Сравнение версий

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Оглавление
maxLevel2

Show If
groupastra-linux

Разработка в рамках задачи:

JIRA
serverJira - Astra Linux
serverIdd19f6132-65dc-37bb-94ca-4be05d9bb688
keyDEVDOC-1641

См. также: Astra Linux Special Edition (очередное обновление 1.8): Ключевые изменения в комплексе средств защиты информации



Информация
titleДанная статья применима к:
  • Astra Linux


Установка и обновление

ОС

Ошибка установки ОС при малом объеме оперативной памяти

Описание

При установке ОС на компьютеры с объемом оперативной памяти меньше 2ГБ после входа в режим LiveISO установка может прерываться.

Рекомендации

Для установки Astra Linux Special Edition 1.8 на компьютеры с объемом памяти менее 2ГБ использовать текстовый режим. При этом требуется не менее 1ГБ оперативной памяти.

Show If
groupastra-linux

JIRA
serverJira - Astra Linux
serverIdd19f6132-65dc-37bb-94ca-4be05d9bb688
keyBT-51911
JIRA
serverJira - Astra Linux
serverIdd19f6132-65dc-37bb-94ca-4be05d9bb688
keyBT-53570
JIRA
serverJira - Astra Linux
serverIdd19f6132-65dc-37bb-94ca-4be05d9bb688
keyBT-53574

Не поддерживается перенос защитного преобразования разделов при обновлении с Astra Linux 1.7.6 на Astra Linux 1.8.0

Описание

При автоматической установке мажорного обновления Astra Linux Special Edition 1.7.6 в Astra Linux Special Edition 1.8 дисковые разделы с защитным преобразованием данных создаются без защитного преобразования данных.

Рекомендации

При планировании обновления следует учитывать, что перенос дисковых разделов с сохранением защитного преобразования не поддерживается

Show If
groupastra-linux

JIRA
serverJira - Astra Linux
serverIdd19f6132-65dc-37bb-94ca-4be05d9bb688
keyBT-51151

В составе дистрибутива отсутствует ядро hardened

Описание

В составе дистрибутивов Astra Linux Special Edition x.8 отсутствует ядро hardened (ядро операционной системы с усиленной самозащитой).

Рекомендации

Ядро hardened исключено из состава дистрибутива Astra Linux Special Edition x.8. Все дополнительные возможности по защите информации, которые ранее обеспечивались ядром hardened, реализуются штатными средствами Astra Linux. Подробнее см. статью Политика включения ядер Linux в Astra Linux Special Edition.

Show If
groupastra-linux

Astra Linux Special Edition (очередное обновление 1.8): Ключевые изменения в комплексе средств защиты информации

Предупреждение "Warning: apt-key is deprecated...." при установке ключей для сторонних репозиториев

Описание

При установке ключей для сторонних репозиториев выдается некритичное предупреждение:

Блок кода
Warning: apt-key is deprecated. Manage keyring files in trusted.gpg.d instead (see apt-key(8))

Рекомендации

Использовать современный более безопасный метод установки ключей, см. Установка ключей для сторонних репозиториев пакетов.

Сетевые службы

Не найден сетевой интерфейс ethN

Описание

После установки ОС недоступны проводные сетевые интерфейсы ethN (eth0, eth1, eth2, ...).

Рекомендации

В Astra Linux Special Edition x.8 по умолчанию используется схема предсказуемого именования сетевых интерфейсов. При использовании этой схемы названия сетевых интерфейсов формируются адресов интерфейсов на внутренних шинах. Проводные сетевые интерфейсы при этом именуются как enpXsY, где X — номер устройства на шине, Y — номер функции устройства, обычно 0. Проверить эти номера можно с помощью команды

Command
lspci

Рекомендуется адаптировать ПО к сделанным изменениям.

Принятую по умолчанию схему можно отключить (не рекомендуется). Для этого:

  1. В файле параметров ядра /etc/default/grub в строке GRUB_CMDLINE_LINUX_DEFAULT указать параметр net.ifnames=0.
  2. Выполнить команду:
    Command
    sudo uodate-grub
  3. Перезагрузить ОС.

