МКЦ (мандатный контроль целостности) — открытая часть
Tessera интегрируется с МКЦ Astra Linux SE (Biba): X.509-сертификат несёт
потолок уровня целостности сессии (расширение pam_cert_max_integrity),
эффективная метка сессии = min(потолок_из_серта, МНКЦ_пользователя)
покомпонентно.
Что в открытой части
Заголовок раздела «Что в открытой части»| Компонент | Где |
|---|---|
SPI MacBackend + StubBackend | crates/tessera_core/src/mac/backend.rs |
Политика ([mac].cert_integrity = required/optional/ignore; [mac].runtime = required/auto/disabled) | mac/orchestrator.rs |
| Алгебра меток (level i8 + categories u64, DER-кодек) | mac/label.rs |
Audit-события mac_* / integrity_* (target mac.audit) | mac/audit.rs |
Конфиг-секция [mac] | config/ |
Вся логика принятия решения открыта и аудируема.
Что в коммерческой поставке
Заголовок раздела «Что в коммерческой поставке»Реальное применение меток к ядру (ParsecBackend: libpdp/libparsec FFI),
активация на strict-mode (capdb, systemd drop-in, PAMName), защита
конфигурации МКЦ-метками и полная интеграционная документация — в составе
коммерческого пакета (tessera-enterprise). Контакт — см.
LICENSE.commercial.
Поведение открытой сборки
Заголовок раздела «Поведение открытой сборки»- Backend всегда
StubBackend(no-op enforcement). [mac].cert_integrity = "required"или[mac].runtime = "required"— отвергаются на валидации конфига: открытая сборка не имитирует enforcement молча.optional/ignore/auto/disabled— работают (политика вычисляется, события эмитятся, метка не применяется).
Граница МКЦ / МРД
Заголовок раздела «Граница МКЦ / МРД»Astra SE несёт два независимых мандатных механизма PARSEC:
- МКЦ (мандатный контроль целостности, Biba) — целостность. Единственная
ось, которую Tessera назначает: метка сессии,
mac_maskроли, потолокpam_cert_max_integrity. - МРД (мандатное разграничение доступа, Белла—ЛаПадулы; активно на уровне защищённости «Смоленск») — конфиденциальность. Назначается штатными механизмами ОС. Tessera не назначает, не выбирает и не изменяет уровень конфиденциальности (поле 0 parsec-метки).
Системы с активным МРД не поддерживаются: Tessera работает только с осью целостности и не имеет модели для оси конфиденциальности. Любая запись parsec-метки (сессия, файл, дескриптор) сохраняет существующее поле конфиденциальности цели без изменений — понижение уровня невозможно.
Startup-check mac_mrd_active
Заголовок раздела «Startup-check mac_mrd_active»Демон детектит активный МРД на старте (и в tessera check). Единый код записи
mac_mrd_active; серьёзность зависит от [mac].runtime и состояния probe’а
(в открытой сборке probe возвращает Unknown):
[mac].runtime | МРД Active | МРД Unknown | МРД Inactive |
|---|---|---|---|
required | ERROR — демон не стартует | WARN | INFO |
auto | WARN — конфигурация не поддерживается, демон стартует | INFO | INFO |
disabled | INFO | INFO | INFO |
ERROR подчиняется общему fail-closed-гейту startup-check: демон отказывается
стартовать. Режимы auto/disabled — осознанное принятие неподдерживаемой
конфигурации.
Расширение сертификата
Заголовок раздела «Расширение сертификата»pam_cert_max_integrity, OID 2.25.273824307386008814506455310913083078403,
SEQUENCE { level INTEGER (-128..127), categories BIT STRING DEFAULT ''B },
non-critical. Выпуск — см. cert-issuance.md.