В этой статье мы рассмотрим степени защищенности Astra Linux 1.7 разных уровней («Орел», «Воронеж» и «Смоленск»), которые обеспечиваются за счет графического киоска, наличия мандатного контроля целостности и других способов защиты.

Операционная система Astra Linux 1.7 имеет 3 уровня защищенности:

- базовый «Орёл»,

- усиленный – «Воронеж»,

- максимальный «Смоленск».

Установка ОС Astra Linux 1.7.

Начнем с установки ОС Astra Linux 1.7. Дистрибутив один для установки любого из трех вариантов уровней защищенности. В процессе установки надо только выбрать какой вариант защищенности соответствует приобретенной вами лицензии.

Загружаем компоненты с компакт диска, выбираем имя компьютера, пароль, имя учетной записи. При разметке дисков можно выбрать авто, использовать весь диск. После установки базовой системы можно добавить «Ядро hardened».

Потом автоматически идет установка выбранного ПО, затем переходим к дополнительной настройке ОС, где нужно выбрать уровень защищенности.

Базовый уровень защищенности «Орел» соответствует уровню защищенности ОС Astra Linux 1.6 «Орел», его имеет смысл использовать, когда на хосте обрабатывается общедоступная информация. В «Орле» отсутствует замкнутая программная среда, мандатный контроль целостности, очистка памяти и мандатное управление.

В этой версии ОС доступны настройки ОС, изображенные на следующем слайде.

Усиленный уровень защищенности «Воронеж» рекомендуется использовать для обработки информации ограниченного доступа, не содержащих сведения составляющие государственную тайну. После установки ОС будет включен мандатный контроль целостности файловый и процессорный. При установке уровня защищенности «Воронеж» появится красный экран, при установке базового уровня защищенности «Орел» экран будет синим. В ОС «Воронеж» будет использоваться механизм дискредитационного управления доступом, дополнительно можно использовать доступные системные ограничения и функции безопасности ограничивающие действия пользователя. Также будут доступны механизмы очистки памяти и замкнутой программной среды.

Все функции безопасности «Орла» также доступны и в «Воронеже». На следующем слайде дано то, что входит по умолчанию в настройки «Воронежа».

Это мандатный контроль целостности, при его реализации субъектам и сущностям задают уровни целостности (иерархические и неиерархические). Иерархический уровень целостности зарезервирован и не используется, т.е. здесь есть только неиерархические уровни целостности. По умолчанию в ОС есть 4 уровня целостности: 1-a задействован для сетевых служб, 2-й – для виртуализации, 4-й для специального ПО и 8-й - для графического сервера. Обычным пользователям по умолчанию присваивается 0-й уровень целостности (работа на синем экране). Администратору присваивается максимальный 63-й уровень целостности.

Использование мандатного контроля целостности обеспечивает целостность информации путем запрета модификации сущностей с высоким уровнем целостности не доверенными субъектами с более низким уровнем целостности.

Например, у вас есть почтовый сервер на хосте с Astra Linux 1.7, работает он 1-м уровне целостности, а его системные файлы находятся под 63-м уровнем целостности, т.е. уровень целостности файлов много выше и соответственно при такой настройке у демона почтового сервера есть возможность только читать конфигурационные файлы, он не может нарушить их целостность, т.е. их изменить. Это помогает при защите от взлома с использованием уязвимости, если злоумышленник получит удаленные доступ он не сможет изменять конфигурационные файлы.

В версии Astra Linux 1.6 был включен только процессорный контроль целостности, а здесь есть мандатный контроль целостности. Это очень важный механизм защиты.

Замкнутая программная среда позволяет значительно повысить степень защищенности в ОС, поскольку к запуску разрешены только доверенные файлы, есть возможность дополнять список этих файлов. Зловредные файлы запускаться не смогут. Поэтому замкнутую программную среду имеет большой смысл использовать.

- «Очистка освобождаемой внешней памяти» - здесь все понятно.

