Сравнение версий

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Оглавление
maxLevel2

Show If
groupastra-linux

Разработка в рамках задачи:

JIRA
serverJira - Astra Linux
serverIdd19f6132-65dc-37bb-94ca-4be05d9bb688
keyDEVDOC-1641

См. также: Astra Linux Special Edition (очередное обновление 1.8): Ключевые изменения в комплексе средств защиты информации



Информация
titleДанная статья применима к:
  • Astra Linux


Установка и обновление ОС

Ошибка установки ОС при малом объеме оперативной памяти

Описание

При установке ОС на компьютеры с объемом оперативной памяти меньше 2ГБ после входа в режим LiveISO установка может прерываться.

Рекомендации

Для установки Astra Linux Special Edition 1.8 .1 на компьютеры с объемом памяти менее 2ГБ использовать текстовый режим. При этом требуется не менее 1ГБ оперативной памяти.При использовании Astra Linux Special Edition без установленных оперативных обновления выполнять установку на компьютеры с объемом оперативной памяти 2ГБ и более.

Show If
groupastra-linux

JIRA
serverJira - Astra Linux
serverIdd19f6132-65dc-37bb-94ca-4be05d9bb688
keyBT-51911
JIRA
serverJira - Astra Linux
serverIdd19f6132-65dc-37bb-94ca-4be05d9bb688
keyBT-53570
JIRA
serverJira - Astra Linux
serverIdd19f6132-65dc-37bb-94ca-4be05d9bb688
keyBT-53574

Не поддерживается перенос защитного преобразования разделов при обновлении с Astra Linux 1.7.6 на Astra Linux 1.8.0

Описание

При автоматической установке мажорного обновления Astra Linux Special Edition 1.7.6 в 6 в Astra Linux Special Edition 1.8 .0 дисковые разделы с защитным преобразованием данных создаются без защитного преобразования данных.

Рекомендации

При планировании обновления следует учитывать, что перенос дисковых разделов с сохранением защитного преобразования не поддерживается

Show If
groupastra-linux

JIRA
serverJira - Astra Linux
serverIdd19f6132-65dc-37bb-94ca-4be05d9bb688
keyBT-51151

В составе дистрибутива отсутствует ядро hardened

Описание

В составе дистрибутива дистрибутивов Astra Linux Special Edition x.8 отсутствует ядро hardened (ядро операционной системы с усиленной самозащитой).

Рекомендации

Начиная с оперативного обновления 1.8.1 ядро Ядро hardened исключено из состава дистрибутива Astra Linux Special Edition x.8. Все дополнительные возможности по защите информации, которые ранее обеспечивались ядром hardened, реализуются штатными средствами Astra Linux. Подробнее см. статью Политика включения ядер Linux в Astra Linux Special Edition.

Show If
groupastra-linux

Astra Linux Special Edition (очередное обновление 1.8): Ключевые изменения в комплексе средств защиты информации

Предупреждение "Warning: apt-key is deprecated...." при установке ключей для сторонних репозиториев

Описание

При установке ключей для сторонних репозиториев выдается некритичное предупреждение:

Блок кода
Warning: apt-key is deprecated. Manage keyring files in trusted.gpg.d instead (see apt-key(8))

Рекомендации

Использовать современный более безопасный метод установки ключей, см. Установка ключей для сторонних репозиториев пакетов.

Сетевые службы

Не найден пакет/команда ceph-deploy

Описание

При настройке файловой системы ceph по инструкции Распределенная файловая система CephFS не устанавливается пакет ceph-deploy. 

Рекомендации

Пакет ceph-deploy более не сопровождается разработчиками и исключен из состава Astra Linux Special Edition x.8. Для развертывания файловой системы ceph в Astra Linux Special Edition x.8 следует использовать инструкции из актуальной версии Руководства Администратора, ч.1, доступной на странице Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.8). Эксплуатационная и дополнительная документация.

Show If
groupastra-linux

JIRA
serverJira - Astra Linux
serverIdd19f6132-65dc-37bb-94ca-4be05d9bb688
keyBT-55194
,
JIRA
serverJira - Astra Linux
serverIdd19f6132-65dc-37bb-94ca-4be05d9bb688
keyBT-46626

Openvpn

Не работает подключение между сервером openvpn Astra Linux Special Edition 1.8 и клиентами с более ранним обновлением

Описание

При совместном использовании сервера openvpn под управлением Astra Linux Special Edition 1.8 и клиентов более ранних очередных обновлений подключение клиентов не выполняется. 

Рекомендации

  1. На сервере openvpn:
    1. Если используется параметр конфигурации ncp-diasble, то удалить его.
    2. В значение параметра конфигурации службы openvpn data-ciphers добавить алгоритмы защитного преобразования kuznyechik-cbc и AES-256-GCM. Если параметр отсутствует, то добавить его. Названия алгоритмов разделяются символом двоеточие. Например:
      Блок кода
      data-ciphers kuznyechik-cbc:AES-256-GCM
    3. Значение параметра auth заменить на SHA1:
      Блок кода
      auth SHA1


    4. Перезапустить службу openvpn.
  2. На клиентских машинах:
    1. На клиентских машинах с очередными обновлениями, выпущенными до очередного обновления 1.8 (openvpn версии 2.4), использовать для параметра конфигурации ncp-cipher значение ncp-ciphers grasshopper-cbc:AES-256-GCM:
      Блок кода
      ncp-ciphers grasshopper-cbc:AES-256-GCM
    2. На всех клиентских машинах если используется параметр auth, то его значение заменить на SHA1:
      Блок кода
      auth SHA1

Не работает подключение между клиентами openvpn Astra Linux Special Edition 1.8 и сервером openvpn с более ранним обновлением

Описание

При совместном использовании клиентов openvpn под управлением Astra Linux Special Edition 1.8 и серверов с более ранним очередным обновлением подключение клиентов не выполняется.

Рекомендации

  1. На сервере openvpn:
    1. Если используется параметр конфигурации ncp-diasble, то удалить его.
    2. В значение параметра конфигурации службы openvpn ncp-ciphers добавить алгоритмы защитного преобразования grasshopper-cbc и AES-256-GCM. Если параметр отсутствует, то добавить его. Названия алгоритмов разделяются символом двоеточие. Например:
      Блок кода
      ncp-ciphers grasshopper-cbc:AES-256-GCM
    3. Если используется параметр auth, то его значение заменить на SHA1:
      Блок кода
      auth SHA1
    4. Перезапустить службу openvpn.
  2. На клиентских машинах:
    1. На клиентских машинах с Astra Linux 1.8, использовать для параметра конфигурации data-ciphers значение kuznyechik-cbc:AES-256-GCM. Если параметр отсутствует, то добавить его. Например:
      Блок кода
      data-ciphers kuzniechk-cbc:AES-256-GCM
    2. Если используется параметр auth, то его значение заменить на SHA1:
      Блок кода
      auth SHA1

OpenSSL

Недоступен интерактивный режим OpenSSL

Описание

При работе с OpenSSL недоступен интерактивный режим (режим командной строки). Команда

Command
openssl

вместо приглашения к работе в интерактивном режиме выводит список своих подкоманд и завершает работу.

