Поиск по публикациям и новостям

В этой статье мы рассмотрим степени защищенности Astra Linux 1.7 разных уровней («Орел», «Воронеж» и «Смоленск»), которые обеспечиваются за счет графического киоска, наличия мандатного контроля целостности и других способов защиты.

Операционная система Astra Linux 1.7 имеет 3 уровня защищенности:

- базовый «Орёл»,

- усиленный – «Воронеж»,

- максимальный «Смоленск».

Установка ОС Astra Linux 1.7.

Начнем с установки ОС Astra Linux 1.7. Дистрибутив один для установки любого из трех вариантов уровней защищенности. В процессе установки надо только выбрать какой вариант защищенности соответствует приобретенной вами лицензии.

Загружаем компоненты с компакт диска, выбираем имя компьютера, пароль, имя учетной записи. При разметке дисков можно выбрать авто, использовать весь диск. После установки базовой системы можно добавить «Ядро hardened».

Потом автоматически идет установка выбранного ПО, затем переходим к дополнительной настройке ОС, где нужно выбрать уровень защищенности.

Базовый уровень защищенности «Орел» соответствует уровню защищенности ОС Astra Linux 1.6 «Орел», его имеет смысл использовать, когда на хосте обрабатывается общедоступная информация. В «Орле» отсутствует замкнутая программная среда, мандатный контроль целостности, очистка памяти и мандатное управление.

В этой версии ОС доступны настройки ОС, изображенные на следующем слайде.

Усиленный уровень защищенности «Воронеж» рекомендуется использовать для обработки информации ограниченного доступа, не содержащих сведения составляющие государственную тайну. После установки ОС будет включен мандатный контроль целостности файловый и процессорный. При установке уровня защищенности «Воронеж» появится красный экран, при установке базового уровня защищенности «Орел» экран будет синим. В ОС «Воронеж» будет использоваться механизм дискредитационного управления доступом, дополнительно можно использовать доступные системные ограничения и функции безопасности ограничивающие действия пользователя. Также будут доступны механизмы очистки памяти и замкнутой программной среды.

Все функции безопасности «Орла» также доступны и в «Воронеже». На следующем слайде дано то, что входит по умолчанию в настройки «Воронежа».

Это мандатный контроль целостности, при его реализации субъектам и сущностям задают уровни целостности (иерархические и неиерархические). Иерархический уровень целостности зарезервирован и не используется, т.е. здесь есть только неиерархические уровни целостности. По умолчанию в ОС есть 4 уровня целостности: 1-a задействован для сетевых служб, 2-й – для виртуализации, 4-й для специального ПО и 8-й - для графического сервера. Обычным пользователям по умолчанию присваивается 0-й уровень целостности (работа на синем экране). Администратору присваивается максимальный 63-й уровень целостности. 

Использование мандатного контроля целостности обеспечивает целостность информации путем запрета модификации сущностей с высоким уровнем целостности не доверенными субъектами с более низким уровнем целостности.

Например, у вас есть почтовый сервер на хосте с Astra Linux 1.7, работает он 1-м уровне целостности, а его системные файлы находятся под 63-м уровнем целостности, т.е. уровень целостности файлов много выше и соответственно при такой настройке у демона почтового сервера есть возможность только читать конфигурационные файлы, он не может нарушить их целостность, т.е. их изменить. Это помогает при защите от взлома с использованием уязвимости, если злоумышленник получит удаленные доступ он не сможет изменять конфигурационные файлы. 

В версии Astra Linux 1.6 был включен только процессорный контроль целостности, а здесь есть мандатный контроль целостности. Это очень важный механизм защиты.

Замкнутая программная среда позволяет значительно повысить степень защищенности в ОС, поскольку к запуску разрешены только доверенные файлы, есть возможность дополнять список этих файлов. Зловредные файлы запускаться не смогут. Поэтому замкнутую программную среду имеет большой смысл использовать.

- «Очистка освобождаемой внешней памяти» - здесь все понятно.