- «Запрет вывода меню загрузчика» - при этом пользователь не сможет выбирать какое ему ядро загружать, т.е. будет загружаться ядро, выбранное по умолчанию.

- «Запрет трассировки ptrace» - эта настройка запретит отладку и трассировку программного кода. Она включена по умолчанию.

- «Запрос пароля для команды sudo» теперь есть во всех Astra Linux 1.7 начиная с базовой и с более высоким уровнем защищенности, мы вводим Sudo с запросом пароля. Если есть желание, чтобы все оставалось прежним, надо просто снять галочку, и у вас будет sudo без пароля.

- «Запрет установки бита исполнения». При этом будет включен режим запрета исполнения для сценариев и исполняемых файлов для командной оболочки.

- Следующая настройка – «Запрет исполнения скриптов пользователя». Если его включить, то будет запрещено интерактивное использование интерпретаторов пользователю когда он работаете в ОС.

- «Запрет использования макросов пользователя» - при включении будет запрещено использовать макросы в стандартных приложениях ОС.

- «Запрет консоли». Пользователю будет запрещен консольный вход в ОС и запуск консоли в графическом режиме. Т.е. он не сможет запускать терминал работы в графике.

- Если есть желание включить системные ограничения, то следует включить функцию «Системные ограничения ulimit». Эти ограничения описаны в соответствующем файле и все они будут включены.

- «Запрет автонастройки сети». Если ее включаем, то, продолжая устанавливать ОС, автонастройка сетевой карты будет запрещена. Ее нужно будет потом при необходимости настроить вручную.

- Последняя настройка «Местное время для системных часов» включит режим интерпретации показаний аппаратных часов.

Про все настройки рассказали. Дальше идет установка системного загрузчика. На этом установка будет завершена. Нажимаем "Продолжить". И вот сейчас пользователь может выбрать, какое ядро он хочет загрузить. Есть hardened, более безопасное ядро, оно стойкое к ядерным эксплойтам. И ядро generic. Если мы включим настройку "Запрет загрузчика", то мы можем настроить так, что будет загружаться только ядро hardened.

Загрузим generic. Итак, у нас есть только один пользователь Admin 1.

И теперь при входе система спрашивает под каким уровнем целостности хочет войти Admin 1? Выбираем "Высокий", потому что администрирование ОС можно выполнять только под высоким уровнем целостности, т.к. все системные файлы находятся именно под 63-м максимальным уровнем целостности. Кстати, при установки базового «Орла» у нас не было такого вопроса, потому что не было мандатного контроля целостности.

Итак, политика безопасности. Вводим пароль. И мы видим привычный интерфейс, который использовали в версии 1.6. Система пишет - операционная система Astra Linux 1.7, уровень защищенности усиленный "Воронеж".

Настройки: замкнутая программная среда (пока что она не включена на этом компьютере). Код мандатной среды целостности.

Включена защита файловой системы. Монитор безопасности – можно посмотреть, какие системы безопасности включены. Можно создать пользователя User. Пользователь зашел, у него максимальный уровень целостности, такой же, как и минимальный, поэтому ему выбор при установке не предлагается. У него синий экран и нулевой уровень целостности.

Уровни целостности

Подробнее по поводу уровня целостности. Допустим, сейчас admin под высоким уровнем целостности. Можно управлять любым процессом в системе и любыми файлами, которые находятся так же, как и admin, под максимальным уровнем целостности. Есть графический сервер. Он выполняется на четвертом уровне целостности. admin пытается его удалить и это удается сделать. Это корректно, потому что admin имеет на это права. Если admin войдет под низким уровнем целостности, то ему удалить этот сервер система не даст. Любой объект, даже привилегированный, если он работает на низком, минимальном уровне целостности или на уровне целостности сетевой службы, он не имеет доступ к процессам, допущенным на других уровнях целостности.

