èñëîâûåçíà÷åíèÿïîëüçîâàòåëÿ/ãðóïïû
--absolute-names
Íåóäàëÿòüâåäóùèå¾/¿èçïóòèôàéëà
--help
Âûâåñòèñïðàâêóèâûéòè
--version
Âûâåñòèèíôîðìàöèþîâåðñèèèâûéòè
Îïöèÿ
Îïèñàíèå
-m
,
--modify=acl
ÈçìåíèòüòåêóùèéACLäëÿôàéëà
-M
,
--modify-file=file
Ïðî÷èòàòüçàïèñèACLäëÿìîäèôèêàöèèèçôàéëà
-x
,
--remove=acl
ÓäàëèòüçàïèñèèçACLôàéëà
-X
,
--remove-file=file
Ïðî÷èòàòüçàïèñèACLäëÿóäàëåíèÿèçôàéëà
24
ÐÓÑÁ.10015-019701-1
Îêîí÷àíèåòàáëèöû6
Îïöèÿ
Îïèñàíèå
-b
,
--remove-all
ÓäàëèòüâñåðàñøèðåííûåçàïèñèACL
-k
,
--remove-default
ÓäàëèòüACL-ïîóìîë÷àíèþ
ÓñòàíîâèòüACLäëÿôàéëà,çàìåíèâòåêóùèéACL
Ïðî÷èòàòüçàïèñèACLäëÿóñòàíîâëåíèÿèçôàéëà
--mask
Ïåðåñ÷èòàòüìàñêóýôôåêòèâíûõïðàâ
-n
,
--no-mask
Íåïåðåñ÷èòûâàòüìàñêóýôôåêòèâíûõïðàâ,îáû÷íî
-d
,
--default
ÏðèìåíèòüACL-ïîóìîë÷àíèþ
-R
,
--recursive
Äëÿïîäêàòàëîãîâðåêóðñèâíî
-L
,
--logical
Ñëåäîâàòüïîñèìâîëè÷åñêèìññûëêàì,ïîóìîë÷àíèþññûëêè,íå
óêàçàííûåâêîìàíäíîéñòðîêå,èãíîðèðóþòñÿ
-P
,
--physical
Íåñëåäîâàòüïîñèìâîëè÷åñêèìññûëêàì,äàæååñëèîíèóêàçàíû
âêîìàíäíîéñòðîêå
--restore=file
Âîññòàíîâèòüðåçåðâíóþêîïèþïðàâäîñòóïà,ñîçäàííóþêîìàí-
äîé
--test
Ðåæèìòåñòèðîâàíèÿ(ACLíåèçìåíÿþòñÿ)
--help
Âûâåñòèñïðàâêóèâûéòè
--version
Âûâåñòèèíôîðìàöèþîâåðñèèèâûéòè
Ïðèèñïîëüçîâàíèèîïöèé
25
ÐÓÑÁ.10015-019701-1
Ïðàâàäîñòóïàîòäåëüíîéãðóïïû.Åñëèíåçàäàí
gid
,òîïðàâàäîñòóïàãðóïïû-
âëàäåëüöà.
3)
[d[efault]:]m[ask]:[+|^]perms
Ìàñêàýôôåêòèâíûõïðàâ.
4)
[d[efault]:]o[ther]:[+|^]perms
Ïðàâàäîñòóïàâñåõîñòàëüíûõ.
ÝëåìåíòACLÿâëÿåòñÿàáñîëþòíûì,åñëèîíñîäåðæèòïîëå
perms
èÿâëÿåòñÿîòíî-
ñèòåëüíûì,åñëèîíâêëþ÷àåòîäèíèçìîäèôèêàòîðîâ:¾+¿èëè¾
^
¿.Àáñîëþòíûåýëåìåíòû
ìîãóòèñïîëüçîâàòüñÿâîïåðàöèÿõóñòàíîâêèèëèìîäèôèêàöèèACL.Îòíîñèòåëüíûåýëå-
ìåíòûìîãóòèñïîëüçîâàòüñÿòîëüêîâîïåðàöèèìîäèôèêàöèèACL.Ïðàâàäîñòóïàäëÿ
îòäåëüíûõïîëüçîâàòåëåé,ãðóïïû,íåñîäåðæàùèåíèêàêèõïîëåéïîñëåçíà÷åíèé
uid
,
gid
(ïîëå
perms
ïðèýòîìîòñóòñòâóåò),èñïîëüçóþòñÿòîëüêîäëÿóäàëåíèÿýëåìåíòîâ.
Çíà÷åíèÿ
uid
è
gid
çàäàþòñÿèìåíåìèëè÷èñëîì.Ïîëå
perms
ìîæåòáûòüïðåä-
ñòàâëåíîêîìáèíàöèåéñèìâîëîâ
r
,
w
,
x
,
-
èëèöèôð(07).
3.3.6.2.Àâòîìàòè÷åñêèñîçäàííûåïðàâàäîñòóïà
Èçíà÷àëüíîôàéëûèêàòàëîãèñîäåðæàòòîëüêîòðèáàçîâûõýëåìåíòàACL:äëÿ
âëàäåëüöà,ãðóïïû-âëàäåëüöàèâñåõîñòàëüíûõïîëüçîâàòåëåé.Ñóùåñòâóåòðÿäïðàâèë,
êîòîðûåñëåäóåòâûïîëíÿòü:
1)
íåìîãóòáûòüóäàëåíûñðàçóòðèáàçîâûõýëåìåíòà.Äîëæåíïðèñóòñòâîâàòüõîòÿ
áûîäèí;
2)
åñëèACLñîäåðæèòïðàâàäîñòóïàäëÿîòäåëüíîãîïîëüçîâàòåëÿèëèãðóïïû,òî
ACLòàêæåäîëæåíñîäåðæàòüìàñêóýôôåêòèâíûõïðàâ;
3)
åñëèACLñîäåðæèòêàêèå-ëèáîýëåìåíòûACL-ïîóìîë÷àíèþ,òîâïîñëåäíåì
äîëæíûòàêæåïðèñóòñòâîâàòüòðèáàçîâûõýëåìåíòà(ò.å.ïðàâàäîñòóïàïîóìîë-
÷àíèþäëÿâëàäåëüöà,ãðóïïû-âëàäåëüöàèâñåõîñòàëüíûõ);
4)
åñëèACL-ïîóìîë÷àíèþñîäåðæèòïðàâàäîñòóïàäëÿîòäåëüíûõïîëüçîâàòåëåé
èëèãðóïï,òîâACLòàêæåäîëæíàïðèñóòñòâîâàòüìàñêàýôôåêòèâíûõïðàâ.
Äëÿòîãî÷òîáûïîìî÷üïîëüçîâàòåëþâûïîëíÿòüýòèïðàâèëà,
26
ÐÓÑÁ.10015-019701-1
ñîçäàíèèýòàìàñêàáóäåòèìåòüòåæåïðàâà,÷òîèãðóïïàïîóìîë÷àíèþ.
3.4.Äèñêðåöèîííîåðàçãðàíè÷åíèåäîñòóïàâÑÓÁÄPostgreSQL
Âêà÷åñòâåçàùèùåííîéÑÓÁÄâñîñòàâåÎÑèñïîëüçóåòñÿPostgreSQL,äîðàáîòàí-
íàÿâñîîòâåòñòâèèñòðåáîâàíèåìèíòåãðàöèèñÎÑâ÷àñòèìàíäàòíîãîðàçãðàíè÷åíèÿ
äîñòóïàêèíôîðìàöèè.
Ïðèìå÷àíèå.ÂòåêóùåéâåðñèèÎÑïðåäñòàâëåíûäâåâåðñèèçàùèùåííîé
ÑÓÁÄ(íàáàçåâåðñèéÑÓÁÄPostgreSQL9.2è9.4),îòëè÷àþùèåñÿâ÷àñòèðåàëèçàöèè
ìàíäàòíîãîðàçãðàíè÷åíèÿäîñòóïàêèíôîðìàöèè.Ðàçëè÷èÿâ÷àñòèðåàëèçàöèèäèñêðå-
öèîííîãîðàçãðàíè÷åíèÿäîñòóïàîòñóòñòâóþò.Äàëüíåéøååîïèñàíèåäèñêðåöèîííîãîðàç-
ãðàíè÷åíèÿäîñòóïàâÑÓÁÄñïðàâåäëèâîäëÿîáåèõâåðñèé.
ÑÓÁÄPostgreSQLÿâëÿåòñÿîáúåêòíî-ðåëÿöèîííîé.Íàíèçêîìóðîâíåäàííûåõðà-
íÿòñÿâîòíîøåíèÿõ(òàáëèöàõ,âèäàõ),èäîñòóïêäàííûìðàçãðàíè÷èâàåòñÿâïîíÿòèÿõ
ðåëÿöèîííîéÑÓÁÄ.
ÄàííûåâðåëÿöèîííîéÁÄõðàíÿòñÿâîòíîøåíèÿõ(òàáëèöàõ),ñîñòîÿùèõèçñòðîê
èñòîëáöîâ.Ïðèýòîìåäèíèöåéõðàíåíèÿèäîñòóïàêäàííûìÿâëÿåòñÿñòðîêà,ñîñòîÿùàÿ
èçïîëåé,èäåíòèôèöèðóåìûõèìåíàìèñòîëáöîâ.Êðîìåòàáëèö,ñóùåñòâóþòäðóãèåîáú-
åêòûÁÄ(âèäû,ïðîöåäóðûèò.ï.),êîòîðûåïðåäîñòàâëÿþòäîñòóïêäàííûì,õðàíÿùèìñÿâ
òàáëèöàõ.
CêàæäûìòèïîìîáúåêòîâÁÄàññîöèèðóåòñÿîïðåäåëåííûéíàáîðòèïîâäîñòóïà
(âîçìîæíûõîïåðàöèé).Äëÿêàæäîãîîáúåêòàÿâíîçàäàåòñÿñïèñîêðàçðåøåííûõäëÿêàæ-
äîãîèçïîèìåíîâàííûõñóáúåêòîâÁÄ(ïîëüçîâàòåëåé,ãðóïïèëèðîëåé)òèïîâäîñòóïà(ò.å.
ACL).ÈâäàëüíåéøåìïðèðàçáîðåçàïðîñàêÁÄîñóùåñòâëÿåòñÿïðîâåðêàâîçìîæíîñòè
ïðåäîñòàâëåíèÿäîñòóïàñóáúåêòàêîáúåêòóòèïà,ñîîòâåòñòâóþùåãîçàïðîñó.
Âîáùåìñëó÷àåîòäåëüíàÿñòðîêàòàáëèöûíåÿâëÿåòñÿîäíîçíà÷íîèäåíòèôèöè-
ðóåìûìîáúåêòîì(êàæäàÿñòðîêàèäåíòèôèöèðóåòñÿòîëüêîíàáîðîìñîäåðæèìîãîñâîèõ
ïîëåé,íîáåçñïåöèàëüíûõäåéñòâèé,íàïðèìåðñîçäàíèÿïåðâè÷íîãîêëþ÷àèëèôèçè÷å-
ñêîãîóíèêàëüíîãîèäåíòèôèêàòîðàñòðîêèâÁÄ,òàêàÿèäåíòèôèêàöèÿíåÿâëÿåòñÿóíèêàëü-
íîé),èäèñêðåöèîííûåïðàâèëàðàçãðàíè÷åíèÿäîñòóïàêíåéïðèìåíåíûáûòüíåìîãóò.Â
PostgreSQLîáúåêòàìèäèñêðåöèîííîãîðàçãðàíè÷åíèÿäîñòóïàìîãóòÿâëÿòüñÿèñòîëáöû
îáúåêòîâ,ïîñêîëüêóìîãóòáûòüîäíîçíà÷íîèäåíòèôèöèðîâàíûïîñîñòàâíîìóèìåíèîáú-
åêòàèñòîëáöà,ò.ê.èìÿñòîëáöàâíóòðèîáúåêòàÿâëÿåòñÿóíèêàëüíûì.
ÂðàìêàõäèñêðåöèîííûõÏÐÄîïðåäåëåíûñëåäóþùèåîïåðàöèèíàäòàáëèöàìèè
õðàíÿùèìèñÿâíèõäàííûìè:

SELECT
÷òåíèåäàííûõèçòàáëèöû;

INSERT
âñòàâêàíîâûõäàííûõâòàáëèöó;
27
ÐÓÑÁ.10015-019701-1

28
ÐÓÑÁ.10015-019701-1

SELECT
÷òåíèåáèíàðíîãîîáúåêòà;

UPDATE
èçìåíåíèåáèíàðíîãîîáúåêòà;
9)
ÂÁÄìîãóòïðèñóòñòâîâàòüäîïîëíèòåëüíûåîáúåêòû,äëÿèñïîëüçîâàíèÿêîòî-
ðûõîïðåäåëåíàîïåðàöèÿ
USAGE
.
Äëÿêîíòðîëÿâûïîëíåíèÿâñåõïåðå÷èñëåííûõîïåðàöèéäèñêðåöèîííûõÏÐÄñó-
ùåñòâóþòñîîòâåòñòâóþùèåïðàâàäîñòóïà.Ïðàâîíàïðåäîñòàâëåíèåïðàâäîñòóïàêîáú-
åêòàìíåìîæåòáûòüïðåäîñòàâëåíîäðóãèìïîëüçîâàòåëÿìèäîñòóïíîòîëüêîàäìèíèñòðà-
òîðóÁÄ(ïðèñîîòâåòñòâóþùèõíàñòðîéêàõñåðâåðàìîæåòáûòüïðåäîñòàâëåíîèâëàäåëüöó
îáúåêòà).
Êðîìåðàññìîòðåííûõ(äåëåãèðóåìûõ)ïðàâäîñòóïà,ñóùåñòâóåòðÿäïðàâ,êîòîðûå
âñåãäàïðèíàäëåæàòâëàäåëüöàìîáúåêòîâèàäìèíèñòðàòîðàìÑÓÁÄ.Ýòèïðàâàíåìîãóò
áûòüäåëåãèðîâàíûèëèîòìåíåíûñðåäñòâàìèÑÓÁÄ.Êòàêèìïðàâàìîòíîñÿòñÿ:óäàëåíèå
èìîäèôèêàöèÿîáúåêòàèíàçíà÷åíèåïîëüçîâàòåëÿìäåëåãèðóåìûõïðàâäîñòóïàêîáúåê-
òàì.
ÑðàçóæåïîñëåñîçäàíèÿîáúåêòàòîëüêîåãîâëàäåëåöèàäìèíèñòðàòîðûÑÓÁÄìî-
ãóòèñïîëüçîâàòüåãîêàêèì-ëèáîîáðàçîì.Äëÿòîãî÷òîáûñýòèìîáúåêòîììîãëèðàáîòàòü
äðóãèåïîëüçîâàòåëè,âëàäåëåöîáúåêòàèëèàäìèíèñòðàòîðÑÓÁÄäîëæåíÿâíîïðåäîñòà-
âèòüèìñîîòâåòñòâóþùèåäèñêðåöèîííûåïðàâàäîñòóïà.
ÌîäèôèêàöèÿìåòàäàííûõâîçíèêàåòêàæäûéðàçïðèèçìåíåíèèñòðóêòóðûÁÄ,÷òî
âêëþ÷àåòâñåáÿñîçäàíèå,ìîäèôèêàöèþèóäàëåíèåîáúåêòîâÁÄ.
Ðàçãðàíè÷åíèåäîñòóïàêïåðå÷èñëåííûìîïåðàöèÿìíàóðîâíåÑÓÁÄòàêæåðåà-
ëèçóåòñÿïðèìåíåíèåìäèñêðåöèîííûõÏÐÄ.Äëÿýòîãîèñïîëüçóåòñÿïðàâîâëàäåíèÿîáú-
åêòîì,ïðàâîíàñîçäàíèåîáúåêòîâ.Ïðàâîâëàäåíèÿîáúåêòîìïðåäîñòàâëÿåòâëàäåëüöó
îáúåêòàâîçìîæíîñòüìîäèôèöèðîâàòüèóäàëÿòüîáúåêò.Êàêïðàâèëî,âëàäåëüöåìÿâëÿ-
åòñÿñîçäàòåëüîáúåêòàèëèñóïåðïîëüçîâàòåëü(àäìèíèñòðàòîðÁÄ).Ïðàâîíàñîçäàíèå
(
CREATE
)ñóùåñòâóåòêîáúåêòàìÁÄ,ÿâëÿþùèõñÿêîíòåéíåðàìèäëÿäðóãèõîáúåêòîâ,à
èìåííî:íåïîñðåäñòâåííîñàìàÁÄ,ñõåìà,òàáëè÷íîåïðîñòðàíñòâî.
Ïðèâûïîëíåíèèëþáîãîçàïðîñàïîëüçîâàòåëÿ(ñóáúåêòàÁÄ)êçàùèùàåìîìóðå-
ñóðñó(îáúåêòóÁÄ)âûïîëíÿåòñÿäèñêðåöèîííîåðàçãðàíè÷åíèåäîñòóïàíàîñíîâåóñòàíîâ-
ëåííûõïîëüçîâàòåëþïðàâ.Äëÿêàæäîéâûïîëíÿåìîéîïåðàöèèïðîèçâîäèòñÿïðîâåðêà
íàëè÷èÿïðàâàóïîëüçîâàòåëÿíàâûïîëíåíèåäàííîéêîíêðåòíîéîïåðàöèè.
ÄèñêðåöèîííûåÏÐÄïðèìåíÿþòñÿïîñëåðàçáîðàçàïðîñàïîëüçîâàòåëÿèïîñòðîå-
íèÿïëàíàåãîâûïîëíåíèÿ.ÄèñêðåöèîííûåÏÐÄêñòîëáöàìîáúåêòàïðèìåíÿþòñÿòîëüêî
ïðèîòñóòñòâèèÿâíîãîðàçðåøåíèÿíàäîñòóïêñàìîéòàáëèöå.Òàêèìîáðàçîì,ïðàâàäî-
ñòóïàêîáúåêòóÿâëÿþòñÿäîìèíèðóþùèìè.Ïðèýòîìïðèîòñóòñòâèèÿâíîçàäàííûõïðàâ
íàîáúåêòíåëüçÿñêàçàòüîïðåäåëåííîîïðåäîñòàâëåíèèäîñòóïàäîòåõïîð,ïîêàíåáóäóò
29
ÐÓÑÁ.10015-019701-1
ïðîâåðåíûïðàâàíàñòîëáöûîáúåêòà.
ÂÑÓÁÄPostgreSQLïàðàìåòðêîíôèãóðàöèè
ac_enable_trusted_owner
ïîçâî-
ëÿåòàäìèíèñòðàòîðóçàïðåòèòüâëàäåëüöàìîáúåêòîâïåðåäàâàòüïðàâàíàäîñòóïêíèì
äðóãèìïîëüçîâàòåëÿìÑÓÁÄ.Âñëó÷àåóñòàíîâêèçíà÷åíèÿýòîéïåðåìåííîéêîíôèãóðàöèè
â
FALSE
ðàñïðåäåëåíèåïðàâäîñòóïàêîáúåêòàìÁÄðàçðåøåíîòîëüêîàäìèíèñòðàòîðàì
ÑÓÁÄ.
Ïàðàìåòðêîíôèãóðàöèè
ac_allow_grant_options
ïîçâîëÿåòàäìèíèñòðàòîðó
çàïðåòèòüïåðåäà÷óóæåèìåþùèõñÿïðàâäîñòóïàíàîáúåêòäðóãèìðîëÿì.Åñëè
ac_allow_grant_options
óñòàíîâëåíâ
FALSE
,òîçàïðåùàåòñÿèñïîëüçîâàòüêîìàíäó
GRANT
ñïðèâèëåãèåé
WITHGRANTOPTION
.Åñëèóðîëèåñòüïðèâèëåãèÿ
GRANTOPTIONS
è
ac_allow_grant_options=false
,òîïåðåäà÷àïðàâäîñòóïàäðóãèìðîëÿìòàêæåçà-
ïðåùàåòñÿ.Èçúÿòèå(
REVOKE
)ïðèâèëåãèè
GRANTOPTIONS
ðàçðåøàåòñÿâñåãäà.
Ïàðàìåòðêîíôèãóðàöèè
ac_allow_admin_options
ïîçâîëÿåòàäìè-
íèñòðàòîðóçàïðåòèòüïåðåäà÷óïðàâ÷ëåíñòâàðîëèäðóãèìðîëÿì.Åñëè
ac_allow_admin_options
óñòàíîâëåíâ
FALSE
,òîçàïðåùàåòñÿèñïîëüçîâàòü
GRANT
ñïðèâèëåãèåé
WITHADMINOPTION
.Åñëèóðîëèåñòüïðèâèëåãèÿ
ADMINOPTIONS
è
ac_allow_admin_options=false
,òîïåðåäà÷àïðàâ÷ëåíñòâàäðóãèìðîëÿìòàêæå
çàïðåùàåòñÿ.Èçúÿòèå(
REVOKE
)ïðèâèëåãèè
ADMINOPTIONS
ðàçðåøàåòñÿâñåãäà.
Ïàðàìåòðêîíôèãóðàöèè
ac_enable_truncate
ïîçâîëÿåòàäìèíèñòðàòîðóçàïðå-
òèòüâëàäåëüöàìîáúåêòîâèëþáûìïîëüçîâàòåëÿì,îáëàäàþùèìñîîòâåòñòâóþùèìïðà-
âîì
TRUNCATE
,âûïîëíÿòüóäàëåíèåâñåõçàïèñåéèçòàáëèö.Âñëó÷àåóñòàíîâêèçíà÷åíèÿ
ýòîéïåðåìåííîéêîíôèãóðàöèèâ
FALSE
âûïîëíåíèåêîìàíäû
TRUNCATE
çàïðåùåíîâñåì
ïîëüçîâàòåëÿì.
3.4.1.ÑðåäñòâàóïðàâëåíèÿäèñêðåöèîííûìèÏÐÄêîáúåêòàìÁÄÑÓÁÄ
PostgreSQL
ÄëÿóïðàâëåíèÿäèñêðåöèîííûìèÏÐÄêîáúåêòàìÁÄÑÓÁÄPostgreSQLèñïîëüçó-
åòñÿãðàôè÷åñêàÿóòèëèòà
pgadmin3
(¾ÑðåäñòâîàäìèíèñòðèðîâàíèÿÑÓÁÄPostgreSQL¿).
Äëÿäåëåãèðîâàíèÿäèñêðåöèîííûõïðàâäîñòóïàêîáúåêòàìèñïîëüçóåòñÿêîìàíäà
SQL
GRANT
,àäëÿîòìåíûêîìàíäà
REVOKE
.Íàïðèìåð,åñëèâñèñòåìåñóùåñòâóåòïîëü-
çîâàòåëü
ivanov
,òîåìóìîæåòáûòüïðåäîñòàâëåíîïðàâîíàèçìåíåíèåäàííûõâòàáëèöå
Ñ÷åòà
ñïîìîùüþñëåäóþùåéêîìàíäû:
GRANTUPDATEON"Ñ÷åòà"TOivanov
Äëÿïðåäîñòàâëåíèÿïðàâäîñòóïàêîáúåêòóñðàçóâñåìïîëüçîâàòåëÿìñèñòåìû
ñóùåñòâóåòñïåöèàëüíîå¾èìÿïîëüçîâàòåëÿ¿
PUBLIC
,àäëÿïðåäîñòàâëåíèÿâñåõïðàâ
ñïåöèàëüíîå¾ïðàâî¿
ALL
.Íàïðèìåð,÷òîáûäàòüâñåìïîëüçîâàòåëÿìïîëíûéäîñòóïê
òàáëèöå
Ñ÷åòà
,ñëåäóåòèñïîëüçîâàòüñëåäóþùóþêîìàíäó:
30
ÐÓÑÁ.10015-019701-1
GRANTALLON"Ñ÷åòà"TOPUBLIC
Ïðèíåîáõîäèìîñòèïðàâîäîñòóïàìîæåòáûòüïðåäîñòàâëåíîïîëüçîâàòåëþ(íîíå
ãðóïïå)ñâîçìîæíîñòüþäåëåãèðîâàíèÿäàííîãîïðàâàäðóãèìðîëÿì.Äëÿýòîãîèñïîëüçó-
åòñÿêëþ÷åâàÿôðàçà
WITHGRANTOPTION
:
GRANTUPDATEON"Ñ÷åòà"TOivanovWITHGRANTOPTION
Âëàäåëåöîáúåêòàìîæåòîòìåíèòüñîáñòâåííûåäåëåãèðóåìûåïðàâà,íàïðèìåð,
ïåðåâåäÿîáúåêòâðåæèì¾òîëüêîäëÿ÷òåíèÿ¿äëÿñåáÿ,òàêæåêàêèäëÿâñåõîñòàëüíûõ
ïîëüçîâàòåëåé.
31
ÐÓÑÁ.10015-019701-1
4.ÌÀÍÄÀÒÍÎÅÐÀÇÃÐÀÍÈ×ÅÍÈÅÄÎÑÒÓÏÀ
4.1.Îáùèåñâåäåíèÿ
Ìåõàíèçìêîíòðîëÿìàíäàòíîãîðàçãðàíè÷åíèÿäîñòóïàðåàëèçîâàí,êàêèìåõàíèçì
äèñêðåöèîííîãîðàçãðàíè÷åíèÿäîñòóïà,âÿäðåÎÑ.Ïðèýòîì,ïðèíÿòèåðåøåíèÿîçàïðåòå
èëèðàçðåøåíèèäîñòóïàñóáúåêòàêîáúåêòóïðèíèìàåòñÿíàîñíîâåòèïàîïåðàöèè(÷òå-
íèå/çàïèñü/èñïîëíåíèå),ìàíäàòíîãîêîíòåêñòàáåçîïàñíîñòèñóáúåêòàèìàíäàòíîéìåòêè
îáúåêòà.
Ïðàâèëàïðèíÿòèÿðåøåíèÿìîãóòáûòüçàïèñàíûñëåäóþùèìîáðàçîì.Ïóñòüêîí-
òåêñòáåçîïàñíîñòèñóáúåêòàñîäåðæèòóðîâåíü
L0
,óðîâåíüöåëîñòíîñòè
iL0
èêàòåãîðèè
C0
,àìàíäàòíàÿìåòêàîáúåêòàñîäåðæèòóðîâåíü
L1
,óðîâåíüöåëîñòíîñòè
iL1
èêàòåãîðèè
C1
.Îïðåäåëèìîïåðàöèèñðàâíåíèÿäëÿóðîâíåéèêàòåãîðèé:
1)
óðîâåíü
L0
ìåíüøåóðîâíÿ
L1
(
L0L1
),åñëè÷èñëåííîåçíà÷åíèå
L0
ìåíüøå
÷èñëåííîãîçíà÷åíèÿ
L1
;
2)
óðîâåíü
L0
ðàâåíóðîâíþ
L1
(
L0==L1
),åñëè÷èñëåííûåçíà÷åíèÿ
L0
è
L1
ñîâïà-
äàþò;
3)
óðîâåíüöåëîñòíîñòè
iL0
ìåíüøåóðîâíÿ
iL1
(
iL0iL1
),åñëè÷èñëåííîåçíà÷å-
íèå
iL0
ìåíüøå÷èñëåííîãîçíà÷åíèÿ
iL1
;
4)
óðîâåíüöåëîñòíîñòè
iL0
ðàâåíóðîâíþöåëîñòíîñòè
iL1
(
iL0==iL1
),åñëè÷èñ-
ëåííûåçíà÷åíèÿ
iL0
è
iL1
ñîâïàäàþò;
5)
êàòåãîðèè
C0
ìåíüøåêàòåãîðèé
C1
(
C0C1
),åñëèâñåáèòûíàáîðà
C0
ÿâëÿþòñÿ
ïîäìíîæåñòâîìíàáîðàáèò
C1
;
6)
êàòåãîðèè
Ñ0
ðàâíûêàòåãîðèÿì
C1
(
C0==C1
),åñëèçíà÷åíèÿ
C0
è
C1
ñîâïàäàþò;
7)
îïåðàöèÿçàïèñèðàçðåøåíà,åñëè
L0==L1
,
�iL0=iL1
è
C0==C1
;
8)
îïåðàöèÿ÷òåíèÿðàçðåøåíà,åñëè
�L0=L1
,
�C0=C1
,
8
iL0
,
8
iL1
;
9)
îïåðàöèÿèñïîëíåíèÿðàçðåøåíà,åñëè
�L0=L1
è
�C0=C1
,
8
iL0
,
8
iL1
.
Âíàñòîÿùèéìîìåíòâñèñòåìåìîãóòèñïîëüçîâàòüñÿäâàóðîâíÿöåëîñòíîñòè:âû-
ñîêèé(
hi
)çíà÷åíèå1;íèçêèé(
low
)çíà÷åíèå0.
Âîñòàëüíûõñëó÷àÿõàíàëèçèðóþòñÿïîëíîìî÷èÿñóáúåêòà(ñì.4.2)èòèïìàí-
äàòíîéìåòêèîáúåêòà.ÂÎÑïðåäóñìîòðåíîñóùåñòâîâàíèåîáúåêòîâ-êîíòåéíåðîâ(íàïðè-
ìåð,êàòàëîãîâ),ò.å.îáúåêòîâ,êîòîðûåìîãóòñîäåðæàòüäðóãèåîáúåêòû.Ìåòêàîáúåêòà-
êîíòåéíåðàîïðåäåëÿåòìàêñèìàëüíóþìåòêóâëîæåííûõîáúåêòîâ.Òèïìåòêèìîæåòèñ-
ïîëüçîâàòüñÿäëÿòîãî,÷òîáûèçìåíÿòüååýôôåêòèâíîåäåéñòâèå:

òèïìåòêè
ccnr
ïðèìåíÿåòñÿêîáúåêòàì-êîíòåéíåðàìèîïðåäåëÿåò,÷òîîáúåêò
êîíòåéíåðìîæåòñîäåðæàòüîáúåêòûñðàçëè÷íûìèìàíäàòíûìèìåòêàìè,íîíå
ïðåâûøàþùèìèìåòêóîáúåêòàêîíòåéíåðà;
32
ÐÓÑÁ.10015-019701-1

òèïìåòêè
ccnri
ïðèìåíÿåòñÿêîáúåêòàì-êîíòåéíåðàìèîïðåäåëÿåò,÷òîîáúåêò
êîíòåéíåðìîæåòñîäåðæàòüîáúåêòûñðàçëè÷íûìèóðîâíÿìèöåëîñòíîñòè,íîíå
ïðåâûøàþùèìèóðîâåíüöåëîñòíîñòèîáúåêòà-êîíòåéíåðà;

òèïìåòêè
ehole
ïðèìåíÿåòñÿêîáúåêòàì-êîíòåéíåðàìèïðîñòûìîáúåêòàìäëÿ
èãíîðèðîâàíèÿìàíäàòíûõïðàâèëðàçãðàíè÷åíèÿäîñòóïàêíèì.
Íåíóëåâîéòèïìåòêèìîæåòáûòüóñòàíîâëåíòîëüêîïðèâèëåãèðîâàííûìïðî-
öåññîì.Ïåðå÷èñëåííûåòèïûìîãóòèñïîëüçîâàòüñÿñîâìåñòíî.Òàêèìîáðàçîì,îáúåêò-
êîíòåéíåðìîæåòèìåòüòèï:
ccnr,ccnri,ehole
.
Äëÿñîçäàíèÿâîáúåêòå-êîíòåéíåðå,èìåþùåìòèï
ccnr
,âëîæåííîãîîáúåêòàñ
óðîâíåìèêàòåãîðèÿìèìåíüøèìè÷åìóîáúåêòà-êîíòåéíåðàíåîáõîäèìîîáëàäàòüñïå-
öèàëüíûìèïðèâèëåãèÿìè(ñì.4.2).Äëÿñîçäàíèÿâîáúåêòå-êîíòåéíåðå,èìåþùåìòèï
ccnri
,âëîæåííîãîîáúåêòàñóðîâíåìöåëîñòíîñòèìåíüøèì÷åìóîáúåêòà-êîíòåéíåðà
íåîáõîäèìîîáëàäàòüñïåöèàëüíûìèïðèâèëåãèÿìè(ñì.4.2).Íàçâàííûåäåéñòâèÿìîãóò
áûòüâûïîëíåíûàäìèíèñòðàòîðîì÷åðåçìåõàíèçì
sudo
.
Ñëåäóåòó÷åñòü,âêîíòåéíåðåñìåòêîéòèïà
ehole
óðîâåíü,êàòåãîðèèèóðîâåíü
öåëîñòíîñòèâëîæåííûõîáúåêòîâíåìîãóòïðåâûøàòüóðîâåíü,êàòåãîðèèèóðîâåíüöå-
ëîñòíîñòèîáúåêòà-êîíòåéíåðà.
ÂÍÈÌÀÍÈÅ!
Ìàíäàòíûåàòðèáóòûíàêîðíåôàéëîâîéñèñòåìûîïðåäåëÿåòìàêñè-
ìàëüíûéìàíäàòíûéêîíòåêñòáåçîïàñíîñòèîáúåêòîâ.Ìàíäàòíûåàòðèáóòû,óñòàíàâëèâà-
åìûåïîóìîë÷àíèþíàêîðåíüôàéëîâîéñèñòåìûèðÿäâëîæåííûõîáúåêòîâîïðåäåëåíû
âñöåíàðèè
pdp-init-fs
,êîòîðûéðàñïîëîæåíâêàòàëîãå
/usr/sbin
.
ÂÍÈÌÀÍÈÅ!
Ïîóìîë÷àíèþìàêñèìàëüíûéóðîâåíüöåëîñòíîñòèäëÿîáúåêòîâ
ôàéëîâîéñèñòåìûðàâåí0èâõîäâñèñòåìóïîëüçîâàòåëåéñâûñîêîéöåëîñòíîñòüþíåâîç-
ìîæåí.Äëÿèñïîëüçîâàíèÿìàíäàòíîãîêîíòðîëÿöåëîñòíîñòèíåîáõîäèìîìîäèôèöèðî-
âàòüñöåíàðèé
pdp-init-fs
,óñòàíîâèââ1çíà÷åíèåïåðåìåííîé
sysmaxilev
èôëàã
ccnri
äëÿêîíòåéíåðîâñôëàãîì
ccnr
,èâûïîëíèòüñöåíàðèéèëèïåðåçàãðóçêóÎÑ.
Óêàçàííàÿìîäèôèêàöèÿñöåíàðèÿïîçâîëÿåòóñòàíîâèòüäëÿîïðåäåëåííûõîáúåê-
òîâôàéëîâîéñèñòåìûçíà÷åíèåóðîâíÿöåëîñòíîñòèâ1,îáåñïå÷èâèõçàùèòóîòèçìåíå-
íèÿïîëüçîâàòåëåì,ðàáîòàþùèìâñåàíñåñíèçêèìóðîâíåìöåëîñòíîñòèèíåèìåþùèì
ïðèâèëåãèéèãíîðèðîâàíèÿìàíäàòíîãîêîíòðîëÿäîñòóïà.
Ìåõàíèçììàíäàòíîãîðàçãðàíè÷åíèÿäîñòóïàçàòðàãèâàåòñëåäóþùèåïîäñèñòåìû:

ìåõàíèçìûIPC;

ñòåêTCP/IP(IPv4);

ñëîéÂÔÑ;

ÔÑExt2/Ext3/Ext4;