Рекомендации

В Astra Linux x.8 используется OpenSSL поколения 3, в котором исключена поддержка интерактивного режима. Для выполнения функций, ранее реализованных с использованием интерактивного режима, следует использовать опции командной строки.
См. также: Различия версий OpenSSL 1.1 и 3.

Работа в доменах

При работе с почтовой службой exim4 не доставляется электронная почта

Предупреждение
Не актуально для Astra Linux Special Edition 1.8.1.

Описание

При использовании на введенном в домен компьютере под управлением Astra Linux Special Edition 1.8.0 почтовой службы exim4 письма не доставляются почтовым клиентам доменных пользователей.

Рекомендации

Предупреждение
Не допускается использование одинаковых имен для локальных и доменных пользователей.

Проблема устранена в оперативном обновлении 1.8.1.

Show If
groupastra-linux

JIRA
serverJira - Astra Linux
serverIdd19f6132-65dc-37bb-94ca-4be05d9bb688
keyBT-51989

Доменным пользователям недоступны виртуальные машины при подключении через qemu+tcp

Предупреждение
Не актуально для Astra Linux Special Edition 1.8.1.

Описание

Доменным пользователям недоступны виртуальные машины при подключении через qemu+tcp.

Рекомендации

Предупреждение
Не допускается использование одинаковых имен для локальных и доменных пользователей.

Проблема устранена в оперативном обновлении 1.8.1.

Show If
groupastra-linux

JIRA
serverJira - Astra Linux
serverIdd19f6132-65dc-37bb-94ca-4be05d9bb688
keyBT-51850
Заблокирована:
JIRA
serverJira - Astra Linux
serverIdd19f6132-65dc-37bb-94ca-4be05d9bb688
keyBT-52960

Не работает аутентификация Kerberos для доменной службы apache2

Описание

Не работает аутентификация Kerberos для доменной службы apache2. Недоступен модуль аутентификации Kerberos mod_auth_kerb (пакет libapache2-mod-auth-kerb).

Рекомендации

В Astra Linux Special Edition x.8 пакет libapache2-mod-auth-kerb, предоставляющий модуль libapache2-mod-auth-kerb, исключен как устаревший. Его заменой является пакет libapache2-mod-auth-gssapi (модуль mod_auth_gssapi).

Для устранения проблемы:

Установить пакет libapache2-mod-auth-gssapi:

Блок кода
sudo apt install libapache2-mod-auth-gssapi

В конфигурационных файлах службы apache2 использовать тип аутентификации GSSAPI. Например:

Блок кода
title/etc/apache2/conf-available/kerberos-auth.conf
        <Location />
            AuthType GSSAPI
            AuthName "Kerberos Authentication"
            GssapiBasicAuth On
            GssapiLocalName On
            GssapiCredStore keytab:$keytab
            require valid-user
        </Location>

Не работает аутентификация Kerberos для доменной службы apache2

Описание

Не работает аутентификация Kerberos для доменной службы apache2. Недоступен модуль аутентификации Kerberos mod_auth_kerb (пакет libapache2-mod-auth-kerb).

Рекомендации

В Astra Linux Special Edition x.8 пакет libapache2-mod-auth-kerb, предоставляющий модуль libapache2-mod-auth-kerb, исключен как устаревший. Его заменой является пакет libapache2-mod-auth-gssapi (модуль mod_auth_gssapi).

Для устранения проблемы:

  1. Установить пакет libapache2-mod-auth-gssapi:

    Блок кода
    sudo apt install libapache2-mod-auth-gssapi


  2. В конфигурационных файлах службы apache2 использовать тип аутентификации GSSAPI. Например:

    Блок кода
    title/etc/apache2/conf-available/kerberos-auth.conf
            <Location />
                AuthType GSSAPI
                AuthName "Kerberos Authentication"
                GssapiBasicAuth On
                GssapiLocalName On
                GssapiCredStore keytab:$keytab
                require valid-user
            </Location>
    


Подробнее см. статью: Настройка аутентификации Kerberos для службы apache2 в Astra Linux

Подробнее см. статью: Настройка аутентификации Kerberos для службы apache2 в Astra Linux.

Show If
groupastra-linux

JIRA
serverJira - Astra Linux
serverIdd19f6132-65dc-37bb-94ca-4be05d9bb688
keyBT-51731

Не удается подключиться к БД mariadb с использованием Kerberos

Описание

Доменным пользователям не удается подключиться к БД mariadb.

Рекомендации

Использовать для подключения полное доменное имя пользователя, включающее имя области (realm) Kerberos. Имя области должно быть указано заглавными буквами. Например: user@IPA.RBT.

Show If
groupastra-linux

Нюансы работы FreeIPA с включенным параметром use_fully_qualified_names по умолчанию

Не работает монтирование носителей, учтенных для доменных пользователей

Описание

Не работает монтирование с помощью fly-reflex-service носителей, учтенных для доменных пользователей.

Рекомендации

Проблема будет устранены в следующих обновлениях.
До устранения проблемы использовать короткие имена доменных пользователей:

  • при вводе в домен применять опцию -sn;
  • на ранее введенных домен машинах отключить использование полных имен, для чего в файле /etc/sssd/sssd.conf опции use_fully_qualified_names присвоить значение false и перезапустить службу ssssd.
Show If
groupastra-linux

Нюансы работы FreeIPA с включенным параметром use_fully_qualified_names по умолчанию

В службе управления печатью CUPS не работает аутентификация Kerberos

Описание

В службе управления печатью CUPS не работает аутентификация Kerberos (GSSAPI).

Рекомендации

Проблема будет устранены в следующих обновлениях.
До устранения проблемы использовать короткие имена доменных пользователей:

  • при вводе в домен применять опцию -sn;
  • на ранее введенных домен машинах отключить использование полных имен, для чего в файле /etc/sssd/sssd.conf опции use_fully_qualified_names присвоить значение false и перезапустить службу ssssd.
Show If
groupastra-linux

Нюансы работы FreeIPA с включенным параметром use_fully_qualified_names по умолчанию

В службе apache2 не работает аутентификация Kerberos

Описание

В службе apache2 не работает аутентификация Kerberos (GSSAP).