Какого механизма здесь не хватает по сравнению со "Смоленском"? Здесь не будет управления мандатным доступов. И включить его будет невозможно. Для того, чтобы использовать управление мандатным доступом, нужно будет уставить "Смоленск" Astra Linux 1.7.

Обеспечение безопасности в Astra Linux 1.7 «Смоленск»

В «Смоленске» в дополнительных настройках ОС появляется строчка «Мандатное управление доступом», она доступна по умолчанию.

Что еще нового, по отношению к Astra Linux 1.7 усиленный «Воронеж», появилось в «Смоленске»? Это журнал аудита, здесь собраны в одном приложении различные журналы аудита: системный журнал, журнал авторизации, журнал ядра и другие журналы. «Конфигурация аудита» - тут настраивается сам аудит. «Политика безопасности».

Монитор безопасности показывает какие пункты безопасности включены.

Создав пользователя, даем ему низкий уровень целостности, при этом цветовая гамма не изменяется.

Репозитории MAIN, BASE и EXTENDED

Чтобы получить доступ к репозиториям надо скачать соответствующий архив разработчика, потом нужно будет организовать на локальном компьютере репозиторий BASE, там будет находится все содержимое основного диска, а также дополнительные пакеты, ранее находящиеся на диске со средствами разработки.

Для Astra Linux 1.7 будет существовать 3 репозитория: MAIN, BASE и EXTENDED. MAIN – установочный диск, который по умолчанию подключен, BASE – диск со средствами разработки и EXTENDED – это доступный через интернет расширенный внешний репозиторий. Не рекомендуется использовать репозитории прошлых версий Astra Linux.

Графический киоск

Графический киоск Astra Linux 1.7. позволяет пользователю запускать только те приложения, которые явно указаны в его профиле. В Astra Linux 1.7 есть два киоска – графический и системный. Графический киоск менее безопасный, потому что его ограничения действуют только на уровне графической системы. Ограничения системного киоска действуют на уровне ядра, т.е. он более безопасный. Возможно клиенту и не нужен максимальный уровень безопасности.

Если настроить графический киоск, то пользователь сможет видеть на рабочем столе ярлыки только тех приложений, которые ему доступны. Настройки делаются под каждого пользователя, в соответствующем окне надо добавить доступные этому пользователю приложения. Но если пользователь получит доступ к консоли, то он сможет запускать любые приложения, поэтому не надо давать пользователю возможность запускать консоль. В результате пользователь сможет работать только с разрешенными ему ярлыками. Можно дать возможность разрешать запуск некоторых приложений пользователя, например браузера, в песочнице. Есть возможность даже сделать доступным автозапуск некоторых выбранных приложений.

2023-07-04 12:36:58
Геннадий Ветров
 Готовые решения Astra Linux

Сейчас на главной

12 мая 2024 г., 21:09:57
Автоматизация связи в транспортной отрасли на базе оборудования «Агат-РТ»

Мероприятие «Агат-РТ», российской производственной компании-разработчика решений по автоматизации всех вопросов телефонии. Он посвящен организации связи на транспорте.

Статьи Готовые решения «Агат-РТ»
10 мая 2024 г., 22:13:40
РОСА Центр управления и Dynamic Directory: централизованное управление инфраструктурой

Мероприятие OCS и НТЦ ИТ РОСА, российского разработчика системного и инфраструктурного ПО. Здесь поговорим про набор сервисов, необходимый для централизованного управления ИТ-инфраструктурой, куда вошли подсистема службы каталогов Dynamic Directory и РОСА Центр управления, которая решает задачи по управлению конфигурациями ПК и обновлению и распространению ПО.