Не найден пакет/команда ceph-deploy

Описание

При настройке файловой системы ceph по инструкции Распределенная файловая система CephFS не устанавливается пакет ceph-deploy. 

Рекомендации

Пакет ceph-deploy более не сопровождается разработчиками и исключен из состава Astra Linux Special Edition x.8. Для развертывания файловой системы ceph в Astra Linux Special Edition x.8 следует использовать инструкции из актуальной версии Руководства Администратора, ч.1, доступной на странице Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.8). Эксплуатационная и дополнительная документация.

Show If
groupastra-linux

JIRA
serverJira - Astra Linux
serverIdd19f6132-65dc-37bb-94ca-4be05d9bb688
keyBT-55194
,
JIRA
serverJira - Astra Linux
serverIdd19f6132-65dc-37bb-94ca-4be05d9bb688
keyBT-46626

Openvpn

Не работает подключение между сервером openvpn Astra Linux Special Edition 1.8 и клиентами с более ранним обновлением

Описание

При совместном использовании сервера openvpn под управлением Astra Linux Special Edition 1.8 и клиентов более ранних очередных обновлений подключение клиентов не выполняется. 

Рекомендации

  1. На сервере openvpn:
    1. Если используется параметр конфигурации ncp-diasble, то удалить его.
    2. В значение параметра конфигурации службы openvpn data-ciphers добавить алгоритмы защитного преобразования kuznyechik-cbc и AES-256-GCM. Если параметр отсутствует, то добавить его. Названия алгоритмов разделяются символом двоеточие. Например:
      Блок кода
      data-ciphers kuznyechik-cbc:AES-256-GCM
    3. Значение параметра auth заменить на SHA1:
      Блок кода
      auth SHA1


    4. Перезапустить службу openvpn.
  2. На клиентских машинах:
    1. На клиентских машинах с очередными обновлениями, выпущенными до очередного обновления 1.8 (openvpn версии 2.4), использовать для параметра конфигурации ncp-cipher значение ncp-ciphers grasshopper-cbc:AES-256-GCM:
      Блок кода
      ncp-ciphers grasshopper-cbc:AES-256-GCM
    2. На всех клиентских машинах если используется параметр auth, то его значение заменить на SHA1:
      Блок кода
      auth SHA1

Не работает подключение между клиентами openvpn Astra Linux Special Edition 1.8 и сервером openvpn с более ранним обновлением

Описание

При совместном использовании клиентов openvpn под управлением Astra Linux Special Edition 1.8 и серверов с более ранним очередным обновлением подключение клиентов не выполняется.

Рекомендации

  1. На сервере openvpn:
    1. Если используется параметр конфигурации ncp-diasble, то удалить его.
    2. В значение параметра конфигурации службы openvpn ncp-ciphers добавить алгоритмы защитного преобразования grasshopper-cbc и AES-256-GCM. Если параметр отсутствует, то добавить его. Названия алгоритмов разделяются символом двоеточие. Например:
      Блок кода
      ncp-ciphers grasshopper-cbc:AES-256-GCM
    3. Если используется параметр auth, то его значение заменить на SHA1:
      Блок кода
      auth SHA1
    4. Перезапустить службу openvpn.
  2. На клиентских машинах:
    1. На клиентских машинах с Astra Linux 1.8, использовать для параметра конфигурации data-ciphers значение kuznyechik-cbc:AES-256-GCM. Если параметр отсутствует, то добавить его. Например:
      Блок кода
      data-ciphers kuzniechk-cbc:AES-256-GCM
    2. Если используется параметр auth, то его значение заменить на SHA1:
      Блок кода
      auth SHA1

OpenSSL

Недоступен интерактивный режим OpenSSL

Описание

При работе с OpenSSL недоступен интерактивный режим (режим командной строки). Команда

Command
openssl

вместо приглашения к работе в интерактивном режиме выводит список своих подкоманд и завершает работу.