Рекомендации

Установить в конфигурации службы apache2 параметр:

Блок кода
IncludeRealm on
Show If
groupastra-linux

Нюансы работы FreeIPA с включенным параметром use_fully_qualified_names по умолчанию

Якорьpostgresql+kerberospostgresql+kerberosВ БД postgresql не работает аутентификация Kerberos

Описание

В базе данных postgresql не работает аутентификация Kerberos (GSSAPI).

Рекомендации

Настроить отображение имен доменных пользователей в имена базы данных. 
Пример:

Блок кода
mymap /^(.*)@mydomain\.com$ \1
mymap /^(.*)@otherdomain\.com$ guest
Подробнее см. документацию по базе данных

.

Show If
groupastra-linux

Нюансы работы FreeIPA с включенным параметром use_fully_qualified_names по умолчанию

В командах ldapmodify и ldapsearch недоступны опции -h и -p

Описание

В командах ldapmodify и ldapsearch недоступны опции -h (указание имени хоста) и -p (указание имени порта).

Рекомендации

Поддержка указанных опций прекращена. Вместо этих опций следует использовать универсальное указание ресурса (ресурсов) с помощью опции -H.

Защищенная СУБД postgresql

См. также: В БД postgresql не работает аутентификация Kerberos.

После установки обновления 1.8.1 не запускается кластер postgresql

Описание

После установки обновления 1.8.1 не запускается кластер postgresql. При попытке запуска в системных журналах регистрируются ошибки вида:

Блок кода
июн 20 12:57:17 susrv postgresql@15-main[2958]: 2024-06-20 09:57:17.547 GMT [2962] СООБЩЕНИЕ:  неверное значение для параметра "ac_audit_destination": "all"
июн 20 12:57:17 susrv postgresql@15-main[2958]: 2024-06-20 09:57:17.547 GMT [2962] ПОДСКАЗКА:  Available values: syslog, logfile.Устранение проблемы

Рекомендации

Журналы, в которые выполняется запись диагностических сообщений, определяются параметром ac_audit_destination. Начиная с обновления 1.8.1 в конфигурации СУБД postgresql более не поддерживаются следующие значения параметра ac_audit_destination:

  • parsec;
  • all.

Для устранения проблемы следует заменить значение параметра ac_audit_destination на одно из значений:

  • syslog — запись в системный журнал;
  • logfile — запись в журнал postgresql.

JIRA
serverJira - Astra Linux
serverIdd19f6132-65dc-37bb-94ca-4be05d9bb688
keyBT-51731

Не удается подключиться к БД mariadb с использованием Kerberos

Описание

Доменным пользователям не удается подключиться к БД mariadb.

Рекомендации

Использовать для подключения полное доменное имя пользователя, включающее имя области (realm) Kerberos. Имя области должно быть указано заглавными буквами. Например: user@IPA.RBT.

Show If
groupastra-linux

Нюансы работы FreeIPA с включенным параметром use_fully_qualified_names по умолчанию

Не работает монтирование носителей, учтенных для доменных пользователей

Описание

Не работает монтирование с помощью fly-reflex-service носителей, учтенных для доменных пользователей.

Рекомендации

Проблема будет устранены в следующих обновлениях.
До устранения проблемы использовать короткие имена доменных пользователей:

  • при вводе в домен применять опцию -sn;
  • на ранее введенных домен машинах отключить использование полных имен, для чего в файле /etc/sssd/sssd.conf опции use_fully_qualified_names присвоить значение false и перезапустить службу ssssd.
Show If
groupastra-linux

Нюансы работы FreeIPA с включенным параметром use_fully_qualified_names по умолчанию

В службе управления печатью CUPS не работает аутентификация Kerberos

Описание

В службе управления печатью CUPS не работает аутентификация Kerberos (GSSAPI).

Рекомендации

Проблема будет устранены в следующих обновлениях.
До устранения проблемы использовать короткие имена доменных пользователей:

  • при вводе в домен применять опцию -sn;
  • на ранее введенных домен машинах отключить использование полных имен, для чего в файле /etc/sssd/sssd.conf опции use_fully_qualified_names присвоить значение false и перезапустить службу ssssd.
Show If
groupastra-linux

Нюансы работы FreeIPA с включенным параметром use_fully_qualified_names по умолчанию

В службе apache2 не работает аутентификация Kerberos

Описание

В службе apache2 не работает аутентификация Kerberos (GSSAP).

Рекомендации

Установить в конфигурации службы apache2 параметр:

Блок кода
IncludeRealm on
После изменения значения запустить кластер.


Show If
groupastra-linux

JIRA
serverJira - Astra Linux
serverIdd19f6132-65dc-37bb-94ca-4be05d9bb688
keyBT-57077

Нюансы работы FreeIPA с включенным параметром use_fully_qualified_names по умолчанию

Якорь
postgresql+kerberos
postgresql+kerberos
В БД postgresql не работает аутентификация Kerberos

Описание

В базе данных postgresql не работает аутентификация Kerberos (GSSAPI).

Рекомендации

Настроить отображение имен доменных пользователей в имена базы данных. 
Пример:

Блок кода
mymap /^(.*)@mydomain\.com$ \1
mymap /^(.*)@otherdomain\.com$ guest

Подробнее см. документацию по базе данных.

Show If
groupastra-linux

Нюансы работы FreeIPA с включенным параметром use_fully_qualified_names по умолчанию

В командах ldapmodify и ldapsearch недоступны опции -h и -p

Описание

В командах ldapmodify и ldapsearch недоступны опции -h (указание имени хоста) и -p (указание имени порта).

Рекомендации

Поддержка указанных опций прекращена. Вместо этих опций следует использовать универсальное указание ресурса (ресурсов) с помощью опции -H.

Защищенная СУБД postgresql

См. также: В БД postgresql не работает аутентификация Kerberos.

После установки OC не запускается кластер postgresql

Описание

После установки OC Astra Linux Special Edition x.8 не запускается кластер ЗСУБД postgresql. При попытке запуска в системных журналах регистрируются ошибки вида:

Блок кода
июн 20 12:57:17 susrv postgresql@15-main[2958]: 2024-06-20 09:57:17.547 GMT [2962] СООБЩЕНИЕ:  неверное значение для параметра "ac_audit_destination": "all"
июн 20 12:57:17 susrv postgresql@15-main[2958]: 2024-06-20 09:57:17.547 GMT [2962] ПОДСКАЗКА:  Available values: syslog, logfile.Устранение проблемы

Рекомендации

Журналы, в которые выполняется запись диагностических сообщений, определяются параметром ac_audit_destination. Начиная с обновления Astra Linux Special Edition x.8 в конфигурации СУБД postgresql более не поддерживаются следующие значения параметра ac_audit_destination:

  • parsec;
  • all.

