# Защита среды исполнения

# Мандатное управление доступом

**Зона ответственности:** Printum + Заказчик / Интегратор

**Коротко:** Printum поддерживает работу в средах, использующих мандатное управление доступом на базе SELinux. Ограничения доступа процессов реализуются средствами операционной системы и профилей безопасности.

## Требование

Система должна обеспечивать возможность эксплуатации в средах, использующих мандатное управление доступом.

Мандатное управление доступом позволяет ограничивать действия процессов независимо от полномочий пользователя и предотвращать выполнение несанкционированных операций.

## Как это реализовано в Printum

Поддержка мандатного управления доступом реализуется за счёт использования SELinux и специализированных профилей безопасности для компонентов Printum.

При использовании SELinux в режиме Enforcing процессы Мониторинга, ПринтМенеджера и Агентов работают в соответствии с установленными политиками безопасности и могут выполнять только разрешённые действия.

Ограничения доступа определяются профилями безопасности и контролируются средствами операционной системы.

Такой подход позволяет реализовать принцип:

> запрещено всё, что явно не разрешено политикой безопасности.

## Что требуется от инфраструктуры

Для использования мандатного управления доступом необходимо:

- использовать операционную систему с поддержкой SELinux;
- включить SELinux;
- установить профили безопасности Printum;
- использовать режим Enforcing.

Настройка и сопровождение SELinux выполняются администраторами инфраструктуры заказчика.

## Ограничения и особенности

Мандатное управление доступом обеспечивается средствами операционной системы и не функционирует при отключённом SELinux.

# Профили безопасности

**Зона ответственности:** Printum + Заказчик / Интегратор

**Коротко:** Printum поддерживает использование профилей безопасности SELinux для ограничения доступа компонентов системы к ресурсам операционной системы. Профили поставляются отдельно и предназначены для эксплуатации в инфраструктурах с повышенными требованиями информационной безопасности.

## Требование

Система должна обеспечивать возможность ограничения доступа процессов к ресурсам операционной системы и выполнять только разрешённые действия.

Применение профилей безопасности позволяет снизить последствия ошибок конфигурации, эксплуатации уязвимостей и компрометации отдельных компонентов системы.

## Как это реализовано в Printum

Для эксплуатации в защищённых контурах поставляются профили безопасности на базе SELinux.

Профили реализованы в виде SELinux-модулей и обеспечивают контроль доступа компонентов Printum к ресурсам операционной системы.

В комплект поставки входят следующие SELinux-модули:

- **printum\_global** — общие правила безопасности для Мониторинга и ПринтМенеджера;
- **printum\_agent** — профиль Агента Мониторинга;
- **printum\_m\_install** — профиль установки, обновления и восстановления Мониторинга;
- **printum\_pm\_install** — профиль установки, обновления и восстановления ПринтМенеджера.

Профили устанавливаются до развёртывания системы и применяются средствами SELinux.

Работа профилей предполагает использование режима SELinux Enforcing, при котором разрешены только действия, явно предусмотренные политиками безопасности.

Профили реализуют принцип минимально необходимых привилегий: компонентам Printum предоставляется доступ только к тем ресурсам операционной системы, которые требуются для их работы.

## Что требуется от инфраструктуры

Для использования профилей безопасности необходимо:

- использовать операционную систему с поддержкой SELinux;
- включить SELinux;
- использовать режим Enforcing.

Установка и сопровождение профилей выполняются администраторами инфраструктуры заказчика.