Рекомендации

В Astra Linux x.8 используется OpenSSL поколения 3, в котором исключена поддержка интерактивного режима. Для выполнения функций, ранее реализованных с использованием интерактивного режима, следует использовать опции командной строки.
См. также: Различия версий OpenSSL 1.1 и 3.

Работа в доменах

Не работает аутентификация Kerberos для доменной службы apache2

Описание

Не работает аутентификация Kerberos для доменной службы apache2. Недоступен модуль аутентификации Kerberos mod_auth_kerb (пакет libapache2-mod-auth-kerb).

Рекомендации

В Astra Linux Special Edition x.8 пакет libapache2-mod-auth-kerb, предоставляющий модуль libapache2-mod-auth-kerb, исключен как устаревший. Его заменой является пакет libapache2-mod-auth-gssapi (модуль mod_auth_gssapi).

Для устранения проблемы:

  1. Установить пакет libapache2-mod-auth-gssapi:

    Блок кода
    sudo apt install libapache2-mod-auth-gssapi


  2. В конфигурационных файлах службы apache2 использовать тип аутентификации GSSAPI. Например:

    Блок кода
    title/etc/apache2/conf-available/kerberos-auth.conf
            <Location />
                AuthType GSSAPI
                AuthName "Kerberos Authentication"
                GssapiBasicAuth On
                GssapiLocalName On
                GssapiCredStore keytab:$keytab
                require valid-user
            </Location>
    


Подробнее см. статью: Настройка аутентификации Kerberos для службы apache2 в Astra Linux.

Show If
groupastra-linux

JIRA
serverJira - Astra Linux
serverIdd19f6132-65dc-37bb-94ca-4be05d9bb688
keyBT-51731

Не удается подключиться к БД mariadb с использованием Kerberos

Описание

Доменным пользователям не удается подключиться к БД mariadb.

Рекомендации

Использовать для подключения полное доменное имя пользователя, включающее имя области (realm) Kerberos. Имя области должно быть указано заглавными буквами. Например: user@IPA.RBT.

Show If
groupastra-linux

Нюансы работы FreeIPA с включенным параметром use_fully_qualified_names по умолчанию

Не работает монтирование носителей, учтенных для доменных пользователей

Описание

Не работает монтирование с помощью fly-reflex-service носителей, учтенных для доменных пользователей.

Рекомендации

Проблема будет устранены в следующих обновлениях.
До устранения проблемы использовать короткие имена доменных пользователей:

  • при вводе в домен применять опцию -sn;
  • на ранее введенных домен машинах отключить использование полных имен, для чего в файле /etc/sssd/sssd.conf опции use_fully_qualified_names присвоить значение false и перезапустить службу ssssd.
Show If
groupastra-linux

Нюансы работы FreeIPA с включенным параметром use_fully_qualified_names по умолчанию

В службе управления печатью CUPS не работает аутентификация Kerberos

Описание

В службе управления печатью CUPS не работает аутентификация Kerberos (GSSAPI).

Рекомендации

Проблема будет устранены в следующих обновлениях.
До устранения проблемы использовать короткие имена доменных пользователей:

  • при вводе в домен применять опцию -sn;
  • на ранее введенных домен машинах отключить использование полных имен, для чего в файле /etc/sssd/sssd.conf опции use_fully_qualified_names присвоить значение false и перезапустить службу ssssd.
Show If
groupastra-linux

Нюансы работы FreeIPA с включенным параметром use_fully_qualified_names по умолчанию

В службе apache2 не работает аутентификация Kerberos

Описание

В службе apache2 не работает аутентификация Kerberos (GSSAP).

Рекомендации

Установить в конфигурации службы apache2 параметр:

Блок кода
IncludeRealm on


Show If
groupastra-linux

Нюансы работы FreeIPA с включенным параметром use_fully_qualified_names по умолчанию

Якорь
postgresql+kerberos
postgresql+kerberos
В БД postgresql не работает аутентификация Kerberos

Описание

В базе данных postgresql не работает аутентификация Kerberos (GSSAPI).