Для устранения проблемы следует заменить значение параметра ac_audit_destination на одно из значений:

  • syslog — запись в системный журнал;
  • logfile — запись в журнал postgresql.

После изменения значения запустить кластер.

Show If
groupastra-linux

JIRA
serverJira - Astra Linux
serverIdd19f6132-65dc-37bb-94ca-4be05d9bb688
keyBT-57077

Не выполняется запись диагностических сообщений в журнал parsec и в системный журнал

Описание

При эксплуатации ЗСУБД postgresql, установленной после установки ОС, не выполняется запись диагностических сообщений в журнал parsec и системный журнал.

Рекомендации

Журналы, в которые выполняется запись диагностических сообщений, определяются параметром ac_audit_destination. Начиная с обновления Astra Linux Special Edition 1.8 в конфигурации СУБД postgresql более не поддерживаются следующие значения параметра ac_audit_destination:

  • parsec;
  • all.

Параметру ac_audit_destination при установке СУБД postgresql присваивается значение logfile (запись в журнал postgresql). При необходимости можно использовать значение syslog — запись в системный журнал. Иные значения параметра не  используются. При необходимости перенаправления диагностических сообщений в другие журналы следует использовать возможности службы syslog-ng, см. статью Журналы работы системных служб.

Show If
groupastra-linux

JIRA
serverJira - Astra Linux
serverIdd19f6132-65dc-37bb-94ca-4be05d9bb688
keyDEVOS-1594

Недостаточно прав для изменения схемы public

Описание

При работе с базами данных после предоставления пользователю полных прав доступа к базе данных:

Блок кода
GRANT ALL ON DATABASE <имя_базы_данных> TO <имя_пользователя>;

возникают ошибки нехватки прав вида "permission denied for schema public".

Рекомендации

В Astra Linux Special Edition x.8 используется защищенная СУБД postgresql версии 15. В отличие от версий, использовавшихся в более ранних очередных обновлениях, в этой версии права изменения публичных схем баз данных (publicb и др.) по умолчанию отсутствуют у всех пользователей, кроме владельца базы данных. Рекомендованным способом предотвращения проблемы недостатка прав является создание для каждого пользователя индивидуальной схемы, в которых будут локализоваться вносимые пользователем изменения:

Блок кода
CREATE SCHEMA <имя_схемы> AUTHORIZATION <имя_пользователя>;

Для совместимости с ранее разработанными приложениями возможны следующие решения: 

  • сделать пользователя владельцем базы данных, тем самым предоставив ему все возможные права:
    Блок кода
    ALTER DATABASE <имя_базы_данных> OWNER TO <имя_пользователя>;
  • принудительно предоставить необходимые права пользователю:
    Блок кода
    GRANT ALL PRIVILEGES ON ALL TABLES IN SCHEMA <имя_схемы> TO <имя_пользователя>;
    GRANT ALL PRIVILEGES ON ALL SEQUENCES IN SCHEMA <имя_схемы> TO <имя_пользователя>;

Имя схемы по умолчанию - public, однако могут использоваться и другие имена схем. Подробнее см. документацию на СУБД postgresql.

Виртуализация и контейнеризация

Ограничение ресурсов контейнеров docker не работает в rootlessenv службе

Описание

При включенном мандатном контроле целостности не работает ограничение ресурсов контейнеров docker в rootlessenv службе docker. Например, не работает ограничение объема выделяемой контейнеру памяти. Кроме того, не работает приостановка работы контейнера:

Command
rootlessenv docker pause

При запущенной пользовательской службе rootless docker проверить ограничения ресурсов, установленные для запущенных контейнеров, можно командой:

Command
rootlessenv docker stats

Рекомендации

Для устранения проблемы при работе с Astra Linux Special Edition 1.8:

  1. Установить пакет dbus-user-session:

    Command

    sudo apt install dbus-user-session


  2. В параметры загрузки (файл /etc/default/grub) добавить параметр cgroup_enable=memory и параметр swapaccount=1. Например:

    Блок кода
    GRUB_CMDLINE_LINUX_DEFAULT="quiet splash parsec.max_ilev=0 cgroup_enable=memory swapaccount=1"

     

  3. В файле /usr/share/rootless-helper-astra/start-label.sh в последней строке заменить значение cgroupfs параметра native.cgroupdriver:

    Блок кода
    native.cgroupdriver=cgroupfs

    на значение systemd:

    Блок кода
    native.cgroupdriver=systemd

    Например:

    Блок кода
    exec /usr/share/docker.io/contrib/dockerd-rootless.sh --exec-opt native.cgroupdriver=systemd

     

  4. Отключить мандатный контроль целостности:

    Command

    sudo astra-mic-control disable


  5. Перезагрузить ОС:

    Command

    sudo reboot


Полностью проблема будет устранена в следующих обновлениях

Не выполняется запись диагностических сообщений в журнал parsec и в системный журнал

Описание

При эксплуатации СУБД postgresql, установленной после установки оперативного обновления 1.8.1, не выполняется запись диагностических сообщений в журнал parsec и системный журнал.

Рекомендации

Журналы, в которые выполняется запись диагностических сообщений, определяются параметром ac_audit_destination. Начиная с обновления 1.8.1 в конфигурации СУБД postgresql более не поддерживаются следующие значения параметра ac_audit_destination:

  • parsec;
  • all.

Параметру ac_audit_destination при установке СУБД postgresql присваивается значение logfile (запись в журнал postgresql). При необходимости можно использовать значение syslog — запись в системный журнал. Иные значения параметра не  используются. При необходимости перенаправления диагностических сообщений в другие журналы следует использовать возможности службы syslog-ng, см. статью Журналы работы системных служб.

Show If
groupastra-linux

JIRA
serverJira - Astra Linux
serverIdd19f6132-65dc-37bb-94ca-4be05d9bb688
keyDEVOS-1594

Недостаточно прав для изменения схемы public

Описание

При работе с базами данных после предоставления пользователю полных прав доступа к базе данных:

Блок кода
GRANT ALL ON DATABASE <имя_базы_данных> TO <имя_пользователя>;

возникают ошибки нехватки прав вида "permission denied for schema public".

