Отличительные особенности максимального уровня защищенности в сравнении с Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) панель |
---|
Изменения программных компонентов, относящихся к КСЗ панель |
---|
Обновлены и доработаны следующие основные компоненты, относящихся к КСЗ: - FreeIPA — пакет программ для создания доверительных отношений с доменными службами AD и создания ЕПП, доработанный для поддержки КСЗ;
- SambaDC — пакет программ для создания доверительных отношений с доменными службами AD и создания ЕПП Samba DC;
- PostgreSQL — защищенная СУБД;
- CUPS – защищенный комплекс программ печати и маркировки документов;
- Zabbix — средство централизованного протоколирования;
- fly-admin-smc — управление локальной политикой безопасности и управление ЕПП;
- Parsec — комплекс средств защиты информации.
|
панель |
---|
Интегрированы следующие сторонние приложения, относящиеся к КСЗ: - docker.io — программное обеспечение для автоматизации развёртывания и управления приложениями в средах с поддержкой контейнеризации;
- bleachbit — приложение для управления приватностью и очисткой свободного места, а также увеличения производительности операционных систем;
- keepassxc — менеджер паролей с поддержкой различных алгоритмов защитного преобразования данных. Совместим с менеджерами паролей – KeePass2, KeePassX, KeeWeb. Поддерживает интеграцию с web-браузерами Google Chrome, Chromium, Mozilla Firefox;
- seahorse — приложение для управления PGP и SSH ключами, поддерживает интеграцию с Caja, Nautilus, gedit и Evolution для защитного преобразования данных и других криптографических операций и серверами ключей HKP и LDAP.
|
|
панель |
---|
Значения по умолчанию- защитные механизмы МКЦ и МРД можно не включать при установке Astra Linux. Они могут быть включены и выключены в процессе эксплуатации системы (ранее можно было выключить и включить только МКЦ);
- такие защитные механизмы, как МКЦ, МРД, ЗПС и Очистка освобождаемой внешней памяти, работают независимо друг от друга;
- при включении защитного механизма МКЦ автоматически включается МКЦ на корневой файловой системе и присваиваются атрибуты МКЦ;
- при использовании механизма
sudo требуется ввести пароль; - в настройках ядра установлены следующие параметры:
- включена защита от неправомерного создания жестких и символических ссылок;
- для протокола IPv4 включена фильтрация пакетов по адресу назначения (проверка адреса получателя);
- для протокола IPv4 включена фильтрация входящих пакетов, которые были отправлены одним интерфейсом, а приняты другим;
- протокол IPv6 в настройках ядра не отключен;
- межсетевой экран ufw выключен (при установке Astra Linux соответствующий пакет только устанавливается).
|
панель |
---|
Графическая утилита «Управление политикой безопасности»Добавлены следующие функции: - включение/выключение защитного механизма МРД;
- управление ограничениями на использование дискового пространства (квотами).
|
панель |
---|
Дополнительные мандатные атрибуты управления доступом панель |
---|
- мандатный атрибут управления доступом ccnri более не используется в Astra Linux для управления доступом, при этом штатное функционирование Astra Linux соответствует функционированию с установленным мандатным атрибутом ccnri. Возможность установки и получения данного мандатного атрибута сохранена в Astra Linux для обеспечения совместимости с системами и ПО, которые его использует;
- мандатный атрибут управления доступом ccnra в Astra Linux приравнивается к ccnr и также сохранен только для обеспечения совместимости и не рекомендован к использованию;
- мандатный атрибут управления доступом whole можно присваивать только файлам с максимальной меткой (ранее можно было присваивать файлам c ненулевой классификационной меткой).
|
|
панель |
---|
Parsec-привилегии- исключена Parsec-привилегия
PARSEC_CAP_BYPASS_KIOSK , позволяющая игнорировать ограничения киоска; - добавлена новая Parsec-привилегия
PARSEC_CAP_BYPASS_XATTR , отключающая проверку подписи файлов в xattr ; - добавлена новая Parsec-привилегия
PARSEC_CAP_PROCFS , позволяющая игнорировать уровни конфиденциальности и уровни целостности при работе с /proc .
|
панель |
---|
Регистрация событий безопасностиВ Astra Linux реализована расширенная подсистема протоколирования, осуществляющая регистрацию событий в двоичные файлы с использованием службы auditd. Протоколирование работает согласно правилам, которые делятся на два типа: - постоянные — действуют всегда, даже после перезагрузки системы;
- временные — действуют до перезагрузки системы.