ñåòåâûåÔÑCIFS;
33
ÐÓÑÁ.10015-019701-1

ÔÑproc,tmpfs.
Ñêàæäûìñóáúåêòîìèîáúåêòîìñâÿçàíû:ìàíäàòíûéêîíòåêñòáåçîïàñíîñòèèìàí-
äàòíàÿìåòêà,ñîîòâåòñòâåííî.
Ïðèñîçäàíèèñóáúåêòîìëþáîãîèçâûøåïðèâåäåííûõîáúåêòîâîáúåêòíàñëåäóåò
ìåòêóíàîñíîâåìàíäàòíîãîêîíòåêñòàáåçîïàñíîñòèïðîöåññà.Ïðèýòîìòèïìåòêèóñòà-
íàâëèâàåòñÿâ0.ÅñëèÔÑïîääåðæèâàåòòîëüêîíóëåâûåìåòêè(íàïðèìåð,VFAT),òîíà
íåéíåâîçìîæíîñîçäàíèåîáúåêòîâñìåòêîé,îòëè÷íîéîòíóëåâîé.
ÂÍÈÌÀÍÈÅ!
Íåðåêîìåíäóåòñÿóñòàíàâëèâàòüíåíóëåâûåìàíäàòíûåàòðèáóòû
(óðîâåíüèêàòåãîðèè)äëÿó÷åòíûõçàïèñåéàäìèíèñòðàòîðîâ(ÎÑ,ñèñòåìûïå÷àòè,ÑÓÁÄ
èò.ä.)
4.2.PARSEC-ïðèâèëåãèè
PARSEC-ïðèâèëåãèèïðèâåäåíûâòàáëèöå7.
Òàáëèöà7
Ïðèâèëåãèÿ
Îïèñàíèå
PARSEC_CAP_SIG
Ïîñûëàòüñèãíàëûïðîöåññàì,èãíîðèðóÿäèñêðåöèîííûåèìàí-
äàòíûåïðàâà
Èçìåíèòüìàíäàòíóþìåòêóèóñòàíîâèòüäðóãèåïðèâèëåãèè
PARSEC_CAP_CHMAC
Ìåíÿòüìàíäàòíûåìåòêèôàéëîâ
PARSEC_CAP_AUDIT
Óïðàâëåíèåïîëèòèêîéàóäèòà
PARSEC_CAP_READSEARCH
Èãíîðèðîâàòüìàíäàòíóþïîëèòèêóïðè÷òåíèèèïîèñêåôàéëîâ
(íîíåïðèçàïèñè)
PARSEC_CAP_PRIV_SOCK
Ñîçäàâàòüïðèâèëåãèðîâàííûéñîêåòèìåíÿòüåãîìàíäàòíóþ
ìåòêó.Ïðèâèëåãèðîâàííûéñîêåòïîçâîëÿåòîñóùåñòâëÿòüñåòå-
âîåâçàèìîäåéñòâèå,èãíîðèðóÿìàíäàòíóþïîëèòèêó
PARSEC_CAP_UPDATE_ATIME
Èçìåíÿòüâðåìÿäîñòóïàêôàéëó
PARSEC_CAP_IGNMACLVL
Èãíîðèðîâàòüìàíäàòíóþïîëèòèêóïîóðîâíÿì
PARSEC_CAP_IGNMACCAT
Èãíîðèðîâàòüìàíäàòíóþïîëèòèêóïîêàòåãîðèÿì
PARSEC_CAP_FILE_CAP
Óñòàíàâëèâàòüïðèâèëåãèèíàôàéëû
PARSEC_CAP_CAP
Óñòàíàâëèâàòüëþáîéíåïðîòèâîðå÷èâûéíàáîðïðèâèëåãèéäëÿ
äðóãîãîïðîöåññà
PARSEC_CAP_MAC_SOCK
Ñìåíàìàíäàòíîéòî÷êèñîåäèíåíèÿ
ÓñòàíàâëèâàòüìàíäàòíûåàòðèáóòûîáúåêòîâÔÑáåçó÷åòà
ìàíäàòíûõàòðèáóòîâðîäèòåëüñêîãîîáúåêòà-êîíòåéíåðà.Ïðè-
âèëåãèÿèñïîëüçóåòñÿäëÿâîññòàíîâëåíèÿîáúåêòîâÔÑèçðå-
çåðâíûõêîïèé(ñì.11.2)èòîëüêîïîñëåóñòàíîâêèçíà÷åíèÿ
1
äëÿïàðàìåòðà
PARSEC_CAP_IGNMACINT
Èãíîðèðîâàòüìàíäàòíóþïîëèòèêóïîóðîâíÿìöåëîñòíîñòè
34
ÐÓÑÁ.10015-019701-1
PARSEC-ïðèâèëåãèèòàêæå,êàêèLinux-ïðèâèëåãèèíàñëåäóþòñÿïðîöåññàìèîò
ñâîèõ¾ðîäèòåëåé¿.Ïðîöåññû,çàïóùåííûåîòèìåíèñóïåðïîëüçîâàòåëÿ,íåçàâèñèìîîò
íàëè÷èÿóíèõïðèâèëåãèéèìåþòâîçìîæíîñòüîñóùåñòâëÿòüâñåïåðå÷èñëåííûåïðèâèëå-
ãèðîâàííûåäåéñòâèÿ.
ÊîìàíäíûéèíòåðôåéñÊÑÇìîæåòèñïîëüçîâàòüêàêPARSEC-,òàêèLinux-
ïðèâèëåãèèäëÿíàñòðîéêèÎÑ(ñì.3.2).
4.3.Ñåòåâîåâçàèìîäåéñòâèå
Âêà÷åñòâåîñíîâíîéñåòåâîéÔÑèñïîëüçóåòñÿCIFS,êîòîðàÿÿâëÿåòñÿðàñøèðå-
íèåìSMBèïîääåðæèâàåòàòðèáóòûÔÑUNIXèèìååòîãðàíè÷åííóþïîääåðæêóðàñøè-
ðåííûõàòðèáóòîâ.Êðîìåòîãî,ýòàÔÑøèðîêîðàñïðîñòðàíåíàèðàáîòàåòâãåòåðîãåííûõ
ñåòÿõ(ïîääåðæèâàåòñÿìíîãèìèÎÑ).ÏîääåðæèâàåòàóòåíòèôèêàöèþñðåäñòâàìèPAMè
Kerberos.
ÑåòåâûåñîåäèíåíèÿìîãóòðàññìàòðèâàòüñÿêàêIPC,ïîýòîìóäîëæíûïîäâåðãàòüñÿ
ìàíäàòíîìóêîíòðîëþäîñòóïà.ÄëÿýòîãîâñåòåâûåïàêåòûïðîòîêîëàIPv4âñîîòâåòñòâèè
ñîñòàíäàðòîìRFC1108âíåäðÿþòñÿìàíäàòíûåìåòêè,ñîîòâåòñòâóþùèåìåòêåîáúåêòà
ñåòåâîåñîåäèíåíèå(ñîêåò).Ïðèýòîììåòêàñîêåòàíàñëåäóåòñÿîòñóáúåêòà(ïðîöåññà).
Ïðèåìñåòåâûõïàêåòîâïîä÷èíÿåòñÿìàíäàòíûìÏÐÄ.Ñëåäóåòîòìåòèòü,÷òîìåòêàñîêåòà
ìîæåòèìåòüòèï,ïîçâîëÿþùèéñîçäàâàòüñåòåâûåñåðâèñû,ïðèíèìàþùèåñîåäèíåíèÿñ
ëþáûìèóðîâíÿìèñåêðåòíîñòè.
ÂðàìêàõñòàíäàðòàRFC1108ìåòêàñíàáæàåòñÿêëàññîì
0xAB
(Unclassied),ïðè
ýòîìïîñëåäóþùèéáèòîâûéñïèñîê(ïîñëåäîâàòåëüíîñòüáàéò,âêîòîðûõìëàäøèéáèòóêà-
çûâàåòíàíàëè÷èåñëåäóþùåãîáàéòàâïîòîêå)îïöèèïðåäñòàâëÿåòñîáîéóïàêîâàííóþâ
ñîîòâåòñòâèèñîñòàíäàðòîìñòðóêòóðóìàíäàòíîãîêîíòåêñòà,ãäåóðîâåíüçàíèìàåò8áèò,
àêàòåãîðèè64áèòà(ïîðÿäîêáàéòîòìëàäøèõêñòàðøèì).Ïîñëåäíèå(ñòàðøèå)íóëå-
âûåáèòûâñîîòâåòñòâèèñîñòàíäàðòîììîãóòáûòüîòáðîøåíû.
ÏðèìåðêîäèðîâàíèÿìåòêèäëÿïðîòîêîëàIPv4:
IPOPT_SEC,5,0xAB,03,12/*Áèòîâûéñïèñîê:00000011,00001100,Êîíòåêñò:
óðîâåíü1,êàòåãîðèè3)*/
Îòñóòñòâèåìåòêèíàîáúåêòåäîñòóïàÿâëÿåòñÿñèíîíèìîìíóëåâîéìàíäàòíîéìåò-
êè.Òàêèìîáðàçîì,ÿäðîÎÑ,âêîòîðîéâñåîáúåêòûèñóáúåêòûäîñòóïàèìåþòóðîâåíü
ñåêðåòíîñòè¾íåñåêðåòíî¿,ôóíêöèîíèðóåòàíàëîãè÷íîñòàíäàðòíîìóÿäðóÎÑLinux.
Äëÿðÿäàñåòåâûõñåðâèñîâ(ñåðâåðàLDAP,DNS,Kerberosèò.ä.)íåîáõîäèìîîáåñ-
ïå÷èòüâîçìîæíîñòüèõðàáîòûñêëèåíòàìè,èìåþùèìèðàçíûéìàíäàòíûéêîíòåêñòáåç-
îïàñíîñòè,áåçâíåñåíèÿèçìåíåíèéâèñõîäíûåòåêñòûñåðâèñà.Äëÿïðåäîñòàâëåíèÿíà-
çâàííîéâîçìîæíîñòèâïîäñèñòåìåáåçîïàñíîñòèPARSECðåàëèçîâàíìåõàíèçìçàïóñêà
ñåòåâûõñåðâèñîâñèñïîëüçîâàíèåìïðèâèëåãèðîâàííîãîñîêåòàäëÿîæèäàíèÿâõîäÿùèõ
35
ÐÓÑÁ.10015-019701-1
ñîåäèíåíèé(ìåõàíèçì
privsock
,4.3.1).
4.3.1.Ìåõàíèçìprivsock
Ìåõàíèçì
privsock
ïðåäíàçíà÷åíäëÿîáåñïå÷åíèÿôóíêöèîíèðîâàíèÿñèñòåìíûõ
ñåòåâûõñåðâèñîâ,íåîñóùåñòâëÿþùèõîáðàáîòêóèíôîðìàöèèñèñïîëüçîâàíèåììàíäàò-
íîãîêîíòåêñòà,íîâçàèìîäåéñòâóþùèõñïðîöåññàìè,ðàáîòàþùèìèâìàíäàòíîìêîíòåê-
ñòåñóáúåêòàäîñòóïà.
Äëÿåãîèñïîëüçîâàíèÿïðèôóíêöèîíèðîâàíèèñåòåâîãîñåðâèñàíåîáõîäèìîîò-
ðåäàêòèðîâàòüôàéë
36
ÐÓÑÁ.10015-019701-1

pdp-id
îòîáðàæåíèåìàíäàòíûõàòðèáóòîâñåññèèïîëüçîâàòåëÿÎÑ(ñì.4.4.2);

pdp-init-fs
ñêðèïòèíèöèàëèçàöèèìàíäàòíûõàòðèáóòîâÔÑ(ñì.4.4.3);

pdp-ls
âûâîäàíàëîãè÷íîñòàíäàðòíîéêîìàíäå
ls
èíôîðìàöèèîôàéëàõñ
îòîáðàæåíèåììàíäàòíûõàòðèáóòîâ(ñì.4.4.4);

pdpl-ps
óïðàâëåíèåìàíäàòíûìèàòðèáóòàìèïðîöåññîâ(ñì.4.4.5),óòèëèòà
äîñòóïíàâòîì÷èñëå÷åðåçñèìâîëè÷åñêóþññûëêó
pdp-pslbl
;

pdpl-user
óïðàâëåíèåäîïóñòèìûìèìàíäàòíûìèóðîâíÿìèèêàòåãîðèÿìè
ïîëüçîâàòåëåéÎÑ(ñì.4.4.6),óòèëèòàäîñòóïíàâòîì÷èñëå÷åðåçñèìâîëè÷åñêóþ
ññûëêó
pdp-ulbls
;

sumac
çàïóñêïðîöåññàñçàäàííûìèìàíäàòíûìèóðîâíåìèêàòåãîðèåéâîò-
äåëüíîéãðàôè÷åñêîéñåññèè(ñì.4.4.7);

userlev
èçìåíåíèåÁÄìàíäàòíûõóðîâíåé(ñì.4.4.8);

usercat
èçìåíåíèåÁÄìàíäàòíûõêàòåãîðèé(ñì.4.4.9).
ÄëÿñîâìåñòèìîñòèñïðåäûäóùèìèâåðñèÿìèÎÑñîõðàíåíûñëåäóþùèåóòèëèòû
êîìàíäíîéñòðîêèäëÿóïðàâëåíèÿìàíäàòíûìèÏÐÄ:

chmac
óïðàâëåíèåìàíäàòíûìèàòðèáóòàìèôàéëîâ(ñì.4.4.10.1);

lsm
âûâîäàíàëîãè÷íîñòàíäàðòíîéêîìàíäå
ls
èíôîðìàöèèîôàéëàõñîòîá-
ðàæåíèåììàíäàòíûõàòðèáóòîâ(ñì.4.4.10.3);

macid
îòîáðàæåíèåìàíäàòíûõàòðèáóòîâñåññèèïîëüçîâàòåëÿÎÑ
(ñì.4.4.10.2);

psmac
óïðàâëåíèåìàíäàòíûìèàòðèáóòàìèïðîöåññîâ(ñì.4.4.10.4);

usermac
óïðàâëåíèåäîïóñòèìûìèìàíäàòíûìèóðîâíÿìèèêàòåãîðèÿìèïîëü-
çîâàòåëåéÎÑ(ñì.4.4.10.5);

37
ÐÓÑÁ.10015-019701-1
Òàáëèöà8
Îïöèÿ
Îïèñàíèå
-f
,
--silent
,
Íåâûâîäèòüñîîáùåíèéîáîøèáêàõ
-v
,
--verbose
Âûâîäèòüäèàãíîñòè÷åñêèåñîîáùåíèÿäëÿêàæäîãîôàéëà
-c
,
--changes
Òîæå,÷òîè
--verbose
,íîñîîáùàòüòîëüêîîáèçìåíåíèÿõ
-R
,
--recursive
Ïðèìåíèòüðåêóðñèâíî
-h
,
--help
Âûâåñòèñïðàâêóèâûéòè
--version
Âûâåñòèèíôîðìàöèþîâåðñèèèâûéòè
Óðîâåíüèêàòåãîðèÿìîãóòáûòüçàäàíûèìåíåìèëèøåñòíàäöàòåðè÷íûìçíà÷åíè-
åì.
Ïðèìåð
pdpl-file-RvÑåêðåòíî:0:Êàòåãîðèÿ_À/tmp
Äàííàÿêîìàíäàðåêóðñèâíîäëÿâñåõôàéëîâêàòàëîãà
/tmp
èçìåíèòóðîâåíüíà
Ñåêðåòíî
èêàòåãîðèþíà
Êàòåãîðèÿ_À
(óðîâåíüèêàòåãîðèÿäîëæíûáûòüîïðåäåëåíûâ
ñèñòåìå).
Ôëàãèìîãóòáûòüçàäàíûçíà÷åíèåìèëèèìåíàìè÷åðåççàïÿòóþ:

ccnr
íåïðèìåíåíèåìåòêèêîíôèäåíöèàëüíîñòèêîíòåéíåðà(êàòàëîãà)ïðè
ïðîñìîòðååãîñîäåðæèìîãî;

ccnri
íåïðèìåíåíèåóðîâíÿöåëîñòíîñòèêîíòåéíåðà(êàòàëîãà)ïðèïðîñìîòðå
åãîñîäåðæèìîãî;

ehole
èãíîðèðîâàíèåìàíäàòíûõóðîâíåéèêàòåãîðèéïðèâûïîëíåíèèîïåðà-
öèéçàïèñè.
Ôëàãèìîãóòáûòüçàäàíûîäíèìèçïñåâäîíèìîâ:

CCNRA
ïñåâäîíèìäëÿñî÷åòàíèÿ
ccnr
è
ccnri
;

ALL
ïñåâäîíèìäëÿñî÷åòàíèÿâñåõâîçìîæíûõôëàãîâ(âíàñòîÿùååâðåìÿ
ccnr
,
ccnri
è
ehole
).
Ïðèìåð
pdpl-file2:0:0:ccnr/tmp
4.4.2.pdp-id
Ñèíòàêñèñ:
pdp-id[îïöèè]
Êîìàíäà
pdp-id
âûâîäèòìàíäàòíûåàòðèáóòûñåññèèïîëüçîâàòåëÿÎÑ.
Îïöèèïðèâåäåíûâòàáëèöå9.
38
ÐÓÑÁ.10015-019701-1
Òàáëèöà9
Îïöèÿ
Îïèñàíèå
-l
,
--level
Âûâåñòèòîëüêîìàíäàòíûéóðîâåíüêîíôèäåíöèàëüíîñòè
-i
,
--ilevel
Âûâåñòèòîëüêîìàíäàòíûéóðîâåíüöåëîñòíîñòè
-c
,
--categories
Âûâåñòèòîëüêîìàíäàòíóþêàòåãîðèè
-r
,
--categories
Âûâåñòèòîëüêîðîëè
-n
,
--name
Äëÿîïöèé
-lc
âûâîäèòüèìåíàâìåñòî÷èñëîâûõçíà÷åíèé
-h
,
--help
Âûâåñòèñïðàâêóèâûéòè
--version
Âûâåñòèèíôîðìàöèþîâåðñèèèâûéòè
Ïðèîòñóòñòâèèîïöèéâûâîäèòñòðîêóòåêóùèõìàíäàòíûõñâîéñòâ.
Ïðèìåð
pdp-id
Óðîâåíüêîíô:ÑåêðåòíîÓðîâåíüöåëîñòíîñòè:lowÊàòåãîðèè:Êàòåãîðèÿ_À
Âýòîìïðèìåðåòåêóùàÿñåññèÿïîëüçîâàòåëÿèìååòóðîâåíüñåêðåòíîñòè
Ñåêðåòíî
,íèçêèéóðîâåíüöåëîñòíîñòèèêàòåãîðèþ
Êàòåãîðèÿ_À
.
4.4.3.pdp-init-fs
Ñèíòàêñèñ:
pdp-init-fs
ÑêðèïòèíèöèàëèçàöèèìàíäàòíûõàòðèáóòîâÔÑ
pdp-init-fs
âûçûâàåòñÿïðè
èíèöèàëèçàöèèèïåðåçàïóñêåñèñòåìûäëÿóñòàíîâêèêîððåêòíûõìàíäàòíûõàòðèáóòîâ
íàñèñòåìíûåôàéëîâûåîáúåêòû(ôàéëûèêàòàëîãè),íà÷èíàñêîðíÿÔÑ.
Ñêðèïòðàñïîëàãàåòñÿâêàòàëîãå
/usr/sbin
èäîñòóïåíäëÿïðàâêèòîëüêîàäìè-
íèñòðàòîðó.
ÂÍÈÌÀÍÈÅ!
Íàñòîÿòåëüíîíåðåêîìåíäóåòñÿâíîñèòüèçìåíåíèÿâóêàçàííûé
ñêðèïòáåçíåîáõîäèìîñòè.Èçìåíåíèÿòðåáóþòñÿòîëüêîâñëó÷àåèçìåíåíèÿìàêñèìàëü-
íîãîóðîâíÿêîíôèäåíöèàëüíîñòèèëèöåëîñòíîñòèâñèñòåìå.
4.4.4.pdp-ls
Ñèíòàêñèñ:
pdp-ls[îïöèè][èìÿôàéëà]
Êîìàíäà
pdp-ls
âûâîäèòàíàëîãè÷íîñòàíäàðòíîéêîìàíäå
ls
èíôîðìàöèþîôàé-
ëàõ(ïîóìîë÷àíèþîòåêóùåìêàòàëîãå).
Èñïîëüçîâàíèåäàííîéêîìàíäûâöåëîìíåîòëè÷àåòñÿîòèñïîëüçîâàíèÿ
pdp-ls
,
çàèñêëþ÷åíèåìñëåäóþùèõîñîáåííîñòåé:

åñëèíàôàéëåóñòàíîâëåíûACL,òîêíèìäîáàâëÿåòñÿñèìâîë¾+¿;
39
ÐÓÑÁ.10015-019701-1

åñëèíàôàéëåóñòàíîâëåíàíåíóëåâàÿìàíäàòíàÿìåòêà,òîêACLäîáàâëÿåòñÿ
ñèìâîë¾m¿;

åñëèíàôàéëåóñòàíîâëåíûñïèñêèïðîòîêîëèðîâàíèÿ,òîêACLäîáàâëÿåòñÿñèì-
âîë¾a¿;

äîñòóïíàîïöèÿ
-M
,êîòîðàÿìîæåòáûòüèñïîëüçîâàíàäëÿïðîñìîòðàìàíäàòíûõ
ìåòîêíàôàéëîâûõîáúåêòàõ.
4.4.5.pdpl-ps
Ñèíòàêñèñ:
pdpl-ps[-nzhv]èäåíòèôèêàòîð&#x-600;ïðîöåññà
Êîìàíäà
pdpl-ps
ïîçâîëÿåòñ÷èòàòüìàíäàòíûéêîíòåêñòáåçîïàñíîñòèñïðîöåññà,
çàäàííîãîïàðàìåòðîì(èäåíòèôèêàòîðïðîöåññà).
Óòèëèòà
pdpl-ps
äîñòóïíàâòîì÷èñëå÷åðåçñèìâîëè÷åñêóþññûëêó
pdp-pslbl
.
Òîëüêîàäìèíèñòðàòîðìîæåòóñòàíàâëèâàòüèñ÷èòûâàòüìàíäàòíûéêîíòåêñòáåç-
îïàñíîñòèïðîèçâîëüíîãîïðîöåññà,îáû÷íûéïîëüçîâàòåëüìîæåòòîëüêîñ÷èòûâàòüêîí-
òåêñòññîáñòâåííîãîïðîöåññà,äëÿýòîãîïàðàìåòðäîëæåíèìåòüíóëåâîåçíà÷åíèå.
Îïöèèïðèâåäåíûâòàáëèöå10.
Òàáëèöà10
Îïöèÿ
Îïèñàíèå
-n
,
--numeric
Âûâåñòèèíôîðìàöèþîêîíòåêñòåâ÷èñëåííîìâèäå
-z
,
--iszero
Åñëèìåòêàáåçîïàñíîñòèíóëåâàÿ,òîçàâåðøèòüñÿñêî-
äîì
0
,èíà÷å
1
,åñëèíåóäàëîñüïîëó÷èòüìåòêóáåç-
îïàñíîñòèïðîöåññà,òî
74
-h
,
--help
Âûâåñòèñïðàâêóèâûéòè
--version
Âûâåñòèèíôîðìàöèþîâåðñèèèâûéòè
4.4.6.pdpl-user
Ñèíòàêñèñ:
pdpl-user[-dzhv[-mìèíèìàëüíûé:ìàêñèìàëüíûéóðîâåíüêîíôèäåíöèàëüíîñòè]
[-iìàêñèìàëüíûéóðîâåíüöåëîñòíîñòè]
[-cìèíèìàëüíàÿêàòåãîðèÿ:ìàêñèìàëüíàÿêàòåãîðèÿ]]�ïîëüçîâàòåëü
Êîìàíäà
pdpl-user
îòîáðàæàåòèóñòàíàâëèâàåòäîïóñòèìûåìàíäàòíûåóðîâíèè
êàòåãîðèèïîëüçîâàòåëåéÎÑ.
Îïöèèïðèâåäåíûâòàáëèöå11.
40
ÐÓÑÁ.10015-019701-1
Òàáëèöà11
Îïöèÿ
Îïèñàíèå
-d
,
Óäàëèòüñòðîêóïîëüçîâàòåëÿèçôàéëà
-z
,
--zero
Îáíóëèòüçíà÷åíèÿóðîâíåéèêàòåãîðèé
-l
,
--levels
Óñòàíîâèòüäîïóñòèìûåóðîâíèêîíôèäåíöèàëüíîñòè
-i
,
--ilevel
Óñòàíîâèòüìàêñèìàëüíûéóðîâåíüöåëîñòíîñòè
-m
,
--maclabels
òîæå,÷òîè
-l
(èñïîëüçóåòñÿäëÿñîâìåñòèìîñòè)
-c
,
--category
Óñòàíîâèòüäîïóñòèìûåêàòåãîðèè
-h
,
--help
Âûâåñòèñïðàâêóèâûéòè
-v
,
--version
Âûâåñòèèíôîðìàöèþîâåðñèèèâûéòè
Åñëèâêà÷åñòâåïàðàìåòðàêëþ÷åé
-m
èëè

óêàçàíîîäíîçíà÷åíèåèëèîäíîçíà-
÷åíèåñïðåäøåñòâóþùèìäâîåòî÷èåì,ýòîçíà÷åíèåèíòåðïðåòèðóåòñÿêàêìàêñèìàëüíîå
çíà÷åíèå,åñëèîäíîçíà÷åíèåñïîñëåäóþùèìäâîåòî÷èåìêàêìèíèìàëüíîå.
Êîìàíäà
pdpl-user
ïðèóñïåøíîìâûïîëíåíèèâñåãäàâûâîäèòçíà÷åíèÿóñòàíîâ-
ëåííûõäîïóñòèìûõìàíäàòíûõìåòîê.
×òîáûïðîñìîòðåòüòåêóùèåäîïóñòèìûåìåòêè,âûïîëíèòüêîìàíäóáåçêëþ÷åé:
pdpl-userïîëüçîâàòåëü
Ïðèìåð
pdpl-user-mÓðîâåíü_0:Óðîâåíü_3-i0-ñ0:Êàòåãîðèÿ_2user1
Äàííàÿêîìàíäàäëÿïîëüçîâàòåëÿ
user1
óñòàíîâèò:

ìèíèìàëüíûéóðîâåíü
Óðîâåíü_0(0)
;

ìàêñèìàëüíûéóðîâåíü
Óðîâåíü_3(3)
;

ìàêñèìàëüíûéóðîâåíüöåëîñòíîñòè
Íèçêèé(0)
;

ìèíèìàëüíóþêàòåãîðèþ
0õ0(0)
(áåçêàòåãîðèé);

ìàêñèìàëüíóþêàòåãîðèþ
0õ2(2)
.
Óðîâíè
Óðîâåíü_0
,
Óðîâåíü_3
,êàòåãîðèÿ
Êàòåãîðèÿ_2
äîëæíûáûòüîïðåäåëåíû
âñèñòåìå.Çíà÷åíèÿóðîâíåéèêàòåãîðèéìîãóòáûòüçàäàíûâ÷èñëîâîéôîðìå.
4.4.7.sumac
Ñèíòàêñèñ:
sumac[-h,--help][-v,--version][-l,--level=][-c,--category=]
[-i,--stdin=][-o,--stdout=][-e,--stderr=][-x,--xauth][command]
Êîìàíäà
sumac
èñïîëüçóåòñÿäëÿçàïóñêàïðîöåññàñçàäàííûìèìàíäàòíûìèóðîâ-
íåìèêàòåãîðèåéâîòäåëüíîéãðàôè÷åñêîéñåññèèñèñïîëüçîâàíèåìâèðòóàëüíîãîãðàôè-
÷åñêîãîñåðâåðàXephyr.Ïîëüçîâàòåëüìîæåòçàïóñêàòüïðîöåññòîëüêîâïðåäåëàõðàçðå-
41
ÐÓÑÁ.10015-019701-1
øåííûõåìóóðîâíåéèêàòåãîðèé.
Åñëèóêàçàííûéìàíäàòíûéóðîâåíüâûøåòåêóùåãî,ò.å.ïðîèñõîäèòóâåëè÷åíèå
óðîâíÿ,òîïåðåìåííûåîêðóæåíèÿíàñëåäóþòñÿîòòåêóùåãîïðîöåññà.Åñëèïðîèñõîäèò
óìåíüøåíèåìàíäàòíîãîóðîâíÿ,òîòåêóùèåïåðåìåííûåîêðóæåíèÿñáðàñûâàþòñÿ,÷òîáû
èçáåæàòüóòå÷êèèíôîðìàöèè.Àíàëîãè÷íîïðèïîðîæäåíèèíîâîãîïðîöåññàçàêðûâàþòñÿ
âñåôàéëîâûåäåñêðèïòîðû,ìàíäàòíàÿìåòêàêîòîðûõíåñîâïàäàåòñóêàçàííîéâêîìàíä-
íîéñòðîêå.Âòîì÷èñëåçàêðûâàþòñÿ
stdin
,
stdout
,
stderr
.Ïåðåíàïðàâèòüñòàíäàðòíûé
ââîäèâûâîääëÿíîâîãîïðîöåññàìîæíîñïîìîùüþîïöèé
-i
,
-o
,
-e
äëÿ
stdin
,
stdout
è
stderr
,ñîîòâåòñòâåííî.
ÂÍÈÌÀÍÈÅ!
Çàïóñêïðîöåññàñïîíèæåíèåììàíäàòíîãîóðîâíÿèëèññîêðàùåíèåì
íàáîðàìàíäàòíûõêàòåãîðèéçàïðåùåíäëÿïðåäîòâðàùåíèÿóòå÷êèèíôîðìàöèèíàáîëåå
íèçêèåóðîâíèñåêðåòíîñòè.
Ïðèìåðû:
1.
Çàïóñêãðàôè÷åñêîãîïðèëîæåíèÿ
xterm
ñìàíäàòíûìóðîâíåì2èêàòåãîðèåé
0xffff
$sumac-l2-c0xffffxterm
Îïöèèïðèâåäåíûâòàáëèöå12.
Òàáëèöà12
Îïöèÿ
Îïèñàíèå
-l,--level=
Çàïóñòèòüïðîöåñññóêàçàííûììàíäàòíûìóðîâíåì
-c,--category=
Çàïóñòèòüïðîöåñññóêàçàííîéìàíäàòíîéêàòåãîðèåé
-i,--stdin=
Ïåðåíàïðàâèòü
stdin
çàïóùåííîãîïðîöåññàâóêàçàííûéôàéë
-o,--stdout=
Ïåðåíàïðàâèòü
stdout
çàïóùåííîãîïðîöåññàâóêàçàííûéôàéë
-e,--stderr=
Ïåðåíàïðàâèòü
stderr
çàïóùåííîãîïðîöåññàâóêàçàííûéôàéë
-x,--xauth
Ïîïûòàòüñÿñîçäàòüçàïèñüâ
.Xauthority
.Âñëó÷àåíåóäà÷èïðåðâàòü
âûïîëíåíèåïðîöåññà
-h,--help
Âûâåñòèñïðàâêóèâûéòè
-v,--version
Âûâåñòèèíôîðìàöèþîâåðñèèèâûéòè
4.4.8.userlev
Ñèíòàêñèñ:
42
ÐÓÑÁ.10015-019701-1
Îïöèèïðèâåäåíûâòàáëèöå13.
Òàáëèöà13
Îïöèÿ
Îïèñàíèå
-d
,
ÓäàëèòüóðîâåíüèçÁÄ
-a
,
�--addçíà÷åíèå
ÄîáàâèòüíîâûéóðîâåíüâÁÄ
-r
,
--renameíîâîå&#x-600;èìÿ
Ïåðåèìåíîâàòüñóùåñòâóþùèéóðîâåíü
-m
,
--modifyíîâîå&#x-600;çíà÷åíèå
Èçìåíèòüçíà÷åíèåóðîâíÿ
-h
,
--help
Âûâåñòèñïðàâêóèâûéòè
--version
Âûâåñòèèíôîðìàöèþîâåðñèèèâûéòè
4.4.9.usercat
Ñèíòàêñèñ:
Îïöèÿ
Îïèñàíèå
-d
,
ÓäàëèòüêàòåãîðèþèçÁÄ
-a
,
�--addçíà÷åíèå
ÄîáàâèòüíîâóþêàòåãîðèþâÁÄ
-r
,
--renameíîâîå&#x-600;èìÿ
Ïåðåèìåíîâàòüñóùåñòâóþùóþêàòåãîðèþ
-m
,
--modifyíîâîå&#x-600;çíà÷åíèå
Èçìåíèòüçíà÷åíèåêàòåãîðèè
-h
,
--help
Âûâåñòèñïðàâêóèâûéòè
--version
Âûâåñòèèíôîðìàöèþîâåðñèèèâûéòè
4.4.10.ÓñòàðåâøèåóòèëèòûóïðàâëåíèÿìàíäàòíûìèÏÐÄ
ÄëÿñîâìåñòèìîñòèñïðåäûäóùèìèâåðñèÿìèÎÑñîõðàíåíðÿäóòèëèòêîìàíäíîé
ñòðîêèäëÿóïðàâëåíèÿìàíäàòíûìèÏÐÄ.
ÂÍÈÌÀÍÈÅ!
Íàñòîÿòåëüíîíåðåêîìåíäóåòñÿïðèìåíÿòüóñòàðåâøèåóòèëèòû.
Äàííûåóòèëèòûíåïîçâîëÿþòðàáîòàòüñóðîâíÿìèöåëîñòíîñòèèîòîáðàæàþòìàíäàòíûå
àòðèáóòûâôîðìàòåïðåäûäóùèõâåðñèéÎÑ.
4.4.10.1.chmac
Ñèíòàêñèñ:
43
ÐÓÑÁ.10015-019701-1
chmac[îïöèè][óðîâåíü][:êàòåãîðèÿ[:ñïåöèàëüíûåàòðèáóòû]][èìÿôàéëà]
Êîìàíäà
chmac
èçìåíÿåòìàíäàòíûåàòðèáóòûôàéëîâÎÑ,êîòîðûåâêëþ÷àþòìàí-
äàòíóþìåòêóèñïåöèàëüíûåìàíäàòíûåàòðèáóòûôàéëà.
Îïöèèïðèâåäåíûâòàáëèöå15.
Òàáëèöà15
Îïöèÿ
Îïèñàíèå
-f
,
--silent
,
Íåâûâîäèòüñîîáùåíèéîáîøèáêàõ
-v
,
--verbose
Âûâîäèòüäèàãíîñòè÷åñêèåñîîáùåíèÿäëÿêàæäîãîôàéëà
-c
,
--changes
Òîæå,÷òîè
--verbose
,íîñîîáùàòüòîëüêîîáèçìåíåíèÿõ
-R
,
--recursive
Ïðèìåíèòüðåêóðñèâíî
-h
,
--help
Âûâåñòèñïðàâêóèâûéòè
--version
Âûâåñòèèíôîðìàöèþîâåðñèèèâûéòè
Óðîâåíüèêàòåãîðèÿìîãóòáûòüçàäàíûèìåíåìèëèøåñòíàäöàòåðè÷íûìçíà÷åíè-
åì.
Ïðèìåð
chmac-RvÑåêðåòíî:Êàòåãîðèÿ_À/tmp
Äàííàÿêîìàíäàðåêóðñèâíîäëÿâñåõôàéëîâêàòàëîãà
/tmp
èçìåíèòóðîâåíüíà
Ñåêðåòíî
èêàòåãîðèþíà
Êàòåãîðèÿ_À
(óðîâåíüèêàòåãîðèÿäîëæíûáûòüîïðåäåëåíûâ
ñèñòåìå).
Ñïåöèàëüíûåàòðèáóòûìîãóòáûòüçàäàíûçíà÷åíèåìèëèñòðîêîéñèìâîëîâ
rwxrwx
,âêîòîðîéëþáîéèçñèìâîëîâìîæåòáûòüçàìåíåííà¾-¿äëÿñíÿòèÿñîîòâåò-
ñòâóþùåãîàòðèáóòà.
Ïðèìåð
chmac0:0:rwxrwx/tmp
Äàííàÿêîìàíäàäëÿêàòàëîãà
/tmp
óñòàíîâèòèãíîðèðîâàíèåìàíäàòíûõóðîâíåéè
êàòåãîðèéïðèâûïîëíåíèèîïåðàöèé÷òåíèÿ,çàïèñèèèñïîëíåíèÿ.
Ïðèçàäàíèèñïåöèàëüíûõàòðèáóòîââìåñòî
rwx
ìîãóòáûòüèñïîëüçîâàíûñëåäó-
þùèåñîêðàùåíèÿ:

equ
èãíîðèðîâàíèåìàíäàòíûõóðîâíåéèêàòåãîðèéïðèâûïîëíåíèèîïåðàöèé
÷òåíèÿ,çàïèñèèèñïîëíåíèÿ;

equ_w
èãíîðèðîâàíèåìàíäàòíûõóðîâíåéèêàòåãîðèéïðèâûïîëíåíèèîïåðà-
öèèçàïèñè;

low
èãíîðèðîâàíèåìàíäàòíûõóðîâíåéèêàòåãîðèéïðèâûïîëíåíèèîïåðàöèé
÷òåíèÿèèñïîëíåíèÿ.
44
ÐÓÑÁ.10015-019701-1
ÂÍÈÌÀÍÈÅ!
Âíàñòîÿùååâðåìÿèñïîëüçóåòñÿäðóãîéíàáîðñïåöèàëüíûõàòðèáó-
òîâ(ñì.
pdp-flbl
).Äàííàÿóòèëèòûíåïîçâîëÿåòðàáîòàòüñíèìè.Ñóùåñòâóåòñîîòâåò-
ñòâèåìåæäóñòàðûìàòðèáóòîì
equ
(
rwxrwx
)èíîâûì
ehole
.Òàêèìîáðàçîì,ðàçäåëüíîå
óïðàâëåíèåñïåöèàëüíûìèàòðèáóòàìèâèäà
rwxrwx
íåïðåäóñìîòðåíî.
Ïðèìåð
chmac0:0:equ/tmp
4.4.10.2.macid
Ñèíòàêñèñ:
macid[îïöèè]
Êîìàíäà
macid
âûâîäèòìàíäàòíûåàòðèáóòûñåññèèïîëüçîâàòåëÿÎÑ.
Îïöèèïðèâåäåíûâòàáëèöå16.
Òàáëèöà16
Îïöèÿ
Îïèñàíèå
-l
,
--level
Âûâåñòèòîëüêîìàíäàòíûéóðîâåíü
-c
,
--categories
Âûâåñòèòîëüêîìàíäàòíóþêàòåãîðèþ
-n
,
--name
Äëÿîïöèé
-lc
âûâîäèòüèìåíàâìåñòî÷èñëîâûõçíà÷åíèé
-h
,
--help
Âûâåñòèñïðàâêóèâûéòè
--version
Âûâåñòèèíôîðìàöèþîâåðñèèèâûéòè
Ïðèîòñóòñòâèèîïöèéâûâîäèòñòðîêóòåêóùèõìàíäàòíûõñâîéñòâ.
Ïðèìåð
macid
Óðîâåíü=2(Ñåêðåòíî)Êàòåãîðèÿ=1(Êàòåãîðèÿ_À)Ïðèâèëåãèè=0
Âýòîìïðèìåðåòåêóùàÿñåññèÿïîëüçîâàòåëÿèìååòóðîâåíüñåêðåòíîñòè
Ñåêðåòíî
èêàòåãîðèþ
Êàòåãîðèÿ_À
.
4.4.10.3.lsm
Ñèíòàêñèñ:
lsm[îïöèè][èìÿôàéëà]
Êîìàíäà
lsm
âûâîäèòàíàëîãè÷íîñòàíäàðòíîéêîìàíäå
ls
èíôîðìàöèþîôàéëàõ
(ïîóìîë÷àíèþîòåêóùåìêàòàëîãå).
Èñïîëüçîâàíèåäàííîéêîìàíäûâöåëîìíåîòëè÷àåòñÿîòèñïîëüçîâàíèÿ
ls
,çà
èñêëþ÷åíèåìñëåäóþùèõîñîáåííîñòåé:

åñëèíàôàéëåóñòàíîâëåíûACL,òîêíèìäîáàâëÿåòñÿñèìâîë¾+¿;

åñëèíàôàéëåóñòàíîâëåíàíåíóëåâàÿìàíäàòíàÿìåòêà,òîêACLäîáàâëÿåòñÿ
ñèìâîë¾m¿;
45
ÐÓÑÁ.10015-019701-1

åñëèíàôàéëåóñòàíîâëåíûñïèñêèïðîòîêîëèðîâàíèÿ,òîêACLäîáàâëÿåòñÿñèì-
âîë¾a¿;

äîñòóïíàîïöèÿ
-M
,êîòîðàÿìîæåòáûòüèñïîëüçîâàíàäëÿïðîñìîòðàìàíäàòíûõ
ìåòîêíàôàéëîâûõîáúåêòàõ.
4.4.10.4.psmac
Ñèíòàêñèñ:
Îïöèÿ
Îïèñàíèå
-d
,
Îáíóëèòüìàíäàòíûéêîíòåêñòáåçîïàñíîñòèïðîöåññà
-n
,
--numeric
Âûâåñòèèíôîðìàöèþîêîíòåêñòåâ÷èñëåííîìâèäå
-h
,
--help
Âûâåñòèñïðàâêóèâûéòè
--version
Âûâåñòèèíôîðìàöèþîâåðñèèèâûéòè
4.4.10.5.usermac
Ñèíòàêñèñ:
usermac[-dzhv[-mìèíèìàëüíûéóðîâåíü:ìàêñèìàëüíûéóðîâåíü]
[-cìèíèìàëüíàÿêàòåãîðèÿ:ìàêñèìàëüíàÿêàòåãîðèÿ]]ïîëüçîâàòåëü
Êîìàíäà
usermac
èçìåíÿåòäîïóñòèìûåìàíäàòíûåóðîâíèèêàòåãîðèèïîëüçîâà-
òåëåéÎÑ.
Îïöèèïðèâåäåíûâòàáëèöå18.
46
ÐÓÑÁ.10015-019701-1
Òàáëèöà18
Îïöèÿ
Îïèñàíèå
-d
,
Óäàëèòüñòðîêóïîëüçîâàòåëÿèçôàéëà
-z
,
--zero
Îáíóëèòüçíà÷åíèÿóðîâíåéèêàòåãîðèé
-l
,
--levels
Óñòàíîâèòüäîïóñòèìûåìàíäàòíûåóðîâíèêîíôèäåíöèàëüíîñòè
-i
,
--ilevel
Óñòàíîâèòüìàêñèìàëüíûéóðîâåíüöåëîñòíîñòè
-m
,
--maclabels
òîæå,÷òîè
-l
(èñïîëüçóåòñÿäëÿñîâìåñòèìîñòè)
-c
,
--category
Óñòàíîâèòüäîïóñòèìûåêàòåãîðèè
-h
,
--help
Âûâåñòèñïðàâêóèâûéòè
-v
,
--version
Âûâåñòèèíôîðìàöèþîâåðñèèèâûéòè
Åñëèâêà÷åñòâåïàðàìåòðàêëþ÷åé
-m
èëè

óêàçàíîîäíîçíà÷åíèåèëèîäíîçíà-
÷åíèåñïðåäøåñòâóþùèìäâîåòî÷èåì,ýòîçíà÷åíèåèíòåðïðåòèðóåòñÿêàêìàêñèìàëüíîå
çíà÷åíèå,åñëèîäíîçíà÷åíèåñïîñëåäóþùèìäâîåòî÷èåìêàêìèíèìàëüíîå.
Êîìàíäà
usermac
ïðèóñïåøíîìâûïîëíåíèèâñåãäàâûâîäèòçíà÷åíèÿóñòàíîâëåí-
íûõäîïóñòèìûõìàíäàòíûõìåòîê.
×òîáûïðîñìîòðåòüòåêóùèåäîïóñòèìûåìåòêè,âûïîëíèòüêîìàíäóáåçêëþ÷åé:
usermacïîëüçîâàòåëü
Ïðèìåð
usermac-míåñåêðåòíî:ñåêðåòíî-ñêàòåãîðèÿ_À:êàòåãîðèÿ_Buser1
Äàííàÿêîìàíäàäëÿïîëüçîâàòåëÿ
user1
óñòàíîâèò:

ìèíèìàëüíûéóðîâåíü
íåñåêðåòíî
;

ìàêñèìàëüíûéóðîâåíü
ñåêðåòíî
;

ìèíèìàëüíóþêàòåãîðèþ
êàòåãîðèÿ_À
;