Рекомендации

В Astra Linux Special Edition x.8 используется защищенная СУБД postgresql версии 15. В отличие от версий, использовавшихся в более ранних очередных обновлениях, в этой версии права изменения публичных схем баз данных (publicb и др.) по умолчанию отсутствуют у всех пользователей, кроме владельца базы данных. Рекомендованным способом предотвращения проблемы недостатка прав является создание для каждого пользователя индивидуальной схемы, в которых будут локализоваться вносимые пользователем изменения:

Блок кода
CREATE SCHEMA <имя_схемы> AUTHORIZATION <имя_пользователя>;

Для совместимости с ранее разработанными приложениями возможны следующие решения: 

  • сделать пользователя владельцем базы данных, тем самым предоставив ему все возможные права:
    Блок кода
    ALTER DATABASE <имя_базы_данных> OWNER TO <имя_пользователя>;
  • принудительно предоставить необходимые права пользователю:
    Блок кода
    GRANT ALL PRIVILEGES ON ALL TABLES IN SCHEMA <имя_схемы> TO <имя_пользователя>;
    GRANT ALL PRIVILEGES ON ALL SEQUENCES IN SCHEMA <имя_схемы> TO <имя_пользователя>;

Имя схемы по умолчанию - public, однако могут использоваться и другие имена схем. Подробнее см. документацию на СУБД postgresql.

Виртуализация и контейнеризация

Ограничение ресурсов контейнеров docker не работает в rootlessenv службе

Описание

При включенном мандатном контроле целостности не работает ограничение ресурсов контейнеров docker в rootlessenv службе docker. Например, не работает ограничение объема выделяемой контейнеру памяти. Кроме того, не работает приостановка работы контейнера:

Command
rootlessenv docker pause

При запущенной пользовательской службе rootless docker проверить ограничения ресурсов, установленные для запущенных контейнеров, можно командой:

Command
rootlessenv docker stats

Рекомендации

Для устранения проблемы при работе с Astra Linux Special Edition 1.8:

Установить пакет dbus-user-session:

Command

sudo apt install dbus-user-session

  • В параметры загрузки (файл /etc/default/grub) добавить параметр cgroup_enable=memory и параметр swapaccount=1. Например:

    Блок кода
    GRUB_CMDLINE_LINUX_DEFAULT="quiet splash parsec.max_ilev=0 cgroup_enable=memory swapaccount=1"

     

  • В файле /usr/share/rootless-helper-astra/start-label.sh в последней строке заменить значение cgroupfs параметра native.cgroupdriver:

    Блок кода
    native.cgroupdriver=cgroupfs

    на значение systemd:

    Блок кода
    native.cgroupdriver=systemd

    Например:

    Блок кода
    exec /usr/share/docker.io/contrib/dockerd-rootless.sh --exec-opt native.cgroupdriver=systemd

     

  • Отключить мандатный контроль целостности:

    Command

    sudo astra-mic-control disable

    Перезагрузить ОС:

    Command

    sudo reboot

    Полностью проблема будет устранена в следующих обновлениях.

    Show If
    groupastra-linux

    JIRA
    serverJira - Astra Linux
    serverIdd19f6132-65dc-37bb-94ca-4be05d9bb688
    keyBT-39017

    Не запускаются контейнеры podman,  использующие память подкачки

    Описание

    Контейнеры Podman не запускаются от имени непривилегированного пользователя если для контейнера задано использование памяти подкачки и включен мандатный контроль целостности.

    Рекомендации

    Для устранения проблемы при работе с Astra Linux Special Edition 1.8 следует:

    При работе с включенным мандатным контролем целостности (МКЦ) не использовать ограничения ресурсов контейнеров, то есть не использовать следующие опции:
  • --cgroup-manager;
  • -dt;
  • --memory;
  • --memory-swap. При возможности отключить МКЦ:

    Установить пакет dbus-user-session:

    Command

    sudo apt install dbus-user-session

    Отключить мандатный контроль целостности:

    Command

    sudo astra-mic-control disable

    Перезагрузить ОС:

    Command

    sudo reboot

    Show If
    groupastra-linux

    JIRA
    serverJira - Astra Linux
    serverIdd19f6132-65dc-37bb-94ca-4be05d9bb688
    keyBT-40897

    На контроллере домена FreeIPA не запускаются виртуальные сети QEMU/KVM

    Описание

    После установки системы виртуализации QEMU/KVM на контроллер домена FreeIPA (ALD Pro) в системе виртуализации не запускаются виртуальные сети.

    Рекомендации

    Система виртуализации QEMU/KVM использует пакет dnsmasq-base, содержащий службу DNS dnsmasq. Контроллер домена FreeIPA в обязательном порядке использует собственную службу DNS, предоставляемую пакетом bind9. Начиная с оперативного обновления Astra Linux 1.8.1 службы dnsmasq и bind9 несовместимы. Для устранения проблемы рекомендуется исключить использование контроллеров домена FreeIPA как host-машин для службы виртуализации QEMU/KVM. Системы виртуализации следует разворачивать на клиентских машинах домена.

    Show If
    groupastra-linux

    JIRA
    serverJira - Astra Linux
    serverIdd19f6132-65dc-37bb-94ca-4be05d9bb688
    keyBT-55683

    Утилиты FLY

    В меню Пуск не появляются ярлыки

    Описание

    В меню Пуск у пользователей не появляются ярлыки и иные файловые объекты, размещенные в каталоге /usr/share/applications/flystartmenu.

    Рекомендации

    В Astra Linux Special Edition x.8 используются две версии меню Пуск: классическая и новая. Новая версия меню Пуск, в отличие от классической, не поддерживает работу с каталогом /usr/share/applications/flystartmenu. Для публикации ярлыков:

    • при использовании новой версии меню — публиковать ярлыки в каталоге  /usr/share/applications/;
    • при необходимости публиковать иные объекты, а также при необходимости обеспечения совместимости — использовать классическую версию меню.

    Подробнее см. статью: Общие ярлыки/папки на рабочих столах/в меню пользователей

    Show If
    groupastra-linux

    JIRA
    serverJira - Astra Linux
    serverIdd19f6132-65dc-37bb-94ca-4be05d9bb688
    keyDEVDOC-1678

    В меню Пуск отсутствует Панель управления

    Описание

    В меню Пуск отсутствует Панель управления.