- «Запрет вывода меню загрузчика» - при этом пользователь не сможет выбирать какое ему ядро загружать, т.е. будет загружаться ядро, выбранное по умолчанию.

- «Запрет трассировки ptrace» - эта настройка запретит отладку и трассировку программного кода. Она включена по умолчанию. 

- «Запрос пароля для команды sudo» теперь есть во всех Astra Linux 1.7 начиная с базовой и с более высоким уровнем защищенности, мы вводим Sudo с запросом пароля. Если есть желание, чтобы все оставалось прежним, надо просто снять галочку, и у вас будет sudo без пароля. 

- «Запрет установки бита исполнения». При этом будет включен режим запрета исполнения для сценариев и исполняемых файлов для командной оболочки.

- Следующая настройка – «Запрет исполнения скриптов пользователя». Если его включить, то будет запрещено интерактивное использование интерпретаторов пользователю когда он работаете в ОС. 

- «Запрет использования макросов пользователя» - при включении будет запрещено использовать макросы в стандартных приложениях ОС.

- «Запрет консоли». Пользователю будет запрещен консольный вход в ОС и запуск консоли в графическом режиме. Т.е. он не сможет запускать терминал работы в графике. 

- Если есть желание включить системные ограничения, то следует включить функцию «Системные ограничения ulimit». Эти ограничения описаны в соответствующем файле и все они будут включены.

- «Запрет автонастройки сети». Если ее включаем, то, продолжая устанавливать ОС, автонастройка сетевой карты будет запрещена. Ее нужно будет потом при необходимости настроить вручную.

- Последняя настройка «Местное время для системных часов» включит режим интерпретации показаний аппаратных часов.

Про все настройки рассказали. Дальше идет установка системного загрузчика. На этом установка будет завершена. Нажимаем "Продолжить". И вот сейчас пользователь может выбрать, какое ядро он хочет загрузить. Есть hardened, более безопасное ядро, оно стойкое к ядерным эксплойтам. И ядро generic. Если мы включим настройку "Запрет загрузчика", то мы можем настроить так, что будет загружаться только ядро hardened. 

Загрузим generic. Итак, у нас есть только один пользователь Admin 1. 

И теперь при входе система спрашивает под каким уровнем целостности хочет войти Admin 1? Выбираем "Высокий", потому что администрирование ОС можно выполнять только под высоким уровнем целостности, т.к. все системные файлы находятся именно под 63-м максимальным уровнем целостности. Кстати, при установки базового «Орла» у нас не было такого вопроса, потому что не было мандатного контроля целостности.

Итак, политика безопасности. Вводим пароль. И мы видим привычный интерфейс, который использовали в версии 1.6. Система пишет - операционная система Astra Linux 1.7, уровень защищенности усиленный "Воронеж". 

Настройки: замкнутая программная среда (пока что она не включена на этом компьютере). Код мандатной среды целостности. 

Включена защита файловой системы. Монитор безопасности – можно посмотреть, какие системы безопасности включены. Можно создать пользователя User. Пользователь зашел, у него максимальный уровень целостности, такой же, как и минимальный, поэтому ему выбор при установке не предлагается. У него синий экран и нулевой уровень целостности.

Уровни целостности

Подробнее по поводу уровня целостности. Допустим, сейчас admin под высоким уровнем целостности. Можно управлять любым процессом в системе и любыми файлами, которые находятся так же, как и admin, под максимальным уровнем целостности. Есть графический сервер. Он выполняется на четвертом уровне целостности. admin пытается его удалить и это удается сделать. Это корректно, потому что admin имеет на это права. Если admin войдет под низким уровнем целостности, то ему удалить этот сервер система не даст. Любой объект, даже привилегированный, если он работает на низком, минимальном уровне целостности или на уровне целостности сетевой службы, он не имеет доступ к процессам, допущенным на других уровнях целостности.