Рекомендации

Настроить отображение имен доменных пользователей в имена базы данных. 
Пример:

Блок кода
mymap /^(.*)@mydomain\.com$ \1
mymap /^(.*)@otherdomain\.com$ guest

Подробнее см. документацию по базе данных.

Show If
groupastra-linux

Нюансы работы FreeIPA с включенным параметром use_fully_qualified_names по умолчанию

В командах ldapmodify и ldapsearch недоступны опции -h и -p

Описание

В командах ldapmodify и ldapsearch недоступны опции -h (указание имени хоста) и -p (указание имени порта).

Рекомендации

Поддержка указанных опций прекращена. Вместо этих опций следует использовать универсальное указание ресурса (ресурсов) с помощью опции -H.

Защищенная СУБД (ЗСУБД)

См. также: В БД postgresql не работает аутентификация Kerberos.

После установки OC не запускается кластер ЗСУБД

Описание

После установки OC Astra Linux Special Edition x.8 не запускается кластер ЗСУБД. При попытке запуска в системных журналах регистрируются ошибки вида:

Блок кода
июн 20 12:57:17 susrv postgresql@15-main[2958]: 2024-06-20 09:57:17.547 GMT [2962] СООБЩЕНИЕ:  неверное значение для параметра "ac_audit_destination": "all"
июн 20 12:57:17 susrv postgresql@15-main[2958]: 2024-06-20 09:57:17.547 GMT [2962] ПОДСКАЗКА:  Available values: syslog, logfile.Устранение проблемы

Рекомендации

Журналы, в которые выполняется запись диагностических сообщений, определяются параметром ac_audit_destination. Начиная с обновления Astra Linux Special Edition x.8 в конфигурации ЗСУБД более не поддерживаются следующие значения параметра ac_audit_destination:

  • parsec;
  • all.

Для устранения проблемы следует заменить значение параметра ac_audit_destination на одно из значений:

  • syslog — запись в системный журнал;
  • logfile — запись в журнал postgresql.

После изменения значения запустить кластер.

Show If
groupastra-linux

JIRA
serverJira - Astra Linux
serverIdd19f6132-65dc-37bb-94ca-4be05d9bb688
keyBT-57077

Не выполняется запись диагностических сообщений в журнал PARSEC и в системный журнал

Описание

При эксплуатации ЗСУБД, установленной после установки ОС, не выполняется запись диагностических сообщений в журнал PARSEC и системный журнал.

Рекомендации

Журналы, в которые выполняется запись диагностических сообщений, определяются параметром ac_audit_destination. Начиная с обновления Astra Linux Special Edition 1.8 в конфигурации ЗСУБД более не поддерживаются следующие значения параметра ac_audit_destination:

  • parsec;
  • all.

Параметру ac_audit_destination при установке ЗСУБД присваивается значение logfile (запись в журнал postgresql). При необходимости можно использовать значение syslog — запись в системный журнал. Иные значения параметра не  используются. При необходимости перенаправления диагностических сообщений в другие журналы следует использовать возможности службы syslog-ng, см. статью Журналы работы системных служб.

Show If
groupastra-linux

JIRA
serverJira - Astra Linux
serverIdd19f6132-65dc-37bb-94ca-4be05d9bb688
keyDEVOS-1594

Недостаточно прав для изменения схемы public

Описание

При работе с базами данных после предоставления пользователю полных прав доступа к базе данных:

Блок кода
GRANT ALL ON DATABASE <имя_базы_данных> TO <имя_пользователя>;

возникают ошибки нехватки прав вида "permission denied for schema public".