    Рекомендации

    В Astra Linux Special Edition  1.8 приложение Панель управления (fly-admin-center) заменено приложением Параметры системы (astra-systemsettings). Для доступа к остальным модулям настроек fly, составляющим классическую Панель управления, используется раздел Параметры нового меню Пуск, в котором в виде иерархической группировки доступны как новые так и старые модули настроек:

    Image Removed

    Дополнительно, при выборе классического меню Пуск:
     Image Removed Medium
    разделы Панели управления продублированы в группе Параметры
    Image Removed

    Пакет fly-admin-center перенесен в расширенный репозиторий. При его установке в классическом меню Пуск происходит переопределение вызова и вызывается Панель управления вместо Параметров системы

    -39017

    Не запускаются контейнеры podman,  использующие память подкачки

    Описание

    Контейнеры Podman не запускаются от имени непривилегированного пользователя если для контейнера задано использование памяти подкачки и включен мандатный контроль целостности.

    Рекомендации

    Для устранения проблемы при работе с Astra Linux Special Edition 1.8 следует:

    1. При работе с включенным мандатным контролем целостности (МКЦ) не использовать ограничения ресурсов контейнеров, то есть не использовать следующие опции:
      1. --cgroup-manager;
      2. -dt;
      3. --memory;
      4. --memory-swap. 


    2. При возможности отключить МКЦ:
      1. Установить пакет dbus-user-session:

        Command

        sudo apt install dbus-user-session


      2. Отключить мандатный контроль целостности:

        Command

        sudo astra-mic-control disable


      3. Перезагрузить ОС:

        Command

        sudo reboot


    Show If
    groupastra-linux

    JIRA
    serverJira - Astra Linux
    serverIdd19f6132-65dc-37bb-94ca-4be05d9bb688
    keyBT-40897

    На контроллере домена FreeIPA не запускаются виртуальные сети QEMU/KVM

    Описание

    После установки системы виртуализации QEMU/KVM на контроллер домена FreeIPA (ALD Pro) в системе виртуализации не запускаются виртуальные сети.

    Рекомендации

    Система виртуализации QEMU/KVM использует пакет dnsmasq-base, содержащий службу DNS dnsmasq. Контроллер домена FreeIPA в обязательном порядке использует собственную службу DNS, предоставляемую пакетом bind9. Начиная с оперативного обновления Astra Linux 1.8.1 службы dnsmasq и bind9 несовместимы. Для устранения проблемы рекомендуется исключить использование контроллеров домена FreeIPA как host-машин для службы виртуализации QEMU/KVM. Системы виртуализации следует разворачивать на клиентских машинах домена.

    Show If
    groupastra-linux

    JIRA
    serverJira - Astra Linux
    serverIdd19f6132-65dc-37bb-94ca-4be05d9bb688
    keyBT-49631
    keyBT-55683


    Утилиты FLY

    В меню Пуск не появляются ярлыки

    Описание

    В меню Пуск у пользователей не появляются ярлыки и иные файловые объекты, размещенные в каталоге /usr/share/applications/flystartmenu.

    Рекомендации

    В Astra Linux Special Edition x.8 используются две версии меню Пуск: классическая и новая. Новая версия меню Пуск, в отличие от классической, не поддерживает работу с каталогом /usr/share/applications/flystartmenu. Для публикации ярлыков:

    • при использовании новой версии меню — публиковать ярлыки в каталоге  /usr/share/applications/;
    • при необходимости публиковать иные объекты, а также при необходимости обеспечения совместимости — использовать классическую версию меню.

    Подробнее см. статью: Общие ярлыки/папки на рабочих столах/в меню пользователей

    Не найден инструмент fly-admin-smc

    Описание

    Не найден (отсутствует) графический инструмент администрирования fly-admin-smc.

    Рекомендации

    Для администрирования системы следует использовать графический инструмент astra-systemsettings, заменяющий в Astra Linux Special Edition x.8 графический инструмент fly-admin-smc.

    Show If
    groupastra-linux

    JIRA

    Astra Linux Special Edition (очередное обновление 1.8): Ключевые изменения в комплексе средств защиты информации

    Анимация fly-start-menu выполняется слишком медленно

    Описание

    В Astra Linux Special Edition 1.8 по умолчанию включена анимация развертывания меню "Пуск". Использование анимации может негативно влиять на производительность системы, а также вызывать субъективный дискомфорт у пользователей.

    Рекомендации

    Для устранения негативных эффектов анимацию меню "Пуск" можно отключить. Для отключения анимации:

    В секцию [General] файла .config/rusbitech/fly-start-menu.conf в домашнем каталоге пользователя добавить параметр animationEnabled=false. Пример содержимого файла:

    Блок кода
    [General]
    animationEnabled=false

    Если файла .config/rusbitech/fly-start-menu.conf нет, то создать его:

    Command
    echo -e "[General]\nanimationEnabled=false" | sudo tee ~<имя_пользователя>/.config/rusbitech/fly-start-menu.conf
    sudo chown <имя_пользователя>:<имя_пользователя> ~<имя_пользователя>/.config/rusbitech/fly-start-menu.conf
    Для отключения анимации у будущих пользователей действуя от имени суперпользователя (при включенном МКЦ — от имени суперпользователя с высоким уровнем целостности) создать файл .config/rusbitech/fly-start-menu.conf с указанным выше содержимым в каталоге /etc/skel

    serverJira - Astra Linux
    serverIdd19f6132-65dc-37bb-94ca-4be05d9bb688
    keyDEVDOC-1678

    В меню Пуск отсутствует Панель управления

    Описание

    В меню Пуск отсутствует Панель управления.

    Рекомендации

    В Astra Linux Special Edition x.8 приложение Панель управления (fly-admin-center) заменено приложением Параметры системы (astra-systemsettings). Для доступа к остальным модулям настроек fly, составляющим классическую Панель управления, используется раздел Параметры нового меню Пуск, в котором в виде иерархической группировки доступны как новые так и старые модули настроек:

    Image Added

    Дополнительно, при выборе классического меню Пуск:
     Image Added Medium
    разделы Панели управления продублированы в группе Параметры
    Image Added

    Пакет fly-admin-center перенесен в расширенный репозиторий. При его установке в классическом меню Пуск происходит переопределение вызова и вызывается Панель управления вместо Параметров системы.

    Show If
    groupastra-linux

    JIRA
    serverJira - Astra Linux
    serverIdd19f6132-65dc-37bb-94ca-4be05d9bb688
    keyBT-48257

    Прекращается отслеживание изменяемых файлов inotify

    Описание

    В состав Astra Linux входит подсистема inotify. Эта подсистема позволяет приложениям получать уведомления об изменении файловых объектов. Для отслеживания изменений для каждого контролируемого каталога приложением, использующим inotify, создается экземпляр (instance) inotify в ядре. При изменении или удалении какого-либо файлового объекта  в этом каталоге генерируется уведомление. Уведомления обрабатываются приложением, создавшим inotify.

