Мандатный контроль. 2_день_Механизм_расширения_дискреционного_управления_доступом (2. Лабораторная работа 3 Использование механизмов Киоск2
 Скачать 16.7 Kb.
|
|
2 день Механизм расширения дискреционного управления доступом «Киоск-2» Лабораторная работа № 3 Использование механизмов «Киоск-2» и «Графический киоск» для расширения возможностей администрирования дискреционного управления доступом Цель работы Получение навыков администрирования механизмов «Киоск-2» и «Графический киоск» для повышения эффективности управления полномочиями пользователей, заданными дискреционными правами доступа. Порядок выполнения работы От имени привилегированного администратора безопасности ОССН на уровне целостности «Высокий» в разделе «Пользователи» графической утилиты «Управление политикой безопасности» (fly-admin-smc): создать учетную запись пользователя с именем ukiosk; в разделе «Графический киоск Fly» для учетной записи пользователя ukiosk активировать «Режим графического киоска»; добавить в список размещенных на рабочем столе и доступных для запуска приложений браузер Firefox, указав полный путь к соответствующему исполняемому файлу Выполнить вход в систему от имени учетной записи пользователя ukiosk и убедиться, что ему доступно для запуска только одно приложение — браузер Firefox. По аналогии с пунктами 1-2 задать перечень доступных приложений для запуска из панели задач (или в режиме автозапуска, или в режиме одного приложения) и указать особенности их применения. Отключить «Режим графического киоска» и завершить все активные сессии от имени учетной записи пользователя ukiosk. От имени администратора безопасности на уровне целостности «Высокий» посредством графической утилиты fly-admin-kiosk: назначить учетной записи пользователя ukiosk стандартные профили «bash-ssh» и «owner_home»; активировать механизм «Киоск-2». Убедиться, что учетной записи пользователя ukioskдоступен только консольный вход в систему. Определить перечень доступных для процессов этой учетной записи пользователя действий и объектов файловой системы, убедиться, что разрешения соответствуют заданным в профилях правилам. Завершить все активные сессии от имени учетной записи пользователя ukiosk. От имени администратора безопасности на уровне целостности «Высокий» посредством графической утилиты fly-adminkiosk: создать новый профиль с именем «cat», добавив в него разрешения для запуска утилиты /usr/bin/cat и. просмотра файла /etc/passwd] добавить созданный профиль «cat» в список назначенных учетной записи пользователя ukiosk профилей. Убедиться, что учетной записи пользователя ukiosk стал доступен просмотр файла /etc/passwd посредством консольной утилиты cat. Завершить все активные сессии от имени учетной записи пользователя ukiosk. От имени администратора безопасности на уровне целостности «Высокий» посредством графической утилиты fly-admin-kiosk: оставить доступным для учетной записи пользователя ukioskединственный профиль «bash-ssh» активировать «Режим глобальной записи» профиля. 12. В отдельном терминале осуществить от имени учетной записи пользователя ukiosk консольный вход в систему. Выполнить ряд действии, не разрешенных профилем «bash-ssh», но доступных для процессов учетной записи пользователя ukioskв условиях функционирования без активированного механизма «Киоск-2». Завершить все активные сессии от имени учетной записи пользователя ukiosk. От имени администратора безопасности на уровне целостности «Высокий» посредством графической утилиты fly-admin-kiosk: завершить процедуру записи профиля учетной записи пользователя ukiosk добавить записанный профиль в список назначенных учетной записи пользователя ukiosk профилей. Осуществить от имени учетной записи пользователя ukiosk консольный вход в систему. Убедиться, что процессам учетной записи пользователю ukiosk доступны все действия и режимы доступа к файлам, осуществленные в процессе записи профиля. |