Перейти к содержимому

МКЦ (мандатный контроль целостности) — открытая часть

Tessera интегрируется с МКЦ Astra Linux SE (Biba): X.509-сертификат несёт потолок уровня целостности сессии (расширение pam_cert_max_integrity), эффективная метка сессии = min(потолок_из_серта, МНКЦ_пользователя) покомпонентно.

КомпонентГде
SPI MacBackend + StubBackendcrates/tessera_core/src/mac/backend.rs
Политика ([mac].cert_integrity = required/optional/ignore; [mac].runtime = required/auto/disabled)mac/orchestrator.rs
Алгебра меток (level i8 + categories u64, DER-кодек)mac/label.rs
Audit-события mac_* / integrity_* (target mac.audit)mac/audit.rs
Конфиг-секция [mac]config/

Вся логика принятия решения открыта и аудируема.

Реальное применение меток к ядру (ParsecBackend: libpdp/libparsec FFI), активация на strict-mode (capdb, systemd drop-in, PAMName), защита конфигурации МКЦ-метками и полная интеграционная документация — в составе коммерческого пакета (tessera-enterprise). Контакт — см. LICENSE.commercial.

  • Backend всегда StubBackend (no-op enforcement).
  • [mac].cert_integrity = "required" или [mac].runtime = "required"отвергаются на валидации конфига: открытая сборка не имитирует enforcement молча.
  • optional / ignore / auto / disabled — работают (политика вычисляется, события эмитятся, метка не применяется).

Astra SE несёт два независимых мандатных механизма PARSEC:

  • МКЦ (мандатный контроль целостности, Biba) — целостность. Единственная ось, которую Tessera назначает: метка сессии, mac_mask роли, потолок pam_cert_max_integrity.
  • МРД (мандатное разграничение доступа, Белла—ЛаПадулы; активно на уровне защищённости «Смоленск») — конфиденциальность. Назначается штатными механизмами ОС. Tessera не назначает, не выбирает и не изменяет уровень конфиденциальности (поле 0 parsec-метки).

Системы с активным МРД не поддерживаются: Tessera работает только с осью целостности и не имеет модели для оси конфиденциальности. Любая запись parsec-метки (сессия, файл, дескриптор) сохраняет существующее поле конфиденциальности цели без изменений — понижение уровня невозможно.

Демон детектит активный МРД на старте (и в tessera check). Единый код записи mac_mrd_active; серьёзность зависит от [mac].runtime и состояния probe’а (в открытой сборке probe возвращает Unknown):

[mac].runtimeМРД ActiveМРД UnknownМРД Inactive
requiredERROR — демон не стартуетWARNINFO
autoWARN — конфигурация не поддерживается, демон стартуетINFOINFO
disabledINFOINFOINFO

ERROR подчиняется общему fail-closed-гейту startup-check: демон отказывается стартовать. Режимы auto/disabled — осознанное принятие неподдерживаемой конфигурации.

pam_cert_max_integrity, OID 2.25.273824307386008814506455310913083078403, SEQUENCE { level INTEGER (-128..127), categories BIT STRING DEFAULT ''B }, non-critical. Выпуск — см. cert-issuance.md.