    Количество одновременно создаваемых instance лимитировано. При превышении лимита создание новых instance завершается ошибкой. Лимит количества instance по умолчанию определяется автоматически, и зависит от следующих параметров ядра: 

    • fs.inotify.max_user_watches — выбирается в диапазоне 8 192 — 1 048 576, при этом на размещение instance выделяется не более 1% от адресуемой памяти (один instance при использовании архитектуры x86-64 занимает 80 байт);
    • fs.inotify.max_user_instances — максимальное количество экземпляров не должно превышать значение параметра kernel.pid_max (128 по умолчанию);
    • kernel.pid_max — значение параметра по умолчанию определяется как 1024 * <количество_процессоров/нитей>. Например:
      • для системы с 32 процессорами это 32 768;
      • для системы с 64 процессорами это 65 536;
      • для системы  с 4096 процессорами это 4 194 304 (максимально возможный лимит).

    Рекомендации

    Для устранения проблемы необходимо увеличить значение лимита instance.

    Текущий значения параметров можно узнать командой:

    Command
    cat /proc/sys/fs/inotify/{max_user_watches,max_user_instances} /proc/sys/kernel/pid_max

    Изменить значение лимита количества instance можно командой:

    Command
    sudo sysctl fs.inotify.max_user_watches=<новое_значение_лимита>

    где <новое_значение_лимита> — число, задающее значение.
    Такое изменение будет действовать до перезагрузки. Для того, чтобы значение лимита устанавливалось автоматически после перезагрузки, с
    оздать в каталоге /etc/sysctl.d/ файл с произвольным именем и расширением .conf. Например, создать файл /etc/sysctl.d/40-max-user-watches.conf со следующим содержимым:

    Блок кода
    title/etc/sysctl.d/40-max-user-watches.conf
    fs.inotify.max_user_watches=<значение_лимита>

    где <значение_лимита> — число, задающее значение лимита instance.

    Show If
    groupastra-linux

    JIRA
    serverJira - Astra Linux
    serverIdd19f6132-65dc-37bb-94ca-4be05d9bb688
    keyBT-32993

    Комплекс средств защиты информации

    Создаваемые файловые объекты не наследуют метку целостности контейнера

    Описание

    В расширенном режиме Мандатного Контроля Целостности (режим strict mode) при создании файловых объектов (сущностей) создаваемым объектам назначается нулевая метка. Метка целостности каталога (контейнера) в котором создается объект не наследуется.

    Рекомендации

    При необходимости использовать strict mode, одновременно обеспечив наследование меток целостности каталогам, в которых должна наследоваться метка целостности, должны быть присвоены атрибуты метки безопасности iinh и irelax:

    • При наличии только атрибута iinh создаваемые файловые объекты будут наследовать метку целостности каталога, в котором они создаются. Создаваемые каталоги при этом будут наследовать атрибут iinh. Метка целостности процесса, создающего объекты, при этом должна быть не ниже метки целостности контейнера.
    • При наличии атрибута irelax метка целостности процесса, создающего объекты, может быть меньше метки целостности каталога. Метка целостности создаваемого объекта при этом будет выбираться как максимальная метка, меньшая меток процесса и каталога.
    • При одновременном наличии атрибутов iinh и irelax действуют правила наследования метки целостности, определенные атрибутом irelax. Атрибут iinh при этом наследуется.

    BT-49631

    Не найден инструмент fly-admin-smc

    Описание

    Не найден (отсутствует) графический инструмент администрирования fly-admin-smc.

    Рекомендации

    Для администрирования системы следует использовать графический инструмент astra-systemsettings, заменяющий в Astra Linux Special Edition x.8 графический инструмент fly-admin-smc.

    Show If
    groupastra-linux

    Astra Linux Special Edition (очередное обновление 1.8): Ключевые изменения в комплексе средств защиты информации

    Анимация fly-start-menu выполняется слишком медленно

    Описание

    В Astra Linux Special Edition 1.8 по умолчанию включена анимация развертывания меню "Пуск". Использование анимации может негативно влиять на производительность системы, а также вызывать субъективный дискомфорт у пользователей.

    Рекомендации

    Для устранения негативных эффектов анимацию меню "Пуск" можно отключить. Для отключения анимации:

    1. В секцию [General] файла .config/rusbitech/fly-start-menu.conf в домашнем каталоге пользователя добавить параметр animationEnabled=false. Пример содержимого файла:

      Блок кода
      [General]
      animationEnabled=false

      Если файла .config/rusbitech/fly-start-menu.conf нет, то создать его:

      Command
      echo -e "[General]\nanimationEnabled=false" | sudo tee ~<имя_пользователя>/.config/rusbitech/fly-start-menu.conf
      sudo chown <имя_пользователя>:<имя_пользователя> ~<имя_пользователя>/.config/rusbitech/fly-start-menu.conf


    2. Для отключения анимации у будущих пользователей действуя от имени суперпользователя (при включенном МКЦ — от имени суперпользователя с высоким уровнем целостности) создать файл .config/rusbitech/fly-start-menu.conf с указанным выше содержимым в каталоге /etc/skel.
    Show If
    groupastra-linux

    JIRA
    serverJira - Astra Linux
    serverIdd19f6132-65dc-37bb-94ca-4be05d9bb688
    keyBT-48257

    Прекращается отслеживание изменяемых файлов inotify

    Описание

    В состав Astra Linux входит подсистема inotify. Эта подсистема позволяет приложениям получать уведомления об изменении файловых объектов. Для отслеживания изменений для каждого контролируемого каталога приложением, использующим inotify, создается экземпляр (instance) inotify в ядре. При изменении или удалении какого-либо файлового объекта  в этом каталоге генерируется уведомление. Уведомления обрабатываются приложением, создавшим inotify.

    Количество одновременно создаваемых instance лимитировано. При превышении лимита создание новых instance завершается ошибкой. Лимит количества instance по умолчанию определяется автоматически, и зависит от следующих параметров ядра: 

    • fs.inotify.max_user_watches — выбирается в диапазоне 8 192 — 1 048 576, при этом на размещение instance выделяется не более 1% от адресуемой памяти (один instance при использовании архитектуры x86-64 занимает 80 байт);
    • fs.inotify.max_user_instances — максимальное количество экземпляров не должно превышать значение параметра kernel.pid_max (128 по умолчанию);
    • kernel.pid_max — значение параметра по умолчанию определяется как 1024 * <количество_процессоров/нитей>. Например:
      • для системы с 32 процессорами это 32 768;
      • для системы с 64 процессорами это 65 536;
      • для системы  с 4096 процессорами это 4 194 304 (максимально возможный лимит).