Статьи Готовые решения «НТЦ ИТ РОСА»
16 апр. 2024 г., 18:19:36
Как реализовать проект VDI: на примере кейса Уральской инженерной школы

Мероприятие дистрибьюторской компании OCS, а также российского разработчика системного и инфраструктурного ПО НТЦ ИТ РОСА и российского разработчика высокопроизводительных решений, расчётных комплексов и систем визуализации Forsite. На этом мероприятии спикеры компаний рассказали, как создать полностью функциональное и эффективное решение VDI с использованием серверов Forsite на базе отечественного программного обеспечения Rosa Virtualization и LoudPlay.

Статьи Готовые решения «НТЦ ИТ РОСА»
9 апр. 2024 г., 12:15:40
Средства информационной безопасности для ОС Astra Linux

Совместное мероприятие компаний OCS, «‎Группы Астра» и «Цифровые технологии» посвящено теме обеспечения безопасности контура средствами ОС Astra Linux. Спикеры говорят о настройке рабочего места для электронной подписи и безопасного обмена документами на примере программного средства Крипто АРМ ГОСТ и КриптоПро CSP. Темы выступлений спикеров: «Обеспечение контура безопасности средствами ОС Astra Linux» и «Особенности установки, настройки и эксплуатации криптографических средств на ОС Astra Linux Special Edition».

Статьи ПО и Приложения ГК "Астра"
8 апр. 2024 г., 10:00:00
Краткое введение в актуальные тренды крипто-индустрии и знакомство с платформой Telegram Open Network (TON)

Сегодня разговор пойдет в первую очередь о действиях на блокчейн TON (Telegram Open Network), касаемый других платформ.

Статьи Финансы Telegram
1 апр. 2024 г., 16:47:50
Инструменты MIND для миграции и защиты виртуальной инфраструктуры

Сегодняшнее мероприятие ведет Антон Банчуков – менеджер по развитию бизнеса компании MIND. MIND – это российская компания, основанная в 2021 году, она образована сотрудниками разных западных вендоров. Основной задачей компании является разработка программного обеспечения для обеспечения мобильности виртуальных сервисов и серверов.

Статьи Готовые решения MIND
26 мар. 2024 г., 15:48:01
Развитие платформы Space VDI: новый функционал и особенности релизов 5.3-5.4

Мероприятие OCS и «ДАКОМ М», российского разработчика импортозамещающей экосистемы виртуализации Space. Мероприятие посвящено обзору платформы Space VDI: ключевым нововведениям в релизах 5.3 и 5.4, а также вопросам адаптивности Space VDI к изменяющимся требованиям и оптимальному использованию ресурсов. Space VDI ждут серьёзные изменения, направленные на повышение отказоустойчивости решения, реализацию новых функций и увеличение общей производительности системы.

Статьи ДАКОМ М
18 мар. 2024 г., 19:48:58
EKF Connect Industry: IIoT сделана в России

На вопросы аналитического отдела iXBT.pro отвечает Артём Сергеев, директор бизнес-юнита Новые бизнесы EKF

Статьи
14 мар. 2024 г., 10:00:00
«Базис» представил импортонезависимую экосистему решений для виртуализации ИТ-инфраструктуры

(erid: 2VtzqxQgVfr) «Базис», российский разработчик решений для организации динамической инфраструктуры, виртуальных рабочих мест и оказания облачных услуг, первым в России представил импортонезависимую экосистему продуктов и технологий виртуализации с собственной кодовой базой. Входящие в состав экосистемы решения помогают заказчикам повысить долю использования отечественного ПО в рамках стратегий цифровой трансформации и соответствуют требованиям государства в части надежности и безопасности.

Статьи Технологии и продукты «Базис»
10 мар. 2024 г., 14:09:28
Обзор возможностей решения Universe Data Governance

Мероприятие OCS и DIS Group, российской IT-компании, которая предлагает решения в области управления данными, бизнес-аналитики, защиты информации, а также осуществляет консалтинг и внедрение проектов по данным направлениям. В рамках мероприятия будет проведён обзор основных сценариев использования, возможностей инструмента с точки зрения пользователей и администраторов решения.

Статьи Готовые решения DIS Group
Все новости