ìàêñèìàëüíóþêàòåãîðèþ
êàòåãîðèÿ_Â
.
Óðîâíè
íåñåêðåòíî
,
ñåêðåòíî
èêàòåãîðèè
êàòåãîðèÿ_À
,
êàòåãîðèÿ_Â
äîëæíû
áûòüîïðåäåëåíûâñèñòåìå.Çíà÷åíèÿóðîâíåéèêàòåãîðèéìîãóòáûòüçàäàíûâ÷èñëîâîé
ôîðìå.
47
ÐÓÑÁ.10015-019701-1
Îïöèèïðèâåäåíûâòàáëèöå19.
Òàáëèöà19
Îïöèÿ
Îïèñàíèå
-R
,
--recursive
Äëÿïîäêàòàëîãîâðåêóðñèâíî
-L
,
--logical
Ñëåäîâàòüïîñèìâîëè÷åñêèìññûëêàì
-P
,
--phisical
Íåñëåäîâàòüïîñèìâîëè÷åñêèìññûëêàì
-n
,
--numeric
Âûâîäèòüèíôîðìàöèþîêîìïîíåíòàõìåòêèâöèôðîâîéôîðìå
-p
,
--absolute-names
Àáñîëþòíûåèìåíà
-c
,
--omit-header
Íåïîêàçûâàòüçàãîëîâîê(èìÿôàéëà)
-s
,
--skip-empty
Ïðîïóñêàòüôàéëûñïóñòûìèàòðèáóòàìè
-h,--help
Âûâåñòèñïðàâêóèâûéòè
-v,--version
Âûâåñòèèíôîðìàöèþîâåðñèèèâûéòè
Îïöèÿ
Îïèñàíèå
-s
,
Óñòàíîâèòüìàíäàòíóþìåòêóèçêîìàíäíîéñòðîêè
-m
,
--modify
Èçìåíèòüìàíäàòíóþìåòêóèçêîìàíäíîéñòðîêè
48
ÐÓÑÁ.10015-019701-1
Îêîí÷àíèåòàáëèöû20
Îïöèÿ
Îïèñàíèå
-S
,
Óñòàíîâèòüìåòêèèçôàéëà
-B
,
--restore
Âîññòàíîâèòüìåòêèèçôàéëà
-R
,
--recursive
Äëÿïîäêàòàëîãîâðåêóðñèâíî
-L
,
--logical
Ñëåäîâàòüïîñèìâîëè÷åñêèìññûëêàì
-P
,
--physical
Íåñëåäîâàòüïîñèìâîëè÷åñêèìññûëêàì
-h
,
--help
Âûâåñòèñïðàâêóèâûéòè
-v
,
--version
Âûâåñòèèíôîðìàöèþîâåðñèèèâûéòè
4.5.Ñðåäñòâàóïðàâëåíèÿïðèâèëåãèÿìèïîëüçîâàòåëåéèïðîöåññîâ
Äëÿóïðàâëåíèÿïðèâèëåãèÿìèôàéëîâèïðîöåññîâèñïîëüçóåòñÿãðàôè÷åñêàÿóòè-
ëèòà
fly-admin-smc
(¾Óïðàâëåíèåïîëèòèêîéáåçîïàñíîñòè¿).Áîëååïîäðîáíîåîïèñàíèå
óòèëèòûñì.âýëåêòðîííîéñïðàâêå.
Äàëååðàññìîòðåíûñðåäñòâàóïðàâëåíèÿïðèâèëåãèÿìèïîëüçîâàòåëåéèïðîöåñ-
ñîââðåæèìåêîìàíäíîéñòðîêè.
4.5.1.usercaps
Ñèíòàêñèñ:
49
ÐÓÑÁ.10015-019701-1
Îïöèèïðèâåäåíûâòàáëèöå21.
Òàáëèöà21
Îïöèÿ
Îïèñàíèå
-d
,
Óäàëèòüñòðîêóïîëüçîâàòåëÿèçôàéëàïðèâèëåãèé
-z
,
--zero
Ñáðîñèòüâñåïðèâèëåãèèïîëüçîâàòåëÿ
-f
,
--full
Ïðèñâîèòüâñåâîçìîæíûåïðèâèëåãèèïîëüçîâàòåëþ
-l
,
--linux
ÈçìåíèòüLinux-ïðèâèëåãèèïîëüçîâàòåëÿ
-m
,
--parsec
ÈçìåíèòüPARSEC-ïðèâèëåãèèïîëüçîâàòåëÿ
-L
,
--Linux
ÂûâåñòèñïèñîêâîçìîæíûéLinux-ïðèâèëåãèé
-M
,
--PARSEC
ÂûâåñòèñïèñîêâîçìîæíûõPARSEC-ïðèâèëåãèé
-n
,
--numeric
Âûâåñòèïðèâèëåãèèâøåñòíàäöàòåðè÷íîìôîðìàòå
-h,--help
Âûâåñòèñïðàâêóèâûéòè
-v,--version
Âûâåñòèèíôîðìàöèþîâåðñèèèâûéòè
4.5.2.execaps
Ñèíòàêñèñ:
execaps[-v,--version][-h,--help][-c,--capability(ïðèâèëåãèè)][--]
êîìàíäà
Êîìàíäà
execaps
ìîæåòáûòüèñïîëüçîâàíààäìèíèñòðàòîðîìäëÿçàïóñêàïðîöåñ-
ñàñîäíîâðåìåííîéóñòàíîâêîéâûáðàííûõPARSEC-ïðèâèëåãèé.
execaps-câåêòîð&#x-600;ïðèâèëåãèé--ïðîãðàììàèåå&#x-600;&#x-600;&#x-600;àðãóìåíòû
Ïðèâèëåãèèçàäàþòñÿââèäå÷èñëàáèòîâîéìàñêè(êàêïðàâèëî,â
øåñòíàäöàòåðè÷íîìâèäå).Ñîîòâåòñòâèåîòäåëüíûõáèòïîëíîìî÷èÿìïðèâåäåíîâ
Îïöèÿ
Îïèñàíèå
-c,--capability
Óñòàíîâèòüïðèâèëåãèè
-f,--force
Âûçâàòüïðîãðàììó,äàæååñëèíåóäàëîñüóñòàíîâèòüïðèâèëåãèè
-h,--help
Âûâåñòèñïðàâêóèâûéòè
-v,--version
Âûâåñòèèíôîðìàöèþîâåðñèèèâûéòè
50
ÐÓÑÁ.10015-019701-1
4.5.3.pscaps
Ñèíòàêñèñ:
pscaps[--version][-h,--help][äåéñòâóþùèåïîëíîìî÷èÿ
[ðàçðåøåííûåïîëíîìî÷èÿ[íàñëåäóåìûåïîëíîìî÷èÿ]]]
Êîìàíäà
pscaps
ìîæåòáûòüèñïîëüçîâàíàäëÿïðîñìîòðàèèçìåíåíèÿ(â÷èñëåí-
íîìâèäå)PARSEC-ïîëíîìî÷èéïðîöåññà.
pscaps[effective_caps[permitted_caps[inheritable_caps]]]
Åñëèâêà÷åñòâåàðãóìåíòàóêàçàíòîëüêîèäåíòèôèêàòîðïðîöåññà,òîêîìàíäàïî-
êàçûâàåòíàáîðïîëíîìî÷èéçàäàííîãîïðîöåññà,âïðîòèâíîìñëó÷àåïûòàåòñÿóñòàíîâèòü
çàäàííûåâêîìàíäíîéñòðîêåââèäåøåñòíàäöàòåðè÷íûõ÷èñåëïîëíîìî÷èÿ.
Îïöèèïðèâåäåíûâòàáëèöå23.
Òàáëèöà23
Îïöèÿ
Îïèñàíèå
-h,--help
Âûâåñòèñïðàâêóèâûéòè
-v,--version
Âûâåñòèèíôîðìàöèþîâåðñèèèâûéòè
4.6.Ìàíäàòíîåðàçãðàíè÷åíèåäîñòóïàâÑÓÁÄPostgreSQL
Âêà÷åñòâåçàùèùåííîéÑÓÁÄâñîñòàâåÎÑèñïîëüçóåòñÿÑÓÁÄPostgreSQL,äîðà-
áîòàííàÿâñîîòâåòñòâèèñòðåáîâàíèåìèíòåãðàöèèñÎÑâ÷àñòèìàíäàòíîãîðàçãðàíè÷å-
íèÿäîñòóïàêèíôîðìàöèè.
Ïðèìå÷àíèå.ÂòåêóùåéâåðñèèÎÑïðåäñòàâëåíûäâåâåðñèèçàùèùåííîé
ÑÓÁÄ(íàáàçåâåðñèéÑÓÁÄPostgreSQL9.2è9.4),îòëè÷àþùèåñÿâ÷àñòèðåàëèçàöèèìàí-
äàòíîãîðàçãðàíè÷åíèÿäîñòóïàêèíôîðìàöèè.ÂâåðñèèÑÓÁÄPostgreSQL9.2èñïîëüçó-
åòñÿðåàëèçàöèÿìàíäàòíîãîðàçãðàíè÷åíèÿäîñòóïà,ïðèìåíÿåìàÿâïðåäûäóùèõâåðñèÿõ
ÎÑ,òîãäàêàêâåðñèÿÑÓÁÄPostgreSQL9.4ñîäåðæèòðåàëèçàöèþÄÏ-ìîäåëèóïðàâëåíèÿ
äîñòóïîìèèíôîðìàöèîííûìèïîòîêàìè,ñîîòâåòñòâóþùóþòåêóùåéâåðñèèÎÑ.
Âîñíîâåìàíäàòíîãîìåõàíèçìàðàçãðàíè÷åíèÿäîñòóïàëåæèòóïðàâëåíèåäîñòó-
ïîìêçàùèùàåìûìðåñóðñàìÁÄíàîñíîâåèåðàðõè÷åñêèõèíåèåðàðõè÷åñêèõìåòîêäî-
ñòóïà.Ýòîïîçâîëÿåòðåàëèçîâàòüìíîãîóðîâíåâóþçàùèòóñîáåñïå÷åíèåìðàçãðàíè÷åíèÿ
äîñòóïàïîëüçîâàòåëåéêçàùèùàåìûìðåñóðñàìÁÄèóïðàâëåíèåïîòîêàìèèíôîðìàöèè.
Âêà÷åñòâåèåðàðõè÷åñêèõèíåèåðàðõè÷åñêèõìåòîêäîñòóïàïðèèñïîëüçîâàíèèÑÓÁÄâ
ÎÑèñïîëüçóþòñÿìåòêèêîíôèäåíöèàëüíîñòèèëèìåòêèáåçîïàñíîñòèÎÑ.
ÑÓÁÄPostgreSQLíåèìååòñîáñòâåííîãîìåõàíèçìàíàçíà÷åíèÿ,õðàíåíèÿèìîäè-
ôèêàöèèìåòîêïîëüçîâàòåëåéèèñïîëüçóåòäëÿýòîãîìåõàíèçìûÎÑ.
51
ÐÓÑÁ.10015-019701-1
4.6.1.ÂåðñèÿÑÓÁÄPostgreSQL9.2
Âðåëÿöèîííîéìîäåëèâêà÷åñòâåñòðóêòóðû,îáëàäàþùåéìåòêîé,åñòåñòâåííîâû-
áðàòüêîðòåæ,ïîñêîëüêóèìåííîíàýòîìóðîâíåäåòàëèçàöèèîñóùåñòâëÿþòñÿîïåðàöèè
÷òåíèÿ/çàïèñèèíôîðìàöèèâÑÓÁÄ.Ïðèýòîì,ìåñòîìõðàíåíèÿìåòêèìîæåòáûòüâûáðàí
òîëüêîñàìêîðòåæ,òîëüêîòàêìåòêàáóäåòíåðàçðûâíîñâÿçàíàñäàííûìè,ñîäåðæàùèìè-
ñÿâêîðòåæå.Êðîìåòîãî,ìåòêàìîæåòáûòüîïðåäåëåíàäëÿòàêèõîáúåêòîâÁÄ,êêîòîðûì
ïðèìåíèìûâèäûäîñòóïàíà÷òåíèå/çàïèñüäàííûõ,àèìåííîòàáëèöûèâèäû.Âýòîìñëó-
÷àåìåòêèîáúåêòîâðàñïîëàãàþòñÿâçàïèñÿõñèñòåìíîéòàáëèöû,íåïîñðåäñòâåííîîïèñû-
âàþùèõçàùèùàåìûéîáúåêò.
Òàêêàêìàíäàòíûéêîíòðîëüäîñòóïàìîæåòáûòüîïðåäåëåíòîëüêîäëÿâèäîâäî-
ñòóïàíà÷òåíèåèíàçàïèñüèíôîðìàöèè,âñåìíîæåñòâîîïåðàöèéñäàííûìèâçàùèùàå-
ìûõîáúåêòàõïðèâîäèòñÿêíèìñëåäóþùèìîáðàçîì:

INSERT
äîñòóïíàçàïèñü;

UPDATE
,
52
ÐÓÑÁ.10015-019701-1
óäàëåíèÿîïðåäåëÿþòñÿóñòàíîâëåííûìèìàíäàòíûìèïðàâèëàìè.
ÄëÿàäìèíèñòðàòîðàÁÄïðåäóñìîòðåíûñèñòåìíûåïðèâèëåãèèèãíîðèðîâàíèÿ
ìàíäàòíîãîðàçãðàíè÷åíèÿäîñòóïà,òîëüêîòàêèìîáðàçîììîæíîïðîèçâîäèòüðåãëàìåíò-
íûåðàáîòûñÁÄ(íàïðèìåð,âîññòàíîâëåíèåðåçåðâíîéêîïèè),ò.ê.ýòîòðåáóåòóñòàíîâêè
ìåòîêäàííûõ,ñîõðàíåííûõðàíåå.
ÂPostgreSQLîáúåêòàìèçàùèòûÿâëÿþòñÿñòîëáöû,èäëÿíèõðåàëèçîâàíûìàí-
äàòíûåÏÐÄ.Ìåòêèñòîëáöîâîáúåêòîâòàêæåðàñïîëàãàþòñÿâçàïèñèñîîòâåòñòâóþùåéñè-
ñòåìíîéòàáëèöû,íåïîñðåäñòâåííîîïèñûâàþùåéçàùèùàåìûéñòîëáåö.ÌàíäàòíûåÏÐÄ
ñòîëáöîâèñàìîãîîáúåêòàíåìîãóòáûòüïðèìåíåíûîäíîâðåìåííî.Ðåæèìïðèìåíåíèÿ
ìàíäàòíûõÏÐÄòîëüêîêñàìîìóîáúåêòóèëèòîëüêîêåãîñòîëáöàììîæåòáûòüçàäàíäëÿ
êàæäîãîîáúåêòàâîòäåëüíîñòè.Çàùèòàíàóðîâíåçàïèñåéìîæåòèñïîëüçîâàòüñÿâëþáîì
ñëó÷àå.
Äëÿíàñòðîéêèðàáîòûñåðâåðàñìàíäàòíûìðàçãðàíè÷åíèåìäîñòóïàñóùå-
ñòâóåòðÿäêîíôèãóðàöèîííûõïàðàìåòðîâ,óêàçûâàåìûõâêîíôèãóðàöèîííîìôàéëå
postgresql.conf
êîíêðåòíîãîêëàñòåðàäàííûõ(òàáëèöà24).
Òàáëèöà24
Ïàðàìåòð
Îïèñàíèå
Îïðåäåëÿåò,áóäåòëèñåðâåðÑÓÁÄèñïîëüçîâàòüìåòêóâõî-
äÿùåãîñîåäèíåíèÿ.Åñëèýòîòïàðàìåòðóñòàíîâëåíâ
FALSE
,
òîìåòêàâõîäÿùåãîñîåäèíåíèÿáóäåòó÷èòûâàòüñÿïðèîïðå-
äåëåíèèìàêñèìàëüíîéäîñòóïíîéìåòêèñåññèèèïîñëåïîä-
êëþ÷åíèÿáóäåòäîñòóïíàòîëüêîèíôîðìàöèÿñìåòêîéíå
âûøåìåòêèâõîäÿùåãîñîåäèíåíèÿ.Ïðèóñòàíîâêåýòîãîïà-
ðàìåòðàâ
TRUE
ìåòêèñåàíñàáóäóòîïðåäåëÿòüñÿìàêñè-
ìàëüíîéìåòêîéïîëüçîâàòåëÿ,ïîëó÷åííîéèçÎÑ.
ac_ignore_server_maclabel
Îïðåäåëÿåò,áóäåòëèñåðâåðÑÓÁÄäîïîëíèòåëüíîèñïîëü-
çîâàòüñâîþìåòêó(ìåòêóïîëüçîâàòåëÿ
postgres
)ïðèîïðå-
äåëåíèèïðàâïîëüçîâàòåëÿíàçàíåñåíèå,óäàëåíèåèìîäè-
ôèêàöèþäàííûõèëèíåò.Åñëèýòîòïàðàìåòðóñòàíîâëåíâ
FALSE
,òîìåòêàñåðâåðàèñïîëüçóåòñÿäëÿáëîêèðîâàíèÿçà-
íåñåíèÿâÁÄèíôîðìàöèèñìåòêîé,ïðåâûøàþùåéìåòêó
ñåðâåðà.Åñëèýòîòïàðàìåòðóñòàíîâëåíâ
TRUE
,òîìåòêà
ñåðâåðàíåó÷èòûâàåòñÿ.
ac_enable_trusted_owner
Îïðåäåëÿåò,ìîãóòëèâëàäåëüöûîáúåêòîâíàçíà÷àòüïðàâà
íàäîñòóïêíèìäðóãèìïîëüçîâàòåëÿì.Åñëèýòîòïàðàìåòð
óñòàíîâëåíâçíà÷åíèå
FALSE
,òîïðàâîíàçíà÷àòüïðàâàíà
äîñòóïêëþáûìîáúåêòàìÁÄèìåþòòîëüêîñóïåðïîëüçîâàòå-
ëè.Ýòîïðåäîòâðàùàåòíåêîíòðîëèðóåìîåðàñïðîñòðàíåíèå
ïðàâíàäîñòóïêèíôîðìàöèè.Åñëèýòîòïàðàìåòðóñòàíîâ-
ëåíâ
TRUE
,òî,êðîìåñóïåðïîëüçîâàòåëåé,êàæäûéâëàäåëåö
îáúåêòàìîæåòíàçíà÷àòüïðàâàíàäîñòóïïîëüçîâàòåëåéê
¾ñâîåìó¿îáúåêòó.
53
ÐÓÑÁ.10015-019701-1
Îêîí÷àíèåòàáëèöû24
Ïàðàìåòð
Îïèñàíèå
ac_enable_truncate
Áëîêèðóåò(
FALSE
)èëèðàçáëîêèðóåò(
TRUE
)âîçìîæíîñòüâû-
ïîëíåíèÿêîìàíäû
TRUNCATE
.
ac_enable_sequence_mac
Åñëèïàðàìåòðêîíôèãóðàöèèóñòàíîâëåíâ
FALSE
,òîìàí-
äàòíûéïðèíöèïêîíòðîëÿäîñòóïàíàïîñëåäîâàòåëüíîñòèíå
ïðèìåíÿåòñÿ.
ac_enable_dblink_mac
Åñëèïàðàìåòðêîíôèãóðàöèèóñòàíîâëåíâ
TRUE
,ðàçðåøà-
åòñÿèñïîëüçîâàíèå
dblink
âóñëîâèÿõìàíäàòíîãîðàçãðà-
íè÷åíèÿäîñòóïà.
ac_enable_copy_to_file
Áëîêèðóåò(
FALSE
)èëèðàçáëîêèðóåò(
TRUE
)âîçìîæíîñòüâû-
ïîëíåíèÿêîìàíäû
COPY
ñâûâîäîìðåçóëüòàòîââôàéë,äî-
ñòóïíûéñåðâåðóÑÓÁÄ.
ac_caps_ttl
Âðåìÿæèçíèèíôîðìàöèèâñåêóíäàõîïðèâèëåãèÿõïîëü-
çîâàòåëÿïîäñèñòåìûáåçîïàñíîñòèPARSEC(îïðåäåëÿ-
åòâðåìÿæèçíèêýøèðîâàííîéèíôîðìàöèèîPARSEC-
ïðèâèëåãèÿõïîëüçîâàòåëÿ;óìåíüøåíèåçíà÷åíèÿïðèâîäèò
êóâåëè÷åíèþ÷èñëàîáðàùåíèéñåðâåðàÑÓÁÄêïîäñèñòåìå
áåçîïàñíîñòèPARSECèêàêñëåäñòâèåêñíèæåíèþïðîèç-
âîäèòåëüíîñòèñåðâåðàÑÓÁÄ).
ac_debug_print
Åñëèóñòàíîâëåíâ
TRUE
,äîáàâëÿåòâæóðíàëñåðâåðàîòëà-
äî÷íóþèíôîðìàöèþîðàáîòåìåõàíèçìîâçàùèòû.
ÄëÿáîëååãèáêîéíàñòðîéêèñåðâåðàÑÓÁÄðàñøèðåíñèíòàêñèñêîíôèãóðàöèîííîãî
ôàéëà
pg_hba.conf
îïöèåé
54
ÐÓÑÁ.10015-019701-1
2)
åñëèïàðàìåòðêîíôèãóðàöèè
55
ÐÓÑÁ.10015-019701-1
òåêóùèõìàíäàòíûõàòðèáóòîââñåãäàóñòàíàâëèâàþòñÿìàíäàòíûåàòðèáóòû
ïîëüçîâàòåëÿ,çàïóñòèâøåãîäàííóþñåññèþ(ñîåäèíåíèå)(ò.å.ïîëüçîâàòåëÿ
ñèìåíåì
SESSION_USER
).Ýòîíåîáõîäèìî,÷òîáûïðåäîòâðàòèòüïîëó÷åíèå
ôóíêöèåé-òðèããåðîìïîëüçîâàòåëÿñíèçêèìóðîâíåìäîñòóïàâûñîêèõïðèâèëå-
ãèéâñëó÷àåêàñêàäíîãîâûçîâàòðèããåðîâ.
Ïîñëåâîçâðàòàóïðàâëåíèÿèçôóíêöèèçíà÷åíèÿòåêóùèõìàíäàòíûõàòðèáóòîâ
âñåãäàâîññòàíàâëèâàþòñÿâèñõîäíûå(äîâûçîâàôóíêöèè)çíà÷åíèÿ.
Ôóíêöèè,íàïèñàííûåíàÿçûêàõíèçêîãîóðîâíÿ,ïîñëåèõïîäêëþ÷åíèÿèìåþòïîë-
íûéäîñòóïêîâñåìâíóòðåííèìñòðóêòóðàìñåðâåðàÑÓÁÄPostgreSQLèìîãóòïðîèçâîëüíî
èõìîäèôèöèðîâàòü.Êðîìåýòîãî,ïîñêîëüêóîíèâûïîëíÿþòñÿâðàìêàõïðîöåññàñåðâå-
ðà,îíèèìåþòñîîòâåòñòâóþùèåïðàâàäîñòóïàêîáúåêòàìÎÑâñðåäåôóíêöèîíèðîâàíèÿ
ñåðâåðà.Èìåííîïîýòîìóïðàâàïîëüçîâàòåëÿ
postgres
,ïîäêîòîðûìçàïóñêàåòñÿñåðâåð,
íåîáõîäèìîñâåñòèêíåîáõîäèìîìóìèíèìóìó,ìèíóÿêàêîé-ëèáîêîíòðîëüñåãîñòîðîíû
(âêëþ÷àÿòåêóùèåìàíäàòíûåàòðèáóòû).
Ïðèíàëè÷èèìàíäàòíûõìåòîêíàñàìîáúåêò,åãîñòîëáåöèíåïîñðåäñòâåííîñòðîêó
âîçìîæíûñëåäóþùèåâàðèàíòûèñïîëüçîâàíèÿìàíäàòíûõÏÐÄ(ðàññìîòðèìíàïðèìåðå
òàáëèö):
1)
ìåòêèîòñóòñòâóþòìàíäàòíûåÏÐÄíåïðèìåíÿþòñÿ.
Âýòîìñëó÷àåìåòêàîáúåêòàíåóñòàíîâëåíà,ìåòêèñòîëáöîâíåóñòàíîâëåíû,àñàì
îáúåêòñîçäàíáåççàùèòûñòðîê.ÑÓÁÄôóíêöèîíèðóåòâøòàòíîìðåæèìåçàùèòû
ñèñïîëüçîâàíèåìòîëüêîäèñêðåöèîííûõÏÐÄ.
ÂÍÈÌÀÍÈÅ!
Äàííûéðåæèìíåîáåñïå÷èâàåòìàíäàòíîãîðàçãðàíè÷åíèÿäîñòóïàè
íåðåêîìåíäóåòñÿêèñïîëüçîâàíèþ!Íàëè÷èåäàæåîäíîãîîáúåêòà,ôóíêöèîíèðóþ-
ùåãîâïîäîáíîìðåæèìå,íàðóøàåòçàùèùåííîñòüñèñòåìûâöåëîì;
2)
ìåòêàìèçàùèùàþòñÿòîëüêîçàïèñè.
Ìåòêàîáúåêòàíåóñòàíîâëåíà,ìåòêèñòîëáöîâíåóñòàíîâëåíû,àñàìîáúåêòñî-
çäàíñçàùèòîéñòðîê.ÄèñêðåöèîííûåÏÐÄïðèìåíÿþòñÿïåðåäâûïîëíåíèåìçà-
ïðîñà.
ÌàíäàòíûåÏÐÄïðèìåíÿþòñÿòîëüêîíàóðîâíåçàïèñåé.Ñîçäàíèåçàïèñåéðàçðå-
øåíîâñåìñóáúåêòàì,ïðèýòîìçàïèñèíàñëåäóþòìåòêóñóáúåêòà.Îïåðàöèè÷òåíèÿ
èìîäèôèêàöèèîñóùåñòâëÿþòñÿíàäìíîæåñòâàìèçàïèñåé,äîñòóïíûõñóáúåêòóïî
ìàíäàòíûìÏÐÄ.ÏðîâåðêàìàíäàòíûõÏÐÄîñóùåñòâëÿåòñÿïîñëåóñïåøíîãîïðè-
ìåíåíèÿäèñêðåöèîííûõÏÐÄ,íàðóøåíèåáåçîïàñíîñòèíåâîçíèêàåò;
3)
ìåòêàìèçàùèùàåòñÿòîëüêîîáúåêò.
Ìåòêàîáúåêòàóñòàíîâëåíà,ìåòêèñòîëáöîâíåóñòàíîâëåíû,àñàìîáúåêòñîçäàí
áåççàùèòûñòðîê.
56
ÐÓÑÁ.10015-019701-1
ÌàíäàòíûåÏÐÄïðèìåíÿþòñÿòîëüêîíàóðîâíåîáúåêòà,âñåäàííûå,ñîäåðæàùèå-
ñÿâîáúåêòå,ðàññìàòðèâàþòñÿ,êàêèìåþùèåìåòêóîáúåêòà.Ñîçäàíèåçàïèñåéðàç-
ðåøåíîñóáúåêòàìñìåòêàìè,íàäêîòîðûìèäîìèíèðóåòìåòêàîáúåêòà,ïðèýòîì
çàïèñèíàñëåäóþòìåòêóñóáúåêòà.Îïåðàöèè÷òåíèÿèìîäèôèêàöèèîñóùåñòâëÿ-
þòñÿïîìàíäàòíûìÏÐÄêîáúåêòó.
ÌàíäàòíûåÏÐÄïðèìåíÿþòñÿòîëüêîâñëó÷àåóñïåøíîéïðîâåðêèäèñêðåöèîííûõ
ÏÐÄ,êîòîðûåêñòîëáöàìîáúåêòàïðèìåíÿþòñÿòîëüêîïðèîòñóòñòâèèÿâíîãîðàç-
ðåøåíèÿíàäîñòóïêñàìîéòàáëèöå;
4)
ìåòêàìèçàùèùàåòñÿîáúåêòèåãîçàïèñè.
Ìåòêàîáúåêòàóñòàíîâëåíà,ìåòêèñòîëáöîâíåóñòàíîâëåíû,àñàìîáúåêòñîçäàí
ñçàùèòîéñòðîê.
Àíàëîãè÷íîïðåäûäóùåìóâàðèàíòóñîçäàíèåçàïèñåéðàçðåøåíîñóáúåêòàìñìåò-
êàìè,íàäêîòîðûìèäîìèíèðóåòìåòêàîáúåêòà,ïðèýòîìçàïèñèíàñëåäóþòìåòêó
ñóáúåêòà.ÌàíäàòíûåÏÐÄïðèìåíÿþòñÿêàêíàóðîâíåîáúåêòà,òàêèíàóðîâíå
çàïèñåé.
Îïåðàöèèìîäèôèêàöèèâîçìîæíûòîëüêîíàääàííûìè,èìåþùèìèìåòêó,ðàâíóþ
ìåòêåòàáëèöû;
5)
ìåòêàìèçàùèùàþòñÿñòîëáöûîáúåêòà.
Ìåòêàîáúåêòàíåóñòàíîâëåíà,ìåòêèñòîëáöîâóñòàíîâëåíû,àñàìîáúåêòñîçäàí
áåççàùèòûñòðîê.
ÏðèýòîììàíäàòíûåÏÐÄïðèìåíÿþòñÿíàóðîâíåñòîëáöîâ.Ñóáúåêòìîæåò÷è-
òàòüèçñòîëáöîâ,íàäìåòêàìèêîòîðûõäîìèíèðóåòåãîìåòêà,âñòàâëÿòüäàííûåâ
ñòîëáöû,÷üèìåòêèäîìèíèðóþòíàäåãî,èìîäèôèöèðîâàòüòå,÷üèìåòêèðàâíû
åãî.
Îïåðàöèèóäàëåíèÿíåâîçìîæíûïðèíàëè÷èèðàçíûõìåòîêíàñòîëáöû,ò.ê.îïå-
ðàöèÿïðèìåíÿåòñÿêîâñåéñòðîêå.Ýòîñâÿçàíîñòåì,÷òîîïåðàöèÿóäàëåíèÿèí-
òåðïðåòèðóåòñÿêàêïîñëåäîâàòåëüíîåïðåäîñòàâëåíèåäîñòóïàíà÷òåíèåèíàçà-
ïèñü,÷òîâîçìîæíîòîëüêîïðèðàâåíñòâåìåòîêñóáúåêòàèîáúåêòà.Âñëó÷àå,êîãäà
ñòîëáöûèìåþòðàçíûåìåòêè,äàííîåóñëîâèåâûïîëíèòüñÿíåìîæåò.
Îïåðàöèÿóäàëåíèÿäîñòóïíàòîëüêîäëÿàäìèíèñòðàòîðàèïîëüçîâàòåëåé,îáëà-
äàþùèõïðèâèëåãèÿìèèãíîðèðîâàíèÿìàíäàòíîãîðàçãðàíè÷åíèÿäîñòóïà;
6)
ìåòêàìèçàùèùàþòñÿñòîëáöûèçàïèñèîáúåêòà.
Âýòîìñëó÷àåìåòêàîáúåêòàíåóñòàíîâëåíà,ìåòêèñòîëáöîâóñòàíîâëåíû,àñàì
îáúåêòñîçäàíñçàùèòîéñòðîê.
ÏðèýòîììàíäàòíûåÏÐÄïðèìåíÿþòñÿêàêíàóðîâíåñòîëáöîâ,òàêèíàóðîâíå
çàïèñåé.Ñóáúåêòìîæåòâñòàâëÿòüäàííûåâñòîëáöû,÷üèìåòêèäîìèíèðóþòíàä
57
ÐÓÑÁ.10015-019701-1
åãî,ïðèýòîìçàïèñèíàñëåäóþòìåòêóñóáúåêòà.Îïåðàöèè÷òåíèÿèìîäèôèêàöèè
îñóùåñòâëÿþòñÿíàäìíîæåñòâàìèçàïèñåé,äîñòóïíûìèñóáúåêòóïîìàíäàòíûì
ÏÐÄíàçàïèñè,èòîëüêîïîñòîëáöàì,äîñòóïíûõïîìàíäàòíûìÏÐÄíàñòîëáöû.
ÏîñêîëüêóâïðîöåññåðàáîòûñäàííûìèâÑÓÁÄâîçìîæíîèçìåíåíèåîðãàíèçàöèè
èõõðàíåíèÿïóòåìèçìåíåíèÿñõåìûîáúåêòîâÁÄ(ìåòàäàííûõ),êïîäîáíûìîïåðàöèÿì
òàêæåïðèìåíÿþòñÿÏÐÄ.
ÌîäèôèêàöèÿìåòàäàííûõâîçíèêàåòêàæäûéðàçïðèèçìåíåíèèñòðóêòóðûÁÄ,÷òî
âêëþ÷àåòâñåáÿñîçäàíèå,ìîäèôèêàöèþèóäàëåíèåîáúåêòîâÁÄ.
ÒàêêàêíåêîòîðûåäåéñòâèÿíàäîáúåêòàìèÁÄìîãóòâëèÿòüíàõðàíÿùèõñÿâíèõ
äàííûõ(êàêïðàâèëî,ìîäèôèêàöèÿèëèóäàëåíèåîáúåêòàèëèåãî÷àñòè),ïðèèñïîëüçî-
âàíèèìàíäàòíîãîðàçãðàíè÷åíèÿäîñòóïàêäàííûìîáúåêòàíåîáõîäèìîðàçãðàíè÷èâàòüè
äîñòóïêèçìåíåíèþìåòàäàííûõâ÷àñòè,îòíîñÿùåéñÿêýòîìóîáúåêòó.
Àíàëîãè÷íîîïåðàöèÿìñäàííûìè:äåéñòâèÿñîáúåêòàìèÁÄäîëæíûáûòüïðèâå-
äåíûêâèäàìäîñòóïàíà÷òåíèåèíàçàïèñüèíôîðìàöèèäëÿâîçìîæíîñòèïðèìåíåíèÿ
êíèììàíäàòíûõÏÐÄ.Âñåìíîæåñòâîîïåðàöèéñìåòàäàííûìèìîæåòáûòüïðèâåäåíî
ñëåäóþùèìîáðàçîì:

CREATE
,
ADD
äîñòóïíàçàïèñü;

ALTER
,
DROP
ïîñëåäîâàòåëüíîåâûïîëíåíèåäîñòóïàíà÷òåíèåèçàïèñüèí-
ôîðìàöèè;

èñïîëüçîâàíèåèëèîáðàùåíèåêîáúåêòóâäðóãèõSQL-êîìàíäàõäîñòóïíà
÷òåíèå.
Ïðîâåðêàìàíäàòíûõïðàâäîñòóïàêìåòàäàííûìîñóùåñòâëÿåòñÿîäíîâðåìåííîñ
ïðîâåðêîéäèñêðåöèîííûõïðàâäîñòóïàêíèìïîñëåðàçáîðàèïîñòðîåíèÿïëàíàçàïðîñà
íåïîñðåäñòâåííîïåðåäåãîâûïîëíåíèåì,êîãäàîïðåäåëåíûâñåíåîáõîäèìûåäëÿïðî-
âåðêèäàííûåèïðîâåðÿåìûåîáúåêòû.Òàêèìîáðàçîì,äîñòóïïðåäîñòàâëÿåòñÿòîëüêîïðè
îäíîâðåìåííîìñàíêöèîíèðîâàíèèäèñêðåöèîííûìèÏÐÄ.
Íåêîòîðûåîïåðàöèèíàäîáúåêòàìè,òàêèåêàê
DROP
âñåãîîáúåêòàèëèåãîñòîëáöà
è
TRUNCATE
âëåêóòçàñîáîéóäàëåíèåäàííûõ.Âñëó÷àåçàùèòûìåòêàìèçàïèñåéîáúåêòà
ñóùåñòâóþòîãðàíè÷åíèÿíàâûïîëíåíèåýòèõîïåðàöèé.
Îïåðàöèèóäàëåíèÿíåâîçìîæíûïðèíàëè÷èèðàçíûõìåòîêíàçàïèñÿõ,ò.ê.îïå-
ðàöèÿïðèìåíÿåòñÿêîìíîæåñòâóñòðîê.Ýòîñâÿçàíîñòåì,÷òîîïåðàöèÿóäàëåíèÿèí-
òåðïðåòèðóåòñÿêàêïîñëåäîâàòåëüíîåïðåäîñòàâëåíèåäîñòóïàíà÷òåíèåèíàçàïèñü,÷òî
âîçìîæíîòîëüêîïðèðàâåíñòâåìåòîêñóáúåêòàèîáúåêòà.Âñëó÷àå,êîãäàñòðîêèèìåþò
ðàçíûåìåòêè,äàííîåóñëîâèåâûïîëíèòüñÿíåìîæåò.
Îïåðàöèÿóäàëåíèÿäîñòóïíàòîëüêîäëÿàäìèíèñòðàòîðàèïîëüçîâàòåëåé,îáëà-
äàþùèõïðèâèëåãèÿìèèãíîðèðîâàíèÿìàíäàòíîãîðàçãðàíè÷åíèÿäîñòóïà.
58
ÐÓÑÁ.10015-019701-1
4.6.1.1.ÑðåäñòâàóïðàâëåíèÿìàíäàòíûìèÏÐÄêîáúåêòàìÁÄ
ÄëÿóïðàâëåíèÿìàíäàòíûìèÏÐÄêîáúåêòàìÁÄÑÓÁÄPostgreSQLèñïîëüçóåòñÿ
ãðàôè÷åñêàÿóòèëèòà
pgadmin3
(¾ÑðåäñòâîàäìèíèñòðèðîâàíèÿÑÓÁÄPostgreSQL¿).
Ïðèñîçäàíèèòàáëèöû,âèäàèëèïîñëåäîâàòåëüíîñòèèõìàíäàòíàÿìåòêàóñòà-
íàâëèâàåòñÿðàâíîéòåêóùåéìàíäàòíîéìåòêåñîçäàâøåãîèõïîëüçîâàòåëÿ.Åñëèïàðà-
ìåòðêîíôèãóðàöèèñåðâåðà
ac_enable_sequence_mac
óñòàíîâëåíâ
FALSE
,òîìàíäàò-
íûéïðèíöèïêîíòðîëÿäîñòóïàíàïîñëåäîâàòåëüíîñòèíåïðèìåíÿåòñÿ.Åñëèïîëüçîâàòåëü
èìååòìàíäàòíûéàòðèáóò
ac_capable_chmac
,òîîíìîæåòìåíÿòüìàíäàòíóþìåòêóïðè-
íàäëåæàùèõåìóòàáëèöèâèäîââïðåäåëàõñâîåãîäèàïàçîíàìàíäàòíûõìåòîêñïîìîùüþ
ñëåäóþùèõêîìàíä:
59
ÐÓÑÁ.10015-019701-1
pg_class
âñòîëáöå
relusecolmacs
.
Ïîóìîë÷àíèþçàïèñèñîçäàâàåìûõòàáëèöíåçàùèùåíûìàíäàòíûìèìåòêàìè.
Äëÿòîãî÷òîáûñîçäàòüòàáëèöûñçàùèùåííûìèìåòêàìèçàïèñÿìè,ñëåäóåòèñïîëüçîâàòü
ñëåäóþùèéâàðèàíòêîìàíäû
CREATETABLE
:
CREATETABLEèìÿ_òàáëèöû(
...--ñïèñîê_ñòîëáöîâ
)WITH(MACS=true,...);
Ïðèýòîìâñåâñòàâëÿåìûåçàïèñèïîóìîë÷àíèþíàñëåäóþòòåêóùèåìàíäàò-
íûåìåòêèñîçäàâøèõèõïîëüçîâàòåëåé.Ïîëüçîâàòåëè,èìåþùèåóñòàíîâëåííûéìàíäàò-
íûéàòðèáóò
ac_capable_chmac
,ìîãóòÿâíîçàäàòüçíà÷åíèåìàíäàòíîéìåòêèâñòàâ-
ëÿåìîéçàïèñè.Çàäàâàåìàÿìåòêàäîëæíàáûòüâïðåäåëàõäèàïàçîíàìåòîêïîëüçî-
âàòåëÿ,ëèáîïîëüçîâàòåëüäîëæåíèìåòüàòðèáóòûèãíîðèðîâàíèÿìàíäàòíîãîêîíòðîëÿ
ac_capable_ignmaclvl
è
ac_capable_ignmaccat
ñïîìîùüþâàðèàíòàêîìàíäû
INSERT
:
INSERTINTOèìÿ_îòíîøåíèÿ(maclabel,...ñïèñîê_ñòîëáöîâ)
VALUES(çíà÷åíèå_ìàíäàòíîé_ìåòêè,...çíà÷åíèÿ_ñòîëáöîâ)
Äëÿèçìåíåíèÿìàíäàòíûõìåòîêñóùåñòâóþùèõçàïèñåéïîëüçîâàòåëèñàòðèáóòîì
ac_capable_chmac
ìîãóòèñïîëüçîâàòüñòàíäàðòíóþêîìàíäó
UPDATE
:
60
ÐÓÑÁ.10015-019701-1
Ïàðàìåòðêîíôèãóðàöèèñåðâåðà
ac_enable_copy_to_file
ðàçðåøàåòâûïîë-
íÿòüêîìàíäó
COPY
ñâûâîäîìðåçóëüòàòîââôàéë,äîñòóïíûéñåðâåðóÑÓÁÄ.Äëÿýòîãî
îíäîëæåíáûòüóñòàíîâëåíâ
TRUE
.
4.6.1.2.ÑèñòåìàïðèâèëåãèéÑÓÁÄèóïðàâëåíèåèìè
ÑèñòåìàïðèâèëåãèéÑÓÁÄPostgreSQLïðåäíàçíà÷åíàäëÿïåðåäà÷èîòäåëüíûì
ïîëüçîâàòåëÿìïðàââûïîëíåíèÿîïðåäåëåííûõàäìèíèñòðàòèâíûõäåéñòâèé.Îáû÷íûé
ïîëüçîâàòåëüñèñòåìûíåèìååòäîïîëíèòåëüíûõïðèâèëåãèé.
ÏðèâèëåãèèÿâëÿþòñÿïîäêëàññîìàòðèáóòîâïîëüçîâàòåëÿÑÓÁÄPostgreSQL.
ÏðèâèëåãèèÎÑ,èñïîëüçóåìûåâÑÓÁÄPostgreSQL,êðîìåàòðèáóòà
ac_session_maclabel
,íåìîãóòáûòüèçìåíåíûñïîìîùüþñðåäñòâÑÓÁÄíèïîëü-
çîâàòåëÿìè,íèàäìèíèñòðàòîðàìèÑÓÁÄ:

añ_session_maclabel
òåêóùàÿìàíäàòíàÿìåòêàñåññèèïîëüçîâàòåëÿÑÓÁÄ.
ÝòàìåòêàîïðåäåëÿåòäîñòóïíûåïîëüçîâàòåëþîáúåêòûÁÄèÿâëÿåòñÿìåòêîéïî
óìîë÷àíèþäëÿñîçäàâàåìûõïîëüçîâàòåëåìîáúåêòîâ.Ïðèñîåäèíåíèèïîëüçîâà-
òåëÿñÑÓÁÄçíà÷åíèåýòîãîàòðèáóòàóñòàíàâëèâàåòñÿðàâíûììåòêèñîåäèíåíèÿ
èëè
ac_user_max_maclabel
;

ac_user_max_maclabel
ìàêñèìàëüíîâîçìîæíîåçíà÷åíèåäëÿ
ac_session_maclabel
;

ac_user_min_maclabel
ìèíèìàëüíîâîçìîæíîåçíà÷åíèåäëÿ
ac_session_maclabel
;

ac_capable_ignmaclvl
ïîçâîëÿåòïîëüçîâàòåëþèãíîðèðîâàòüìàíäàòíûé
êîíòðîëüïîóðîâíÿì;

ac_capable_ignmaccat
ïîçâîëÿåòïîëüçîâàòåëþèãíîðèðîâàòüìàíäàòíûé
êîíòðîëüïîêàòåãîðèÿì;

ac_capable_mac_readsearch
ïîçâîëÿåòïîëüçîâàòåëþèãíîðèðîâàòüìàí-
äàòíûéêîíòðîëüïîóðîâíÿìèêàòåãîðèÿìïðè÷òåíèèäàííûõ;

