Профили безопасности

Зона ответственности: Printum + Заказчик / Интегратор 
 Коротко: Printum поддерживает использование профилей безопасности SELinux для ограничения доступа компонентов системы к ресурсам операционной системы. Профили поставляются отдельно и предназначены для эксплуатации в инфраструктурах с повышенными требованиями информационной безопасности. 
 Требование 
 Система должна обеспечивать возможность ограничения доступа процессов к ресурсам операционной системы и выполнять только разрешённые действия. 
 Применение профилей безопасности позволяет снизить последствия ошибок конфигурации, эксплуатации уязвимостей и компрометации отдельных компонентов системы. 
 Как это реализовано в Printum 
 Для эксплуатации в защищённых контурах поставляются профили безопасности на базе SELinux. 
 Профили реализованы в виде SELinux-модулей и обеспечивают контроль доступа компонентов Printum к ресурсам операционной системы. 
 В комплект поставки входят следующие SELinux-модули: 
 
 printum_global — общие правила безопасности для Мониторинга и ПринтМенеджера; 
 printum_agent — профиль Агента Мониторинга; 
 printum_m_install — профиль установки, обновления и восстановления Мониторинга; 
 printum_pm_install — профиль установки, обновления и восстановления ПринтМенеджера. 
 
 Профили устанавливаются до развёртывания системы и применяются средствами SELinux. 
 Работа профилей предполагает использование режима SELinux Enforcing, при котором разрешены только действия, явно предусмотренные политиками безопасности. 
 Профили реализуют принцип минимально необходимых привилегий: компонентам Printum предоставляется доступ только к тем ресурсам операционной системы, которые требуются для их работы. 
 Что требуется от инфраструктуры 
 Для использования профилей безопасности необходимо: 
 
 использовать операционную систему с поддержкой SELinux; 
 включить SELinux; 
 использовать режим Enforcing. 
 
 Установка и сопровождение профилей выполняются администраторами инфраструктуры заказчика.