Помимо графической утилиты fly-admin-smc («Управление политикой безопасности») для работы с подсистемой протоколирования используются следующие новые графические утилиты: - system-config-audit («Конфигурация аудита») — включение и выключение регистрации событий аудита, настройка auditd, настройка журнала аудита, а также добавление, удаление и редактирование правил аудита;
- ksystemlog («Системный журнал») — выборочный просмотр протоколов аудита.
|
панель |
---|
Защищенный комплекс программ печати и маркировки документов панель |
---|
Вместо web-приложения printcontrol-web («Управление печатью») для печати документов с маркировкой используется графическая утилита fly-print-station («Управление печатью документов»). |
панель |
---|
Добавлена возможность изменения шрифтов маркировки, в том числе и добавление своего шрифта маркировки. |
панель |
---|
Изменены наименования дополнительных атрибутов заданий (см. таблицу ниже). Наименование в 1.7 | Наименование в 1.6 | Назначение |
---|
mac-job-mac-label | mac-job-mac | Метка безопасности задания | mac-job-mac-level-name | stepen | Уровень (название текстом) | mac-job-mac-level-reason | punkt | Основание для степени секретности (пункт перечня) | mac-job-user-full-name | printuser-fullname | Полное имя пользователя, выполнившего маркировку («отпечатал») | mac-job-originating-user-full-name | user-fullname | Полное имя пользователя, который создал задание («исполнитель») | Кроме того, добавлен следующий дополнительный атрибут — mac-marking-session-id (идентификатор сессии). |
панель |
---|
Добавлены следующие дополнительные запросы: MAC-Lock-Job — блокировка задания;MAC-Unock-Job — снятие блокировки задания;MAC-Get-Info — получение информации о станции печати (версия и т.д.);MAC-Get-Journal — получение журнала маркировки.
|
панель |
---|
Изменены дополнительные параметры конфигурации (см. таблицу ниже). Ключ | Описание |
---|
MacDuplex | Режим печати маркера на обратной стороне (при наличии поддержки со стороны принтера). Значения: - off — отключено;
- marker — печать маркера на обратной стороне;
- fonarik — печать «фонарика» на обратной стороне последнего листа (будет создано задание с маркированном документом без последней страницы и задание из двух страниц — последняя страница документа и «фонарик» в дуплексном режиме).
Значение по умолчанию — «отключено». | MacJournal | Включить журнал маркировки. По умолчанию журнал записывается в базу данных SQLITE:
/var/spool/cups/parsec/marking-journal.sqlite . | MacHighIntAdmin | Новый параметр. Требовать высокую целостность для операций администрирования (редактирование принтеров, перенос задания на другой принтер и т.д.) — работает только для локальных сокетов. Значение по умолчанию — «отключено». |
|
панель |
---|
Добавлены следующие файлы конфигурации: /etc/cups/cups-marker-vars.conf — конфигурационный файл переменных маркировки, значения которых будут запрошены у пользователя перед маркировкой;/usr/share/cups/fonts/*.t42 — шрифты для маркировки;
/usr/share/cups/charsets/utf-8.*, /usr/share/cups/charsets/utf-8 — наборы символов для различных шрифтов маркировки.
|
|
панель |
---|
Программное обеспечение DockerДобавлена возможность запуска контейнеров Docker на пониженном уровне целостности 2 для обеспечения еще большей изоляции и безопасности основной системы. Это позволяет изолировать работу процессоров внутри контейнера от процессов других контейнеров и хостовой ОС, что предотвращает воздействие потенциально вредоносного кода, выполняемого в контейнерах. По умолчанию данная функция выключена. Подробнее — см. Установка и администрирование Docker в Astra Linux 1.7 |
панель |
---|
Другие изменения, касающиеся встроенных средств защиты- для файловой системы XFS добавлена поддержка таких защитных механизмов, как МКЦ, МРД и Очистка освобождаемой памяти;
- реализована поддержка мандатных меток в протоколе IPv6 и фильтрация пакетов по меткам;
- для файлового сервера Samba добавлена поддержка МРД на всех версиях протокола SMB (v1, v2, v3).
|
|