Рекомендации

В Astra Linux Special Edition x.8 используется защищенная ЗСУБД соответствующая СУБД postgresql версии 15. В отличие от версий, использовавшихся в более ранних очередных обновлениях, в этой версии права изменения публичных схем баз данных (publicb и др.) по умолчанию отсутствуют у всех пользователей, кроме владельца базы данных. Рекомендованным способом предотвращения проблемы недостатка прав является создание для каждого пользователя индивидуальной схемы, в которых будут локализоваться вносимые пользователем изменения:

Блок кода
CREATE SCHEMA <имя_схемы> AUTHORIZATION <имя_пользователя>;

Для совместимости с ранее разработанными приложениями возможны следующие решения: 

  • сделать пользователя владельцем базы данных, тем самым предоставив ему все возможные права:
    Блок кода
    ALTER DATABASE <имя_базы_данных> OWNER TO <имя_пользователя>;
  • принудительно предоставить необходимые права пользователю:
    Блок кода
    GRANT ALL PRIVILEGES ON ALL TABLES IN SCHEMA <имя_схемы> TO <имя_пользователя>;
    GRANT ALL PRIVILEGES ON ALL SEQUENCES IN SCHEMA <имя_схемы> TO <имя_пользователя>;

Имя схемы по умолчанию - public, однако могут использоваться и другие имена схем. Подробнее см. документацию на СУБД postgresql.

Не поддерживаются длинные имена идентификаторов

Описание

При использовании длинных идентификаторов (имен) возникают ошибки. Максимальная длина идентификатора при использовании латиницы ограничена 63 символами. При использовании кириллицы максимальная длина идентификатора уменьшается и зависит от использованного набора символов.

Рекомендации

Максимальная допустимая длина идентификатора задается при сборке и не может быть изменена. В Astra Linux Special Edition x.7 использовалась максимальная длина идентификатора 255 байт (сборка ЗСУБД с параметром NAMEDATALEN = 256). В Astra Linux Special Edition x.8 в целях оптимизации производительности, улучшения тестирования и повышения устойчивости работы ЗСУБД максимальная длина идентификатора уменьшена до 63 байт (NAMEDATALEN=64). Прикладное ПО должно быть адаптировано к изменениям.

Виртуализация и контейнеризация

Не работает ограничение скорости операций ввода-вывода в контейнерах docker

Описание

Не работает ограничение скорости операций ввода-вывода в контейнерах docker. Опции запуска контейнера, задающие ограничения:

  • --device-read-bps;
  • --device-write-bps;
  • --device-read-iops;
  • --device-write-iops.

заданные при запуске контейнера не применяются. Проверить наличие ограничений запущенного контейнера можно командой

Command
docker inspect <идентификатор_контейнера>

Данное поведение не специфично для Astra Linux Special Edition и наблюдается в других ОС

Рекомендации

Для запуска контейнеров с ограничениями скорости операций ввода-вывода использовать команду docker-compose. Для запуска контейнера с помощью этой команды:

  1. Подготовить конфигурационный файл для docker-compose с указанием в этом файле имени запускаемого образа необходимых ограничений. Например, файл docker-compose.yml для запуска образа AstraLinux со следующим содержимым:
    Блок кода
    version: '3.8'
    services:
      mycontainer:
        image: AstraLinux
        container_name: mycontainer
        tty: true
        stdin_open: true
        blkio_config:
          device_read_bps:
            - path: /dev/sda
              rate: 1048576
          device_write_bps:
            - path: /dev/sda
              rate: 1048576
          device_read_iops:
            - path: /dev/sda
              rate: 1000
          device_write_iops:
            - path: /dev/sda
              rate: 1000
  2. Запустить контейнер с помощью комнанды docker-compose:
    Command
    docker-compose up -d

После выполнения указанных действий контейнер будет запущен с применением указанных ограничений. Убедиться в этом можно с помощью команды docker-inspect.