61
ÐÓÑÁ.10015-019701-1
Ïðîñìîòðåòüòåêóùèåçíà÷åíèÿïðèâèëåãèé(àòðèáóòîâïîëüçîâàòåëÿ)ìîæíîñïî-
ìîùüþêîìàíäû:
SHOWèìÿ_àòðèáóòà
Óñòàíîâèòüíîâîåçíà÷åíèåàòðèáóòà
ac_session_maclabel
ìîæíîñïîìîùüþ
êîìàíä:
62
ÐÓÑÁ.10015-019701-1
èåðàðõè÷åñêîéñòðóêòóðîéðàññìàòðèâàþòñÿíîñÿùèåïîäîáíûéõàðàêòåðîáúåêòûðåëÿ-
öèîííûõáàçäàííûõ,ïðèìåíÿåìûåâÑÓÁÄPostgreSQL.Ïðèýòîì,ïîñêîëüêóçàïèñèáàçû
äàííûõñîäåðæàòâñâîåìñîñòàâåìàíäàòíûéóðîâåíüêîíôèäåíöèàëüíîñòèîíèðàñ-
ñìàòðèâàþòñÿâìîäåëèâêà÷åñòâåîáúåêòîâ,àñîäåðæàùèåèõòàáëèöû,ñîîòâåòñòâåííî,
âêà÷åñòâåêîíòåéíåðîâ.
Ñèñòåìíûéêàòàëîã(ìåòàäàííûå)ðàññìàòðèâàåòñÿêàêñàìîñòîÿòåëüíàÿÁÄ,ðåà-
ëèçîâàííàÿñïîìîùüþñðåäñòâÑÓÁÄ.ÏðèýòîìâñåîïåðàöèèñýòîéÁÄîñóùåñòâëÿþòñÿ
ëèáîñïîìîùüþñïåöèàëüíûõêîíñòðóêöèéÿçûêàçàïðîñîâSQLèëèïðèâèëåãèðîâàííûì
ïîëüçîâàòåëåìâñïåöèàëüíîìðåæèìå.Òàêèìîáðàçîììàíäàòíîåðàçãðàíè÷åíèÿäîñòóïà
ïðèìåíÿåòñÿêîâñåìîáúåêòàìÁÄ.Ìåòêèñèñòåìíûõîáúåêòîâðàñïîëàãàþòñÿâçàïèñÿõ
òàáëèöñèñòåìíîãîêàòàëîãà,íåïîñðåäñòâåííîîïèñûâàþùèõçàùèùàåìûéîáúåêò.
Ïðèìå÷àíèå.ÂâåðñèèÑÓÁÄPostgreSQL9.2ìàíäàòíîåðàçãðàíè÷åíèÿäîñòóïà
ïðèìåíÿåòñÿòîëüêîêâèäàì,òàáëèöàìèïîñëåäîâàòåëüíîñòÿì(ñì.4.6.1).
Òàêêàêìàíäàòíûéêîíòðîëüäîñòóïàìîæåòáûòüîïðåäåëåíòîëüêîäëÿâèäîâäî-
ñòóïàíà÷òåíèåèíàçàïèñüèíôîðìàöèè,âñåìíîæåñòâîîïåðàöèéñäàííûìèâçàùèùàå-
ìûõîáúåêòàõïðèâîäèòñÿêíèìñëåäóþùèìîáðàçîì:

INSERT
äîñòóïíàçàïèñü;

UPDATE
,
63
ÐÓÑÁ.10015-019701-1
âûïîëíåíèÿçàïðîñàïðèïîñëåäîâàòåëüíîìèëèèíäåêñíîìñêàíèðîâàíèèäàííûõ.
Âñåçàïèñè,ïîìåùàåìûåâòàáëèöû,äëÿêîòîðûõóñòàíîâëåíàçàùèòàíàóðîâíå
çàïèñåé,íàñëåäóþòòåêóùóþìåòêóïîëüçîâàòåëÿ.Îáíîâëÿåìûåçàïèñèñîõðàíÿþòñâîþ
ìåòêóïðèèçìåíåíèè.Äîñòóïêñóùåñòâóþùèìçàïèñÿìèâîçìîæíîñòüèõîáíîâëåíèÿè
óäàëåíèÿîïðåäåëÿþòñÿóñòàíîâëåííûìèìàíäàòíûìèïðàâèëàìè.
ÄëÿàäìèíèñòðàòîðàÁÄïðåäóñìîòðåíûñèñòåìíûåïðèâèëåãèèèãíîðèðîâàíèÿ
ìàíäàòíîãîðàçãðàíè÷åíèÿäîñòóïà,òîëüêîòàêèìîáðàçîììîæíîïðîèçâîäèòüðåãëàìåíò-
íûåðàáîòûñÁÄ(íàïðèìåð,âîññòàíîâëåíèåðåçåðâíîéêîïèè),ò.ê.ýòîòðåáóåòóñòàíîâêè
ìåòîêäàííûõ,ñîõðàíåííûõðàíåå.
Äëÿíàñòðîéêèðàáîòûñåðâåðàñìàíäàòíûìðàçãðàíè÷åíèåìäîñòóïàñóùå-
ñòâóåòðÿäêîíôèãóðàöèîííûõïàðàìåòðîâ,óêàçûâàåìûõâêîíôèãóðàöèîííîìôàéëå
postgresql.conf
êîíêðåòíîãîêëàñòåðàäàííûõ(òàáëèöà25).
Òàáëèöà25
Ïàðàìåòð
Îïèñàíèå
Îïðåäåëÿåò,áóäåòëèñåðâåðÑÓÁÄèñïîëüçîâàòüìåòêóâõî-
äÿùåãîñîåäèíåíèÿ.Åñëèýòîòïàðàìåòðóñòàíîâëåíâ
FALSE
,
òîìåòêàâõîäÿùåãîñîåäèíåíèÿáóäåòó÷èòûâàòüñÿïðèîïðå-
äåëåíèèìàêñèìàëüíîéäîñòóïíîéìåòêèñåññèèèïîñëåïîä-
êëþ÷åíèÿáóäåòäîñòóïíàòîëüêîèíôîðìàöèÿñìåòêîéíå
âûøåìåòêèâõîäÿùåãîñîåäèíåíèÿ.Ïðèóñòàíîâêåýòîãîïà-
ðàìåòðàâ
TRUE
ìåòêèñåàíñàáóäóòîïðåäåëÿòüñÿìàêñè-
ìàëüíîéìåòêîéïîëüçîâàòåëÿ,ïîëó÷åííîéèçÎÑ.
ac_ignore_server_maclabel
Îïðåäåëÿåò,áóäåòëèñåðâåðÑÓÁÄäîïîëíèòåëüíîèñïîëü-
çîâàòüñâîþìåòêó(ìåòêóïîëüçîâàòåëÿ
postgres
)ïðèîïðå-
äåëåíèèïðàâïîëüçîâàòåëÿíàçàíåñåíèå,óäàëåíèåèìîäè-
ôèêàöèþäàííûõèëèíåò.Åñëèýòîòïàðàìåòðóñòàíîâëåíâ
FALSE
,òîìåòêàñåðâåðàèñïîëüçóåòñÿäëÿáëîêèðîâàíèÿçà-
íåñåíèÿâÁÄèíôîðìàöèèñìåòêîé,ïðåâûøàþùåéìåòêó
ñåðâåðà.Åñëèýòîòïàðàìåòðóñòàíîâëåíâ
TRUE
,òîìåòêà
ñåðâåðàíåó÷èòûâàåòñÿ.
ac_enable_trusted_owner
Îïðåäåëÿåò,ìîãóòëèâëàäåëüöûîáúåêòîâíàçíà÷àòüïðàâà
íàäîñòóïêíèìäðóãèìïîëüçîâàòåëÿì.Åñëèýòîòïàðàìåòð
óñòàíîâëåíâçíà÷åíèå
FALSE
,òîïðàâîíàçíà÷àòüïðàâàíà
äîñòóïêëþáûìîáúåêòàìÁÄèìåþòòîëüêîñóïåðïîëüçîâàòå-
ëè.Ýòîïðåäîòâðàùàåòíåêîíòðîëèðóåìîåðàñïðîñòðàíåíèå
ïðàâíàäîñòóïêèíôîðìàöèè.Åñëèýòîòïàðàìåòðóñòàíîâ-
ëåíâ
TRUE
,òî,êðîìåñóïåðïîëüçîâàòåëåé,êàæäûéâëàäåëåö
îáúåêòàìîæåòíàçíà÷àòüïðàâàíàäîñòóïïîëüçîâàòåëåéê
¾ñâîåìó¿îáúåêòó.
64
ÐÓÑÁ.10015-019701-1
Îêîí÷àíèåòàáëèöû25
Ïàðàìåòð
Îïèñàíèå
ac_enable_grant_options
Îïðåäåëÿåò,ìîãóòëèðîëèïåðåäàâàòüïðàâàíàäî-
ñòóïñîïöèåé
WITHGRANTOPTIONS
äðóãèìðîëÿì.Åñ-
ëè
ac_allow_grant_options
óñòàíîâëåíâ
FALSE
,òî
çàïðåùàåòñÿèñïîëüçîâàòüêîìàíäó
GRANT
ñïðèâèëåãè-
åé
WITHGRANTOPTION
.Åñëèóðîëèåñòüïðèâèëåãèÿ
GRANTOPTIONS
è
ac_allow_grant_options=false
,òî
ïåðåäà÷àïðàâäîñòóïàäðóãèìðîëÿìòàêæåçàïðåùàåòñÿ.
Èçúÿòèå(
REVOKE
)ïðèâèëåãèè
GRANTOPTIONS
ðàçðåøàåòñÿ
âñåãäà.
ac_enable_admin_options
Îïðåäåëÿåò,ìîãóòëèðîëèïåðåäàâàòüïðàâî÷ëåíñòâàðî-
ëèäðóãèìðîëÿì.Åñëè
ac_allow_admin_options
óñòàíîâ-
ëåíâ
FALSE
,òîçàïðåùàåòñÿèñïîëüçîâàòü
GRANT
ñïðèâè-
ëåãèåé
WITHADMINOPTION
.Åñëèóðîëèåñòüïðèâèëåãèÿ
ADMINOPTIONS
è
ac_allow_admin_options=false
,òî
ïåðåäà÷àïðàâ÷ëåíñòâàäðóãèìðîëÿìòàêæåçàïðåùàåòñÿ.
Èçúÿòèå(
REVOKE
)ïðèâèëåãèè
ADMINOPTION
ðàçðåøàåòñÿ
âñåãäà.
ac_enable_truncate
Áëîêèðóåò(
FALSE
)èëèðàçáëîêèðóåò(
TRUE
)âîçìîæíîñòüâû-
ïîëíåíèÿêîìàíäû
TRUNCATE
.
ac_enable_sequence_ccr
Ïðèóñòàíîâêåýòîãîïàðàìåòðàâ
TRUE
ðàçðåøàåòñÿèïîëü-
çîâàíèåïðèçíàêàCCRäëÿïîñëåäîâàòåëüíîñòåéàíàëîãè÷íî
òàáëèöàìèâèäàì,âïðîòèâíîìñëó÷àåïðèçíàêCCRäëÿïî-
ñëåäîâàòåëüíîñòåéñ÷èòàåòñÿâñåãäàóñòàíîâëåííûì.
ac_enable_dblink_mac
Åñëèïàðàìåòðêîíôèãóðàöèèóñòàíîâëåíâ
TRUE
,ðàç-
ðåøàåòñÿèñïîëüçîâàíèå
dblink
èâíåøíèõòàáëèö
FOREIGNTABLE
âóñëîâèÿõìàíäàòíîãîðàçãðàíè÷åíèÿ
äîñòóïà.
ac_auto_adjust_macs
Åñëèïàðàìåòðêîíôèãóðàöèèóñòàíîâëåíâ
TRUE
,ðàçðåøà-
åòñÿàâòîìàòè÷åñêàÿóñòàíîâêàìåòîêêîíòåéíåðîâ.Ïðèìå-
íÿåòñÿïðèâîññòàíîâëåíèÿðåçåðâíûõêîïèé,ñîçäàííûõâ
ïðåäûäóùèõâåðñèÿõÑÓÁÄ.
ac_enable_copy_to_file
Áëîêèðóåò(
FALSE
)èëèðàçáëîêèðóåò(
TRUE
)âîçìîæíîñòüâû-
ïîëíåíèÿêîìàíäû
COPY
ñâûâîäîìðåçóëüòàòîââôàéë,äî-
ñòóïíûéñåðâåðóÑÓÁÄ.
ac_caps_ttl
Âðåìÿæèçíèèíôîðìàöèèâñåêóíäàõîïðèâèëåãèÿõïîëü-
çîâàòåëÿïîäñèñòåìûáåçîïàñíîñòèPARSEC(îïðåäåëÿ-
åòâðåìÿæèçíèêýøèðîâàííîéèíôîðìàöèèîPARSEC-
ïðèâèëåãèÿõïîëüçîâàòåëÿ;óìåíüøåíèåçíà÷åíèÿïðèâîäèò
êóâåëè÷åíèþ÷èñëàîáðàùåíèéñåðâåðàÑÓÁÄêïîäñèñòåìå
áåçîïàñíîñòèPARSECèêàêñëåäñòâèåêñíèæåíèþïðîèç-
âîäèòåëüíîñòèñåðâåðàÑÓÁÄ).
ac_debug_print
Åñëèóñòàíîâëåíâ
TRUE
,äîáàâëÿåòâæóðíàëñåðâåðàîòëà-
äî÷íóþèíôîðìàöèþîðàáîòåìåõàíèçìîâçàùèòû.
ÄëÿáîëååãèáêîéíàñòðîéêèñåðâåðàÑÓÁÄðàñøèðåíñèíòàêñèñêîíôèãóðàöèîííîãî
ôàéëà
pg_hba.conf
îïöèåé
65
ÐÓÑÁ.10015-019701-1
óêàçàíïîñëåìåòîäààóòåíòèôèêàöèè.
Ïàðàìåòð
66
ÐÓÑÁ.10015-019701-1
âïîíÿòèå¾óðîâíÿäîñòóïà¿âõîäÿòêàêäèñêðåöèîííûéóðîâåíüäîñòóïà,òàêèìàíäàòíûé,
êîòîðûéâäàííîìñëó÷àåîïðåäåëÿåòñÿòåêóùèìèìàíäàòíûìèàòðèáóòàìèïîëüçîâàòåëÿ
ÑÓÁÄ,âûçâàâøåãîèëèñîçäàâøåãîôóíêöèþ,ñîîòâåòñòâåííî.Ïðèýòîììåòêèòåêóùåéñåñ-
ñèèïîëüçîâàòåëÿ,âûçâàâøåãîôóíêöèþ,íåèçìåíÿþòñÿ.
Ïðèýòîìñëåäóåòó÷èòûâàòü,÷òî:
1)
ïðèîïðåäåëåíèèôóíêöèèêàê
SECURITYDEFINER
îíàáóäåòâñåãäàâûçûâàòüñÿ
ñïåðåóñòàíîâêîéìàíäàòíûõàòðèáóòîâíààòðèáóòûñîçäàâøåãîååïîëüçîâàòåëÿ;
2)
ïðèîïðåäåëåíèèôóíêöèèêàê
SECURITYINVOKER
îíàâñåãäàáóäåòâûïîëíÿòü-
ñÿáåçèçìåíåíèÿòåêóùåãîçíà÷åíèÿìàíäàòíûõàòðèáóòîâ;
3)
ïðèâûçîâåôóíêöèèâêà÷åñòâåòðèããåðàâûïîëíÿþòñÿñëåäóþùèåïðàâèëàâ
äîïîëíåíèåêóêàçàííûì:

ïåðåäâûçîâîìâêà÷åñòâåòðèããåðàâñòðîåííîéâÑÓÁÄôóíêöèèêòåêóùèì
ìàíäàòíûìàòðèáóòàìâñåãäàäîáàâëÿþòñÿôëàãè
ac_capable_ignmaclvl
è
ac_capable_ignmaccat
,÷òîáûîáåñïå÷èòüïîëíîöåííóþïðîâåðêóññûëî÷íîé
öåëîñòíîñòèÁÄ;

ïåðåäâûçîâîìâêà÷åñòâåòðèããåðàíåâñòðîåííîéôóíêöèèâêà÷åñòâå
òåêóùèõìàíäàòíûõàòðèáóòîââñåãäàóñòàíàâëèâàþòñÿìàíäàòíûåàòðèáóòû
ïîëüçîâàòåëÿ,çàïóñòèâøåãîäàííóþñåññèþ(ñîåäèíåíèå)(ò.å.ïîëüçîâàòåëÿ
ñèìåíåì
SESSION_USER
).Ýòîíåîáõîäèìî,÷òîáûïðåäîòâðàòèòüïîëó÷åíèå
ôóíêöèåé-òðèããåðîìïîëüçîâàòåëÿñíèçêèìóðîâíåìäîñòóïàâûñîêèõïðèâèëå-
ãèéâñëó÷àåêàñêàäíîãîâûçîâàòðèããåðîâ.
Ïîñëåâîçâðàòàóïðàâëåíèÿèçôóíêöèèçíà÷åíèÿòåêóùèõìàíäàòíûõàòðèáóòîâ
âñåãäàâîññòàíàâëèâàþòñÿâèñõîäíûå(äîâûçîâàôóíêöèè)çíà÷åíèÿ.
Ôóíêöèè,íàïèñàííûåíàÿçûêàõíèçêîãîóðîâíÿ,ïîñëåèõïîäêëþ÷åíèÿèìåþòïîë-
íûéäîñòóïêîâñåìâíóòðåííèìñòðóêòóðàìñåðâåðàÑÓÁÄPostgreSQLèìîãóòïðîèçâîëüíî
èõìîäèôèöèðîâàòü.Êðîìåýòîãî,ïîñêîëüêóîíèâûïîëíÿþòñÿâðàìêàõïðîöåññàñåðâå-
ðà,îíèèìåþòñîîòâåòñòâóþùèåïðàâàäîñòóïàêîáúåêòàìÎÑâñðåäåôóíêöèîíèðîâàíèÿ
ñåðâåðà.Èìåííîïîýòîìóïðàâàïîëüçîâàòåëÿ
postgres
,ïîäêîòîðûìçàïóñêàåòñÿñåðâåð,
íåîáõîäèìîñâåñòèêíåîáõîäèìîìóìèíèìóìó,ìèíóÿêàêîé-ëèáîêîíòðîëüñåãîñòîðîíû
(âêëþ÷àÿòåêóùèåìàíäàòíûåàòðèáóòû).
ÏîñêîëüêóâïðîöåññåðàáîòûñäàííûìèâÑÓÁÄâîçìîæíîèçìåíåíèåîðãàíèçàöèè
èõõðàíåíèÿïóòåìèçìåíåíèÿñõåìûîáúåêòîâÁÄ(ìåòàäàííûõ),êïîäîáíûìîïåðàöèÿì
òàêæåïðèìåíÿþòñÿÏÐÄ.
ÌîäèôèêàöèÿìåòàäàííûõâîçíèêàåòêàæäûéðàçïðèèçìåíåíèèñòðóêòóðûÁÄ,÷òî
âêëþ÷àåòâñåáÿñîçäàíèå,ìîäèôèêàöèþèóäàëåíèåîáúåêòîâÁÄ.
ÒàêêàêíåêîòîðûåäåéñòâèÿíàäîáúåêòàìèÁÄìîãóòâëèÿòüíàõðàíÿùèõñÿâíèõ
67
ÐÓÑÁ.10015-019701-1
äàííûõ(êàêïðàâèëî,ìîäèôèêàöèÿèëèóäàëåíèåîáúåêòàèëèåãî÷àñòè),ïðèèñïîëüçî-
âàíèèìàíäàòíîãîðàçãðàíè÷åíèÿäîñòóïàêäàííûìîáúåêòàíåîáõîäèìîðàçãðàíè÷èâàòüè
äîñòóïêèçìåíåíèþìåòàäàííûõâ÷àñòè,îòíîñÿùåéñÿêýòîìóîáúåêòó.
Àíàëîãè÷íîîïåðàöèÿìñäàííûìè:äåéñòâèÿñîáúåêòàìèÁÄäîëæíûáûòüïðèâå-
äåíûêâèäàìäîñòóïàíà÷òåíèåèíàçàïèñüèíôîðìàöèèäëÿâîçìîæíîñòèïðèìåíåíèÿ
êíèììàíäàòíûõÏÐÄ.Âñåìíîæåñòâîîïåðàöèéñìåòàäàííûìèìîæåòáûòüïðèâåäåíî
ñëåäóþùèìîáðàçîì:

CREATE
,
ADD
äîñòóïíàçàïèñü;

ALTER
,
DROP
ïîñëåäîâàòåëüíîåâûïîëíåíèåäîñòóïàíà÷òåíèåèçàïèñüèí-
ôîðìàöèè;

èñïîëüçîâàíèåèëèîáðàùåíèåêîáúåêòóâäðóãèõSQL-êîìàíäàõäîñòóïíà
÷òåíèå.
Ïðîâåðêàìàíäàòíûõïðàâäîñòóïàêìåòàäàííûìîñóùåñòâëÿåòñÿîäíîâðåìåííîñ
ïðîâåðêîéäèñêðåöèîííûõïðàâäîñòóïàêíèìïîñëåðàçáîðàèïîñòðîåíèÿïëàíàçàïðîñà
íåïîñðåäñòâåííîïåðåäåãîâûïîëíåíèåì,êîãäàîïðåäåëåíûâñåíåîáõîäèìûåäëÿïðî-
âåðêèäàííûåèïðîâåðÿåìûåîáúåêòû.Òàêèìîáðàçîì,äîñòóïïðåäîñòàâëÿåòñÿòîëüêîïðè
îäíîâðåìåííîìñàíêöèîíèðîâàíèèäèñêðåöèîííûìèÏÐÄ.
Íåêîòîðûåîïåðàöèèíàäîáúåêòàìè,òàêèåêàê
DROP
âñåãîîáúåêòàèëèåãîñòîëáöà
è
TRUNCATE
âëåêóòçàñîáîéóäàëåíèåäàííûõ.Âñëó÷àåçàùèòûìåòêàìèçàïèñåéîáúåêòà
ñóùåñòâóþòîãðàíè÷åíèÿíàâûïîëíåíèåýòèõîïåðàöèé.
Îïåðàöèèóäàëåíèÿíåâîçìîæíûïðèíàëè÷èèðàçíûõìåòîêíàçàïèñÿõ,ò.ê.îïå-
ðàöèÿïðèìåíÿåòñÿêîìíîæåñòâóñòðîê.Ýòîñâÿçàíîñòåì,÷òîîïåðàöèÿóäàëåíèÿèí-
òåðïðåòèðóåòñÿêàêïîñëåäîâàòåëüíîåïðåäîñòàâëåíèåäîñòóïàíà÷òåíèåèíàçàïèñü,÷òî
âîçìîæíîòîëüêîïðèðàâåíñòâåìåòîêñóáúåêòàèîáúåêòà.Âñëó÷àå,êîãäàñòðîêèèìåþò
ðàçíûåìåòêè,äàííîåóñëîâèåâûïîëíèòüñÿíåìîæåò.
Îïåðàöèÿóäàëåíèÿäîñòóïíàòîëüêîäëÿàäìèíèñòðàòîðàèïîëüçîâàòåëåé,îáëà-
äàþùèõïðèâèëåãèÿìèèãíîðèðîâàíèÿìàíäàòíîãîðàçãðàíè÷åíèÿäîñòóïà.
4.6.2.1.ÑðåäñòâàóïðàâëåíèÿìàíäàòíûìèÏÐÄêîáúåêòàìÁÄ
ÄëÿóïðàâëåíèÿìàíäàòíûìèÏÐÄêîáúåêòàìÁÄÑÓÁÄPostgreSQLèñïîëüçóåòñÿ
ãðàôè÷åñêàÿóòèëèòà
pgadmin3
(¾ÑðåäñòâîàäìèíèñòðèðîâàíèÿÑÓÁÄPostgreSQL¿).
ÏðèñîçäàíèèìàíäàòíàÿìåòêàîáúåêòàÁÄóñòàíàâëèâàåòñÿðàâíîéòåêóùåéìàí-
äàòíîéìåòêåñîçäàâøåãîåãîïîëüçîâàòåëÿ,ìàíäàòíûéïðèçíàêCCRïðèýòîìâûñòàâëÿåò-
ñÿâçíà÷åíèå
ON
.
Åñëèïîëüçîâàòåëüèìååòìàíäàòíûéàòðèáóò
ac_capable_chmac
,òîîíìîæåòìå-
íÿòüìàíäàòíóþìåòêóïðèíàäëåæàùèõåìóîáúåêòîââïðåäåëàõñâîåãîäèàïàçîíàìàíäàò-
íûõìåòîêñïîìîùüþñëåäóþùåéêîìàíäû:
68
ÐÓÑÁ.10015-019701-1
MACLABELONòèï_îáúåêòàèìÿ_îáúåêòàISíîâîå_çíà÷åíèå_ìàíäàòíîé_ìåòêè;
Âêà÷åñòâåòèïàîáúåêòàóêàçûâàåòñÿòèïîáúåêòàÁÄ,íàïðèìåð
DATABASE
,
TABLE
,
FUNCTION
.
Àíàëîãè÷íûìîáðàçîìäëÿîáúåêòîâ-êîíòåéíåðîâìîæåòáûòüèçìåíåíìàíäàòíûé
ïðèçíàêCCR:
MACCCRONòèï_îáúåêòàèìÿ_îáúåêòàIS{ON|OFF};
Äîïîëíèòåëüíîââåäåííîâûéòèïîáúåêòàêëàñòåð
CLUSTER
.Äëÿóñòàíîâêèìåòêè
íàêëàñòåðèñïîëüçóåòñÿñëåäóþùèéçàïðîñ:
MACLABELONCLUSTERISíîâîå_çíà÷åíèå_ìàíäàòíîé_ìåòêè;
÷òîÿâëÿåòñÿñèíîíèìîìêêîìàíäå
MACLABELONTABLESPACEpg_globalISíîâîå_çíà÷åíèå_ìàíäàòíîé_ìåòêè;
ÄëÿèçìåíåíèÿìàíäàòíîãîïðèçíàêàCCRêëàñòåðàèñïîëüçóåòñÿñëåäóþùàÿêî-
ìàíäà:
MACCCRONCLUSTERIS{ON|OFF};
÷òîÿâëÿåòñÿñèíîíèìîìêêîìàíäå
MACCCRONTABLESPACEpg_globalIS{ON|OFF};
Çíà÷åíèÿìàíäàòíûõìåòîêîáúåêòîâñîäåðæàòñÿâïîëÿõ
maclabel
òàáëèöñèñòåì-
íîãîêàòàëîãà,îòêóäàìîãóòáûòüâûáðàíûñîîòâåòñòâóþùèìçàïðîñîì.
Çíà÷åíèÿìàíäàòíîãîïðèçíàêàCCRîáúåêòîâ-êîíòåéíåðîâñîäåðæàòñÿâñëåäóþ-
ùèõïîëÿõòàáëèöñèñòåìíîãîêàòàëîãà:

äëÿáàçäàííûõ-
datmacccr
ñèñòåìíîéòàáëèöû
pg_database
;

äëÿñõåì-
nspmacccr
ñèñòåìíîéòàáëèöû
pg_namespace
;

äëÿòàáëè÷íûõïðîñòðàíñòâ-
spcmacccr
ñèñòåìíîéòàáëèöû
pg_tablespace
;

äëÿîòíîøåíèé-
relmacccr
ñèñòåìíîéòàáëèöû
pg_class
.
ÄëÿïðîñìîòðàìàíäàòíîãîïðèçíàêàCCRêëàñòåðàìîæåòáûòüèñïîëüçîâàíàñëå-
äóþùàÿêîìàíäà:
SELECTcluster_macccr;
Ïîóìîë÷àíèþçàïèñèñîçäàâàåìûõòàáëèöíåçàùèùåíûìàíäàòíûìèìåòêàìè.
Äëÿòîãî÷òîáûñîçäàòüòàáëèöûñçàùèùåííûìèìåòêàìèçàïèñÿìè,ñëåäóåòèñïîëüçîâàòü
ñëåäóþùèéâàðèàíòêîìàíäû
CREATETABLE
:
CREATETABLEèìÿ_òàáëèöû(
...--ñïèñîê_ñòîëáöîâ
)WITH(MACS=true,...);
Ïðèýòîìâñåâñòàâëÿåìûåçàïèñèïîóìîë÷àíèþíàñëåäóþòòåêóùèåìàíäàòíûåìåò-
êèñîçäàâøèõèõïîëüçîâàòåëåé.Ïîëüçîâàòåëè,èìåþùèåóñòàíîâëåííûéìàíäàòíûé
àòðèáóò
ac_capable_chmac
,ìîãóòÿâíîçàäàòüçíà÷åíèåìàíäàòíîéìåòêèâñòàâëÿå-
ìîéçàïèñè.Çàäàâàåìàÿìåòêàäîëæíàáûòüâïðåäåëàõäèàïàçîíàìåòîêïîëüçîâà-
òåëÿ,ëèáîïîëüçîâàòåëüäîëæåíèìåòüàòðèáóòûèãíîðèðîâàíèÿìàíäàòíîãîêîíòðîëÿ
69
ÐÓÑÁ.10015-019701-1
ac_capable_ignmaclvl
è
ac_capable_ignmaccat
ñïîìîùüþâàðèàíòàêîìàíäû
INSERT
:
INSERTINTOèìÿ_îòíîøåíèÿ(maclabel,...ñïèñîê_ñòîëáöîâ)
VALUES(çíà÷åíèå_ìàíäàòíîé_ìåòêè,...çíà÷åíèÿ_ñòîëáöîâ)
Äëÿçàùèòûçàïèñåéóæåñîçäàííûõòàáëèöáåçìàíäàòíûõìåòîêñëåäóåòèñïîëü-
çîâàòüñëåäóþùèéâàðèàíòêîìàíäû
ALTERTABLE
:
70
ÐÓÑÁ.10015-019701-1
æåííûåòàêèìîáðàçîìäàííûåáóäóòèìåòüìåòêè,ðàâíûåòåêóùåéìåòêåñåññèèïîëüçî-
âàòåëÿ.
Ïàðàìåòðêîíôèãóðàöèèñåðâåðà
ac_enable_copy_to_file
ðàçðåøàåòâûïîë-
íÿòüêîìàíäó
COPY
ñâûâîäîìðåçóëüòàòîââôàéë,äîñòóïíûéñåðâåðóÑÓÁÄ.Äëÿýòîãî
îíäîëæåíáûòüóñòàíîâëåíâ
TRUE
.
4.6.2.2.Öåëîñòíîñòüìàíäàòíûõàòðèáóòîâêëàñòåðàáàçäàííûõ
ÂÑÓÁÄPostgreSQLâåðñèè9.4ÄÏ-ìîäåëüíàêëàäûâàåòîãðàíè÷åíèåíàìàíäàòíóþ
ìåòêóêîíôèäåíöèàëüíîñòèîáúåêòà:ìåòêàîáúåêòàíåìîæåòïðåâûøàòüìåòêóêîíòåéíåðà,
âêîòîðîìîíñîäåðæèòñÿ(4.6.2).
ÄëÿâûâîäàèíôîðìàöèèîñîáëþäåíèèÄÏ-ìîäåëèìåæäóîáúåêòàìè-
êîíòåéíåðàìèèíàõîäÿùèìèñÿâíèõîáúåêòàìèðåàëèçîâàíàSQL-ôóíêöèÿ
check_mac_integrity
,êîòîðàÿâûâîäèòèíôîðìàöèþâñëåäóþùåìâèäå:

objid
Èäåíòèôèêàòîðîáúåêòà;

classid
Èäåíòèôèêàòîðêëàññàîáúåêòà;

cobjid
Èäåíòèôèêàòîðêîíòåéíåðà,ñîäåðæàùåãîîáúåêò;

cclassid
Èäåíòèôèêàòîðêëàññàêîíòåéíåðà,ñîäåðæàùåãîîáúåêò;

status
Ðåçóëüòàòïðîâåðêè.Ìîæåòïðèíèìàòüñëåäóþùèåçíà÷åíèÿ:
OK
(ìîäåëüñîáëþäàåòñÿäëÿîáúåêòàèêîíòåéíåðà)è
FAIL
(ìîäåëüíåñîáëþäàåòñÿ
äëÿîáúåêòàèêîíòåéíåðà).
Ïðèìå÷àíèå.ÂÑÓÁÄPostgreSQLâåðñèè9.4èíôîðìàöèÿîñîáëþäåíèèìîäå-
ëèâûâîäèòñÿòîëüêîäëÿîòíîøåíèé(òàáëèö,ïðåäñòàâëåíèé,ïîñëåäîâàòåëüíîñòåé),ñõåì,
áàçäàííûõèòàáëè÷íûõïðîñòðàíñòâ.
Äëÿèñïðàâëåíèÿíåêîððåêòíîóñòàíîâëåííîéìàíäàòíîéìåòêèîòíîøåíèÿ,íà-
ïðèìåð,ïðèâîññòàíîâëåíèèðåçåðâíîéêîïèèêëàñòåðàðàííèõâåðñèé,èñïîëüçóåò-
ñÿSQLôóíêöèÿ
fix_mac_integrity
.Äàííàÿôóíêöèÿìîæåòáûòüèñïîëíåíàòîëü-
êîïîëüçîâàòåëåìñïðàâàìèàäìèíèñòðàòîðà,àòàêæåïðèóñòàíîâëåííîìïàðàìåòðå
ac_auto_adjust_macs=true
âêîíôèãóðàöèîííîìôàéëå
postgresql.conf
.
4.6.2.3.Ññûëî÷íàÿöåëîñòíîñòüìàíäàòíûõàòðèáóòîâ
Ñðåäñòâàîáåñïå÷åíèÿöåëîñòíîñòèâðåëÿöèîííûõÁÄïðåäñòàâëÿþòñîáîéìåõà-
íèçìûàâòîìàòè÷åñêîéïîääåðæêèñèñòåìûïðàâèë,îïðåäåëÿþùèõäîïóñòèìîñòüèêîð-
ðåêòíîñòüîáðàáàòûâàåìûõäàííûõ,èìîãóòáûòüðàçáèòûíàíåñêîëüêîâèäîâ.

Îãðàíè÷åíèåöåëîñòíîñòèïîëåéäàííûõîãðàíè÷åíèÿ,íàêëàäûâàåìûåíàèñ-
ïîëüçóåìûåâîòíîøåíèèäîìåíû(çàäàíèåðàçðåøåííûõäèàïàçîíîâçíà÷åíèé,çà-
ïðåòíàëè÷èÿíåîïðåäåëåííûõçíà÷åíèéNULL,çàäàíèåçíà÷åíèéïîóìîë÷àíèþ)
èëèîãðàíè÷åíèÿíåïîñðåäñòâåííîòàáëèöû(óíèêàëüíîñòüêàæäîéçàïèñè,îãðàíè-
÷åíèåóíèêàëüíîñòèïîâûáðàííûìñòîëáöàì,âû÷èñëÿåìûåçíà÷åíèÿñòîëáöîâè
71
ÐÓÑÁ.10015-019701-1
óñëîâèÿäîïóñòèìûõñî÷åòàíèéçíà÷åíèéâñòîëáöàõ).

Äåêëàðàòèâíàÿññûëî÷íàÿöåëîñòíîñòüîïèñàíèåçàâèñèìîñòåéìåæäóðàçíû-
ìèîòíîøåíèÿìèâÁÄ(íàëè÷èÿâîäíîìîòíîøåíèèâòîðè÷íîãîêëþ÷à,ññûëàþùå-
ãîñÿíàïåðâè÷íûéêëþ÷âäðóãîì).Ïîäîáíûåçàâèñèìîñòèìîãóòáûòüâûÿâëåíû
ïðèàíàëèçåïðåäìåòíîéîáëàñòèìåæäóååñóùíîñòÿìèèëèïðèïðîåêòèðîâàíèè
ÁÄâïðîöåññåíîðìàëèçàöèè(âýòîìñëó÷àåîäíàñóùíîñòüïðåäìåòíîéîáëàñòè
ìîæåòñîñòîÿòüèçíàáîðàîòíîøåíèé).Ññûëî÷íàÿöåëîñòíîñòüðåàëèçóåòñÿïóòåì
îïèñàíèÿîãðàíè÷åíèéíàçíà÷åíèÿâòîðè÷íûõêëþ÷åéâîäíîìîòíîøåíèèèïðàâèë
èõîáðàáîòêèâñëó÷àåèçìåíåíèÿïåðâè÷íûõêëþ÷åéâäðóãîì.

