LINUX.ORG.RU
решено ФорумAdmin

Ограниченные права у пользователя astra-admin

 , , ,


1

1

В общем ситуация такая. Есть сервер Astra Linux 1.8 Смоленск. Максимальный уровень защищённости. Внутри есть два пользователя с абсолютно одинаковым уровнем доступа, входящие в группу astra-admin.

terra@astra-server:~$ groups
terra astra-admin
localadmin@astra-server:~$ groups
localadmin astra-admin

При этом у пользователя terra есть нормальные права на выполнение sudo, а у localadmin права будто ограничены. При этом из-под localadmin можно выполнить sudo -i и переключиться в рута, но даже под ним ничего невозможно сделать. Например при установке пакетов возникает ошибка.

localadmin@astra-server:~$ sudo apt install nginx
Чтение списков пакетов… Готово
Построение дерева зависимостей… Готово
Чтение информации о состоянии… Готово         
Следующие НОВЫЕ пакеты будут установлены:
  nginx
Обновлено 0 пакетов, установлено 1 новых пакетов, для удаления отмечено 0 пакетов, и 0 пакетов не обновлено.
Необходимо скачать 0 B/528 kB архивов.
После данной операции объём занятого дискового пространства возрастёт на 1 363 kB.
dpkg: ошибка: требуются права на чтение/записи в каталог базы данных dpkg /var/lib/dpkg
E: Sub-process /usr/bin/dpkg returned an error code (2)

Добавлял его отдельно в sudoers

localadmin ALL=(ALL) NOPASSWD: ALL

Не помогает. Никак понять не могу, что не так с учёткой. Ощущение, что проблема из-за мандатного контроля целостности, но как это починить, непонятно.

Не работают скрипты в SNMP
Про операцию trim на хостах виртуализации pve
Ответ на: комментарий от ZaToWarlock

Обратись в поддержку Astra Linux, это не шутка и не издевательство. Их мандатная система – это фирменная особенность, в других Linux её нет и не будет. Так что это единственное место, где есть люди, что в ней разбираются. Я лично её не знаю, и сильно сомневаюсь, что на этом форуме есть те, кто разбирается.

Vsevolod-linuxoid ★★★★★
()

Гугли по ключевым словам parsec, ilev. Там какая-то штука с уровнями целостности с выставлением «правильных» атрибутов контекста безопасности. Раньше, если запустить apt от рута не с тем уровнем целостности, то система умирала без возможности человеческого восстановления. Видимо в новых версиях это поправили и не дают запускать apt.

Khnazile ★★★★★
()

выполнить sudo -i и переключиться в рута, но даже под ним ничего невозможно сделать. Например при установке пакетов возникает ошибка. Ощущение, что проблема из-за мандатного контроля целостности, но как это починить

Мандатный контроль нужен какраз для того чтобы злыдень даже после получения рута не мог нашалить. Если надо делать админские дела: выключить контроль, сделать дела, включить контроль

imatveev13
()
Ответ на: комментарий от imatveev13

Как вариант, да. Но после смены уровня, надо перезагружаться, а это не всегда возможно на проме.

Записался на курс по безопасности в Astra. Уточню там этот вопрос. Вернусь с ответом.

ZaToWarlock
() автор топика
Ответ на: комментарий от ZaToWarlock

Как вариант, да. Но после смены уровня, надо перезагружаться, а это не всегда возможно на проме.

На проде хорошо накатить новую версию прошивки со всеми новыми пакетами, настройками. Это дает возможность по номеру версии знать какие были изменения.

imatveev13
()
Последнее исправление: imatveev13 (всего исправлений: 1)

Если вдруг кому интересно, повысить уровень целостности пользователю можно всего одной командой.

sudo pdpl-user -i 63 user

Где:

pdpl-user - команда для управления метками пользователя;

-i - ключ для назначения целостности;

63 - значение соответствующее высокому уровню целостности;

user - пользователь, на которого необходимо назначить метку.

Ни в одной официальной открытой документации это не прописано.

Может, кому-нибудь пригодится эта информация.

ZaToWarlock
() автор топика
Не работают скрипты в SNMP
Admin
Про операцию trim на хостах виртуализации pve