    Рекомендации

    Для устранения проблемы необходимо увеличить значение лимита instance.

    Текущий значения параметров можно узнать командой:

    Command
    cat /proc/sys/fs/inotify/{max_user_watches,max_user_instances} /proc/sys/kernel/pid_max

    Изменить значение лимита количества instance можно командой:

    Command
    sudo sysctl fs.inotify.max_user_watches=<новое_значение_лимита>

    где <новое_значение_лимита> — число, задающее значение.
    Такое изменение будет действовать до перезагрузки. Для того, чтобы значение лимита устанавливалось автоматически после перезагрузки, с
    оздать в каталоге /etc/sysctl.d/ файл с произвольным именем и расширением .conf. Например, создать файл /etc/sysctl.d/40-max-user-watches.conf со следующим содержимым:

    Блок кода
    title/etc/sysctl.d/40-max-user-watches.conf
    fs.inotify.max_user_watches=<значение_лимита>

    где <значение_лимита> — число, задающее значение лимита instance.Подробнее см. эксплуатационную документацию, "Руководство по КСЗ", ч.1.

    Show If
    groupastra-linux

    Astra Linux Special Edition (очередное обновление 1.8): Ключевые изменения в комплексе средств защиты информации

    JIRA
    serverJira - Astra Linux
    serverIdd19f6132-65dc-37bb-94ca-4be05d9bb688
    keyBT-32993


    Комплекс средств защиты информации

    Создаваемые файловые объекты не наследуют метку целостности контейнера

    Описание

    В расширенном режиме Мандатного Контроля Целостности (режим strict mode) при создании файловых объектов (сущностей) создаваемым объектам назначается нулевая метка. Метка целостности каталога (контейнера) в котором создается объект не наследуется.

    Рекомендации

    При необходимости использовать strict mode, одновременно обеспечив наследование меток целостности каталогам, в которых должна наследоваться метка целостности, должны быть присвоены атрибуты метки безопасности iinh и irelax:

    • При наличии только атрибута iinh создаваемые файловые объекты будут наследовать метку целостности каталога, в котором они создаются. Создаваемые каталоги при этом будут наследовать атрибут iinh. Метка целостности процесса, создающего объекты, при этом должна быть не ниже метки целостности контейнера.
    • При наличии атрибута irelax метка целостности процесса, создающего объекты, может быть меньше метки целостности каталога. Метка целостности создаваемого объекта при этом будет выбираться как максимальная метка, меньшая меток процесса и каталога.
    • При одновременном наличии атрибутов iinh и irelax действуют правила наследования метки целостности, определенные атрибутом irelax. Атрибут iinh при этом наследуется.

    Подробнее см. эксплуатационную документацию, "Руководство по КСЗ", ч.1

    Недоступен инструмент psmac

    Описание

    Недоступен инструмент psmac (чтение и установка классификационной метки процесса).

    Рекомендации

    Инструмент psmac исключен из состава Astra Linux Special Edition x.8. Изменение меток безопасности выполняющихся процессов в Astra Linux Special Edition x.8 не поддерживается.

    Show If
    groupastra-linux

    Astra Linux Special Edition (очередное обновление 1.8): Ключевые изменения в комплексе средств защиты информации

    JIRA
    serverJira - Astra Linux
    serverIdd19f6132-65dc-37bb-94ca-4be05d9bb688
    keyBT-40916

    Недоступен инструмент astra-modban-lock

    Описание

    Недоступен инструмент astra-modban-lock из состава пакета astra-safepolicy.

    Рекомендации

    Инструмент astra-modban-lock исключен из состава пакета astra-safepolicy. Замена не предусмотрена. Для предотвращения загрузки неподписанных модулей следует использовать механизм замкнутой программной среды (ЗПС).

    Show If
    groupastra-linux

    Astra Linux Special Edition (очередное обновление 1.8): Ключевые изменения в комплексе средств защиты информации

    JIRA
    serverJira - Astra Linux
    serverIdd19f6132-65dc-37bb-94ca-4be05d9bb688
    keyBT-48443

    Блокировка учетной записи администратора после периода отсутствия активности

    Недоступен инструмент psmac

    Описание

    Недоступен инструмент psmac (чтение и установка классификационной метки процесса).

    Рекомендации

    Инструмент psmac исключен из состава

    ПредупреждениеПроблема не актуальна для

    Astra Linux Special Edition

    1

    x.8.

    1

    Изменение меток безопасности выполняющихся процессов в Astra Linux Special Edition x.8 не поддерживается.

    Show If
    groupastra-linux

    Astra Linux Special Edition (очередное обновление 1.8): Ключевые изменения в комплексе средств защиты информации

    JIRA
    serverJira - Astra Linux
    serverIdd19f6132-65dc-37bb-94ca-4be05d9bb688
    keyBT-40916


    Недоступен инструмент astra-modban-lock

    Описание

    Недоступен инструмент astra-modban-lock из состава пакета astra-safepolicy.

    Рекомендации

    Инструмент astra-modban-lock исключен из состава пакета astra-safepolicy. Замена не предусмотрена. Для предотвращения загрузки неподписанных модулей следует использовать механизм замкнутой программной среды (ЗПС)

    Описание

    В соответствии с требованиями безопасности по истечении периода отсутствия активности (отсутствия входа в сессию) учетные записи пользователей автоматически блокируются. В том числе блокируется учетная запись администратора, что ведет к невозможности администрирования ОС. Период отсутствия активности, после которого блокируются учетные записи, составляет 90 дней (Astra Linux Special Edition 1.8.0) или 45 дней в более поздних обновлениях.

    Рекомендации

    Проблема устранена в оперативном обновлении Astra Linux Special Edition 1.8.1.

    Если учетная запись уже заблокирована, то:

    1. Выполнить вход в режим восстановления или выполнить загрузку с Live-носителя.
    2. Примонтировать файловую систему ОС с заблокированной учетной записью.
    3. Внести в файл /etc/pam.d/common-auth указанное выше изменение.
    4. Перезагрузить ОС.

    Блокировка учетной записи администратора будет устранена в последующих обновлениях.

    Show If
    groupastra-linux

    Astra Linux Special Edition (очередное обновление 1.8): Ключевые изменения в комплексе средств защиты информации

    JIRA
    serverJira - Astra Linux
    serverIdd19f6132-65dc-37bb-94ca-4be05d9bb688
    keyBT-4891248443