Äèíàìè÷åñêàÿññûëî÷íàÿöåëîñòíîñòüòðèããåðà,íàçíà÷àåìûåäëÿâûïîëíåíèÿ
ïðèðåàëèçàöèèçàäàííîãîâèäàäîñòóïàêêîíêðåòíîéòàáëèöå.Òðèããåðïðåäñòàâëÿ-
åòñîáîéèñïîëíÿåìûéêîä,êîòîðûéìîæåòäèíàìè÷åñêèïðîâåðèòüçàäàííûåóñëî-
âèÿêîððåêòíîñòèâûïîëíÿåìîéîïåðàöèè,èïðèíåîáõîäèìîñòèâíåñòèèçìåíåíèÿ
âäðóãèåòàáëèöû.
Âïðèâåäåííîìîïðåäåëåíèèîòñóòñòâóþòìàíäàòíûåàòðèáóòû,òàêêàêâîáùåì
ñëó÷àåìåæäóêëàññèôèêàöèîííûìèìåòêàìèçàïèñåéðàçíûõòàáëèöìîæåòíåáûòüçà-
âèñèìîñòè.Ñäðóãîéñòîðîíû,ñóùåñòâóåò÷àñòíûéñëó÷àéññûëî÷íîéöåëîñòíîñòè,îáðà-
çîâàííûéìåæäóòàáëèöàìè,ÿâëÿþùèìèñÿ÷àñòÿìèîäíîéñóùíîñòèïðåäìåòíîéîáëàñòè,
÷òîìîæåòâîçíèêíóòüâïðîöåññåíîðìàëèçàöèè.
Äëÿîáåñïå÷åíèÿöåëîñòíîñòèìàíäàòíûõàòðèáóòîâñïèñîêñîáûòèéäëÿîãðà-
íè÷åíèéöåëîñòíîñòèíàðÿäóññóùåñòâóþùèìèñîáûòèÿìè
ONSELECT
,
ONINSERT
,
ONUPDATE
,
72
ÐÓÑÁ.10015-019701-1
Òàêèìæåîáðàçîììîãóòáûòüçàäàíûèïðàâèëàäëÿâèäîâ:
CREATERULEèìÿ_ïðàâèëà
ASONCHMACÒÎèìÿ_âèäà
DOALSO...
CREATERULEèìÿ_ïðàâèëà
ASONCHMACÒÎèìÿ_âèäà
DOINSTEAD...
Âýòîìñëó÷àåïðèèçìåíåíèèìàíäàòíûõàòðèáóòîâçàïèñèáóäóòâûçûâàòüñÿñîîò-
âåòñòâóþùèåôóíêöèèèïðàâèëà,÷òîäàåòâîçìîæíîñòüçàïðîãðàììèðîâàòüïðîèçâîëüíóþ
ëîãèêóîáåñïå÷åíèÿöåëîñòíîñòèìàíäàòíûõàòðèáóòîââíóòðèÁÄ.
4.6.2.4.Îñîáåííîñòèñîçäàíèÿïðàâèëèòðèããåðîâ
ÂÑÓÁÄPostgreSQLâåðñèè9.4ïðàâèëà(
RULE
)èòðèããåðû(
TRIGGER
)íàñëåäóþò
ìåòêóòàáëèöû,äëÿêîòîðîéîíèñîçäàíû.Ýòèîáúåêòûìîãóòáûòüñîçäàíûïîëüçîâàòåëåì-
âëàäåëüöåìòàáëèöû(ìåòêàêîòîðîãîáóäåòñîâïàäàòüñìåòêîéòàáëèöû),ëèáîïîëüçîâà-
òåëÿìèñïðèâèëåãèÿìèèãíîðèðîâàíèÿìàíäàòíîãîäîñòóïà.Âïðîòèâíîìñëó÷àåãåíåðèðó-
åòñÿîøèáêàäîñòóïà.
Åñëèòðèããåðèñïîëüçóåòòðèããåðíóþôóíêöèþ,ìåòêàêîòîðîéîòëè÷íàîò
{0,0}
,òî
ïðèèñïîëíåíèèòðèããåðàäëÿòàáëèöûñîñáðîøåííûììàíäàòíûìïðèçíàêîìCCRâîçìîæ-
íûíàðóøåíèÿâðàáîòåòðèããåðîâ.Ýòîîáóñëîâëåíîòåì,÷òîçàïèñüòðèããåðíîéôóíêöèè
ìîæåòáûòüíåäîñòóïíàäëÿïîëüçîâàòåëÿâñâÿçèñÌÏÐÄ.Âòàêèõñëó÷àÿõáóäåòâûâåäå-
íîñîîáùåíèå:
cachelookupfailed:âíóòðåííÿÿîøèáêàèëèîòñóòñòâóþòíåîáõîäèìûåìàíäàòíûå
àòðèáóòû
Âîèçáåæàíèèýòîãîíàñòîÿòåëüíîðåêîìåíäóåòñÿóñòàíàâëèâàòüìàíäàòíóþìåòêó
òðèããåðíîéôóíêöèèâçíà÷åíèå
{0,0}
.
4.6.2.5.Îñîáåííîñòèèñïîëüçîâàíèÿïðåäñòàâëåíèéèìàòåðèàëèçîâàííûõ
ïðåäñòàâëåíèé
Ïðåäñòàâëåíèÿ(
VIEW
)èìàòåðèàëèçîâàííûåïðåäñòàâëåíèÿ
(
MATERIALIZEDVIEW
)íåìîãóòèìåòüìåòêèíàñòðîêàõ,ïîñêîëüêóâûïîëíÿþòàãðå-
ãàöèþäàííûõèçäðóãèõèñòî÷íèêîâäàííûõ(òàáëèöèïðåäñòàâëåíèé).
Ïðèìå÷àíèå.ÏðåäñòàâëåíèÿñîçäàþòñÿñóñòàíîâëåííûìôëàãîìCCR,ïîýòî-
ìóïðèïîïûòêåäîñòóïàêíåìóîòèìåíèïîëüçîâàòåëÿ,ìàíäàòíàÿìåòêàêîòîðîãîíåïðå-
âîñõîäèòìåòêèïðåäñòàâëåíèÿ,ýòîïðåäñòàâëåíèåíåáóäåò¾âèäíî¿ïîëüçîâàòåëþâñèëó
ÌÏÐÄ.Äëÿòîãî,÷òîáûïîëüçîâàòåëüèìåëäîñòóïêòàêîìóïðåäñòàâëåíèþ,íåîáõîäèìî
ñáðîñèòüìàíäàòíûéïðèçíàêCCRïðåäñòàâëåíèÿ.
73
ÐÓÑÁ.10015-019701-1
4.6.2.6.Ôóíêöèèñðàâíåíèÿäëÿòèïà
maclabel
ÂÑÓÁÄPostgreSQLâåðñèè9.4èçìåíåíîïîâåäåíèåñëåäóþùèõôóíêöèéäëÿòèïà
maclabel
:
eq
,
ne
,
lt
,
le
,
gt
,
ge
.Âóêàçàííûõôóíêöèÿõâìåñòîèíäåêñíîãîñðàâíåíèÿ
èñïîëüçóåòñÿñðàâíåíèåìàíäàòíûõìåòîêñîîòâåòñòâóþùèìèîïåðàòîðàìè
=
,

,

,
=
,

,
�=
.
Äëÿïðîâåðêèíàíåñðàâíèìîñòüìàíäàòíûõìåòîêèñïîëüçóåòñÿôóíêöèÿ
nc
.
Îïåðàòîðûèíäåêñíîãîñðàâíåíèÿïåðåèìåíîâàíûâ
maclabel_idx_eq
,
maclabel_idx_ne
,
maclabel_idx_lt
,
maclabel_idx_le
,
maclabel_idx_gt
,
maclabel_idx_ge
.
4.6.2.7.ÑèñòåìàïðèâèëåãèéÑÓÁÄèóïðàâëåíèåèìè
ÑèñòåìàïðèâèëåãèéÑÓÁÄPostgreSQLïðåäíàçíà÷åíàäëÿïåðåäà÷èîòäåëüíûì
ïîëüçîâàòåëÿìïðàââûïîëíåíèÿîïðåäåëåííûõàäìèíèñòðàòèâíûõäåéñòâèé.Îáû÷íûé
ïîëüçîâàòåëüñèñòåìûíåèìååòäîïîëíèòåëüíûõïðèâèëåãèé.
ÏðèâèëåãèèÿâëÿþòñÿïîäêëàññîìàòðèáóòîâïîëüçîâàòåëÿÑÓÁÄPostgreSQL.
ÏðèâèëåãèèÎÑ,èñïîëüçóåìûåâÑÓÁÄPostgreSQL,êðîìåàòðèáóòà
ac_session_maclabel
,íåìîãóòáûòüèçìåíåíûñïîìîùüþñðåäñòâÑÓÁÄíèïîëü-
çîâàòåëÿìè,íèàäìèíèñòðàòîðàìèÑÓÁÄ:

añ_session_maclabel
òåêóùàÿìàíäàòíàÿìåòêàñåññèèïîëüçîâàòåëÿÑÓÁÄ.
ÝòàìåòêàîïðåäåëÿåòäîñòóïíûåïîëüçîâàòåëþîáúåêòûÁÄèÿâëÿåòñÿìåòêîéïî
óìîë÷àíèþäëÿñîçäàâàåìûõïîëüçîâàòåëåìîáúåêòîâ.Ïðèñîåäèíåíèèïîëüçîâà-
òåëÿñÑÓÁÄçíà÷åíèåýòîãîàòðèáóòàóñòàíàâëèâàåòñÿðàâíûììåòêèñîåäèíåíèÿ
èëè
ac_user_max_maclabel
;

ac_user_max_maclabel
ìàêñèìàëüíîâîçìîæíîåçíà÷åíèåäëÿ
ac_session_maclabel
;

ac_user_min_maclabel
ìèíèìàëüíîâîçìîæíîåçíà÷åíèåäëÿ
ac_session_maclabel
;

ac_capable_ignmaclvl
ïîçâîëÿåòïîëüçîâàòåëþèãíîðèðîâàòüìàíäàòíûé
êîíòðîëüïîóðîâíÿì;

ac_capable_ignmaccat
ïîçâîëÿåòïîëüçîâàòåëþèãíîðèðîâàòüìàíäàòíûé
êîíòðîëüïîêàòåãîðèÿì;

ac_capable_mac_readsearch
ïîçâîëÿåòïîëüçîâàòåëþèãíîðèðîâàòüìàí-
äàòíûéêîíòðîëüïîóðîâíÿìèêàòåãîðèÿìïðè÷òåíèèäàííûõ;

74
ÐÓÑÁ.10015-019701-1
ÑÓÁÄ,âñååãîìàíäàòíûåàòðèáóòûèìåþòíóëåâîåçíà÷åíèå.ÀäìèíèñòðàòîðàìÑÓÁÄäî-
ïîëíèòåëüíîêèõàòðèáóòàìèçÎÑâñåãäàäîáàâëÿþòñÿàòðèáóòû
ac_capable_ignmaclvl
,
ac_capable_ignmaccat
è
ac_capable_chmac
.
ÄëÿóïðàâëåíèÿïðèâèëåãèÿìèÑÓÁÄPostgreSQLìîæåòáûòüèñïîëüçîâàíàãðàôè-
÷åñêàÿóòèëèòà
pgadmin3
(¾ÀäìèíèñòðèðîâàíèåÑÓÁÄPostgreSQL¿).
Ïðîñìîòðåòüòåêóùèåçíà÷åíèÿïðèâèëåãèé(àòðèáóòîâïîëüçîâàòåëÿ)ìîæíîñïî-
ìîùüþêîìàíäû:
SHOWattr_name
Óñòàíîâèòüíîâîåçíà÷åíèåàòðèáóòà
ac_session_maclabel
ìîæíîñïîìîùüþ
êîìàíä:
75
ÐÓÑÁ.10015-019701-1
ñòóïêçàùèùàåìûìðåñóðñàìïðèïðèåìåèîáðàáîòêåçàïðîñîâïîëüçîâàòåëåéâïðîöåñ-
ñåôóíêöèîíèðîâàíèÿñåðâåðîâêîìïëåêñîâïðîãðàììãèïåðòåêñòîâîéîáðàáîòêèäàííûõè
ýëåêòðîííîéïî÷òûïîä÷èíÿåòñÿìàíäàòíûìÏÐÄ.
76
ÐÓÑÁ.10015-019701-1
5.Î×ÈÑÒÊÀÏÀÌßÒÈ
ßäðîÎÑãàðàíòèðóåò,÷òîîáû÷íûéíåïðèâèëåãèðîâàííûéïðîöåññíåïîëó÷èòäàí-
íûå÷óæîãîïðîöåññà,åñëèýòîÿâíîíåðàçðåøåíîÏÐÄ.Ýòîîçíà÷àåò,÷òîñðåäñòâàIPC
êîíòðîëèðóþòñÿñïîìîùüþÏÐÄ,èïðîöåññíåìîæåòïîëó÷èòüíåî÷èùåííóþïàìÿòü(êàê
îïåðàòèâíóþ,òàêèäèñêîâóþ).
ÂÎÑðåàëèçîâàíìåõàíèçì,êîòîðûéî÷èùàåòíåèñïîëüçóåìûåáëîêèÔÑíåïî-
ñðåäñòâåííîïðèèõîñâîáîæäåíèè.Ðàáîòàäàííîãîìåõàíèçìàñíèæàåòñêîðîñòüâûïîëíå-
íèÿîïåðàöèéóäàëåíèÿèóñå÷åíèÿðàçìåðàôàéëà.Äàííûåëþáûõóäàëÿåìûõ/óðåçàåìûõ
ôàéëîââïðåäåëàõçàäàííîéÔÑïðåäâàðèòåëüíîî÷èùàþòñÿïðåäîïðåäåëåííîéèëèïñåâ-
äîñëó÷àéíîéìàñêèðóþùåéïîñëåäîâàòåëüíîñòüþ.Ìåõàíèçìÿâëÿåòñÿíàñòðàèâàåìûìè
ïîçâîëÿåòîáåñïå÷èòüðàáîòóÔÑÎÑ(Ext2/Ext3/Ext4)âîäíîìèçñëåäóþùèõðåæèìîâ:
1)
Î÷èñòêàîñóùåñòâëÿåòñÿïîñðåäñòâîìïåðåçàïèñèêàæäîãîáàéòàâîñâîáîæ-
äàåìîéîáëàñòèïîñðåäñòâîì÷åòûðåõñèãíàòóðñëåäóþùåãîâèäà:
11111111
,
01010101
,
10101010
,
00000000
.Èñïîëüçîâàíèåðåæèìàâêëþ÷àåòñÿïàðàìåòðîì
secdel
âêîíôèãóðàöèîííîìôàéëå
77
ÐÓÑÁ.10015-019701-1
æèìàâêëþ÷àåòñÿïàðàìåòðîì
secdelrnd
âêîíôèãóðàöèîííîìôàéëå
78
ÐÓÑÁ.10015-019701-1
6.ÈÇÎËßÖÈßÌÎÄÓËÅÉ
ßäðîÎÑîáåñïå÷èâàåòäëÿêàæäîãîïðîöåññàâñèñòåìåñîáñòâåííîåèçîëèðîâàí-
íîåàäðåñíîåïðîñòðàíñòâî.Äàííûéìåõàíèçìèçîëÿöèèîñíîâàííàñòðàíè÷íîììåõàíèç-
ìåçàùèòûïàìÿòè,àòàêæåìåõàíèçìåòðàíñëÿöèèâèðòóàëüíîãîàäðåñàâôèçè÷åñêèé,
ïîääåðæèâàåìûéìîäóëåìóïðàâëåíèÿïàìÿòüþ.Îäíèèòåæåâèðòóàëüíûåàäðåñà(ñêî-
òîðûìèèðàáîòàåòïðîöåññîð)ïðåîáðàçóþòñÿâðàçíûåôèçè÷åñêèåäëÿðàçíûõàäðåñíûõ
ïðîñòðàíñòâ.Ïðîöåññíåìîæåòíåñàíêöèîíèðîâàííûìîáðàçîìïîëó÷èòüäîñòóïêïðî-
ñòðàíñòâóäðóãîãîïðîöåññà,ò.ê.íåïðèâèëåãèðîâàííûéïîëüçîâàòåëüñêèéïðîöåññëèøåí
âîçìîæíîñòèðàáîòàòüñôèçè÷åñêîéïàìÿòüþíàïðÿìóþ.
Ìåõàíèçìðàçäåëÿåìîéïàìÿòèÿâëÿåòñÿñàíêöèîíèðîâàííûìñïîñîáîìïîëó÷èòü
íåñêîëüêèìïðîöåññàìäîñòóïêîäíîìóèòîìóæåó÷àñòêóïàìÿòèèíàõîäèòñÿïîäêîíòðî-
ëåìäèñêðåöèîííûõèìàíäàòíûõÏÐÄ.
Àäðåñíîåïðîñòðàíñòâîÿäðàçàùèùåíîîòïðÿìîãîâîçäåéñòâèÿïîëüçîâàòåëüñêèõ
ïðîöåññîâñèñïîëüçîâàíèåììåõàíèçìàñòðàíè÷íîéçàùèòû.Ñòðàíèöûïðîñòðàíñòâàÿäðà
ÿâëÿþòñÿïðèâèëåãèðîâàííûìè,èäîñòóïêíèìèçíåïðèâèëåãèðîâàííîãîêîäàâûçûâàåò
èñêëþ÷åíèåïðîöåññîðà,êîòîðîåîáðàáàòûâàåòñÿêîððåêòíûìîáðàçîìÿäðîìÎÑ.Åäèí-
ñòâåííûìñàíêöèîíèðîâàííûìñïîñîáîìäîñòóïàêÿäðóÎÑèçïîëüçîâàòåëüñêîéïðîãðàì-
ìûÿâëÿåòñÿìåõàíèçìñèñòåìíûõâûçîâîâ,êîòîðûéãàðàíòèðóåòâîçìîæíîñòüâûïîëíåíèÿ
ïîëüçîâàòåëåìòîëüêîñàíêöèîíèðîâàííûõäåéñòâèé.
79
ÐÓÑÁ.10015-019701-1
7.ÌÀÐÊÈÐÎÂÊÀÄÎÊÓÌÅÍÒÎÂ
Çàùèùåííûéêîìïëåêñïðîãðàììïå÷àòèèìàðêèðîâêèäîêóìåíòîâîáåñïå÷èâàåò
ìàðêèðîâêóâûâîäèìûõíàïå÷àòüäîêóìåíòîâ.Ìàíäàòíûåàòðèáóòûàâòîìàòè÷åñêèñâÿçû-
âàþòñÿñçàäàíèåìäëÿïå÷àòèíàîñíîâåìàíäàòíîãîêîíòåêñòà,ïîëó÷àåìîãîññåòåâîãî
ñîåäèíåíèÿ.Âûâîäíàïå÷àòüäîêóìåíòîâáåçìàðêèðîâêèñóáúåêòàìèäîñòóïà,ðàáîòàþ-
ùèìèâíåíóëåâîììàíäàòíîìêîíòåêñòå,íåâîçìîæåí.
ÊîíôèãóðàöèîííûåïàðàìåòðûñåðâåðàCUPSîïðåäåëåíûâôàéëå
80
ÐÓÑÁ.10015-019701-1

/usr/share/cups/psmarker/marker.defs
îïèñàíèåïîëîæåíèÿýëåìåíòîâ
ìàðêåðàíàñòðàíèöå;

/usr/share/cups/fonarik/fonarik.defs
îïèñàíèåïîëîæåíèÿýëåìåíòîâ
ìàðêåðàíàîáîðîòåïîñëåäåéñòðàíèöû.
Äëÿóñòàíîâêèçíà÷åíèéàòðèáóòîâ,îïðåäåëåííûõâïåðå÷èñëåííûõâûøåôàéëàõ
øàáëîíîâ,èñïîëüçóåòñÿóòèëèòàêîìàíäíîéñòðîêè
lpattr
.Äëÿïðèìåíåíèÿóòèëèòûáåç
ÅÏÏíåîáõîäèìîíàëè÷èåëîêàëüíîéãðóïïû
lpmac
âÎÑ.ÄëÿïðèìåíåíèÿóòèëèòûâÅÏÏ
íåîáõîäèìîíàëè÷èåãðóïïû
lpmac
âÁÄñëóæáûêàòàëîãîâLDAP.Çàïóñêóòèëèòûäîëæåí
îñóùåñòâëÿòüñÿîòèìåíèïîëüçîâàòåëÿ,âõîäÿùåãîâãðóïïó
lpmac
.
Îïèñàíèåóòèëèò
lpadmin
è
lpattr
ïðèâåäåíîâ
manlpadmin
è
manlpattr
,
ñîîòâåòñòâåííî.
Äëÿóïðàâëåíèÿïðèíòåðàìèèñïîëüçóåòñÿãðàôè÷åñêàÿóòèëèòà
fly-admin-printer
.Ïîäðîáíîåîïèñàíèåóòèëèòûñì.âýëåêòðîííîéñïðàâêå.
81
ÐÓÑÁ.10015-019701-1
8.ÇÀÙÈÒÀÂÂÎÄÀ-ÂÛÂÎÄÀÈÍÔÎÐÌÀÖÈÈÍÀÎÒ×ÓÆÄÀÅÌÛÉÔÈÇÈ×ÅÑÊÈÉ
ÍÎÑÈÒÅËÜ
Îò÷óæäàåìûåôèçè÷åñêèåíîñèòåëèìîãóòðàññìàòðèâàòüñÿîòíîñèòåëüíîÎÑñ
äâóõòî÷åêçðåíèÿ:

êàêáëî÷íûåèëèñèìâîëüíûåóñòðîéñòâàââîäà-âûâîäà;

êàêáëî÷íîåóñòðîéñòâî,êîòîðîåìîæåòáûòüñìîíòèðîâàíî.
Âïåðâîìñëó÷àåóñòðîéñòâîïðåäñòàâëÿåòñîáîéñïåöèàëüíûéôàéëîâûéîáúåêò,
äîñòóïêêîòîðîìóêîíòðîëèðóåòñÿìàíäàòíûìèèäèñêðåöèîííûìèÏÐÄîáû÷íûìîáðàçîì
è,ñëåäîâàòåëüíî,ââîä-âûâîäîñòàåòñÿâðàìêàõêîíòðîëÿýòèõïðàâèë.
Âîâòîðîìñëó÷àåîò÷óæäàåìûéíîñèòåëüèíôîðìàöèèñîäåðæèòâñåáåîáðàçÔÑ,
êîòîðàÿèõðàíèòäàííûå.Äàííûéíîñèòåëüìîæåòáûòüñìîíòèðîâàíâçàäàííûéêàòàëîã,
èïðèýòîìÔÑíîñèòåëÿñòàíîâèòñÿ÷àñòüþ(ïðåäñòàâëåííîéââèäåïîääåðåâà)êîðíåâîé
ÔÑ.ÄîñòóïêîáúåêòàìäàííîéÔÑïîä÷èíÿåòñÿìàíäàòíûìèäèñêðåöèîííûìÏÐÄîáû÷-
íûìîáðàçîìè,ñëåäîâàòåëüíî,ââîä-âûâîäíàîò÷óæäàåìûéíîñèòåëüîñòàåòñÿâðàìêàõ
êîíòðîëÿýòèõïðàâèë.
ÄëÿÎÑâîçìîæíîñòüñàíêöèîíèðîâàííîãîìîíòèðîâàíèÿêîíêðåòíûìïîëüçîâàòå-
ëåìêîíêðåòíûõíîñèòåëåéñêîíêðåòíûìèÔÑîïðåäåëÿåòñÿàäìèíèñòðàòîðîìñèñòåìû.Â
ÎÑðåàëèçîâàíûñðåäñòâàðàçãðàíè÷åíèÿäîñòóïàêïîäêëþ÷àåìûìóñòðîéñòâàìíàîñíîâå
ãåíåðàöèèïðàâèëäëÿìåíåäæåðàóñòðîéñòâ
udev
.
Ó÷åòíîñèòåëåéèóïðàâëåíèåèõïðèíàäëåæíîñòüþ,ïðîòîêîëèðîâàíèåìèìàíäàò-
íûìèàòðèáóòàìîñóùåñòâëÿåòñÿñïîìîùüþóòèëèòû
fly-admin-smc
(¾Óïðàâëåíèåïîëè-
òèêîéáåçîïàñíîñòè¿),âòîì÷èñëåèïðèðàáîòåâÅÏÏ.
Ðåêîìåíäàöèèïîèñïîëüçîâàíèþóêàçàííûõñðåäñòâïðèâåäåíûâäîêóìåíòå
ÐÓÑÁ.10015-019501-1.
82
ÐÓÑÁ.10015-019701-1
9.ÑÎÏÎÑÒÀÂËÅÍÈÅÏÎËÜÇÎÂÀÒÅËßÑÓÑÒÐÎÉÑÒÂÎÌ
ÎÑîáåñïå÷èâàåòââîä-âûâîäèíôîðìàöèèíàçàïðîøåííîåïîëüçîâàòåëåìóñòðîé-
ñòâîêàêäëÿïðîèçâîëüíîèñïîëüçóåìûõèìóñòðîéñòâ,òàêèäëÿèäåíòèôèöèðîâàííûõ(ïðè
ñîâïàäåíèèìàðêèðîâêè).
ÎÑâêëþ÷àåòâñåáÿìåõàíèçì,îáåñïå÷èâàþùèéíàäåæíîåñîïîñòàâëåíèåìàíäàò-
íîãîêîíòåêñòàïîëüçîâàòåëÿñìàíäàòíûìóðîâíåìèêàòåãîðèÿìè,óñòàíîâëåííûìèäëÿ
óñòðîéñòâà.Êðîìåòîãî,ìåõàíèçìñîïîñòàâëåíèÿïîëüçîâàòåëÿñóñòðîéñòâîì,ðåàëèçî-
âàííûéâÎÑ,îáåñïå÷èâàåòïðèïðîâåðêåñîâïàäåíèÿìàðêèðîâîêíîñèòåëÿèïîëüçîâàòåëÿ
ïðèìåíåíèåäèñêðåöèîííûõÏÐÄ.
83
ÐÓÑÁ.10015-019701-1
10.ÐÅÃÈÑÒÐÀÖÈßÑÎÁÛÒÈÉ
ÂÎÑðåàëèçîâàíàðàñøèðåííàÿïîäñèñòåìàïðîòîêîëèðîâàíèÿ,îñóùåñòâëÿþùàÿ
ðåãèñòðàöèþñîáûòèéâäâîè÷íûåôàéëûñèñïîëüçîâàíèåìñåðâèñà
parlogd
.Ïàðàìåòðû
ïðîòîêîëèðîâàíèÿìîãóòíàñòðàèâàòüñÿ(10.1)äëÿîáúåêòîâÔÑ(ôàéëîâûéàóäèò)èäëÿ
ïîëüçîâàòåëåé(àóäèòïðîöåññîâ).Ïðèìåíåíèåíàñòðîåííûõïàðàìåòðîâàóäèòàïðîöåñ-
ñîâîñóùåñòâëÿåòñÿPAM-ìîäóëåì
pam_parsec_aud
.Ïîóìîë÷àíèþðåãèñòðàöèÿíàñòðî-
åííûõäëÿïîëüçîâàòåëÿñîáûòèéàóäèòàïðîöåññîââêëþ÷åíàâPAM-ñöåíàðèè:
fly-dm
,
fly-dm-np
,
login
,
su
,
sumac
,
sumac.xauth
.Äëÿïðîòîêîëèðîâàíèÿñîáûòèéàóäèòàïðî-
öåññîâïîëüçîâàòåëÿ,ïðîõîäÿùåãîàóòåíòèôèêàöèþ÷åðåçäðóãèåPAM-ñöåíàðèè,íåîáõî-
äèìîâêëþ÷èòüâñîîòâåòñòâóþùèåñöåíàðèèñòðîêóñëåäóþùåãîâèäà:
sessionrequiredpam_parsec_aud.so
ÂáèáëèîòåêàõïîäñèñòåìûáåçîïàñíîñòèPARSECðåàëèçîâàíïðîãðàììíûéèíòåð-
ôåéñäëÿïðîòîêîëèðîâàíèÿñîáûòèéñèñïîëüçîâàíèåìðàñøèðåííîéïîäñèñòåìûïðîòî-
êîëèðîâàíèÿ,ïðèìåíÿåìûéäëÿðåãèñòðàöèèñîáûòèéâÑÓÁÄPostgreSQLèêîìïëåêñåïðî-
ãðàììýëåêòðîííîéïî÷òû.
10.1.Ñðåäñòâàóïðàâëåíèÿïðîòîêîëèðîâàíèåì
Äëÿðàáîòûñïîäñèñòåìîéïðîòîêîëèðîâàíèåìèìååòñÿðÿäãðàôè÷åñêèõóòèëèò,
êîòîðûåìîãóòáûòüèñïîëüçîâàíûäëÿíàñòðîéêèïàðàìåòðîâðåãèñòðàöèèñîáûòèéèïðî-
ñìîòðàïðîòîêîëîâ:

fly-admin-smc
(¾Óïðàâëåíèåïîëèòèêîéáåçîïàñíîñòè¿)óïðàâëåíèåïðîòî-
êîëèðîâàíèåì,ïðèâèëåãèÿìèèìàíäàòíûìèàòðèáóòàìèïîëüçîâàòåëåé,ðàáîòàñ
ïîëüçîâàòåëÿìèèãðóïïàìè;

fly-admin-viewaudit
(¾Æóðíàëáåçîïàñíîñòè¿)âûáîðî÷íûéïðîñìîòðïðî-
òîêîëîâàóäèòà.
Áîëååïîäðîáíîåîïèñàíèåóòèëèòñì.âýëåêòðîííîéñïðàâêå.
Äàëååðàññìîòðåíûñðåäñòâàóïðàâëåíèÿïðîòîêîëèðîâàíèåìâðåæèìåêîìàíäíîé
ñòðîêè.
84
ÐÓÑÁ.10015-019701-1

c
,
create
ñîçäàíèåôàéëà;

x
,
exec
èñïîëíåíèåôàéëà;

u
,
Îïöèÿ
Îïèñàíèå
-d
,
--default
Ðàáîòàòüñîñïèñêîìïðàâèëïðîòîêîëèðîâàíèÿïîóìîë÷àíèþ
-R
,
--recursive
Äëÿïîääèðåêòîðèéðåêóðñèâíî
-L
,
--logical
Ñëåäîâàòüïîñèìâîëè÷åñêèìññûëêàì
-P
,
--phisical
Íåñëåäîâàòüïîñèìâîëè÷åñêèìññûëêàì
-n
,
--numeric
Âûâîäèòüèíôîðìàöèþîôëàãàõðåãèñòðàöèèñîáûòèéâöèôðîâîé
ôîðìå
-l
,
--long
Âûâîäèòüôëàãèðåãèñòðàöèèñîáûòèéâäëèííîéôîðìå
-p
,
--absolute-names
Àáñîëþòíûåèìåíà
-c
,
--omit-header
Íåïîêàçûâàòüçàãîëîâîê(èìÿôàéëà)
-s
,
--skip-empty
Ïðîïóñêàòüôàéëûñïóñòûìèàòðèáóòàìè
-h,--help
Âûâåñòèñïðàâêóèâûéòè
-v,--version
Âûâåñòèèíôîðìàöèþîâåðñèèèâûéòè
85
ÐÓÑÁ.10015-019701-1
ãäå
�ïîëüçîâàòåëü
è
�ãðóïïà
ñèìâîëè÷åñêèåèëè÷èñëåííûåèäåíòèôèêàòîðûïîëü-
çîâàòåëÿèãðóïïû;
u:
îçíà÷àåòïðàâèëîäëÿïîëüçîâàòåëÿ,
g:
äëÿãðóïïû,
o:
äëÿ
îñòàëüíûõ.
ôëàãè&#x-600;ïðîòîêîëèðîâàíèÿ:=ôëàãèóñïåøíûõ&#x-600;&#x-600;îïåðàöèé[[:ôëàãèíåóñïåøíûõ
�îïåðàöèé],...]
Ïðèýòîìôëàãèîïåðàöèéìîãóòèìåòüâèä:
&#x+|-0;+|-èìÿïðîòîêîëèðóåìîãî&#x-600;&#x-600;ñîáûòèÿ,...
(íàïðèìåð,
+exec
,
-open
)èëè:
�[+|-]÷èñëî
èëè:
ñîêðàùåííîåèìÿïðîòîêîëèðóåìîãî&#x-600;&#x-600;&#x-600;&#x#100;ñîáûòèÿ#1ñîêðàùåííîåèìÿïðîòîêîëèðóåìîãî
�ñîáûòèÿ#2...
(íàïðèìåð,
ou

+open
,
Îïöèÿ
Îïèñàíèå
-s
,
Óñòàíîâèòüñïèñîêïðîòîêîëèðîâàíèÿèçêîìàíäíîéñòðîêè
-b
,
--remove
Óäàëèòüâñåýëåìåíòûñïèñêàïðîòîêîëèðóåìûõñîáûòèé
-m
,
--modify
Èçìåíèòüèëèäîáàâèòüýëåìåíòûñïèñêàèçêîìàíäíîéñòðîêè
-d
,
--default
Ðàáîòàòüñîñïèñêîìïðîòîêîëèðîâàíèÿïîóìîë÷àíèþ
-S
,
Óñòàíîâèòüñïèñîêïðîòîêîëèðóåìûõñîáûòèéèçôàéëà
-X
,
--remove-all
Óäàëèòüâñåñïèñêèïðîòîêîëèðóåìûõñîáûòèé
-M
,
--modify-file
Èçìåíèòüèëèäîáàâèòüýëåìåíòûñïèñêàïðîòîêîëèðóåìûõñîáûòèéèç
ôàéëà
-B
,
--restore
Âîññòàíîâèòüàòðèáóòûèçôàéëà
-R
,
--recursive
Äëÿïîääèðåêòîðèéðåêóðñèâíî
-L
,
--logical
Ñëåäîâàòüïîñèìâîëè÷åñêèìññûëêàì
-P
,
--physical
Íåñëåäîâàòüïîñèìâîëè÷åñêèìññûëêàì
-h,--help
Âûâåñòèñïðàâêóèâûéòè
-v,--version
Âûâåñòèèíôîðìàöèþîâåðñèèèâûéòè
86
ÐÓÑÁ.10015-019701-1
10.1.3.useraud
Ñèíòàêñèñ:
Îïöèÿ
Îïèñàíèå
-d
,
Ñáðîñèòüïðàâèëàïðîòîêîëèðîâàíèÿ
-n
,
--numeric
Âûâåñòèôëàãèâøåñòíàäöàòåðè÷íîìôîðìàòå
-l
,
--long
Äëèííûéôîðìàòâûâîäàôëàãîâ
-g
,
--group
Äëÿãðóïïû(ïîóìîë÷àíèþäëÿïîëüçîâàòåëÿ)
-o
,
--other
Äëÿîñòàëüíûõ(ëþáîéïîëüçîâàòåëü)
-m
,
--modify
Èçìåíèòüñóùåñòâóþùååïðàâèëî
-h,--help
Âûâåñòèñïðàâêóèâûéòè
-v,--version
Âûâåñòèèíôîðìàöèþîâåðñèèèâûéòè
10.1.4.parselog
Ñèíòàêñèñ:
parselog[-v,--version][-h,--help][-c,--count][-f,--follow]
[-l,--syslog][-s,--silent][-b,--binary][-a,--facility][-e,--events]
[-t,--time][-u,--status][-x,--uids][-y,--gids][-z,--euids]
[-0..F,--arg0...--argF][ôàéë-æóðíàë]
87
ÐÓÑÁ.10015-019701-1
Êîìàíäà
parselog
ìîæåòáûòüèñïîëüçîâàíàäëÿàíàëèçàäâîè÷íûõôàéëîâàóäè-
òà,çàïèñàííûõñïîìîùüþ
parlogd
.
parselog[ïàðàìåòðû][äâîè÷íûéôàéëàóäèòà]
Åñëèâêà÷åñòâåàðãóìåíòàíåóêàçàíôàéëñäàííûìèæóðíàëà,òîäàííûåîæèäàþò-
ñÿèçñòàíäàðòíîãîââîäà,òàêèìîáðàçîì,ñîâìåñòíîñîïöèåé
-b
,ïîçâîëÿÿîðãàíèçîâûâàòü
êîíâåéåðû.
Îïöèèïðèâåäåíûâòàáëèöå29.
Òàáëèöà29
Îïöèÿ
Îïèñàíèå
-c
,
--count
Âûâåñòèñòàòèñòèêó
-f
,
--follow
Îæèäàòüïîÿâëåíèÿíîâûõçàïèñåéâôàéëå
-l
,
--syslog
Çàïèñûâàòüâûõîäíûåäàííûåâñèñòåìó
syslog
(êàêñëóæáà
LOG_LOCAL0
)
-s
,
--silent
Íåâûâîäèòüíè÷åãîíàêîíñîëü
-b
,
--binary
Âûâîäâäâîè÷íîìôîðìàòå(äëÿêîíâåéåðèçàöèè)
-h,--help
Âûâåñòèñïðàâêóèâûéòè
-v,--version
Âûâåñòèèíôîðìàöèþîâåðñèèèâûéòè
Ïàðàìåòðû-ôèëüòðûïðèâåäåíûâòàáëèöå30.
Òàáëèöà30
Ïàðàìåòð-ôèëüòð
Îïèñàíèå
-a
,
--facility
Ñïèñîêñëóæá.Äîñòóïíûåñëóæáû:
user
,
proc
,
file
,
custom
èëèäåñÿòè÷íîå÷èñëîîò0äî15
-e
,
--events
Ñïèñîêñîáûòèé.Äëÿïðîñìîòðàñïèñêàèìåíñîáûòèé(çàâèñèò
îòïëàãèíîâ)èñïîëüçîâàòü
-ehelp
-t
,
--time
Âðåìåííîéäèàïàçîíâôîðìàòå:
îò&#x-600;äàòû[-äîäàòû]
ãäåôîðìàòäàòû
%y[%m[%d[%H[%M[%S]]]]]
-u
,
--status
Ñòàòóñ.Äîñòóïíûåñòàòóñû:
success
,
failed
-x
,
--uids
Ñïèñîêïîëüçîâàòåëåé(âñèìâîëüíîìèëèäåñÿòè÷íîìôîðìàòå)
-y
,
--gids
Ñïèñîêãðóïï(âñèìâîëüíîìèëèäåñÿòè÷íîìôîðìàòå)
-z
,
--euids
Ñïèñîêýôôåêòèâíûõèäåíòèôèêàòîðîâïîëüçîâàòåëåéâñèì-
âîëüíîìèëèäåñÿòè÷íîìôîðìàòå
-0..F,--arg0...--argF
Ïîèñêàðãóìåíòà(îò1äî15)ñïîìîùüþðåãóëÿðíûõâûðàæå-
íèé.
arg0
âñåãäàñîîòâåòñòâóåòïðîãðàììå-êîíòåêñòóñîáûòèÿ.
Ïðåäïîëàãàåòñÿ,÷òîâîçâðàùàåìîåçíà÷åíèåýòîïîñëåäíèé
àðãóìåíòñîáûòèÿ
88
ÐÓÑÁ.10015-019701-1
10.1.5.kernlog,userlog
Êîìàíäû
kernlog
è
userlog
ïðåäíàçíà÷åíûäëÿàíàëèçàäâîè÷íûõôàéëîâæóð-
íàëàðåãèñòðàöèèñîáûòèéÿäðàèñîáûòèé,ïðèõîäÿùèõîòïîëüçîâàòåëÿ,ñîîòâåòñòâåííî.
Îáåêîìàíäûèñïîëüçóþò
parselog
(ñì.10.1.4)èÿâëÿþòñÿíàäñòðîéêàìèíàäíåé.Êîìàí-
äà
parselog
ïðèíèìàåòèìÿîáðàáàòûâàåìîãîäâîè÷íîãîôàéëàâêà÷åñòâåïàðàìåòðà.
Äëÿêîìàíä-íàäñòðîåêèìÿàíàëèçèðóåìîãîôàéëàïðåäîïðåäåëåíî.Äëÿ
kernlog
àíàëè-
çèðóåìûìôàéëîìÿâëÿåòñÿ
/var/log/parsec/kernel.mlog
.Âýòîìôàéëåðåãèñòðè-
ðóþòñÿñîáûòèÿÿäðà(ñåðâèñ
parlogd
).Äëÿ
userlog
àíàëèçèðóåìûìôàéëîìÿâëÿåòñÿ
/var/log/parsec/user.mlog
.Âýòîìôàéëåðåãèñòðèðóþòñÿñîáûòèÿ,ïðèõîäÿùèåîò
ïîëüçîâàòåëüñêèõïðîöåññîâ(ñåðâèñ
parlogd
).Âîñòàëüíîìêîìàíäû
kernlog
è
userlog
àíàëîãè÷íû
parselog
èïðèíèìàþòòåæåàðãóìåíòûêîìàíäíîéñòðîêè(ñì.10.1.4).
10.1.6.psaud
Ñèíòàêñèñ:
89
ÐÓÑÁ.10015-019701-1
Òàáëèöà31
Îïöèÿ
Îïèñàíèå
-d
,
Ñíÿòüâñåïðàâèëàïðîòîêîëèðîâàíèÿñïðîöåññà
-n
,
--numeric
Âûâîäèòüèíôîðìàöèþîïðàâèëàõïðîòîêîëèðîâàíèÿâ÷èñëåííîìâèäå
-l
,
--long
Âûâîäèòüèíôîðìàöèþîïðàâèëàõïðîòîêîëèðîâàíèÿâäëèííîéôîðìå
-h,--help
Âûâåñòèñïðàâêóèâûéòè
--version
Âûâåñòèèíôîðìàöèþîâåðñèèèâûéòè
10.1.7.Äîïîëíèòåëüíûåïàðàìåòðûñèñòåìûïðîòîêîëèðîâàíèÿñîáûòèé
ÄëÿòåñòèðîâàíèÿÎÑíàíîâûõàïïàðàòíûõêîíôèãóðàöèÿõìîæíîîòêëþ÷èòüïðî-
òîêîëèðîâàíèåíàáîðàñèñòåìíûõâûçîâîâîäíèìèçäâóõñëåäóþùèõñïîñîáîâ:
1)
Îòêëþ÷åíèåïðîòîêîëèðîâàíèÿñèñòåìíûõâûçîâîâ,íåèñïîëüçóåìûõäëÿìàí-
äàòíîãîðàçãðàíè÷åíèÿäîñòóïà.Äëÿýòîãîíåîáõîäèìîâûïîëíèòüêîìàíäó:
echo1�/parsecfs/disable-non-mac-audit
Åñëèâûâîäêîìàíäû:
cat/parsecfs/disable-non-mac-audit
ðàâåí
1
,òîïðîòîêîëèðîâàíèåñèñòåìíûõâûçîâîâ,íåèñïîëüçóåìûõäëÿìàíäàòíî-
ãîðàçãðàíè÷åíèÿäîñòóïà,îòêëþ÷åíî.
2)
Îòêëþ÷åíèåïðîòîêîëèðîâàíèÿâñåõñèñòåìíûõâûçîâîâ.Äëÿýòîãîíåîáõîäèìî
âûïîëíèòüêîìàíäó:
echo1�/parsecfs/disable-all-audit
Åñëèâûâîäêîìàíäû:
cat/parsecfs/disable-all-audit
ðàâåí
1
,òîïðîòîêîëèðîâàíèåâñåõñèñòåìíûõâûçîâîâîòêëþ÷åíî.
Ïðèìå÷àíèå.Åñëèíåîáõîäèìî,÷òîáûîòêëþ÷åíèåïðîèñõîäèëîïðèçàãðóçêå
ÎÑ,òîóêàçàííûåâûøåêîìàíäûíåîáõîäèìîïîìåñòèòüâôàéë
90
ÐÓÑÁ.10015-019701-1

