Оглавление |
---|
Информация | ||
---|---|---|
| ||
|
Введение
В настоящей статье рассматриваются механизмы контроля целостности (неизменности) файловых объектов, входящих с состав Astra Linux.
Контроль целостности носителей
Далее под носителями подразумеваются:
- установочный диск (образ установочного диска) Astra Linux;
- диски (образы дисков) оперативных и срочных обновлений;
- архивы, предоставляемые в рамках срочных обновлений.
Для контроля целостности носителей предоставляются:
- Контрольные суммы дисков и архивов— публикуются на Интернет-ресурсах совместно с носителями. Для установочного диска, входящего в комплект поставки, контрольные суммы также предоставляются в формуляре изделия.
- Отсоединенные подписи образов дисков — публикуются на Интернет-ресурсах совместно с образами в бюллетенях безопасности.
Порядок выполнения контроля целостности носителей также публикуется в указанных документах.
Контроль целостности репозиториев пакетов
Целостность всех репозиториев пакетов Astra Linux обеспечивается механизмами безопасности, реализованными в составе системы управления пакетами Astra Linux:
- При установке Astra Linux устанавливается пакет ca-certificates, содержащий публичный ключ для проверки подписей файлов.
- Каждый репозиторий содержит файл Release. Файл Release защищен отсоединенной подписью, находящейся в файле Release.gpg. При начале работы с репозиторием файлы Release и Reles.gpg загружаются, и целостность файла Release проверяется с помощью предустановленного публичного ключа.
- Файл Release содержит список файлов со списками пакетов репозитория и контрольные суммы этих файлов. После проверки целостности файла Release загружаются списки пакетов репозитория, и указанные в файле Release контрольные суммы используются для проверки целостности списков пакетов.
- Списки пакетов в свою очередь содержат контрольные суммы пакетов репозитория. Эти контрольные суммы используются для проверки целостности загружаемых пакетов.
- Пакеты содержат контрольные суммы содержащихся в них файлов. Эти суммы используются для проверки устанавливаемых файлов.
Таким образом, репозитории защищены от искажения содержащихся в них данных. Эта защита действительна в том числе и при подмене данных, передаваемых по сети, что делает необязательным при работе с репозиториями использование защищенных протоколов типа HTTPS.
Контроль целостности при сетевой установке
Предупреждение |
---|
При сетевой загрузке (см. статью Подготовка инфраструктуры PXE на Astra Linux) загрузка первичного меню выбора параметров загрузки выполняется по протоколу TFTP. Протокол TFTP не предусматривает никаких механизмов авторизации и защиты передаваемых данных. Помимо меню при сетевой загрузке с использованием протоколов TFTP/FTP/HTTP загружаются :
Единственным способом обеспечения целостности данных при использовании сетевой загрузки является её использование исключительно в доверенной сети. |
Установка пакетов при сетевой загрузке выполняется с помощью стандартной системы установки пакетов. При этом полностью действует система обеспечения целостности репозиториев.
Контроль целостности после установки и при эксплуатации
Для контроля целостности Astra Linux после установки и при эксплуатации предоставляет следующие средства:
Порядок применения указанных средств описан в документе "Руководстве по КСЗ, часть 1" РУСБ.10015-17 97 01-1и в электронных справках.