Какого механизма здесь не хватает по сравнению со "Смоленском"? Здесь не будет управления мандатным доступов. И включить его будет невозможно. Для того, чтобы использовать управление мандатным доступом, нужно будет уставить "Смоленск" Astra Linux 1.7.

Обеспечение безопасности в Astra Linux 1.7 «Смоленск»

В «Смоленске» в дополнительных настройках ОС появляется строчка «Мандатное управление доступом», она доступна по умолчанию.

Что еще нового, по отношению к Astra Linux 1.7 усиленный «Воронеж», появилось в «Смоленске»? Это журнал аудита, здесь собраны в одном приложении различные журналы аудита: системный журнал, журнал авторизации, журнал ядра и другие журналы. «Конфигурация аудита» - тут настраивается сам аудит. «Политика безопасности».

Монитор безопасности показывает какие пункты безопасности включены.

Создав пользователя, даем ему низкий уровень целостности, при этом цветовая гамма не изменяется.

Репозитории MAIN, BASE и EXTENDED

Чтобы получить доступ к репозиториям надо скачать соответствующий архив разработчика, потом нужно будет организовать на локальном компьютере репозиторий BASE, там будет  находится все содержимое основного диска, а также дополнительные пакеты, ранее находящиеся на диске со средствами разработки.

Для Astra Linux 1.7 будет существовать 3 репозитория: MAIN, BASE и EXTENDED. MAIN – установочный диск, который по умолчанию подключен, BASE – диск со средствами разработки и EXTENDED – это доступный через интернет расширенный внешний репозиторий. Не рекомендуется использовать репозитории прошлых версий Astra Linux.

Графический киоск

Графический киоск Astra Linux 1.7. позволяет пользователю запускать только те приложения, которые явно указаны в его профиле. В Astra Linux 1.7 есть два киоска – графический и системный. Графический киоск менее безопасный, потому что его ограничения действуют только на уровне графической системы. Ограничения системного киоска действуют на уровне ядра, т.е. он более безопасный. Возможно клиенту и не нужен максимальный уровень безопасности.

Если настроить графический киоск, то пользователь сможет видеть на рабочем столе ярлыки только тех приложений, которые ему доступны. Настройки делаются под каждого пользователя, в соответствующем окне надо добавить доступные этому пользователю приложения. Но если пользователь получит доступ к консоли, то он сможет запускать любые приложения, поэтому не надо давать пользователю возможность запускать консоль. В результате пользователь сможет работать только с разрешенными ему ярлыками. Можно дать возможность разрешать запуск некоторых приложений пользователя, например браузера, в песочнице. Есть возможность даже сделать доступным автозапуск некоторых выбранных приложений. 

2023-07-04 12:36:58
Геннадий Ветров
 Готовые решения Astra Linux

Сейчас на главной

1 апр. 2025 г., 09:47:22
Линейно-интерактивный ИБП Ippon Pacific 1000: стабильная энергия для малого бизнеса

ИБП Ippon Pacific 1000 — устройство, которое отлично вписывается в сценарии использования, характерные для совсем небольшого офиса или рабочих мест предпринимателей-фрилансеров. Устройство эффективно защищает подключенное оборудование от перепадов напряжения и кратковременных отключений электропитания. Диапазон доступных настроек достаточен для разных сфер применения, ИБП будет одинаково уместно смотреться и на рабочем месте фрилансера, и в составе серверной стойки.

29 мар. 2025 г., 22:14:16
«Полигон»: оборудование для ИТ-инфраструктуры

Мероприятие научно-производственного предприятия «Полигон», ведущего российского производителя сетевого оборудования. В рамках встречи Иван Лялин, коммерческий директор ООО «ТВК Инзер» (ГК АО НПП «Полигон»), рассказал о структуре компании, разработках, особенностях производства, а также работе с партнёрами.

10 мар. 2025 г., 20:36:49
Проверьте вашу мотивацию движения к цели

Продолжаем разговор о технологии достижения результата.