external
Äëÿíàñòðîéêèèñïîëüçóåòñÿâíåøíèéôàéë
pg_audit.conf
(àíà-
ëîãè÷íîðåãèñòðàöèèñîáûòèéâÑÓÁÄâåðñèè9.2(10.2.1));

external,internal
Ñìåøàííûéðåæèì.Íàñòðîéêèáåðóòñÿñíà÷àëàèçâíåø-
íåãîôàéëà
pg_audit.conf
,ïîñëå÷åãîäîïîëíÿþòñÿíàñòðîéêàìèèçòàáëèöû
Òèïçàïðîñà
Îïèñàíèå
Áèò
Øåñòíàäöàòåðè÷íîå
çíà÷åíèå
SUBJECT
Äîáàâëåíèå/èçìåíåíèå/óäàëåíèåïîëüçîâà-
òåëåéèãðóïï
0
1
CONFIGURATION
Èçìåíåíèåêîíôèãóðàöèè,âëèÿþùåéíàäî-
ñòóïêäàííûì(çàïðîñíàèçìåíåíèåçíà÷å-
íèÿïåðåìåííîé
ac_session_maclabel
)
1
2
RIGHTS
ÈçìåíåíèåïðàâäîñòóïàêîáúåêòàìÁÄ
2
4
91
ÐÓÑÁ.10015-019701-1
Îêîí÷àíèåòàáëèöû32
Òèïçàïðîñà
Îïèñàíèå
Áèò
Øåñòíàäöàòåðè÷íîå
çíà÷åíèå
CHECK_RIGHTS
ÌîäèôèêàöèÿïðàâäîñòóïàêîáúåêòàìÁÄ
3
8
SELECT
ÂûáîðêàèíôîðìàöèèèçÁÄ
4
10
INSERT
ÄîáàâëåíèåèíôîðìàöèèâÁÄ
5
20
UPDATE
ÈçìåíåíèåèíôîðìàöèèâÁÄ
6
40
ÓäàëåíèåèíôîðìàöèèèçÁÄ
7
80
TRUNCATE
Î÷èñòêàäàííûõ
8
100
REFERENCES
Çàäàíèåñòîëáöàòàáëèöûâêà÷åñòâåâíåø-
íåãîêëþ÷à
10
400
TRIGGER
Äîáàâëåíèåòðèããåðàêòàáëèöå
11
800
EXECUTE
Çàïóñêõðàíèìîéïðîöåäóðûèëèòðèããåðà
12
1000
USAGE
ÈñïîëüçîâàíèåîáúåêòàÁÄ
13
2000
CREATE
ÑîçäàíèåîáúåêòîââÁÄ
16
10000
CREATE_TEMP
ÑîçäàíèåâðåìåííûõîáúåêòîââÁÄ
17
20000
DROP
ÓäàëåíèåîáúåêòîâÁÄ
18
40000
ALTER
ÈçìåíåíèåîáúåêòàÁÄ
19
80000
CONNECT
ÑîåäèíåíèåïîëüçîâàòåëÿñÁÄ
30
40000000
DISCONNECT
ÐàçúåäèíåíèåïîëüçîâàòåëÿñÁÄ
31
80000000
ÈíôîðìàöèÿîñîåäèíåíèèïîëüçîâàòåëåéñÁÄ(
CONNECT
)èðàçúåäèíåíèèñíåé
(
DISCONNECT
)ðåãèñòðèðóåòñÿâñåãäà,ïðèóñëîâèè,÷òîñïèñîêñîáûòèéíåóñòàíîâëåíâ
0
.
10.2.2.ÐåãèñòðàöèÿñîáûòèéâÑÓÁÄPostgreSQL9.4
ÂÑÓÁÄPostgreSQLâåðñèè9.4ìàñêàðåãèñòðàöèèñîáûòèéóñòàíàâëèâàåòñÿâïðî-
öåññåàâòîðèçàöèèïîëüçîâàòåëÿñîãëàñíîâûáðàííîìóðåæèìóðàáîòûïîäñèñòåìûðåãè-
ñòðàöèèñîáûòèéèíàõîäèòñÿâàòðèáóòåñåññèè
ac_session_audit
.
Ïðèýòîì,ðåàëèçîâàíñëåäóþùèéïîðÿäîêïðèìåíåíèÿíàñòðîåêðåãèñòðàöèèñî-
áûòèé:
1)
Íàñòðîéêèäëÿêîíêðåòíîéðîëèèêîíêðåòíîéáàçûäàííûõ;
2)
Íàñòðîéêèäëÿêîíêðåòíîéðîëè;
3)
Íàñòðîéêèäëÿêîíêðåòíîéáàçûäàííûõ;
4)
Äëÿâñåõîñòàëüíûõ.
Ìàñêàðåãèñòðàöèèñîáûòèéèìååòâèä
{ÓÑÏÅÕ:ÎÒÊÀÇ}
,ãäå
ÓÑÏÅÕ
ñïèñîêóñïåø-
íûõñîáûòèé,
ÎÒÊÀÇ
ñïèñîêíåóñïåøíûõñîáûòèé.Îíàìîæåòáûòüçàäàíàñïîìîùüþ
áóêâåííûõêîäîâèëèñïîìîùüþøåñòíàäöàòåðè÷íîãî÷èñëà.Âûâîäìàñêèïðîèçâîäèòñÿâ
òåñòîâîìâèäå.
92
ÐÓÑÁ.10015-019701-1
Âòàáëèöå33ïðèâåäåíîñîîòâåòñòâèåìåæäóñîáûòèÿìè,áóêâåííûìèøåñòíàäöà-
òåðè÷íûìçíà÷åíèåììàñêèðåãèñòðàöèèñîáûòèé.
Òàáëèöà33
Ñîáûòèå
Ñèìâîë
Øåñòíàäöàòåðè÷íîå
çíà÷åíèå
Îïèñàíèå
SUBJECT
S
1
Äîáàâëåíèå/èçìåíåíèå/óäàëåíèåïîëüçîâà-
òåëåéèãðóïï
CONFIGURATION
s
2
Èçìåíåíèåêîíôèãóðàöèè,âëèÿþùåéíàäî-
ñòóïêäàííûì(çàïðîñíàèçìåíåíèåçíà÷å-
íèÿïåðåìåííîé
ac_session_maclabel
)
RIGHTS
R
4
Çàïðîñíàìîäèôèêàöèþïðàâäîñòóïàêîáú-
åêòàìÁÄ
CHECK_RIGHTS
V
8
Ïðîâåðêàïðàâäîñòóïà
SELECT
r
10
ÂûáîðêàèíôîðìàöèèèçÁÄ
INSERT
a
20
ÄîáàâëåíèåèíôîðìàöèèâÁÄ
UPDATE
w
40
ÈçìåíåíèåèíôîðìàöèèâÁÄ
d
80
ÓäàëåíèåèíôîðìàöèèèçÁÄ
TRUNCATE
D
100
Î÷èñòêàäàííûõ
REFERENCES
x
400
Çàäàíèåñòîëáöàòàáëèöûâêà÷åñòâåâíåø-
íåãîêëþ÷à
TRIGGER
t
800
Äîáàâëåíèåòðèããåðàêòàáëèöå
EXECUTE
X
1000
Çàïóñêõðàíèìîéïðîöåäóðûèëèòðèããåðà
USAGE
U
2000
ÈñïîëüçîâàíèåîáúåêòàÁÄ
CREATE
C
10000
ÑîçäàíèåîáúåêòîââÁÄ
CREATETEMP
T
20000
Ñîçäàíèåâðåìåííîãîîáúåêòà
DROP
E
40000
ÓäàëåíèåîáúåêòîâÁÄ
ALTER
M
80000
ÈçìåíåíèåîáúåêòàÁÄ
CONNECT
c
40000000
Çàïðîñíàíà÷àëîñåññèè
DISCONNECT
e
80000000
Çàïðîñíàîêîí÷àíèåñåññèè
Çàðåçåðâèðîâàííûé
ñèìâîë
*
C00F3DFF
Ïîëíàÿìàñêàïðîòîêîëèðîâàíèÿ
Çàðåçåðâèðîâàííûé
ñèìâîë
O
0
Ïðîòîêîëèðîâàíèåîòêëþ÷åíî
Àòðèáóòñåññèè
ac_session_audit
ìîæåòáûòüèçìåíåíòîëüêîàäìèíèñòðàòîðîì
ñïîìîùüþêîìàíäû
93
ÐÓÑÁ.10015-019701-1
SELECTsession_audit;
Äëÿïðîñìîòðàòåêóùåéìàñêèèñïîëüçóåòñÿñëåäóþùàÿêîìàíäà:
SELECTcurrent_audit;
Äëÿêîíâåðòàöèèìàñêèïðîòîêîëèðîâàíèÿèçòåêñòîâîãî(áóêâåííîãî)âøåñòíàäöà-
òåðè÷íîåçíà÷åíèåèèçøåñòíàäöàòåðè÷íîãîâòåêñòîâîå(áóêâåííîå)èñïîëüçóþòñÿSQL-
ôóíêöèè
text_to_auditmask(TEXT)
è
auditmask_to_text(TEXT)
ñîîòâåòñòâåííî.Íà-
ïðèìåð:
Ïðèìåð
SELECT text_to_auditmask('{ace:ce}');
text_to_auditmask
-------------------------
{0xC0000020:0xC0000000}
(1 ñòðîêà)
SELECT auditmask_to_text('{0xC0000020:0xC0000000}');
auditmask_to_text
-------------------
{ace:ce}
(1 ñòðîêà)
10.2.2.1.Íàçíà÷åíèåñïèñêîâðåãèñòðàöèèñîáûòèéâðåæèìå
internal
Äëÿíàçíà÷åíèÿìàñêèñîáûòèéâðåæèìå
internal
èñïîëüçóåòñÿêîìàíäà
ALTERROLE
:
94
ÐÓÑÁ.10015-019701-1
10.2.2.2.Íàçíà÷åíèåñïèñêîâðåãèñòðàöèèñîáûòèéâðåæèìå
external
Äëÿíàçíà÷åíèÿìàñêèñîáûòèéâðåæèìå
external
èñïîëüçóåòñÿêîíôèãóðàöèîí-
íûéôàéë
pg_audit.conf
ñëåäóþùåãîâèäà:
success events mask = value failure events mask = value user =
èìÿ_ïîëüçîâàòåëÿ database = èìÿ_áàçû_äàííûõ
success events mask = value failure events mask = value user =
èìÿ_ïîëüçîâàòåëÿ
success events mask = value failure events mask = value
Ïðèìå÷àíèå.Ëþáûåèçìåíåíèÿýòîãîôàéëàáóäóòïðèìåíåíûòîëüêîïðèïå-
ðåçàïóñêåñåðâåðà.
10.2.2.3.Íàçíà÷åíèåñïèñêîâðåãèñòðàöèèñîáûòèéâðåæèìàõ
external,internal
è
internal,external
Çàãðóçêàìàñêèðåãèñòðàöèèñîáûòèéâðåæèìå
external,internal
äâóõýòàïíàÿ:
ñíà÷àëàâûïîëíÿåòñÿçàãðóçêàìàñêèðåãèñòðàöèèñîáûòèéèçôàéëà,ïîñëå÷åãîäîïîëíÿ-
åòñÿíàñòðîéêàìèèç
95
ÐÓÑÁ.10015-019701-1
11.ÍÀÄÅÆÍÎÅÂÎÑÑÒÀÍÎÂËÅÍÈÅ
11.1.ÂîññòàíîâëåíèåÎÑïîñëåñáîåâèîòêàçîâ
Îñíîâíûìèïðè÷èíàìèíàðóøåíèÿïðîöåññàôóíêöèîíèðîâàíèÿÑÇÈÎÑÿâëÿþò-
ñÿñáîèîáîðóäîâàíèÿ,ïðèâåäøèåêðàçëè÷íûìïîâðåæäåíèÿìÔÑ.Êòàêîâûìîòíîñÿòñÿ:
ñáîèýëåêòðîïèòàíèÿ,ïîâðåæäåíèÿíîñèòåëåéèíôîðìàöèè(æåñòêèõäèñêîâ),ïîâðåæäåíèÿ
ñîåäèíèòåëüíûõêàáåëåé.
ÂïðîöåññåïåðåçàãðóçêèïîñëåñáîÿÎÑàâòîìàòè÷åñêèâûïîëíèòïðîãðàììóïðî-
âåðêèèâîññòàíîâëåíèÿÔÑ
fsck
.ÅñëèïîâðåæäåíèÿÔÑîêàæóòñÿíåçíà÷èòåëüíûìè,òî
ååâûïîëíåíèÿäîñòàòî÷íîäëÿîáåñïå÷åíèÿöåëîñòíîñòèÔÑ.
Âñëó÷àåîáíàðóæåíèÿñåðüåçíûõïîâðåæäåíèéÔÑäàííàÿïðîãðàììàìîæåòïðåä-
ëîæèòüïåðåçàãðóçèòüêîìïüþòåðâîäíîïîëüçîâàòåëüñêèéðåæèìèïðîèçâåñòèçàïóñêïðî-
ãðàììû
fsck
âðó÷íóþ.Àäìèíèñòðàòîð,êîíòðîëèðóþùèéïðîöåññçàãðóçêèÎÑ,ïîñëåñáîÿ
äîëæåíñëåäîâàòüèíñòðóêöèÿì,âûäàâàåìûìïðîãðàììîé
fsck
.Îïèñàíèåïðîãðàììûïðè-
âåäåíîâ
manfsck
.
ÏîñëåçàâåðøåíèÿçàãðóçêèÎÑñëåäóåòïðîâåðèòüöåëîñòíîñòüôàéëîâñïîìîùüþ
ïðîãðàììûêîíòðîëÿöåëîñòíîñòè.Åñëèâðåçóëüòàòåïðîâåðêèíàéäóòñÿïîâðåæäåííûåèëè
èçìåíåííûåôàéëû,îñîáåííîâêàòàëîãå
96
ÐÓÑÁ.10015-019701-1
Âðåçóëüòàòåóêàçàííûéðàçäåëæåñòêîãîäèñêàáóäåòñìîíòèðîâàíâîâíîâüñîçäàí-
íîéÔÑ.Çàòåìââåñòèêîìàíäó:
chroot/mnt/hard
Ïîñëåýòîãîìîæíîáóäåòèñïîëüçîâàòüêîìàíäíóþîáîëî÷êóÎÑèâûïîëíèòüíåîá-
õîäèìûåäåéñòâèÿïîâîññòàíîâëåíèþ(íàïðèìåð,ðåäàêòèðîâàíèåôàéëà
fstab
),ïîñëå
÷åãîââåñòèêîìàíäû:
exit
umount/mnt/hard
Ïåðåçàãðóçèòüêîìïüþòåð.
11.2.ÑðåäñòâàðåçåðâíîãîêîïèðîâàíèÿèâîññòàíîâëåíèÿÎÑ
Ðåçåðâíîåêîïèðîâàíèåâûïîëíÿåòñÿñöåëüþïîëó÷åíèÿêîïèéäàííûõ,ñîõðàíÿå-
ìûõíàñëó÷àéèõïîòåðèèëèðàçðóøåíèÿ.Ïîäîáíûåêîïèèäîëæíûñîçäàâàòüñÿïåðèîäè-
÷åñêè,âñîîòâåòñòâèèñçàðàíååóñòàíîâëåííûìãðàôèêîì.Ñõåìûðåçåðâíîãîêîïèðîâàíèÿ
èçìåíÿþòñÿâçàâèñèìîñòèîòðàçìåðîâèñòåïåíèîõâàòàðåçåðâíûìêîïèðîâàíèåìÎÑ,à
òàêæåîòâûäâèãàåìûõòðåáîâàíèéïîíàäåæíîñòèñîõðàíåíèÿæèçíåñïîñîáíîñòèñèñòåìû.
Ýëåìåíòûñèñòåìûðåçåðâíîãîêîïèðîâàíèÿäîëæíûâêëþ÷àòüíåîáõîäèìîåîáîðóäîâàíèå,
íîñèòåëèðåçåðâíûõêîïèéèÑÏÎ.Âêà÷åñòâåîáîðóäîâàíèÿäëÿðåçåðâíîãîêîïèðîâàíèÿ
âÎÑìîæåòèñïîëüçîâàòüñÿäîñòàòî÷íîøèðîêèéíàáîðàïïàðàòíûõñðåäñòâ,íà÷èíàÿîò
USB-íàêîïèòåëÿèçàêàí÷èâàÿáèáëèîòåêîéëåíòî÷íûõóñòðîéñòâ.Òèïèêîëè÷åñòâîíîñè-
òåëåéîïðåäåëÿþòñÿèñïîëüçóåìûìîáîðóäîâàíèåì,îáúåìàìèîáðàáàòûâàåìûõäàííûõè
âûáðàííîéñõåìîéðåçåðâèðîâàíèÿäàííûõ.ÏÎðåçåðâíîãîêîïèðîâàíèÿ,âêëþ÷åííîåâñî-
ñòàâÎÑ,ÿâëÿåòñÿî÷åíüðàçíîðîäíûì,íà÷èíàÿîòïðîñòûõêîìàíäòèïà
tar
,
cpio
,
gzip
èçàêàí÷èâàÿðàñïðåäåëåííûìèñèñòåìàìèóïðàâëåíèÿõðàíèëèùàìèäàííûõ.
Ðåçåðâíîåêîïèðîâàíèåèíôîðìàöèèèñïîëüçóåòñÿäëÿ:

âîññòàíîâëåíèÿôàéëîâ,ñëó÷àéíîóäàëåííûõïîëüçîâàòåëÿìèèëèóòåðÿííûõèç-
çàîòêàçîâóñòðîéñòâõðàíåíèÿ;

ïîëó÷åíèÿïåðèîäè÷åñêèñîçäàâàåìûõìîìåíòàëüíûõñíèìêîâ(snapshots)ñîñòî-
ÿíèÿäàííûõ;

ïîëó÷åíèÿäàííûõäëÿâîññòàíîâëåíèÿïîñëåàâàðèé.
Ñèñòåìàðåçåðâíîãîêîïèðîâàíèÿÿâëÿåòñÿñîñòàâíîé÷àñòüþïëàíàâîññòàíîâëå-
íèÿñèñòåìû.
Îñíîâíàÿèäåÿðåçåðâíîãîêîïèðîâàíèÿñîçäàíèåêîïèéêðèòè÷åñêîé÷àñòèñî-
äåðæàíèÿðåçåðâèðóåìîéñèñòåìû.Îñíîâíûìèèñêëþ÷åíèÿìè,êàêïðàâèëî,íåâõîäÿùèìè
âïðîöåäóðóðåçåðâíîãîêîïèðîâàíèÿôóíêöèîíèðóþùåéÎÑ,ÿâëÿþòñÿêàòàëîãè,ñîäåðæà-
ùèåñëóæåáíûåäàííûå,ìåíÿþùèåñÿâïðîöåññåôóíêöèîíèðîâàíèÿ(
/dev
,
/media
,
/mnt
,
/parsecfs
,
/proc
,
/run
,
/sys
,
/tmp
),àòàêæåñåòåâûåêàòàëîãè(ñìîíòèðîâàííàÿNFS,
97
ÐÓÑÁ.10015-019701-1
Sambaèïðî÷èåâèäûñåòåâûõäàííûõ).
ÂñîñòàâÎÑâõîäèòìíîæåñòâîñðåäñòâ,îáåñïå÷èâàþùèõðåøåíèåðàçëè÷íûõçà-
äà÷àðåçåðâíîãîêîïèðîâàíèÿäàííûõ.Óòèëèòû
tar
,
cpio
,
gzip
ïðåäñòàâëÿþòñîáîéòðà-
äèöèîííûåèíñòðóìåíòûñîçäàíèÿðåçåðâíûõêîïèéèàðõèâèðîâàíèÿÔÑ.Ïðèñîçäàíèè
àðõèâàêîìàíäàìè
tar
è
gzip
ïåðåäàåòñÿñïèñîêôàéëîâèêàòàëîãîâ,óêàçûâàåìûõêàê
ïàðàìåòðûêîìàíäíîéñòðîêè.Ëþáîéóêàçàííûéêàòàëîãïðîñìàòðèâàåòñÿðåêóðñèâíî.Ïðè
ñîçäàíèèàðõèâàñïîìîùüþêîìàíäû
cpio
åéïðåäîñòàâëÿåòñÿñïèñîêîáúåêòîâ(èìåíà
ôàéëîâèêàòàëîãîâ,ñèìâîëè÷åñêèåèìåíàëþáûõóñòðîéñòâ,ãíåçäàäîìåíîâUNIX,ïîèìå-
íîâàííûåêàíàëûèò.ï.).Îïèñàíèåêîìàíäïðèâåäåíîâðóêîâîäñòâå
man
äëÿêîìàíä
tar
,
rsync
,
cpio
è
gzip
.
Óòèëèòà
rsync
ïðåäîñòàâëÿåòâîçìîæíîñòèäëÿëîêàëüíîãîèóäàëåííîãîêîïèðî-
âàíèÿ(ðåçåðâíîãîêîïèðîâàíèÿ)èëèñèíõðîíèçàöèèôàéëîâèêàòàëîãîâ,ñìèíèìàëüíûìè
çàòðàòàìèòðàôèêà.
ÊðîìåòîãîâñîñòàâÎÑâõîäèòêîìïëåêñïðîãðàììBacula,ïðåäíàçíà÷åííûõäëÿ
ðåøåíèÿðàçëè÷íûõçàäà÷ðåçåðâíîãîêîïèðîâàíèÿèâîññòàíîâëåíèÿäàííûõ.
ÄëÿâûïîëíåíèÿîïåðàöèéðåçåðâíîãîêîïèðîâàíèÿèâîññòàíîâëåíèÿîáúåêòîâÔÑ
ññîõðàíåíèåìèâîññòàíîâëåíèåììàíäàòíûõàòðèáóòîâèàòðèáóòîâàóäèòàâÎÑìîæíî
èñïîëüçîâàòüêîìïëåêñïðîãðàììBacula,óòèëèòó
rsync
èëèóòèëèòó
tar
.
ÂÍÈÌÀÍÈÅ!
Ðàáîòàñìàíäàòíûìèàòðèáóòàìèèàòðèáóòàìèàóäèòàïðèèñïîëüçî-
âàíèèðàçëè÷íûõóòèëèòñîçäàíèÿðåçåðâíûõêîïèéòðåáóåòîïöèéñîõðàíåíèÿðàñøèðåí-
íûõàòðèáóòîâ(êàêïðàâèëîâèäà
xattrs
).
ÂÍÈÌÀÍÈÅ!
Äëÿâîññòàíîâëåíèÿìàíäàòíûõàòðèáóòîâôàéëîâèçðåçåðâíûõêî-
ïèéíåîáõîäèìîîòèìåíèó÷åòíîéçàïèñèàäìèíèñòðàòîðàâûïîëíèòüêîìàíäó:
98
ÐÓÑÁ.10015-019701-1
sudotar--xattrs--acls-cvzf/opt/home.tgz/home/.pdp/user1
Îïöèÿ
--xattrs
îçíà÷àåòâêëþ÷åíèåïîääåðæêèðàñøèðåííûõàòðèáóòîâ.Îï-
öèÿ
--acls
îçíà÷àåòâêëþ÷åíèåïîääåðæêèPOSIXACL.Îïöèè
-cvzf
íåîáõîäèìûäëÿ
ñîçäàíèÿàðõèâà(
create
),âêëþ÷åíèÿðåæèìàîòîáðàæåíèÿîáðàáàòûâàåìûõôàéëîâ
(
verboze
),ïðèìåíåíèÿìåòîäàñæàòèÿ(
gzip
),óêàçàíèÿôàéëà(
file
)ñîîòâåòñòâåííî.
Ïóòü
/opt/home.tgz
çàäàåòìåñòîðàñïîëîæåíèÿñîçäàííîãîàðõèâàèåãîèìÿ,ïóòü
/home/.pdp/user1
îïðåäåëÿåò,÷òîèìåííîáóäåòâëîæåíîâàðõèâ.
Âîññòàíîâëåíèåâûïîëíÿåòñÿñïîìîùüþêîìàíäû:
sudoexecaps-c0x1000--tar--xattrs
--xattrs-include=security.{PDPL,AUDIT,DEF_AUDIT}
--acls-xvf/opt/home.tgz-C/opt/home2/
Îïöèÿ
--xattrs-include=security.{PDPL,AUDIT,DEF_AUDIT}
îïðåäåëÿåò
ïîäêëþ÷àåìûéøàáëîíâîññòàíîâëåíèÿðàñøèðåííûõàòðèáóòîâ(ìàíäàòíûõàòðèáóòîâ,àò-
ðèáóòîâàóäèòàèàòðèáóòîâàóäèòàïîóìîë÷àíèþ)äëÿêëþ÷à
xattrs
.Îïöèè
-xvf
íåîáõî-
äèìûäëÿèçâëå÷åíèÿèçàðõèâà(
extract
),âêëþ÷åíèÿðåæèìàîòîáðàæåíèÿîáðàáàòûâà-
åìûõôàéëîâ(
verboze
),óêàçàíèÿôàéëà(
file
)ñîîòâåòñòâåííî.
11.2.1.ÊîìïëåêñïðîãðàììBacula
Bacula
ïðåäñòàâëÿåòñîáîéíàáîðïðîãðàìì,ïîçâîëÿþùèéñèñòåìíîìóàäìèíè-
ñòðàòîðóóïðàâëÿòüïðîöåññàìèðåçåðâíîãîêîïèðîâàíèÿèâîññòàíîâëåíèÿäàííûõ,àòàê-
æåïðîâåðÿòüðåçåðâíûåêîïèè,âò.÷.âãåòåðîãåííûõñåòÿõ.
Bacula
ýòîñåòåâàÿêëèåíò-ñåðâåðíàÿñèñòåìàðåçåðâíîãîêîïèðîâàíèÿ.Ïðî-
ãðàììàîáëàäàåòìíîæåñòâîìâîçìîæíîñòåé,ïîçâîëÿþùèõëåãêîíàõîäèòüèâîññòàíàâëè-
âàòüóòðà÷åííûåèëèïîâðåæäåííûåôàéëû.Èç-çàñâîåéìîäóëüíîéàðõèòåêòóðû
Bacula
ìîæåòìàñøòàáèðîâàòüñÿîòíåáîëüøèõàâòîíîìíûõñèñòåìäîáîëüøèõñåòåé,ñîñòîÿùèõ
èçñîòåíêîìïüþòåðîâ.
Bacula
ñîñòîèòèçñëåäóþùèõñîñòàâíûõ÷àñòåé:

BaculaDirectorservice
öåíòðàëüíàÿïðîãðàììà,êîîðäèíèðóþùàÿâñå
âûïîëíÿåìûåîïåðàöèè(ôóíêöèîíèðóåòâôîíå);

BaculaConsoleservices
ïðîãðàììà,ïîçâîëÿþùàÿàäìèíèñòðàòîðóâçàè-
ìîäåéñòâîâàòüñöåíòðàëüíîéïðîãðàììîé;

BaculaFileservices
êëèåíòñêàÿïðîãðàììà,óñòàíàâëèâàåìàÿíàêàæäîì
îáñëóæèâàåìîìêîìïüþòåðå;

BaculaStorageservices
ïðîãðàììà,îáû÷íîôóíêöèîíèðóþùàÿíàêîì-
ïüþòåðå,êêîòîðîìóïðèñîåäèíåíûâíåøíèåóñòðîéñòâàäëÿõðàíåíèÿðåçåðâíûõ
êîïèé;

Catalogservices
ïðîãðàììà,îòâå÷àþùàÿçàèíäåêñèðîâàíèåèîðãàíèçà-
99
ÐÓÑÁ.10015-019701-1
öèþáàçûðåçåðâíûõäàííûõ.
Ïðîãðàììà
Bacula
îáåñïå÷èâàåòïîääåðæêóñîõðàíåíèÿðàñøèðåííûõàòðèáóòîâ
êàòàëîãîâèôàéëîâè,ïðèíåîáõîäèìîñòè,èõïîñëåäóþùååâîññòàíîâëåíèå.
ÂÍÈÌÀÍÈÅ!
ÄëÿâîññòàíîâëåíèÿîáúåêòîâÔÑñóñòàíîâëåííûìèìàíäàòíûìè
àòðèáóòàìèíåîáõîäèìîçàïóñòèòüêîíñîëüóïðàâëåíèÿ
Bacula
ñPARSEC-ïðèâèëåãèåé
0x1000,âûïîëíèâêîìàíäó:
sudoexecaps-c0x1000--bconsole
ÂÍÈÌÀÍÈÅ!
ÏîñëåâîññòàíîâëåíèÿîáúåêòîâÔÑñóñòàíîâëåííûìèìàíäàòíûìè
àòðèáóòàìèíåîáõîäèìîâûïîëíèòüïåðåìîíòèðîâàíèåÔÑ,âêîòîðîéâîññòàíàâëèâàëèñü
îáúåêòû,èëèïåðåçàãðóçèòüÎÑ.
ÎïèñàíèåóñòàíîâêèèíàñòðîéêèBaculaïðèâåäåíîâäîêóìåíòåÐÓÑÁ.10015-
019501-1.
11.3.ÂîññòàíîâëåíèåÑÓÁÄPostgreSQLïîñëåñáîåâèîòêàçîâ
ÂîèçáåæàíèåïîòåðüäàííûõÁÄPostgreSQLäîëæíûðåãóëÿðíîàðõèâèðîâàòüñÿ.
Âñëó÷àåâîçíèêíîâåíèÿîøèáîêâõðàíÿùèõñÿäàííûõ,íàðóøåíèþöåëîñòíîñòè
èëèâñëó÷àåïðîãðàììíîãîè/èëèàïïàðàòíîãîñáîÿñåðâåðàÁÄíåîáõîäèìîïðîâåäåíèå
ïðîöåäóðûâîññòàíîâëåíèÿÁÄ.Ïðèýòîì,âçàâèñèìîñòèîòòÿæåñòèïîâðåæäåíèéìîæåò
îñóùåñòâëÿòüñÿêàêñîõðàíåíèåñóùåñòâóþùåãîêëàñòåðàÁÄ,ñïîñëåäóþùèìåãîâîññòà-
íîâëåíèåì,òàêèâîññòàíîâëåíèåèçðåçåðâíûõêîïèé,ñîçäàííûõâïðîöåññåðåãóëÿðíîãî
ïðîâåäåíèÿðåãëàìåíòíûõðàáîò.
ÂPostgreSQLñóùåñòâóþòòðèôóíäàìåíòàëüíîîòëè÷àþùèõñÿïîäõîäàêðåçåðâíî-
ìóêîïèðîâàíèþäàííûõ:

SQL-äàìï;

ðåçåðâíîåêîïèðîâàíèåíàóðîâíåÔÑ;

íåïðåðûâíîåàðõèâèðîâàíèå.
Áîëååïîäðîáíîåîïèñàíèåýòèõìåòîäîâèïðîöåäóðêîïèðîâàíèÿèâîññòàíîâëåíèÿ
ïðèâåäåíîâäîêóìåíòàöèèíàÑÓÁÄPostgreSQLâïàêåòå
postgresql-doc-x.x
.
ÑÓÁÄPostgreSQLñîäåðæèòðÿäñòàíäàðòíûõñðåäñòâðåçåðâíîãîêîïèðîâàíèÿè
âîññòàíîâëåíèÿÁÄ.Êíèìîòíîñÿòñÿóòèëèòû
pg_dump
(11.3.2),
pg_dumpall
(11.3.3),
pg_restore
(11.3.4)è,âòîì÷èñëå,èíòåðàêòèâíûéòåðìèíàë
psql
,ñïîìîùüþêîòîðî-
ãîìîãóòáûòüâîññòàíîâëåíûðåçåðâíûåêîïèè,ñîõðàíåííûåââèäåñêðèïòàSQL.
11.3.1.Ñîçäàíèåèâîññòàíîâëåíèåðåçåðâíûõêîïèéáàçäàííûõñ
ìàíäàòíûìèàòðèáóòàìè
Äëÿñîçäàíèÿèâîññòàíîâëåíèÿðåçåðâíûõêîïèéáàçäàííûõñìàíäàòíûìè
àòðèáóòàìèíåîáõîäèìî,÷òîáûïîëüçîâàòåëüèìåëïðèâèëåãèè
100
ÐÓÑÁ.10015-019701-1
parsec_cap_chmac
.
Âñëó÷àåñîçäàíèÿðåçåðâíîéêîïèèíåîáõîäèìîíàçíà÷èòüìàêñèìàëüíóþìåòêóíà
êàòàëîã,âêîòîðûéáóäåòâûãðóæåíàáàçûäàííûõ(äëÿíàçíà÷åíèÿìåòêèíàôàéëêîïèè).
Âñëó÷àåâîññòàíîâëåíèÿïîìèìîóêàçàííûõïðèâèëåãèéòðåáóåòñÿïðàâààäìèíè-
ñòðàòîðàâáàçåäàííûõ(äëÿñîçäàíèÿîáúåêòîâèíàçíà÷åíèÿìàíäàòíûõàòðèáóòîâ).
Äëÿâîññòàíîâëåíèÿêîïèèáàçûäàííûõñìàíäàòíûìèàòðèáóòàìèâäðóãîéáàçå
äàííûõ,íåîáõîäèìî:
1)
Íàçíà÷èòüìàêñèìàëüíóþìåòêóíàêàòàëîã,âêîòîðûéáóäåòïðîâîäèòüñÿâûãðóç-
êàðåçåðâíîéêîïèè;
2)
Ñîçäàòüðåçåðâíóþêîïèþèñõîäíîéáàçûäàííûõîòèìåíèïîëüçîâàòåëÿñïðè-
âèëåãèÿìè
101
ÐÓÑÁ.10015-019701-1
ïîëüçóåòñÿ,ïðèýòîìäîñòóïêíåéäðóãèõïîëüçîâàòåëåé(êàê÷èòàþùèõ,òàêèïèøóùèõ)íå
áëîêèðóåòñÿ.
Ðåçåðâíàÿêîïèÿìîæåòñîçäàâàòüñÿââèäåñêðèïòàèëèôîðìàòàõóïàêîâàííîãî
ôàéëà.Ñêðèïòðåçåðâíîéêîïèèïðåäñòàâëÿåòñîáîéòåêñò,ñîäåðæàùèéïîñëåäîâàòåëü-
íîñòüSQL-êîìàíä,íåîáõîäèìûõäëÿâîññîçäàíèÿÁÄäîñîñòîÿíèÿ,âêîòîðîìîíàáûëà
ñîõðàíåíà.Äëÿâîññòàíîâëåíèÿèçñêðèïòàîíïîäàåòñÿíàâõîäóòèëèòû
psql
.Ñêðèïòìî-
æåòáûòüèñïîëüçîâàíäëÿâîññîçäàíèÿÁÄäàæåíàäðóãîìñåðâåðåèëèàðõèòåêòóðåèñ
íåáîëüøèìèèçìåíåíèÿìèíàäðóãèõÑÓÁÄ.
Ñèíòàêñèñ:
pg_dump[OPTION]...[DBNAME]
Îïöèèîáùåãîõàðàêòåðàïðèâåäåíûâòàáëèöå34.
Òàáëèöà34
Îïöèÿ
Îïèñàíèå
-f,--file=FILENAME
Èìÿâûõîäíîãîôàéëà
-F,--format=c|t|p
Ôîðìàòâûõîäíîãîôàéëà(ïîëüçîâàòåëüñêèé,
tar
,òåêñòî-
âûé)
-v,--verbose
Ðåæèìâûâîäàâñåõñîîáùåíèé
-Z,--compress=0-9
Óðîâåíüñæàòèÿäëÿôîðìàòîâñæàòèÿ
--lock-wait-timeout=TIMEOUT
Çàâåðøåíèåîøèáêîéïîñëåîæèäàíèÿ
TIMEOUT
äëÿáëî-
êèðîâêèòàáëèöû
--help
Âûâåñòèñïðàâêóèâûéòè
--version
Âûâåñòèèíôîðìàöèþîâåðñèèèâûéòè
Åñëèíåèñïîëüçóåòñÿ
-f/--file
,SQL-ñêðèïòáóäåòíàïðàâëåíâñòàíäàðòíûéâû-
âîä.
Îïöèèóñòàíîâêèñîåäèíåíèÿïðèâåäåíûâòàáëèöå35.
Òàáëèöà35
Îïöèÿ
Îïèñàíèå
-h,--host=HOSTNAME
ÈìÿñåðâåðàÁÄèëèêàòàëîãñîêåòîâ
-l,--database=DBNAME
ÓêàçàòüàëüòåðíàòèâíóþÁÄøàáëîí
-p,--port=PORT
ÍîìåðïîðòàñåðâåðàÁÄ
-U,--username=NAME
Ñîåäèíèòüñÿêàêóêàçàííûéïîëüçîâàòåëü
-w,--no-password
Íåçàïðàøèâàòüïàðîëü
-W,--password
Ïðèíóäèòåëüíûéçàïðîñïàðîëÿ(äîëæåíïðîèñõîäèòüàâòîìàòè÷å-
ñêè)
Äëÿïîëó÷åíèÿïîëíîéèíôîðìàöèèîñïîñîáàõèñïîëüçîâàíèÿóòèëèòû
pg_dump
102
ÐÓÑÁ.10015-019701-1
ñì.ðóêîâîäñòâî
man
äëÿóòèëèò
pg_dump
è
psql
.
11.3.3.pg_dumpall
Óòèëèòà
pg_dumpall
èñïîëüçóåòñÿäëÿñîçäàíèÿðåçåðâíîéêîïèèâñåãîêëàñòåðà
ââèäåñêðèïòà.
ÑêðèïòñîäåðæèòSQL-êîìàíäûèìîæåòáûòüïîäàíâäàëüíåéøåìíàâõîäóòèëèòû
psql
äëÿâîññòàíîâëåíèÿ.Îïåðàöèÿîñóùåñòâëÿåòñÿïîñëåäîâàòåëüíûìâûçîâîìóòèëè-
òû
pg_dump
äëÿêàæäîéÁÄêëàñòåðà.Êðîìåýòîãî,
pg_dumpall
ñîõðàíÿåòãëîáàëüíûå
îáúåêòû,åäèíûåäëÿâñåõÁÄ(
pg_dump
ïîäîáíûåîáúåêòûíåñîõðàíÿåò).Äàííûåîáúåê-
òûâêëþ÷àþòâñåáÿèíôîðìàöèþîïîëüçîâàòåëÿõèãðóïïàõèòàêèåñâîéñòâà,êàê:ïðàâà
äîñòóïà,ïðèìåíÿåìûåäëÿâñåõÁÄâöåëîì.
Ñèíòàêñèñ:
pg_dumpall[OPTION]...
Îïöèèîáùåãîõàðàêòåðàïðèâåäåíûâòàáëèöå36.
Òàáëèöà36
Îïöèÿ
Îïèñàíèå
-f,--file=FILENAME
Èìÿâûõîäíîãîôàéëà
--lock-wait-timeout=TIMEOUT
Çàâåðøåíèåîøèáêîéïîñëåîæèäàíèÿ
TIMEOUT
äëÿáëî-
êèðîâêèòàáëèöû
--help
Âûâåñòèñïðàâêóèâûéòè
--version
Âûâåñòèèíôîðìàöèþîâåðñèèèâûéòè
Îïöèèóñòàíîâêèñîåäèíåíèÿàíàëîãè÷íûêîìàíäå
pg_dump
(ñì.òàáëèöó35).
Äëÿïîëó÷åíèÿïîëíîéèíôîðìàöèèîñïîñîáàõèñïîëüçîâàíèÿóòèëèòû
pg_dumpall
ñì.ðóêîâîäñòâî
man
äëÿóòèëèò
pg_dumpall
è
psql
.
11.3.4.pg_restore
ÄëÿâîññòàíîâëåíèÿàðõèâîâðåçåðâíûõêîïèéÁÄ,ïîëó÷åííûõñïîìîùüþóòèëèòû
pg_dump
,èñïîëüçóåòñÿóòèëèòà
pg_restore
.Îíàâûïîëíÿåòêîìàíäû,íåîáõîäèìûåäëÿ
âîññîçäàíèÿÁÄäîñîñòîÿíèÿíàìîìåíòâðåìåíèñîçäàíèÿðåçåðâíîéêîïèè.Àðõèâíûå
ôàéëûòàêæåïîçâîëÿþòâûáèðàòüñïîìîùüþóòèëèòû
pg_restore
,÷òîèìåííîâîññòà-
íàâëèâàòü,èäàæåìåíÿòüïîðÿäîêâîññòàíàâëèâàåìûõýëåìåíòîâ.Ôàéëûàðõèâîâðàçðà-
áîòàíûïåðåíîñèìûìèìåæäóðàçíûìèàðõèòåêòóðàìè.
pg_restore
ìîæåòôóíêöèîíèðîâàòüâäâóõðåæèìàõ.ÏðèóêàçàíèèÁÄàðõèââîñ-
ñòàíàâëèâàåòñÿíåïîñðåäñòâåííîâíåå.Âäðóãîìñëó÷àå,ñêðèïò,ñîäåðæàùèéíåîáõîäè-
ìûåäëÿïåðåñîçäàíèÿÁÄSQL-êîìàíäû,ñîçäàåòñÿèâûâîäèòñÿâôàéëèëèñòàíäàðòíûé
ïîòîêâûâîäà.Ðåçóëüòèðóþùèéñêðèïòýêâèâàëåíòåíôîðìàòóòåêñòîâîãîâûâîäàóòèëèòû
pg_dump
.Âñëåäñòâèåýòîãîíåêîòîðûåîïöèè,óïðàâëÿþùèåâûâîäîì,àíàëîãè÷íûîïöèÿì
103
ÐÓÑÁ.10015-019701-1
pg_dump
(ñì.11.3.2).
Ñèíòàêñèñ:
pg_restore[ÎÏÖÈß]...[ÔÀÉË]
Îïöèèîáùåãîõàðàêòåðàïðèâåäåíûâòàáëèöå37.
Òàáëèöà37
Îïöèÿ
Îïèñàíèå
-d,--dbname=ÈÌß
ÏîäñîåäèíèòüñÿêóêàçàííîéÁÄ
-f,--file=FILENAME
Èìÿâõîäíîãîôàéëà
-F,--format=c|t
Ôîðìàòôàéëàðåçåðâíîéêîïèè(äîëæíîáûòüàâòîìàòè÷åñêè)
-l,--list
Íàïå÷àòàòüèòîãîâîåîãëàâëåíèåàðõèâà
-v,--verbose
Ðåæèìâûâîäàâñåõñîîáùåíèé
--help
Âûâåñòèñïðàâêóèâûéòè
--version
Âûâåñòèèíôîðìàöèþîâåðñèèèâûéòè
Äëÿïîëó÷åíèÿïîëíîéèíôîðìàöèèîñïîñîáàõèñïîëüçîâàíèÿóòèëèòû
pg_restore
ñì.ðóêîâîäñòâî
man
äëÿóòèëèòû
pg_restore
.
104
ÐÓÑÁ.10015-019701-1
12.ÑÐÅÄÑÒÂÀÎÃÐÀÍÈ×ÅÍÈßÏÐÀÂÄÎÑÒÓÏÀÊÑÒÐÀÍÈÖÀÌÏÀÌßÒÈ
Ñðåäñòâàîãðàíè÷åíèÿïðàâäîñòóïàêñòðàíèöàìïàìÿòèðåàëèçîâàíûíàîñíîâå
íàáîðàèçìåíåíèéPaXäëÿÿäðàÎÑ,êîòîðûéîáåñïå÷èâàåòïðåäîñòàâëåíèåíàèìåíüøèõ
ïðèâèëåãèéäëÿïðîöåññîâïðèäîñòóïåêñåãìåíòàìïàìÿòèâñîáñòâåííîìàäðåñíîìïðî-
ñòðàíñòâå.ÃëàâíîéôóíêöèîíàëüíîéâîçìîæíîñòüþíàáîðàèçìåíåíèéPaXäëÿÿäðàÎÑ
ÿâëÿåòñÿçàùèòàèñïîëíÿåìîãîêîäàâàäðåñíîìïðîñòðàíñòâå.Ýòàçàùèòàèñïîëüçóåò
ïðåèìóùåñòâààïïàðàòíîéðåàëèçàöèèâïðîöåññîðåíåèñïîëíÿåìîãîáèòà(NX-áèò)äëÿ
ïðåäîòâðàùåíèÿâûïîëíåíèÿïðîèçâîëüíîãîêîäà.
Ñðåäñòâàîãðàíè÷åíèÿïðàâäîñòóïàêñòðàíèöàìïàìÿòèîáåñïå÷èâàþò:

çàïðåòçàïèñèâîáëàñòüïàìÿòè,ïîìå÷åííóþêàêèñïîëíÿåìàÿ;

çàïðåòñîçäàíèÿèñïîëíÿåìûõîáëàñòåéïàìÿòè;

çàïðåòïåðåìåùåíèÿñåãìåíòàêîäà;

çàïðåòñîçäàíèÿèñïîëíÿåìîãîñòåêà;

ðàíäîìèçàöèþàäðåñíîãîïðîñòðàíñòâàïðîöåññà.
ÍàáîðèçìåíåíèéPaXïðåäîòâðàùàåòâûïîëíåíèåïðîèçâîëüíîãîêîäàíàîñíîâå
êîíòðîëÿäîñòóïàêñåãìåíòàìïàìÿòèñëåäóþùèõòèïîâ:÷òåíèå,çàïèñü,èñïîëíåíèåèëè
èõêîìáèíàöèè.Êîìáèíàöèÿ¾çàïèñüèèñïîëíåíèå¿çàïðåùåíà.
ÍàáîðèçìåíåíèéPaXóñòàíàâëèâàåòäëÿñåãìåíòîâäàííûõïðîöåññîâàòðèáóòû,
îáåñïå÷èâàþùèåíåâîçìîæíîñòüèõèñïîëíåíèÿ,àäëÿñåãìåíòîâêîäàïðîãðàììàò-
ðèáóòû,îáåñïå÷èâàþùèåíåâîçìîæíîñòüçàïèñèâíèõ.Ïðèýòîìïðèìåíÿåòñÿìåõàíèçì
PAGEEXEC
,êîòîðûéèñïîëüçóåòýìóëÿöèþèëèàïïàðàòíóþðåàëèçàöèþNX-áèòà.Ïðèíàëè-
÷èèàïïàðàòíîéðåàëèçàöèèNX-áèòàìåõàíèçì
PAGEEXEC
èñïîëüçóåòååâìåñòîýìóëÿöèè,
îáåñïå÷èâàÿîòñóòñòâèåñíèæåíèÿïðîèçâîäèòåëüíîñòè.ÍàáîðèçìåíåíèéPaXãàðàíòèðó-
åò,÷òîàäðåñàñïðîèçâîëüíûìäîñòóïîìíåáóäóòîäíîâðåìåííîäîñòóïíûíàçàïèñüè
âûïîëíåíèå.Ãàðàíòèÿðåàëèçóåòñÿèñïîëüçîâàíèåìâôóíêöèè
mprotect()
áåçîïàñíîãî
ìåõàíèçìàçàùèòûïàìÿòè
MPROTECT
.
Êðîìåòîãî,íàáîðèçìåíåíèéPaXîáåñïå÷èâàåòñëó÷àéíûéõàðàêòåð(ðàíäîìèçà-
öèþ)ñìåùåíèéñåãìåíòîâêîäàèäàííûõ(âòîì÷èñëåñòåêàèêó÷è)ïðèèñïîëüçîâàíèè
ñèñòåìíîãîâûçîâàîòîáðàæåíèÿâïàìÿòü
mmap()
.
ßäðîÎÑèìååòàðõèòåêòóðó,îáåñïå÷èâàþùóþíåâîçìîæíîñòüåãîïåðåìåùåíèÿâ
ôèçè÷åñêîìàäðåñíîìïðîñòðàíñòâå.Íåâîçìîæíîñòüïåðåìåùåíèÿñåãìåíòàêîäàâàäðåñ-
íîìïðîñòðàíñòâåïðîöåññàîáåñïå÷èâàåòñÿïðèèñïîëüçîâàíèèPaXóñòàíîâêîéñîîòâåò-
ñòâóþùèõàòðèáóòîâäîñòóïàíàñåãìåíòêîäà.
ÏðèèñïîëüçîâàíèèÏÎñîòêðûòûìèèñõîäíûìèòåêñòàìèâêà÷åñòâåîñíîâûïðè
ðàçðàáîòêåÏÎ,îáëàäàþùåãîçàäàííûìèôóíêöèîíàëüíûìèâîçìîæíîñòÿìèâîçìîæíîâîç-
105
ÐÓÑÁ.10015-019701-1
íèêíîâåíèåñèòóàöèé,ïðèêîòîðûõÿäðîÎÑ(íàáîðèçìåíåíèéPaX)îñòàíàâëèâàåòèñïîë-
íåíèåELF-ôàéëàèç-çàíàðóøåíèÿïðàâèëPaXäëÿäîñòóïàêñòðàíèöàìïàìÿòèâàäðåñ-
íîìïðîñòðàíñòâåïðîöåññà.ÄëÿçàïóñêàåìîãîèñïîëíÿåìîãîìîäóëÿôîðìàòàELFìîãóò
áûòüóñòàíîâëåíûñïåöèàëüíûåàòðèáóòûPaX,ðàçðåøàþùèåïðîöåññóâûïîëíÿòüîïðå-
äåëåííûåäåéñòâèÿ,çàïðåùåííûåïîóìîë÷àíèþ(ñì.12.1).
12.1.ÑðåäñòâîóïðàâëåíèÿàòðèáóòàìèPaX
ÄëÿóïðàâëåíèÿàòðèáóòàìèPaXäëÿçàïóñêàåìîãîèñïîëíÿåìîãîìîäóëÿôîðìàòà
ELFèñïîëüçóåòñÿóòèëèòàêîìàíäíîéñòðîêè
paxctl
,êîòîðàÿîáåñïå÷èâàåòîòîáðàæåíèåè
óñòàíîâêóñïåöèàëüíûõàòðèáóòîâPaX,ðàçðåøàþùèõïðîöåññóâûïîëíÿòüîïðåäåëåííûå
çàïðåùåííûåïîóìîë÷àíèþäåéñòâèÿñîñòðàíèöàìèïàìÿòèâñâîåìàäðåñíîìïðîñòðàí-
ñòâå.
ÂÍÈÌÀÍÈÅ!
Íåñëåäóåòèñïîëüçîâàòüóòèëèòó
paxctl
äëÿóñòàíîâêèàòðèáóòîâ
áèáëèîòåêôîðìàòàELF.
Ñèíòàêñèñ:
paxctl�îïöèè�ôàéëû
Îïöèèïðèâåäåíûâòàáëèöå38.
Òàáëèöà38
Îïöèÿ
Îïèñàíèå
-P
Âêëþ÷èòüèñïîëüçîâàíèåìåõàíèçìîìñòðàíè÷íîãîîáìåíàíåèñïîëíÿåìîãîáèòà
(
PAGEEXEC
)
-p
Îòêëþ÷èòüèñïîëüçîâàíèåìåõàíèçìîìñòðàíè÷íîãîîáìåíàíåèñïîëíÿåìîãîáèòà
(
NOPAGEEXEC
)
-E
Ýìóëèðîâàòüòðàìïëèíû(
EMUTRAMP
,íåèñïîëüçóåòñÿâÎÑ)
-e
Íåýìóëèðîâàòüòðàìèëèíû(
NOEMUTRAMP
,íåèñïîëüçóåòñÿâÎÑ)
-M
Èñïîëüçîâàòüáåçîïàñíûåìåõàíèçìûçàùèòûïàìÿòè(
MROTECT
)
-m
Íåèñïîëüçîâàòüáåçîïàñíûåìåõàíèçìûçàùèòûïàìÿòè(
NOMROTECT
)
-R
Èñïîëüçîâàòüñëó÷àéíîåðàñïðåäåëåíèåàäðåñîââîáëàñòÿõïàìÿòè(
RANDMAP
)
-r
Íåèñïîëüçîâàòüñëó÷àéíîåðàñïðåäåëåíèåàäðåñîââîáëàñòÿõïàìÿòè(
NORANDMAP
)
-X
Ñëó÷àéíûìîáðàçîìîïðåäåëÿòüáàçîâûéàäðåñíîðìàëüíîãî(
-x
Íåîïðåäåëÿòüñëó÷àéíûìîáðàçîìáàçîâûéàäðåñíîðìàëüíîãî(
-S
Âêëþ÷èòüñåãìåíòèðîâàíèå(
SEGMEXEC
),îñíîâàííîåíàèñïîëüçîâàíèèìåõàíèçìîì
ñòðàíè÷íîãîîáìåíàíåèñïîëíÿåìîãîáèòà(íåèñïîëüçóåòñÿâÎÑ)
-S
Îòêëþ÷èòüñåãìåíòèðîâàíèå(
NOSEGMEXEC
),îñíîâàííîåíàèñïîëüçîâàíèèìåõàíèç-
ìîìñòðàíè÷íîãîîáìåíàíåèñïîëíÿåìîãîáèòà(íåèñïîëüçóåòñÿâÎÑ)
-v
Ïðîñìîòðôëàãîâ
106
ÐÓÑÁ.10015-019701-1
Îêîí÷àíèåòàáëèöû38
Îïöèÿ
Îïèñàíèå
-z
Ñáðîñâñåõôëàãîâ

Ñîçäàòüâèñïîëíÿåìîìôàéëåçàãîëîâîê
PT_PAX_FLAGS
(åñëèîííåñóùåñòâóåò)ïó-
òåìêîíâåðòèðîâàíèÿçàãîëîâêà
PT_GNU_STAK
(åñëèîíñóùåñòâóåò)

Ñîçäàòüâèñïîëíÿåìîìôàéëåçàãîëîâîê
PT_PAX_FLAGS
(åñëèîííåñóùåñòâóåò)ïó-
òåìäîáàâëåíèÿíîâîãîçàãîëîâêà(åñëèâîçìîæíî)
-q
Ïîäàâëÿòüñîîáùåíèÿîáîøèáêàõ
-Q
Âûâîäèòüôëàãèâêîðîòêîìôîðìàòå
107
ÐÓÑÁ.10015-019701-1
13.ÊÎÍÒÐÎËÜÖÅËÎÑÒÍÎÑÒÈÊÑÇ
Äëÿîáåñïå÷åíèÿêîíòðîëÿöåëîñòíîñòè(âò.÷.êîíòðîëÿöåëîñòíîñòèÊÑÇ)âÎÑ
ðåàëèçîâàíû:

ñðåäñòâîïîäñ÷åòàêîíòðîëüíûõñóììôàéëîâèîïòè÷åñêèõäèñêîâ(13.1);

ñðåäñòâîïîäñ÷åòàêîíòðîëüíûõñóììôàéëîââdeb-ïàêåòàõ(13.2;

ñðåäñòâîêîíòðîëÿñîîòâåòñòâèÿäèñòðèáóòèâó(13.3);

ñðåäñòâàðåãëàìåíòíîãîêîíòðîëÿöåëîñòíîñòè(13.4);

ñðåäñòâàñîçäàíèÿçàìêíóòîéïðîãðàììíîéñðåäû(13.5).
Äëÿðåøåíèÿçàäà÷êîíòðîëÿöåëîñòíîñòèïðåäíàçíà÷åíàáèáëèîòåêà
libgost

êîòîðîéäëÿâû÷èñëåíèÿêîíòðîëüíûõñóììðåàëèçîâàíûôóíêöèèõýøèðîâàíèÿâñîîòâåò-
ñòâèèñÃÎÑÒÐ34.11-94,ÃÎÑÒÐ34.11-2012ñäëèíîéõýø-êîäà256áèòèÃÎÑÒÐ34.11-
2012ñäëèíîéõýø-êîäà512áèò.Íàçâàííàÿáèáëèîòåêàèñïîëüçóåòñÿâñðåäñòâàõïîäñ÷åòà
êîíòðîëüíûõñóììôàéëîâèîïòè÷åñêèõäèñêîâ,êîíòðîëÿñîîòâåòñòâèÿäèñòðèáóòèâóèðå-
ãëàìåíòíîãîêîíòðîëÿöåëîñòíîñòè,ìîäóëÿõàóòåíòèôèêàöèè.
ÂÎÑðåàëèçîâàíìåõàíèçì,îáåñïå÷èâàþùèéïðîâåðêóíåèçìåííîñòèèïîäëèííî-
ñòèçàãðóæàåìûõèñïîëíÿåìûõôàéëîâôîðìàòàELF.Ïðîâåðêàïðîèçâîäèòñÿíàîñíîâå
êîíòðîëüíûõñóìì,âû÷èñëÿåìûõâñîîòâåòñòâèèñÃÎÑÒÐ34.11-94èÃÎÑÒÐ34.11-2012
ñäëèíîéõýø-êîäà256áèò,èÝÖÏ,ðåàëèçîâàííîéâñîîòâåòñòâèèñÃÎÑÒÐ34.10-2001
èÃÎÑÒÐ34.10-2012,êîòîðûåâíåäðåíûâèñïîëíÿåìûåôàéëûôîðìàòàELFâïðîöåññå
ñáîðêèÎÑ.Äàííûéìåõàíèçìïðåäíàçíà÷åíäëÿâûÿâëåíèÿôàêòîâíåñàíêöèîíèðîâàííîãî
èçìåíåíèÿèñïîëíÿåìûõôàéëîâôîðìàòàELF(âò.÷.îòíîñÿùèõñÿêÊÑÇ)èïðåäîòâðàùå-
íèÿèõçàãðóçêè.
ÂÎÑðåàëèçîâàíìåõàíèçì,îáåñïå÷èâàþùèéïðîâåðêóíåèçìåííîñòèèïîäëèííî-
ñòèôàéëîâ.Ïðîâåðêàïðîèçâîäèòñÿíàîñíîâåêîíòðîëüíûõñóìì,âû÷èñëÿåìûõâñîîòâåò-
ñòâèèñÃÎÑÒÐ34.11-94èÃÎÑÒÐ34.11-2012ñäëèíîéõýø-êîäà256áèò,èÝÖÏ,ðåàëè-
çîâàííîéâñîîòâåòñòâèèñÃÎÑÒÐ34.10-2001èÃÎÑÒÐ34.10-2012,êîòîðûåâíåäðÿþòñÿâ
ðàñøèðåííûåàòðèáóòûôàéëîâîéñèñòåìû.Äàííûéìåõàíèçìïðåäíàçíà÷åíäëÿâûÿâëå-
íèÿôàêòîâíåñàíêöèîíèðîâàííîãîèçìåíåíèÿèñïîëíÿåìûõôàéëîâèïðåäîòâðàùåíèÿèõ
îòêðûòèÿ.
13.1.Ñðåäñòâîïîäñ÷åòàêîíòðîëüíûõñóììôàéëîâèîïòè÷åñêèõäèñêîâ
Äëÿïîäñ÷åòàêîíòðîëüíûõñóììôàéëîâèîïòè÷åñêèõäèñêîââñîñòàâÎÑâêëþ-
÷åíàóòèëèòàêîìàíäíîéñòðîêè
gostsum
.Äëÿâûâîäàèíôîðìàöèèîñèíòàêñèñåóòèëèòû
gostsum
íåîáõîäèìîâûïîëíèòüêîìàíäó:
gostsum-h
Ñèíòàêñèñ:
108
ÐÓÑÁ.10015-019701-1
gostsum[ÊËÞ×]...[ÔÀÉË]
Îïöèèïðèâåäåíûâòàáëèöå39.
Òàáëèöà39
Îïöèÿ
Îïèñàíèå
--gost-94
Óñòàíàâëèâàåò,÷òîáóäåòèñïîëüçîâàíàëãîðèòìÃÎÑÒÐ34.11-94
--gost-2012
Óñòàíàâëèâàåò,÷òîáóäåòèñïîëüçîâàíàëãîðèòìÃÎÑÒÐ34.11-2012ñ
äëèíîéõýø-êîäà256áèò(ïîóìîë÷àíèþ)
--gost-2012-512
Óñòàíàâëèâàåò,÷òîáóäåòèñïîëüçîâàíàëãîðèòìÃÎÑÒÐ34.11-2012ñ
äëèíîéõýø-êîäà512áèò
-b
Óñòàíàâëèâàåòðàçìåðáëîêîâ,êîòîðûìèáóäåòñ÷èòûâàòüñÿôàéë
-o
Çàäàåòèìÿôàéëàäëÿâûâîäàêîíòðîëüíîéñóììû(ïîóìîë÷àíèþ
ñòàíäàðòíûéïîòîêâûâîäà)
-d
Çàäàåòèìÿôàéëàóñòðîéñòâà÷òåíèÿîïòè÷åñêèõäèñêîâ(ôàéëàñîáðà-
çîìîïòè÷åñêîãîäèñêà)äëÿïîäñ÷åòàêîíòðîëüíîéñóììû
-t
Òåñòèðîâàíèåàëãîðèòìîâïîäñ÷åòàêîíòðîëüíûõñóìì
-p
Òåñòèðîâàíèåàëãîðèòìîâïîäñ÷åòàêîíòðîëüíûõñóììâìíîãîïîòî÷íîé
ñðåäå
-h[--help]
ïîêàçàòüýòóñïðàâêóèâûéòè
Äàëååïðèâåäåíïðèìåðïîäñ÷åòàêîíòðîëüíîéñóììûîïòè÷åñêîãîäèñêà:
gostsum-d/dev/cdrom
13.2.Ñðåäñòâîïîäñ÷åòàêîíòðîëüíûõñóììôàéëîââdeb-ïàêåòàõ
Äëÿïîäñ÷åòàêîíòðîëüíûõñóììôàéëîââdeb-ïàêåòàõâñîñòàâÎÑâêëþ÷åíàóòè-
ëèòàêîìàíäíîéñòðîêè
gostsum_from_deb
.Äëÿâûâîäàèíôîðìàöèèîñèíòàêñèñåóòèëè-
òû
gostsum_from_deb
íåîáõîäèìîâûïîëíèòüêîìàíäó:
gostsum_from_deb-h
Ñèíòàêñèñ:
gostsum_from_deb[gostsumàðãóìåíòû][-däèðåêòîðèÿ][-pdeb-ïàêåò]
Îïöèèïðèâåäåíûâòàáëèöå40.
Òàáëèöà40
Îïöèÿ
Îïèñàíèå
--gost-94
Óñòàíàâëèâàåò,÷òîáóäåòèñïîëüçîâàíàëãîðèòìÃÎÑÒÐ34.11-94
--gost-2012
Óñòàíàâëèâàåò,÷òîáóäåòèñïîëüçîâàíàëãîðèòìÃÎÑÒÐ34.11-2012ñ
äëèíîéõýø-êîäà256áèò(ïîóìîë÷àíèþ)
--gost-2012-512
Óñòàíàâëèâàåò,÷òîáóäåòèñïîëüçîâàíàëãîðèòìÃÎÑÒÐ34.11-2012ñ
äëèíîéõýø-êîäà512áèò
gostsumarguments
àðãóìåíòûóòèëèòû
gostsum
109
ÐÓÑÁ.10015-019701-1
Îêîí÷àíèåòàáëèöû40
Îïöèÿ
Îïèñàíèå
-däèðåêòîðèÿ
Çàäàåòèìÿêàòàëîãà,ñîäåðæàùåãîdeb-ïàêåòû,äëÿôàéëîââêîòîðûõ
âû÷èñëÿþòñÿêîíòðîëüíûåñóììû
-pdeb-ïàêåò
Çàäàåòèìÿdeb-ïàêåòà,äëÿôàéëîâêîòîðîãîâû÷èñëÿþòñÿêîíòðîëüíûå
ñóììû
13.3.Ñðåäñòâîêîíòðîëÿñîîòâåòñòâèÿäèñòðèáóòèâó
Ñðåäñòâîêîíòðîëÿñîîòâåòñòâèÿäèñòðèáóòèâóïðåäîñòàâëÿåòâîçìîæíîñòüäëÿ
êîíòðîëÿñîîòâåòñòâèÿîáúåêòîâÔÑÎÑäèñòðèáóòèâó.Äëÿîáåñïå÷åíèÿêîíòðîëÿöåëîñò-
íîñòèîáúåêòîâÔÑÎÑ(âò.÷.ÑÇÈ)âñîñòàâäèñòðèáóòèâàâõîäèòôàéë
gostsums.txt
ñîñïèñêîìêîíòðîëüíûõñóììïîÃÎÑÒÐ34.11-2012ñäëèíîéõýø-êîäà256áèòäëÿ
âñåõôàéëîâ,âõîäÿùèõâïàêåòûïðîãðàììäèñòðèáóòèâà.Èñïîëüçóÿãðàôè÷åñêóþóòèëèòó
fly-admin-int-check
,ìîæíîïðîâåñòèâû÷èñëåíèåêîíòðîëüíûõñóììôàéëîâñèñòåìû
èïðîâåðêóñîîòâåòñòâèÿïîëó÷åííûõêîíòðîëüíûõñóììôàéëîâñèñòåìûýòàëîííûìêîí-
òðîëüíûìñóììàì.Áîëååïîäðîáíîåîïèñàíèåóòèëèòûñì.âýëåêòðîííîéñïðàâêå.
13.4.Ñðåäñòâàðåãëàìåíòíîãîêîíòðîëÿöåëîñòíîñòè
ÎðãàíèçàöèÿðåãëàìåíòíîãîêîíòðîëÿöåëîñòíîñòèÎÑ,ïðèêëàäíîãîÏÎèÑÇÈ
îáåñïå÷èâàåòñÿíàáîðîìïðîãðàììíûõñðåäñòâíàîñíîâå¾AnotherFileIntegrityChecker¿.Â
óêàçàííîìíàáîðåðåàëèçîâàíàâîçìîæíîñòüäëÿïðîâåäåíèÿïåðèîäè÷åñêîãî(ñèñïîëüçî-
âàíèåìñèñòåìíîãîïëàíèðîâùèêàçàäàíèé
cron
)âû÷èñëåíèÿêîíòðîëüíûõñóììôàéëîâ
èñîîòâåòñòâóþùèõèìàòðèáóòîâðàñøèðåííîéïîäñèñòåìûáåçîïàñíîñòèPARSEC(ìàí-
äàòíûõàòðèáóòîâèàòðèáóòîâðàñøèðåííîéïîäñèñòåìûïðîòîêîëèðîâàíèÿ)ñïîñëåäóþ-
ùèìñðàâíåíèåìâû÷èñëåííûõçíà÷åíèéñýòàëîííûìè.Âóêàçàííîìíàáîðåïðîãðàììíûõ
ñðåäñòâðåàëèçîâàíîèñïîëüçîâàíèåáèáëèîòåêè
libgost
,îáåñïå÷èâàþùåéïîäñ÷åòêîí-
òðîëüíûõñóììâñîîòâåòñòâèèñÃÎÑÒÐ34.11-94.
Ýòàëîííûåçíà÷åíèÿêîíòðîëüíûõñóììèàòðèáóòîâôàëîâõðàíÿòñÿâÁÄ.Áàçà
êîíòðîëüíûõñóììèàòðèáóòîâìîæåòáûòüñîçäàíàïðèïîìîùèêîìàíäû:
afick-i
Äëÿâû÷èñëåíèÿêîíòðîëüíûõñóìììîãóòèñïîëüçîâàòüñÿàëãîðèòìû:MD5-Digest,
SHA1èÃÎÑÒÐ34.11-2012ñäëèíîéõýø-êîäà256áèò.
13.4.1.Íàñòðîéêà
Äëÿíàñòðîéêèäîñòàòî÷íîïàðàìåòðîâ,êîòîðûåóêàçàíûâêîíôèãóðàöèîííîìôàé-
ëåïîóìîë÷àíèþ(
110
ÐÓÑÁ.10015-019701-1
ãäåñîäåðæèòñÿóêàçàíèåîòîì,êàêèåôàéëû/êàòàëîãèïîäâåðãàþòñÿêîíòðîëþöåëîñòíîñòè
èñêàêèìèïðàâèëàìè.
Ïðàâèëî
PARSEC
âûãëÿäèòñëåäóþùèìîáðàçîì:
PARSEC=p+d+i+n+u+g+s+b+md5+m+e+t
ãäå
p+d+i+n+u+g+s+b+md5+m
îçíà÷àåòñëåæåíèåçàâñåìèñòàíäàðòíûìèàòðèáóòàìè
ôàéëàèèñïîëüçîâàíèåõýø-ôóíêöèèMD5-Digestäëÿñëåæåíèÿçàöåëîñòíîñòüþñîäåðæè-
ìîãîôàéëîâ.
+e+t
îçíà÷àåòêîíòðîëüðàñøèðåííûõàòðèáóòîâ:ìàíäàòíîéìåòêèèôëàãîâ
àóäèòà,ñîîòâåòñòâåííî.ÊîíòðîëüACLîñóùåñòâëÿåòñÿïðèóñòàíîâêåôëàãà
+g
.
Ïðàâèëî
GOST
âûãëÿäèòñëåäóþùèìîáðàçîì:
GOST=p+d+i+n+u+g+s+b+gost+m+e+t
ãäå
p+d+i+n+u+g+s+b+gost+m
îçíà÷àåòñëåæåíèåçàâñåìèñòàíäàðòíûìèàòðèáóòàìè
ôàéëàèèñïîëüçîâàíèåõýø-ôóíêöèèÃÎÑÒÐ34.11-2012ñäëèíîéõýø-êîäà256áèòäëÿ
ñëåæåíèÿçàöåëîñòíîñòüþñîäåðæèìîãîôàéëîâ.
+e+t
îçíà÷àåòêîíòðîëüðàñøèðåííûõàò-
ðèáóòîâ:ìàíäàòíîéìåòêèèôëàãîâàóäèòà,ñîîòâåòñòâåííî.ÊîíòðîëüACLîñóùåñòâëÿåòñÿ
ïðèóñòàíîâêåôëàãà
+g
.
Ïðàâèëîäëÿêàòàëîãîâ:
DIR=p+i+n+u+g
Ïðàâèëîîçíà÷àåòñëåæåíèåçàïðàâàìèäîñòóïà,ìåòàäàííûìè,êîëè÷åñòâîìññû-
ëîêèäðóãèìèñòàíäàðòíûìèàòðèáóòàìè(ïîäðîáíååñì.
111
ÐÓÑÁ.10015-019701-1
afick-i
áóäåòñîçäàíôàéë
/var/lib/afick/afick
.ÝòîèåñòüÁÄôîðìàòà
ndbm
.Åñëèïîñìîò-
ðåòüååñîäåðæèìîå,òîìîæíîîáíàðóæèòüíàáîðñòðîê,êàæäàÿèçêîòîðûõèìÿôàéëàè
äàëåå÷åðåçïðîáåëåãîàòðèáóòûèñèãíàòóðû.
ÁÄçàùèùàåòñÿñèñòåìîéðàçãðàíè÷åíèÿäîñòóïà.
Ïðèçàïóñêå
AFICK
àâòîìàòè÷åñêèóñòàíîâèòåæåäíåâíîåçàäàíèåäëÿ
CRON
.Ôàéë
ñçàäàíèåìíàõîäèòñÿâ
112
ÐÓÑÁ.10015-019701-1
113
ÐÓÑÁ.10015-019701-1
15)
êîíôèãóðàöèîííûéôàéë,ñîäåðæàùèéçíà÷åíèÿïàðàìåòðîâÿäðà:
114
ÐÓÑÁ.10015-019701-1
áåçÝÖÏ;
2)
îòêðûòèåôàéëîâ,ïîñòàâëåííûõíàêîíòðîëü,ñíåâåðíîéÝÖÏèëèáåçÝÖÏðàç-
ðåøàåòñÿ,ïðèýòîìâûäàåòñÿñîîáùåíèåîáîøèáêåïðîâåðêèÝÖÏ(ðåæèìäëÿ
ïðîâåðêèÝÖÏâðàñøèðåííûõàòðèáóòàõôàéëîâîéñèñòåìû);
3)
ÝÖÏïðèîòêðûòèèôàéëîâíåïðîâåðÿåòñÿ.
13.5.1.Íàñòðîéêàìîäóëÿdigsig_verif
Äëÿèçìåíåíèÿðåæèìàôóíêöèîíèðîâàíèÿìîäóëÿ
digsig_verif
íåîáõîäèìîîò-
ðåäàêòèðîâàòüôàéë
115
ÐÓÑÁ.10015-019701-1
116
ÐÓÑÁ.10015-019701-1
ïðèìåð,ñèñïîëüçîâàíèåìêîìàíäû:
117
ÐÓÑÁ.10015-019701-1
Ïðîâåðêàðåæèìàðàáîòûâûïîëíÿåòñÿêîìàíäîé:
cat/sys/digsig/enforce
ÂÍÈÌÀÍÈÅ!
Äëÿîòêëþ÷åíèÿïðîâåðêèÝÖÏïîÃÎÑÒÐ34.10-2001íåîáõîäèìî
âêîíôèãóðàöèîííîìôàéëå
118
ÐÓÑÁ.10015-019701-1
SHA224,GOST_R34.11-2012,GOST_R34.11-94
Àëãîðèòìûñæàòèÿ:Áåçñæàòèÿ,ZIP,ZLIB,
BZIP2
Äàëååïðèâåäåíïðèìåðñîçäàíèÿäîïîëíèòåëüíîãîêëþ÷àèåãîèñïîëüçîâàíèÿäëÿ
ïîäïèñûâàíèÿÑÏÎ.
Ïðèìåð
1)
ñîçäàåòñÿêëþ÷åâàÿïàðà
GOSTR34.10-2001
èñîõðàíÿåòñÿâêàòàëîãå
~/.gnupg
.Äëÿñîçäàíèÿêëþ÷åâîéïàðûíåîáõîäèìîâûïîëíèòüïðèâåäåííóþäà-
ëååêîìàíäóñïîñëåäóþùèìâûáîðîìâìåíþ
gpg
àëãîðèòìàÃÎÑÒÐ34.10-2001:
[email protected]:~$gpg--gen-key
gpg(GnuPG)1.4.18;Copyright(C)2014FreeSoftwareFoundation,Inc.
Thisisfreesoftware:youarefreetochangeandredistributeit.
ThereisNOWARRANTY,totheextentpermittedbylaw.
gpg:ñîçäàíêàòàëîã`/home/keys/.gnupg'
gpg:ñîçäàííîâûéôàéëíàñòîåê`/home/keys/.gnupg/gpg.conf'
gpg:ÂÍÈÌÀÍÈÅ:ïàðàìåòðûâ`/home/keys/.gnupg/gpg.conf'åùåíåàêòèâíûïðè/
ýòîìçàïóñêå
gpg:ñîçäàíàòàáëèöàêëþ÷åé`/home/keys/.gnupg/secring.gpg'
gpg:ñîçäàíàòàáëèöàêëþ÷åé`/home/keys/.gnupg/pubring.gpg'
Âûáåðèòåòèïêëþ÷à:
(1)RSAèRSA(ïîóìîë÷àíèþ)
(2)DSAèElgamal
(3)DSA(òîëüêîäëÿïîäïèñè)
(4)RSA(òîëüêîäëÿïîäïèñè)
(10)GOSTR34.10-2001(òîëüêîäëÿïîäïèñè)óñòàðåâøèé
(12)GOSTR34.10-2012(òîëüêîäëÿïîäïèñè)
Âàøâûáîð?12
GOSTkeypairwillhave256bits.
Âûáîðèòåñðîêäåéñòâèÿêëþ÷à.
0=áåçîãðàíè÷åíèÿñðîêàäåéñòâèÿ
&#xn000;n=ñðîêäåéñòâèÿ-näíåé
&#xn000;nw=ñðîêäåéñòâèÿ-níåäåëü
&#xn000;nm=ñðîêäåéñòâèÿ-nìåñÿöåâ
&#xn000;ny=ñðîêäåéñòâèÿ-nëåò
Ñðîêäåéñòâèÿêëþ÷à?(0)0
Ñðîêäåéñòâèÿêëþ÷àíåîãðàíè÷åí
Âñåâåðíî?(y/N)y
ÄëÿèäåíòèôèêàöèèÂàøåãîêëþ÷àíåîáõîäèìIDïîëüçîâàòåëÿ.Ïðîãðàììàñîçäàñò/
åãî
èçÂàøåãîèìåíè,êîììåíòàðèÿèàäðåñàýëåêòðîííîéïî÷òûââèäå:
119
ÐÓÑÁ.10015-019701-1
"BabaYaga(pensioner)&#xyaga;&#[email protected];&#xpfor;st.;&#xru00;[email protected]"
Âàøåíàñòîÿùååèìÿ:TestGOSTR34.10-2012SecondaryKey
Àäðåñýëåêòðîííîéïî÷òû:[email protected]
Êîììåíòàðèé:
ÂûâûáðàëèñëåäóþùèéIDïîëüçîâàòåëÿ:
"TestGOSTR34.10-2001SecondaryKey&#xtest;&#[email protected];&#xt.se; ond; ry.;&#xkey0;[email protected]"
Ñìåíèòü(N)Èìÿ,(C)Êîììåíòàðèé,(E)àäðåñèëè(O)Ïðèíÿòü/(Q)Âûõîä?O
Äëÿçàùèòûçàêðûòîãîêëþ÷àíåîáõîäèìïàðîëü.
Ââåäèòåïàðîëü:ÏÀÐÎËÜ
Ïîâòîðèòåïàðîëü:ÏÀÐÎËÜ
2)
ýêñïîðòêëþ÷àâôàéëîñóùåñòâëÿåòñÿêîìàíäîé:
[email protected]:$gpg--export"TestGOSTR34.10-2012SecondaryKey
&#xtest;&#[email protected];&#xt.se; ond; ry.;&#xkey0;[email protected]"&#xtest;&#[email protected];&#xt.se; ond; ry.;&#xkey0;/tmp/secondary_gost_key.gpg
3)
êëþ÷ïîëüçîâàòåëÿìîæåòáûòüçàâåðåíñèñïîëüçîâàíèåìêîìàíä:
gpg--import/tmp/secondary_gost_key.gpg
gpg--sign-key"TestGOSTR34.10-2012SecondaryKey
&#xtest;&#[email protected];&#xt.se; ond; ry.;&#xkey0;[email protected]"
gpg--export"TestGOSTR34.10-2001SecondaryKey
&#xtest;&#[email protected];&#xt.se; ond; ry.;&#xkey0;[email protected]"&#xtest;&#[email protected];&#xt.se; ond; ry.;&#xkey0;/tmp/secondary_gost_key_signed.gpg
4)
ïîëüçîâàòåëüïîäïèñûâàåòíàäàííîìêëþ÷åíåêîòîðûéôàéëôîðìàòàELFñ
èñïîëüçîâàíèåìóòèëèòû
bsign
(ïîóìîë÷àíèþïîäïèñüâíåäðÿåòñÿâòîì÷èñëåè
âðàñøèðåííûåàòðèáóòûôàéëà):
[email protected]:~$bsign--signtest_elf
5)
ïîëüçîâàòåëüïîäïèñûâàåòóòèëèòîé
bsign
íàäàííîìêëþ÷åïðîèçâîëüíûé
ôàéëñâíåäðåíèåìïîäïèñèòîëüêîâðàñøèðåííûåàòðèáóòû:
[email protected]:~$bsign--sign--xattrtest_elf
Äîïîëíèòåëüíàÿèíôîðìàöèÿïðèâåäåíàâñïðàâêåïîóòèëèòå
bsign
;
6)
äëÿïðîâåðêèïðàâèëüíîñòèÝÖÏôàéëàôîðìàòàELFèñïîëüçóåòñÿóòèëèòà
bsign
:
[email protected]:~$bsign-wtest_elf
7)
äîïîëíèòåëüíûéêëþ÷ïîëüçîâàòåëÿ,ïîäïèñàííûéíàãëàâíîìêëþ÷å,êîïèðóåòñÿ
âêàòàëîã
120
ÐÓÑÁ.10015-019701-1
14.ÃÅÍÅÐÀÖÈßÊÑÇ
ÃåíåðàöèÿÊÑÇîñóùåñòâëÿåòñÿâîäíîìèçäâóõñëåäóþùèõðåæèìîâ:

