Отображение дочерних |
---|
Оглавление |
---|
Информация | ||
---|---|---|
| ||
|
Замкнутая программная среда
Режим замкнутой программной среды (ЗПС) представляет собой механизм проверки целостности (неизменности) файлов. Механизм ЗПС реализован в виде невыгружаемого модуля ядра Astra Linux (модуль digsig_verif), выполняющего проверку встроенной электронной цифровой подписи файлов (ЭЦП). Проверка применяется к файлам формата ELF (исполнямым файлам и разделяемым библиотекам, далее - файлам) при запуске их выполнения и может осуществляться в следующих режимах:
- запрещается выполнение файлов, имеющих неверную ЭЦП или не имеющих ЭЦП
Средства создания замкнутой программной среды предоставляют возможность внедрения цифровой подписи в исполняемые файлы формата ELF, входящие в состав устанавливаемого СПО.
Механизм контроля целостности исполняемых файлов и разделяемых библиотек формата ELF при запуске программы на выполнение реализован в модуле ядра ОСdigsig_verif
, который является не выгружаемым модулем ядра Linux, и может функционировать в одном из следующих режимов:- исполняемым файлам и разделяемым библиотекам с неверной ЭЦП, а также без ЭЦП загрузка на исполнение запрещается (штатный режим функционирования);исполняемым файлам и разделяемым библиотекам с неверной ЭЦП, а
- также без ЭЦП загрузка на исполнение разрешается, разрешается выполнение файлов, имеющих неверную ЭЦП или не имеющих ЭЦП, но при этом выдается сообщение об ошибке проверки ЭЦП (режим для проверки ЭЦП в СПО);
- ЭЦП при загрузке исполняемых файлов и разделяемых библиотек не проверяется (отладочный режим для тестирования СПО).
Средства создания ЗПС предоставляют возможность внедрения ЭЦП в исполняемые файлы формата ELF, входящие в состав устанавливаемого СПО.
Включение замкнутой программной среды
ВДля включения ЗПС:
При наличии собственных ключей в каталог /etc/digsig/keys
поместить
открытый (публичный) ключ
;
Информация Без предоставления открытого ключа возможна работа только пакетов из состава дистрибутива Astra Linux Special Edition.
В файле /etc/digsig/digsig_initramfs.conf установить параметры:
Блок кода title /etc/digsig/digsig_initramfs.conf DIGSIG_ENFORCE=1 DIGSIG_LOAD_KEYS=1
Выполнить команду:
Command update-initramfs -u -k all
Перезагрузить компьютер.
Информация |
---|
Без открытого ключа (*_pub_key.gpg) Вашей компании, возможна работа только пакетов из состава дистрибутива операционной системы специального назначения "Astra Linux Special Edition". |
Для подписи Ваших пакетов воспользуйтесь этим сценарием (потребуется заменить идентификатор ключа).
Создание подписи для собственных файлов
Для подписания собственных пакетов:
Перед подписыванием пакетов необходимо импортировать закрытый и открытый ключи переданные Вашей организации (- Запросить и получить собственные ключи. См. Как получить ключи для подписи СПО;
Импортировать полученные ключи. Пример команд:
Command
gpg --import ***.gpg
gpg --import ***.key
- Загрузить сценарий по ссылке: ссылка;
- Указать в сценарии идентификатор полученного ключа. Посмотреть идентификатор импортированного ключа можно командой:
Command gpg --list-keys
После импорта ключей отдельные файлы ELF можно подписать командой:
Command bsign -s