6 мар. 2025 г., 11:46:57
IT-эксперт о потерянных $1,46 млрд Bybit: как технически стало возможным крупнейшее в истории крипто-ограбление

Криптовалютный рынок продолжает привлекать внимание как инвесторов, так и злоумышленников. Недавно произошел громкий инцидент в сфере безопасности, который поставил под угрозу репутацию одной из крупнейших криптобирж в мире — Bybit. По оценкам экспертов, хакеры смогли украсть рекордные $1,46 млрд. Это событие стало самой масштабной цифровой кражей в истории.

27 февр. 2025 г., 15:08:11
Российский рынок корпоративного ПО: перспективы роста и ключевые тренды

Российский рынок корпоративного программного обеспечения демонстрирует уверенный рост, который, согласно исследованию консалтинговой компании Strategy Partners, в среднем составит 24% ежегодно до 2030 года. В результате его объем превысит 700 млрд рублей, а общая емкость ИТ-рынка может достигнуть 7 трлн рублей. Ключевыми факторами роста остаются цифровая трансформация бизнеса, импортозамещение и активная государственная поддержка отрасли

20 февр. 2025 г., 21:40:23
Новости линейки IP-телефонов Flat-Phone

Мероприятие «Флат-ПРО», российского разработчика программно-аппаратных решений в области связи. Встреча посвящена итогам первого года продаж IP-телефонов компании, продуктовой линейке устройств «Флат-ПРО», а также планам и перспективам её развития в 2025 году.

17 февр. 2025 г., 17:44:19
PT NAD и PT Sandbox - защита от целевых атак

Мероприятие серии «ПРОдемо:Лаборатория программных решений» — специального проекта команды OCS Soft. В рамках встречи Дмитрий Щербатюк, пресейл-эксперт по информационной безопасности OCS, рассказал о системе поведенческого анализа сетевого трафика для обнаружения скрытых кибератак PT NAD и экспертной песочнице для защиты от сложного вредоносного ПО и угроз нулевого дня PT Sandbox.

13 февр. 2025 г., 12:06:48
Формула изменений: проверьте себя на готовность к изменениям

Продолжаем разговор о технологии достижения результата. В первой статье мы говорили об алгоритме постановки цели, который соответствует данным нейрофизиологии. Надеюсь, вам удалось качественно сформулировать свою актуальную цель.

6 февр. 2025 г., 19:36:17
Максим БРЫКСИН: "Эстетика, технологичность, последние тренды – как все это совместить в крупной бытовой технике»?

Актуальная задача для производителя, предлагающего свои продукты для пользователя и его дома, – предоставить максимально комфортные решения, которые не только упростят жизнь, но и подарят наслаждение от его использования. Какие новые решения могут быть реализованы у вас дома и помогут по-новому организовать ваше время и пространство рассказал Максим Брыксин, менеджер по продукту компании Midea.

30 янв. 2025 г., 14:43:18
Синергия железа и ПО: что появилось в результате партнерства двух крупных игроков российского рынка ИТ

С цифровизацией бизнеса и госуправления каждый год растут объемы обработки данных и потребности в ресурсах для их хранения. Российские вендоры благодаря наработанному опыту и профессиональным командам разрабатывают и производят передовые отечественные решения.

27 янв. 2025 г., 01:12:37
Как правильно сформулировать вашу актуальную цель, чтобы мозг понимал вас

Тема постановки цели и достижения результата очень популярна сейчас. И это не только модное веяние времени. Деятельность человека целенаправленна. Так звучит одна из аксиом науки праксеологии – теории о человеческой деятельности. Существует масса рекомендаций о постановке целей. Как понять, к каким советам нужно прислушаться?

26 янв. 2025 г., 21:11:03
Обзор продуктового портфеля и новинок М3 Mobile

Мероприятие OCS и М3 Mobile, мирового производителя защищенных портативных компьютеров для предприятий. Более 20 лет компания создает промышленные и корпоративные терминалы сбора данных (ТСД), а также устройства для сфер розничной торговли и логистики.

Все новости