ðåæèìÅÏÏ;

ëîêàëüíûéðåæèì.
ÄëÿèñïîëüçîâàíèÿðåæèìàÅÏÏíåîáõîäèìîíàëè÷èåâñåòèóñòàíîâëåííîãîèíà-
ñòðîåííîãîñåðâåðàALD.Íàðàáî÷èõìåñòàõïîëüçîâàòåëåéâÎÑäîëæåíáûòüóñòàíîâëåí
ïàêåò
ald-client
èâûïîëíåíûñîîòâåòñòâóþùèåäåéñòâèÿïîíàñòðîéêå(ñì.äîêóìåíò
ÐÓÑÁ.10015-019501-1).
ÏîñëåîïðåäåëåíèÿðåæèìàðàáîòûÊÑÇÎÑäëÿçàâåðøåíèÿïðîöåäóðûãåíåðàöèè
ÊÑÇíåîáõîäèìîâûïîëíèòüñëåäóþùèåäåéñòâèÿ:
1)
ñîçäàòüíàáîðìàíäàòíûõóðîâíåé;
2)
ñîçäàòüíàáîðìàíäàòíûõêàòåãîðèé;
3)
ñîçäàòüíàáîðñëóæåáíûõïîëüçîâàòåëåé,íàëè÷èåêîòîðûõíåîáõîäèìîäëÿ
ôóíêöèîíèðîâàíèÿçàùèùåííûõêîìïëåêñîâïðîãðàììÑÓÁÄ,ãèïåðòåêñòîâîéîá-
ðàáîòêèäàííûõ,ýëåêòðîííîéïî÷òûèïðîãðàìììàðêèðîâêèèó÷åòàïå÷àòíûõäî-
êóìåíòîâèçñîñòàâàÎÑ;
4)
óñòàíîâèòüïðèâèëåãèèäëÿñëóæåáíûõïîëüçîâàòåëåé;
5)
óñòàíîâèòüïàðàìåòðûàóäèòà(ïðîòîêîëèðîâàíèÿñîáûòèé)âÎÑ.
ÂÍÈÌÀÍÈÅ!
Äëÿèçìåíåíèÿìàêñèìàëüíîãîìàíäàòíîãîêîíòåêñòàîáúåêòîâ(ñì.
4.1)íåîáõîäèìîâíåñòèèçìåíåíèÿâñöåíàðèé
pdp-init-fs
,ðàçìåùåííûéâêàòàëîãå
/usr/sbin
,ïåðåîïðåäåëèâçíà÷åíèÿïåðåìåííûõ:

sysmaxlev
ìàêñèìàëüíûéìàíäàòíûéóðîâíü;

sysmaxilev
ìàêñèìàëüíûéóðîâíüöåëîñòíîñòè;

sysmaxcat
ìàêñèìàëüíûéíàáîðìàíäàòíûõêàòåãîðèé.
Ïîñëåâûïîëíåíèÿïåðå÷èñëåííîãîíàáîðàäåéñòâèéîñóùåñòâëÿåòñÿñîçäàíèå
ïîëüçîâàòåëåé,óñòàíîâêàäëÿíèõðàçðåøåííûõìàíäàòíûõóðîâíåéèêàòåãîðèé,àâñëó-
÷àåíåîáõîäèìîñòè,ïàðàìåòðîâïðîòîêîëèðîâàíèÿ.
ÂðåæèìåÅÏÏóêàçàííûåäåéñòâèÿâûïîëíÿþòñÿïðèïîìîùèãðàôè÷åñêîéóòè-
ëèòû
fly-admin-smc
èëèïðèïîìîùèóòèëèòûêîìàíäíîéñòðîêè
ald-admin
(ñì.
manald-admin
).
Âëîêàëüíîìðåæèìåóêàçàííûåäåéñòâèÿâûïîëíÿþòñÿïðèïîìîùèãðàôè÷åñêîé
óòèëèòû
fly-admin-smc
èëèïðèïîìîùèñîîòâåòñòâóþùèõóòèëèòêîìàíäíîéñòðîêè
(ñì.4.4)îòèìåíèó÷åòíîéçàïèñèàäìèíèñòðàòîðà(ñì.ðàçäåë1)÷åðåçìåõàíèçì
sudo
.
Áîëååïîäðîáíîåîïèñàíèåãðàôè÷åñêèõóòèëèòñì.âýëåêòðîííîéñïðàâêå.
121
ÐÓÑÁ.10015-019701-1
15.ÐÅÆÈÌÊÈÎÑÊÀ
15.1.Îáùèåñâåäåíèÿ
Ðåæèìêèîñêàñëóæèòäëÿîãðàíè÷åíèÿïðàâïîëüçîâàòåëåéâñèñòåìå.Äëÿèñ-
ïîëüçîâàíèÿôóíêöèîíàëüíûõâîçìîæíîñòåéäàííîãîðåæèìàíåîáõîäèìîóñòàíîâèòüïàêåò
parsec-cups
.
Ñòåïåíüýòèõîãðàíè÷åíèéïðàâïîëüçîâàòåëåéçàäàåòñÿìàñêîéêèîñêà.Ååäåé-
ñòâèåàíàëîãè÷íîäåéñòâèþìàñêè
umask
ñòåìîòëè÷èåì,÷òîåñëè
umask
íàêëàäûâàåòñÿ
ïðèñîçäàíèèíîâûõîáúåêòîâÔÑ,òîìàñêàêèîñêàíàêëàäûâàåòñÿíàïðàâàäîñòóïàêôàé-
ëóïðèëþáîéïîïûòêåïîëüçîâàòåëÿïîëó÷èòüäîñòóï.Ìàñêàêèîñêàçàäàåòñÿâêîíôèãó-
ðàöèîííîìôàéëå
122
ÐÓÑÁ.10015-019701-1
èò.ä.Ýòèïðîôèëèõðàíÿòñÿâêàòàëîãå
Ïàðàìåòð
Îïèñàíèå
-h,--help
Âûâåñòèñïðàâêóèâûéòè
-u,--user=
Óñòàíîâèòüïðàâàäîñòóïàäëÿïîëüçîâàòåëÿ
-w,--without-profile
Íåèñïîëüçîâàòüïðîôèëüóêàçàííîãîïîëüçîâàòåëÿäëÿóñòàíîâêè
ïðàâäîñòóïà.Áóäóòèñïîëüçîâàíûòîëüêîïðàâàäîñòóïàèçêîìàíä-
íîéñòðîêè
-e,--mask
Óêàçàòüìàñêóêèîñêà.Ïðàâàäîñòóïàíàôàéëûäëÿïîëüçîâàòåëÿ
áóäóòóñòàíàâëèâàòüñÿòîëüêîâòîìñëó÷àå,êîãäàíåîáõîäèìûåáè-
òûìàñêèðóþòñÿóêàçàííîéìàñêîé.Ïîóìîë÷àíèþèñïîëüçóåòñÿòå-
êóùàÿìàñêàêèîñêàèçôàéëà
/parsecfs/mode_mask
Ïðèìåðû:
1.
Óñòàíîâèòüïðàâàäîñòóïàäëÿïîëüçîâàòåëÿ
ttt
,âçÿòûåèçåãîïðîôèëÿ
123
ÐÓÑÁ.10015-019701-1
15.3.otrace
Êîìàíäà
otrace
ïðåäíàçíà÷åíàäëÿòðàññèðîâêèïðîöåññîâîòíîñèòåëüíîñèñòåì-
íûõâûçîâîâ
open()
è
execve()
.
Ñèíòàêñèñ:
otrace[-h,--help][-s,--silent][-o,--output=][-k,--kiosk-dir=]
[-p,--pid=][-u,--user=][-t,--trace][-a,--audit-trace]
[-m,--merge][-f,--trace-failed][-e,--mask=][command]
otrace
èñïîëüçóåòñÿâïðîöåññåêîíôèãóðèðîâàíèÿðåæèìàêèîñêàèñëóæèòäëÿ
àâòîìàòèçàöèèñîçäàíèÿïðîôèëåéïðàâäîñòóïà.
Âðåæèìåêèîñêà(ñòàíäàðòíûåíàñòðîéêè)ïîëüçîâàòåëþçàïðåùåíûçàïèñüèâû-
ïîëíåíèåôàéëîâ,íåïðèíàäëåæàùèõåìó,ëèáîãðóïïå,âêîòîðóþîíâõîäèò.×òîáûïîëüçî-
âàòåëüèìåëâîçìîæíîñòüõîòÿáûâîéòèâñèñòåìó,íåîáõîäèìîÿâíîóêàçàòüïðàâàäîñòóïà
êîâñåìôàéëàì,ïðÿìîèëèêîñâåííîó÷àñòâóþùèìïðèýòîéîïåðàöèè.Ïðàâàäîñòóïàê
ôàéëàìçàäàþòñÿñïîìîùüþóñòàíîâêèACLíàñïåöèàëüíûåôàéëû-ññûëêèâÔÑ
parsec
.
Ïðèýòîìïðàâàäîñòóïàíàðåàëüíûåôàéëûíåèçìåíÿþòñÿ.Ïðèïåðåçàãðóçêåñèñòåìû
âñåACLíàñïåöèàëüíûåôàéëû-ññûëêèáóäóòóòåðÿíû.
×òîáûîáëåã÷èòüçàäà÷óóñòàíîâêèïîëüçîâàòåëÿìïðàâäîñòóïà,èñ-
ïîëüçóþòñÿïðîôèëèïðàâäîñòóïà.Ñèñòåìíûåïðîôèëèõðàíÿòñÿâêàòàëîãå
124
ÐÓÑÁ.10015-019701-1
/lib/librt.so.1r--
/lib/libselinux.so.1r--
/proc/mountsr--
/usr/lib/gconv/gconv-modules.cacher--
/usr/lib/gconv/KOI8-R.sor--
/usr/lib/locale/locale-archiver--
/usr/share/locale/locale.aliasr--
/usr/share/locale/ru/LC_MESSAGES/coreutils.mor--
/usr/share/locale/ru/LC_TIME/coreutils.mor--
/usr/share/locale/ru_RU/LC_MESSAGES/coreutils.mor--
/usr/share/locale/ru_RU/LC_TIME/coreutils.mor--
/usr/share/locale/ru_RU.utf8/LC_MESSAGES/coreutils.mor--
/usr/share/locale/ru_RU.UTF-8/LC_MESSAGES/coreutils.mor--
/usr/share/locale/ru_RU.utf8/LC_TIME/coreutils.mor--
/usr/share/locale/ru_RU.UTF-8/LC_TIME/coreutils.mor--
/usr/share/locale/ru.utf8/LC_MESSAGES/coreutils.mor--
/usr/share/locale/ru.UTF-8/LC_MESSAGES/coreutils.mor--
/usr/share/locale/ru.utf8/LC_TIME/coreutils.mor--
/usr/share/locale/ru.UTF-8/LC_TIME/coreutils.mor--
Äëÿïðèìåíåíèÿïðîôèëÿêêîíêðåòíîìóïîëüçîâàòåëþèñïîëüçóåòñÿêîìàíäà
mkiosk
(ñì.15.2).
Åñëèïðîôèëüñëóæèòäëÿçàïóñêàïðîãðàììû,êàêýòîáûëîâïðèìåðå,îíäîë-
æåíñîäåðæàòüïðàâàäîñòóïàíåòîëüêîêèñïîëíÿåìîìóôàéëó,íîèêîâñåìèñ-
ïîëüçóåìûìáèáëèîòåêàìèâñåìôàéëàì,êîòîðûåîòêðûâàåòïðîãðàììàâïðîöåñ-
ñåèñïîëíåíèÿ.Òàêæåíåîáõîäèìûïðàâàäîñòóïàíàäèíàìè÷åñêèéëèíêîâùèê,êîòî-
ðûåíåïîïàäóòàâòîìàòè÷åñêèâïðîôèëü,ñîçäàííûéêîìàíäîé
otrace
.Ìèíèìàëü-
íûåïðàâàäîñòóïà,êîòîðûåòðåáóþòñÿâñåãäà,ñîäåðæàòñÿâñïåöèàëüíîìïðîôèëå
125
ÐÓÑÁ.10015-019701-1
ôèëåéëèáîñòàíäàðòíûõñòðîê,îïèñûâàþùèõïðàâàäîñòóïàêêîíêðåòíîìóôàéëó.Ïðè
âêëþ÷åííîìðåæèìåêèîñêàïðîôèëèïîëüçîâàòåëåéàâòîìàòè÷åñêèïðèìåíÿþòñÿïðèâõî-
äåïîëüçîâàòåëÿâñèñòåìó.ÝòîðåàëèçîâàíîïðèïîìîùèñïåöèàëüíîãîPAM-ìîäóëÿèêî-
ìàíäû
mkiosk
(ñì.15.2).
otrace
ìîæåòèñïîëüçîâàòüäâàðàçëè÷íûõìåõàíèçìàäëÿòðàññèðîâêèïðîöåññîâ.
Ïåðâûéýòîïðîãðàììà
strace
(îïöèÿ
--trace
).ÂòîðîéïîäñèñòåìààóäèòàPARSEC
(îïöèÿ
--audit-trace
).Ïðîãðàììà
strace
èìååòíåêîòîðûåîãðàíè÷åíèÿïîèñïîëüçîâà-
íèþ,ïîýòîìóïðèìåíÿòüìåõàíèçì
--
ñëåäóåòòîëüêîäëÿòðàññèðîâêèäîâîëüíîïðîñòûõ,
íåSUID-ïðîãðàìì.
Âðåæèìå
--trace
öåëüòðàññèðîâêèìîæåòáûòüçàäàíàëèáîâêîìàíäíîéñòðîêå
êîìàíäû
otrace
âêà÷åñòâåàðãóìåíòà(òîãäàóêàçàííàÿïðîãðàììàáóäåòçàïóùåíà),ëèáî
ìîæåòáûòüçàäàíPIDóæåñóùåñòâóþùåãîïðîöåññà(îïöèÿ
--pid
).
Âðåæèìå
--audit-trace
öåëüòðàññèðîâêèçàäàåòñÿòàêæå,êàêèâðåæèìå
--trace
.Íîêðîìåîïèñàííûõ,åñòüåùåäîïîëíèòåëüíûéñïîñîáçàäàíèÿöåëèòðàññèðîâ-
êèîïöèÿ
--user
.Ïðèýòîìâñåìñóùåñòâóþùèìïðîöåññàì,ïðèíàäëåæàùèìóêàçàííîìó
ïîëüçîâàòåëþ,áóäóòâûñòàâëåíûñîîòâåòñòâóþùèåôëàãèàóäèòà(ñì.10.1.6).Òàêèìîáðà-
çîì,áóäóòòðàññèðîâàòüñÿâñåäåéñòâèÿïîëüçîâàòåëÿ.Ðåæèìïîëåçåí,êîãäàíåîáõîäèìî
ñîçäàòüïðîôèëü,ðàçðåøàþùèéïîëüçîâàòåëþâûïîëíÿòüöåëûéíàáîðñëîæíûõäåéñòâèé
èòðàññèðîâàòüêàæäóþïðîãðàììóâîòäåëüíîñòèçàòðóäíèòåëüíî.
Åñëèèñïîëüçóåòñÿðåæèì
--audit-trace
,òîâñèñòåìåíåäîëæíîáûòüñòîðîí-
íèõïðîöåññîâ,íàêîòîðûõóñòàíîâëåíûôëàãèàóäèòà.Èíà÷åâïðîôèëüìîæåòïîïàñòü
èíôîðìàöèÿ,ïîðîæäåííàÿñòîðîííèìèïðîöåññàìè.Âðåæèìåòðàññèðîâêèâñåõïðîöåñ-
ñîâóêàçàííîãîïîëüçîâàòåëÿäîñòàòî÷íî,÷òîáûâñèñòåìåíåáûëîäðóãèõïðîöåññîâñ
óñòàíîâëåííûìèôëàãàìèàóäèòàèïðèíàäëåæàùèõýòîìóïîëüçîâàòåëþ.
otrace
ïîóìîë÷àíèþçàïèñûâàåòâïðîôèëüèíôîðìàöèþòîëüêîîòåõäåéñòâè-
ÿõïðîöåññà(
open()
,
execve()
),êîòîðûåïðîøëèóñïåøíî.Îäíàêîäëÿáîëüøåéóíè-
âåðñàëüíîñòèìîæíîèñïîëüçîâàòüîïöèþ
--trace-failed
,êîòîðàÿïîçâîëèòçàïèñàòüâ
ïðîôèëüòàêæåèíôîðìàöèþèîíåóäà÷íûõïîïûòêàõ.Ýòîïîëåçíî,íàïðèìåð,åñëèïðî-
öåññïûòàåòñÿîòêðûâàòüêîíôèãóðàöèîííûåôàéëû.Âìîìåíòòðàññèðîâêèôàéëìîæåòíå
ñóùåñòâîâàòü,íîâïîñëåäñòâèèîíìîæåòïîÿâèòüñÿ.
Ïàðàìåòðûêîìàíäûïðèâåäåíûâòàáëèöå42.
Òàáëèöà42
Ïàðàìåòð
Îïèñàíèå
-h,--help
Âûâåñòèñïðàâêóèâûéòè
-s,--silent
Íåâûâîäèòüèíôîðìàöèîííûåñîîáùåíèÿ
126
ÐÓÑÁ.10015-019701-1
Îêîí÷àíèåòàáëèöû42
Ïàðàìåòð
Îïèñàíèå
-o,--output=
Çàïèñàòüðåçóëüòàòûòðàññèðîâêèâóêàçàííûéôàéë.Ïîóìîë÷àíèþ
stdout
-k,--kiosk-dir=
Óêàçàòüïóòüêêàòàëîãóñïðîôèëÿìèêèîñêà.Èñïîëüçóåòñÿâîïåðàöèè
--
.Ïîóìîë÷àíèþ
-p,--pid=
Òðàññèðîâàòüïðîöåñññóêàçàííûìèäåíòèôèêàòîðîì,àòàêæåâñåïî-
ðîæäåííûåèìïðîöåññû
-u,--user=
Óêàçàòüèìÿïîëüçîâàòåëÿ.Èñïîëüçóåòñÿñîâìåñòíîñ
--audit-trace
èëè
--merge
-t,--trace
Èñïîëüçîâàòüäëÿòðàññèðîâêèïðîöåññîâêîìàíäó
strace
.Íåìîæåò
áûòüèñïîëüçîâàíàñîâìåñòíîñ
--audit-trace
-a,--audit-trace
ÈñïîëüçîâàòüäëÿòðàññèðîâêèïðîöåññîâïîäñèñòåìóàóäèòàPARSEC.
Íåìîæåòáûòüèñïîëüçîâàíàñîâìåñòíîñ
--trace
-m,--merge
Îáúåäèíÿòüâñåïðàâàäîñòóïà,óêàçàííûåêàêèì-ëèáîñïîñîáîì
âåäèíûéïîòîêñóíèêàëüíûìèçàïèñÿìè.Ïðàâàäîñòóïàìî-
ãóòáûòüóêàçàíûâÿâíîìâèäå,ââèäåïðîôèëåé,ââèäå
ïðîôèëÿïîëüçîâàòåëÿèïðîôèëÿ,èñïîëüçóåìîãîïîóìîë÷àíèþ
(
-f,--trace-failed
Ó÷èòûâàòüíåóäà÷íûåïîïûòêèâûçîâà
open()
è
execve()
.Ïðàâàäî-
ñòóïàêýòèìôàéëàìáóäóòçàäàíûñîãëàñíîïàðàìåòðàì,ñêîòîðûìè
ïðîöåññïûòàåòñÿïîëó÷èòüäîñòóïêíèì
-e,--mask=
Óêàçàòüìàñêóêèîñêà.Ýòîïîçâîëÿåòîáðàáàòûâàòüäàííûåñîãëàñíî
ýòîéìàñêåèó÷èòûâàòüòîëüêîòåôàéëû,ïðàâàäîñòóïàêêîòîðûìáó-
äóòäåéñòâèòåëüíîçàìàñêèðîâàíû.Ïîóìîë÷àíèþìàñêàðàâíà7
Ïðèìåðû:
1.
Çàïóñòèòüèòðàññèðîâàòüïðîöåññ
ls/
ñïîìîùüþêîìàíäû
strace
.Çàïèñàòü
ðåçóëüòàòâôàéë
/tmp/ls_trace
otrace--trace-o/tmp/ls_tracels/
2.
Òðàññèðîâàòüçàïóùåííûåïðîöåññûïîëüçîâàòåëÿ
ttt
èâñåâíîâüïîðîæäåí-
íûåèìèïðîöåññûñïîìîùüþïîäñèñòåìûàóäèòàPARSEC.Îòñëåæèâàòüòàêæå
èíôîðìàöèþîíåóäà÷íûõïîïûòêàõîòêðûòèÿôàéëîâèçàïóñêàïðîöåññîâ.Ðåçóëü-
òàòûòðàññèðîâêèâûâåñòèâ
stdout
otrace--audit-trace-uttt-f
3.
Îáúåäèíèòüñîäåðæèìîåïðîôèëÿïîëüçîâàòåëÿ
ttt
,ïðîôèëÿñèìåíåì
ls
èç
êàòàëîãà
127
ÐÓÑÁ.10015-019701-1
15.4.y-admin-kiosk
Êðîìåñðåäñòâäëÿðàáîòûâðåæèìåêîìàíäíîéñòðîêè,âðàñïîðÿæåíèèàäìèíè-
ñòðàòîðàèìååòñÿãðàôè÷åñêàÿóòèëèòà
fly-admin-kiosk
,êîòîðàÿìîæåòáûòüèñïîëüçî-
âàíàäëÿíàñòðîéêèèóïðàâëåíèÿðåæèìîìêèîñêà.
Îïèñàíèåóòèëèòûñì.âýëåêòðîííîéñïðàâêå.
ÂÍÈÌÀÍÈÅ!
Ïåðåäèñïîëüçîâàíèåìóòèëèòûíåîáõîäèìîñäåëàòüðåçåðâíóþêî-
ïèþâñåõñèñòåìíûõïðîôèëåé,íàõîäÿùèõñÿâêàòàëîãå
128
ÐÓÑÁ.10015-019701-1
-uèìÿ_ïîëüçîâàòåëÿ
3)
äîæäàòüñÿïåðåçàïóñêàñåðâèñà
parlogd
;
4)
ïåðåéòèíàêîíñîëüïîëüçîâàòåëÿèâûïîëíèòüâñåêîìàíäû,êîòîðûåäîëæíû
áûòüðàçðåøåíûâäàëüíåéøåì;
5)
çàâåðøèòüñåàíñïîëüçîâàòåëÿ;
6)
âêîíñîëèïîëüçîâàòåëÿ
root
îñòàíîâèòüòðàññèðîâêó,íàæàâêëàâèøó
nte;&#xr000;Enter
;
7)
ïîäêëþ÷èòüïîëó÷åííûéíîâûéïðîôèëüêïîëüçîâàòåëþ,âûïîëíèâêîìàíäó:
129
ÐÓÑÁ.10015-019701-1
chmod777/usr/bin/x-session-manager
6)
óñòàíîâèòüïàêåò
strace
,âûïîëíèâêîìàíäó:
130
ÐÓÑÁ.10015-019701-1
mkiosk-uuser
20)
ïðèíàëè÷èèâôàéëå
/home/èìÿ_ïîëüçîâàòåëÿ/.xsession-errors
ñòðîêè,
ñîäåðæàùåé:
unabletocreateerrorfile
ïðîâåðèòüíàëè÷èåâïðîôèëå
fly
êîìàíä
chmod
,
rm
,
cp
èôàéëîâ
XErrorDB
,
/usr/lib/parsec/bin/x-session-manager
è,ïðèíåîáõîäèìîñòè,äîáàâèòüâ
ïðîôèëüïîëíûåïóòèêíèì.
15.5.5.
Äëÿäîáàâëåíèÿïîëüçîâàòåëþðàçðåøåíèÿíàâûïîëíåíèåêîíêðåòíûõïðî-
ãðàìì(íàïðèìåð,
firefox
)íåîáõîäèìî:
1)
âûêëþ÷èòüðåæèìêèîñêà,âûïîëíèâêîìàíäû:
131
ÐÓÑÁ.10015-019701-1
ãðàììîé.
Êðîìåãðàôè÷åñêîéóòèëèòûìîæíîâðåæèìåêîìàíäíîéñòðîêèïåðåâåñòèïîëüçî-
âàòåëÿâðåæèìêèîñê.Äëÿýòîãîíåîáõîäèìîõîòÿáûîäèíðàçàâòîðèçîâàòüñÿýòèìïîëü-
çîâàòåëåì.
Åñëèïîëüçîâàòåëþïðåäîñòàâëåíäîñòóïêìàíäàòíûìóðîâíÿìèêàòåãîðèÿìîòëè÷-
íûìîò0,òîíàäîõîòÿáûîäèíðàçàâòîðèçîâàòüñÿíàêàæäîìóðîâíåäîñòóïà.Äàëååíåîá-
õîäèìîçàïóñòèòü
fly-kiosk
äëÿêàæäîãîóðîâíÿññîîòâåòñòâóþùèìçíà÷åíèåì
--home
èáåç
--home
.Íàïðèìåð,äëÿïîëüçîâàòåëÿuserñóðîâíÿìè1è2íóæíîçàïóñòèòü:
fly-kiosk-ujohn--actionlock
fly-kiosk-ujohn--actionlock--home/home/.pdp/user/l1i0c0x0t0x0
fly-kiosk-ujohn--actionlock--home/home/.pdp/user/l2i0c0x0t0x0
Àíàëîãè÷íîäëÿâûõîäàèçðåæèìàêèîñêà:
fly-kiosk-ujohn--actionunlock
fly-kiosk-ujohn--actionunlock--home/home/.pdp/user/l1i0c0x0t0x0
fly-kiosk-ujohn--actionunlock--home/home/.pdp/user/l2i0c0x0t0x0
ÂÍÈÌÀÍÈÅ!
Íàñòðîéêàðåæèìàêèîñêàñïîìîùüþïðîãðàììû
fly-admin-smc
âîçìîæíîòîëüêîäëÿïîëüçîâàòåëÿêîòîðûéíåèìååòäîñòóïàêìàíäàòíûìóðîâíÿìèêà-
òåãîðèÿìîòëè÷íûìîò0.
132
ÐÓÑÁ.10015-019701-1
16.ÐÅÆÈÌÇÀÏÐÅÒÀÓÑÒÀÍÎÂÊÈÈÑÏÎËÍßÅÌÎÃÎÁÈÒÀ
ÂÎÑðåàëèçîâàíðåæèìçàïðåòàóñòàíîâêèèñïîëíÿåìîãîáèòà,îáåñïå÷èâàþùèé
ïðåäîòâðàùåíèåíåñàíêöèîíèðîâàííîãîñîçäàíèÿïîëüçîâàòåëÿìèèëèíåïðåäíàìåðåííîãî
ñîçäàíèÿàäìèíèñòðàòîðîìèñïîëíÿåìûõñöåíàðèåâäëÿêîìàíäíîéîáîëî÷êè.
Âêëþ÷åíèåðåæèìàçàïðåòàóñòàíîâêèèñïîëíÿåìîãîáèòàîñóùåñòâëÿåòñÿîòèìå-
íèó÷åòíîéçàïèñèàäìèíèñòðàòîðà÷åðåçìåçõàíèçì
sudo
ñèñïîëüçîâàíèåìñëåäóþùåé
êîìàíäû:
sudoecho1�/parsecfs/nochmodx
Îòêëþ÷åíèåðåæèìàçàïðåòàóñòàíîâêèèñïîëíÿåìîãîáèòàîñóùåñòâëÿåòñÿîòèìå-
íèó÷åòíîéçàïèñèàäìèíèñòðàòîðà÷åðåçìåçõàíèçì
sudo
ñèñïîëüçîâàíèåìñëåäóþùåé
êîìàíäû:
sudoecho0�/parsecfs/nochmodx
ÂÍÈÌÀÍÈÅ!
Âðåæèìåçàïðåòàóñòàíîâêèèñïîëíÿåìîãîáèòàäàííàÿîïåðàöèÿçà-
ïðåùåíàäëÿâñåõïîëüçîâàòåëåéÎÑ,âêëþ÷àÿàäìèíèñòðàòîðàèñóïåðïîëüçîâàòåëÿ
root
.
Óñòàíîâêàïàêåòîâïðîãðàìì,ñîçäàþùèõâÔÑôàéëûñèñïîëíÿåìûìáèòîìáóäåòçàâåð-
øàòüñÿñîøèáêîé.
133
ÐÓÑÁ.10015-019701-1
17.ÇÀÏÓÑÊÎÑ
17.1.Çàïóñê
ÏðèçàïóñêåÎÑïîÿâëÿåòñÿîêíî,âèäêîòîðîãîïðåäñòàâëåííàðèñ.1.
Ðèñ.1ÎêíîçàïóñêàÎÑ
Âîêíåïðèâåäåíïåðå÷åíüðåæèìîâçàãðóçêèÎÑ.Äëÿçàãðóçêèâøòàòíîìðåæè-
ìåíåîáõîäèìîâïåðå÷íåâûáðàòüðåæèì
generic
.Äëÿçàãðóçêèâöåëÿõâîññòàíîâëåíèÿ
ðàáîòîñïîñîáíîñòèÎÑìîæåòèñïîëüçîâàòüñÿðåæèì
generic(single-usermode)
.
ÂïðîöåññåçàãðóçêèÎÑîñóùåñòâëÿåòñÿèíèöèàëèçàöèÿìîäóëÿÿäðàèçàïóñêñåð-
âèñîâñèñòåìûáåçîïàñíîñòèèíôîðìàöèèPARSEC.
ÏîçàâåðøåíèèçàãðóçêèÎÑïîÿâëÿåòñÿîêíî,ñîäåðæàùååïðèãëàøåíèåäëÿââîäà
èìåíèèïàðîëÿïîëüçîâàòåëÿ.Âñëó÷àåóñïåøíîãîïðîõîæäåíèÿèäåíòèôèêàöèèèàóòåíòè-
ôèêàöèèïîëüçîâàòåëþáóäåòïðåäëîæåíîâûáðàòüìàíäàòíûéóðîâåíüèêàòåãîðèè,êîòî-
ðûåáóäóòèñïîëüçîâàíûïðèñîçäàíèèñåàíñàïîëüçîâàòåëÿâÎÑ.Âûáîðìàíäàòíîéìåòêè
îñóùåñòâëÿåòñÿâñîîòâåòñòâèèñòåêóùèìèíàñòðîéêàìèìàêñèìàëüíîãîèìèíèìàëüíîãî
óðîâíåéèìàêñèìàëüíîãîèìèíèìàëüíîãîíàáîðîâêàòåãîðèé,óñòàíîâëåííûõäëÿäàííîãî
134
ÐÓÑÁ.10015-019701-1
ïîëüçîâàòåëÿ.
Âèäîêíàäëÿâûáîðàìàíäàòíîéìåòêè(óðîâíÿèêàòåãîðèé)ïðåäñòàâëåííàðèñ.2.
Ðèñ.2Îêíîâûáîðàìàíäàòíîéìåòêè
17.2.Íàñòðîéêàïàðàìåòðîâ,íåîáõîäèìûõäëÿýêñïëóàòàöèèÎÑ
Ïåðåäíà÷àëîìýêñïëóàòàöèèÎÑàäìèíèñòðàòîðáåçîïàñíîñòèäîëæåíîáåñïå÷èòü
âûïîëíåíèåñëåäóþùèõóñëîâèé:
1)
ìåõàíèçìçàìêíóòîéïðîãðàììíîéñðåäûäîëæåíáûòüíàñòðîåíäëÿðàáîòûâ
øòàòíîìðåæèìå(ñì.13.5);
2)
ñèñïîëüçîâàíèåìñðåäñòâóïðàâëåíèÿäèñêðåöèîííûìèÏÐÄ(ñì.3.3)ïîëüçîâà-
òåëÿìäîëæåíáûòüçàïðåùåíäîñòóïêáèáëèîòåêå
libpcprofile.so
;
3)
ñèñïîëüçîâàíèåìñðåäñòâóïðàâëåíèÿìàíäàòíûìèÏÐÄ(ñì.4.4)âñåìîò÷óæäà-
åìûìíîñèòåëÿì,èñïîëüçóåìûìíàîáúåêòåýêñïëóàòàöèè,äîëæíûáûòüïðèñâîå-
íûìàíäàòíûåìåòêè,ñîîòâåòñòâóþùèåãðèôóîáðàáàòûâàåìîéèíôîðìàöèè.Âñå
îò÷óæäàåìûåíîñèòåëèäîëæíûáûòüó÷òåíûðåæèìíî-ñåêðåòíûìîòäåëîìîðãàíè-
çàöèè,ýêñïëóàòèðóþùåéàâòîìàòèçèðîâàííóþñèñòåìó.Èñïîëüçîâàíèåíåó÷òåííûõ
îò÷óæäàåìûõíîñèòåëåéäîëæíîáûòüçàïðåùåíî;
4)
ñèñïîëüçîâàíèåìñðåäñòâóïðàâëåíèÿäèñêðåöèîííûìèÏÐÄ(ñì.3.3)ïîëüçî-
âàòåëÿì,íåîáëàäàþùèìïðèâèëåãèÿìèàäìèíèñòðàòîðà,äîëæåíáûòüçàïðåùåí
çàïóñê(èñïîëüçîâàíèå)ñðåäñòâñîçäàíèÿñèìâîëè÷åñêèõññûëîê;
5)
ñèñïîëüçîâàíèåìñðåäñòâóïðàâëåíèÿçàïóñêîìñåðâèñîâäîëæíàáûòüîòêëþ-
÷åíàñëóæáà
gpm
äëÿïîääåðæêèìûøèâêîíñîëüíîìðåæèìå;
6)
âñëó÷àåðàçðåøåíèÿèíòåðàêòèâíîãîâõîäàñóïåðïîëüçîâàòåëÿ
root
äëÿ
ïðåäîòâðàùåíèÿïîäáîðàåãîïàðîëÿíåîáõîäèìîçàáëîêèðîâàòüâîçìîæíîñòüåãî
óäàëåííîãîâõîäàâÎÑïîñðåäñòâîìâêëþ÷åíèÿPAM-ìîäóëÿ
135
ÐÓÑÁ.10015-019701-1
Ðèñ.3
ÏðèïðàâèëüíîìçàïóñêåÑÇÈäàííûåàòðèáóòûäîëæíûñîâïàäàòüñââåäåííûìè
ïîëüçîâàòåëåìïðèâõîäåâÎÑ.
Êðîìåòîãî,äëÿïîëó÷åíèÿòåêóùèõìàíäàòíûõàòðèáóòîâïîëüçîâàòåëÿìîæåòáûòü
èñïîëüçîâàíàêîíñîëüíàÿóòèëèòà
pdp-id
,îïèñàíèåêîòîðîéïðèâåäåíîâ
manpdp-id
.
136
ÐÓÑÁ.10015-019701-1
ÏÅÐÅ×ÅÍÜÑÎÊÐÀÙÅÍÈÉ
ÁÄ
áàçàäàííûõ
ÂÔÑ
âèðòóàëüíàÿôàéëîâàÿñèñòåìà
ÅÏÏ
åäèíîåïðîñòðàíñòâîïîëüçîâàòåëåé
ÊÑÇ
êîìïëåêññðåäñòâçàùèòû
ÍÑÄ
íåñàíêöèîíèðîâàííûéäîñòóï
ÎÑ
îïåðàöèîííàÿñèñòåìà
ÏÎ
ïðîãðàììíîåîáåñïå÷åíèå
ÏÐÄ
ïðàâèëàðàçãðàíè÷åíèÿäîñòóïà
ÑÇÈ
ñðåäñòâàçàùèòûèíôîðìàöèè
ÑÇÔÑ
ñåòåâàÿçàùèùåííàÿôàéëîâàÿñèñòåìà
ÑÏÎ
ñïåöèàëüíîåïðîãðàììíîåîáåñïå÷åíèå
ÑÓÁÄ
ñèñòåìàóïðàâëåíèÿáàçàìèäàííûõ
ÔÑ
ôàéëîâàÿñèñòåìà
ÝÖÏ
ýëåêòðîííàÿöèôðîâàÿïîäïèñü
ACL
AccessControlList(ñïèñîêêîíòðîëÿäîñòóïà)
ALD
AstraLinuxDirectory(åäèíîåïðîñòðàíñòâîïîëüçîâàòåëåé)
BIND
137
ÐÓÑÁ.10015-019701-1
ñðåäñòâàñåòåâîéèäåíòèôèêàöèè(DNS,NIS),àòàêæåLDAP)
PAM
PluggableAuthenticationModules(ïîäãðóæàåìûåàóòåíòèôèêàöèîííûåìîäóëè)
PID
ProcessIdentier(èäåíòèôèêàòîðïðîöåññà)
RFC
RequestforComments(äîêóìåíò,ñîäåðæàùèéòåõíè÷åñêèåñïåöèôèêàöèèèñòàí-
äàðòû,ïðèìåíÿåìûåâñåòèÈíòåðíåò)
RSA
RivestShamirAdelman(àëãîðèòìøèôðîâàíèÿïîñõåìåîòêðûòîãîêëþ÷à)
SQL
StructuredQueryLanguage(ÿçûêñòðóêòóðèðîâàííûõçàïðîñîâ)
TCP
TransmissionControlProtocol(ïðîòîêîëïåðåäà÷èäàííûõ)
UDP
UserDatagramProtocol(ïðîòîêîëïîëüçîâàòåëüñêèõäåéòàãðàìì)
UID
UserIdentier(èäåíòèôèêàòîðïîëüçîâàòåëÿ)
138
ÐÓÑÁ.10015-019701-1
Ëèñòðåãèñòðàöèèèçìåíåíèé
Íîìåðàëèñòîâ(ñòðàíèö)
Èçì.
èçìåíåí-
íûõ
çàìåíåí-
íûõ
íîâûõ
àííóëèðî-
âàííûõ
Âñåãî
ëèñòîâ
(ñòðàíèö)
âäîêóì.

äîêóìåíòà
Âõîäÿùèé
ñîïðîâî-
äèòåëüíîãî
äîêóì.èäàòà
Ïîäï.
Äàòà

Приложенные файлы

  • pdf 3566672
    Размер файла: 1 MB Загрузок: 1

Добавить комментарий