Здравствуйте, уважаемые читатели моего блога!
Сегодня я расскажу Вам две интересные истории двух разных людей, которые начинали своё знакомство с операционной системой Astra Linux 1.7.5.
Объединять их будет злосчастный механизм мандатного контроля целостности, который начинающие администраторы используют в основном для лишения себя административных прав.
Но не только начинающие администраторы испытывают проблемы при работе с МКЦ, даже крупные хостеры, которым лень разбираться в работе операционной системы, допускают ошибки.
История 1. Это не баг, а фича.
Ранним утром я получил сообщение от пользователя – счастливого обладателя нового виртуального сервера с операционной системой Astra Linux 1.7.5 на борту (ещё помню подумал, вот оно, импортозамещение – шагает по стране).
Получив вожделенный логин и пароль от учётной записи root и подключившись через Putty, пользователь попытался создать новую учётную запись для администрирования операционной системы – но вместо нового пользователя он получил ошибку прав доступа.
Пользователь попытался создать файл в каталоге etc и также получил отказ. Вроде бы root, а прав не хватает.
Зайдя к нему на сервер, я уже понимал, что дело скорее всего в МКЦ.
Любой, кто изучал работу операционной системы Astra Linux, или хотя бы устанавливал её – знает, что после установки в системе создан пользователь, включенный в группу astra-admin, позволяющую осуществлять административные действия (на самом деле магия в /etc/sudoers, а не в этой группе, но не об этом сейчас). Кроме того, первый пользователь имеет высокий МКЦ, который также требуется для администрирования.
Собственно, эту «первородную» учётную запись пользователя я и хотел найти.
Но каково же было моё удивление, когда я обнаружил, что она удалена. Напоминал о ней файл /etc/parsec/micdb/1000 с содержанием user:3f и записи в файле /etc/group (то есть удалена она была каким-то странным путём).
Специально уточнил – «После покупки Вам дали только логин и пароль от root?» – «Да, только от него». Не поверил, посмотрел .bash_history в root, ничего подозрительного.
То есть пользователь user действительно обладал высоким МКЦ, но по решению (ошибке?) хостера был удалён из системы.
Выйти из этой ситуации можно довольно просто, установив максимальный уровень целостности равным 0 через GRUB, но пароль от него мы не знали. Можно было вступить в бой с МКЦ и обойти его, но на это требовалось время, которое я не хотел тратить.
Я посоветовал обратиться к хостеру, но поглядев на систему ещё пару минут, обнаружил гениальный замысел последнего – уровни целостности файлов /etc/passwd и /etc/shadow были нулевыми.
То есть ещё раз – МКЦ активен, каталог /etc и все файлы кроме passwd и shadow имеют высокий уровень целостности. Извращение? Лайфхак? Баг? Фича? Не знаю.
Текстовый редактор жаловался на невозможность создать файл блокировки, так как директория etc была с уровнем 63, но это не помешало добавить строчку с новым-старым пользователем user (в shadow для удобства я просто скопировал хеш пользователя root).
Так как конфигурационные файлы уже присутствовали в системе, всё встало на свои места.
Войдя в систему с использованием учётной записи user я получил полный доступ, не ограниченный МКЦ.
Посоветовал обратиться к хостеру и рассказать об этом инциденте.
Напоминаю, что если Вам помогла эта статья, Вы можете помочь мне развивать этот сайт (хотя бы оплачивая аренду сервера). Для этого введите любую сумму в окно ниже и нажмите поддержать (принимаются любые виды оплаты).
История 2. Самоустранение от исполнения обязанностей по администрированию.
Спустя пару недель мне написал студент, у которого раньше был красный экран, а потом только синий. Политика безопасности не работает – «всё плохо».
Сразу подумал на МКЦ. Стало интересно, каким образом человек лишил себя прав. Ранее я уже описывал подобный случай (ссылка), но тут человек пошёл другим путём и назначил учётной записи-администратору максимальные категории МРД (во вкладке МРД у категорий галочки на максимуме и на минимуме одновременно).
То есть заходя в систему под 0 уровнем доступа, он всё равно работал с категориями.
То, что зайти в высокий уровень целостности с уровнем доступа выше 0 нельзя, я знал.
А вот о том, что с категориями та же история – не задумывался. Оказывается, принцип тот же самый – хочешь администрировать систему, отключай категории.
Благо, в этот раз пользователь сам устанавливал операционную систему и помнил пароль GRUB (моё почтение).
Далее дело техники – GRUB, нажать E, ввести пароль, установить параметры init=/bin/bash и rw, нажать F10.
Попадаем в систему, редактируем /etc/parsec/micdb/1000, выставляя всё «по нулям». Выполняем exec init 5 и заходим в систему без категорий и уровней доступа, настраиваем ещё раз, но с умом. Happy End.
На сегодня это всё, хорошего Вам дня и до встречи.