Show If
groupastra-linux

JIRA
serverJira - Astra Linux
serverIdd19f6132-65dc-37bb-94ca-4be05d9bb688
keyBT-57805

Ограничение ресурсов контейнеров docker не работает в rootlessenv службе

Описание

При включенном мандатном контроле целостности не работает ограничение ресурсов контейнеров docker в rootlessenv службе docker. Например, не работает ограничение объема выделяемой контейнеру памяти. Кроме того, не работает приостановка работы контейнера:

Command
rootlessenv docker pause

При запущенной пользовательской службе rootless docker проверить ограничения ресурсов, установленные для запущенных контейнеров, можно командой:

Command
rootlessenv docker stats

Рекомендации

Для устранения проблемы при работе с Astra Linux Special Edition 1.8:

  1. Установить пакет dbus-user-session:

    Command

    sudo apt install dbus-user-session


  2. В параметры загрузки (файл /etc/default/grub) добавить параметр cgroup_enable=memory и параметр swapaccount=1. Например:

    Блок кода
    GRUB_CMDLINE_LINUX_DEFAULT="quiet splash parsec.max_ilev=0 cgroup_enable=memory swapaccount=1"

     

  3. В файле /usr/share/rootless-helper-astra/start-label.sh в последней строке заменить значение cgroupfs параметра native.cgroupdriver:

    Блок кода
    native.cgroupdriver=cgroupfs

    на значение systemd:

    Блок кода
    native.cgroupdriver=systemd

    Например:

    Блок кода
    exec /usr/share/docker.io/contrib/dockerd-rootless.sh --exec-opt native.cgroupdriver=systemd

     

  4. Отключить мандатный контроль целостности:

    Command

    sudo astra-mic-control disable


  5. Перезагрузить ОС:

    Command

    sudo reboot


Полностью проблема будет устранена в следующих обновлениях.

Show If
groupastra-linux

JIRA
serverJira - Astra Linux
serverIdd19f6132-65dc-37bb-94ca-4be05d9bb688
keyBT-39017

Не запускаются контейнеры podman,  использующие память подкачки

Описание

Контейнеры Podman не запускаются от имени непривилегированного пользователя если для контейнера задано использование памяти подкачки и включен мандатный контроль целостности.

Рекомендации

Для устранения проблемы при работе с Astra Linux Special Edition 1.8 следует:

  1. При работе с включенным мандатным контролем целостности (МКЦ) не использовать ограничения ресурсов контейнеров, то есть не использовать следующие опции:
    1. --cgroup-manager;
    2. -dt;
    3. --memory;
    4. --memory-swap. 


  2. При возможности отключить МКЦ:
    1. Установить пакет dbus-user-session:

      Command

      sudo apt install dbus-user-session


    2. Отключить мандатный контроль целостности:

      Command

      sudo astra-mic-control disable


    3. Перезагрузить ОС:

      Command

      sudo reboot


Show If
groupastra-linux

JIRA
serverJira - Astra Linux
serverIdd19f6132-65dc-37bb-94ca-4be05d9bb688
keyBT-40897

На контроллере домена FreeIPA не запускаются виртуальные сети QEMU/KVM

Описание

После установки системы виртуализации QEMU/KVM на контроллер домена FreeIPA (ALD Pro) в системе виртуализации не запускаются виртуальные сети.

Рекомендации

Система виртуализации QEMU/KVM использует пакет dnsmasq-base, содержащий службу DNS dnsmasq. Контроллер домена FreeIPA в обязательном порядке использует собственную службу DNS, предоставляемую пакетом bind9. Начиная с оперативного обновления Astra Linux 1.8.1 службы dnsmasq и bind9 несовместимы. Для устранения проблемы рекомендуется исключить использование контроллеров домена FreeIPA как host-машин для службы виртуализации QEMU/KVM. Системы виртуализации следует разворачивать на клиентских машинах домена.

Show If
groupastra-linux

JIRA
serverJira - Astra Linux
serverIdd19f6132-65dc-37bb-94ca-4be05d9bb688
keyBT-55683


Утилиты FLY

В меню Пуск не появляются ярлыки

Описание

В меню Пуск у пользователей не появляются ярлыки и иные файловые объекты, размещенные в каталоге /usr/share/applications/flystartmenu.

Рекомендации

В Astra Linux Special Edition x.8 используются две версии меню Пуск: классическая и новая. Новая версия меню Пуск, в отличие от классической, не поддерживает работу с каталогом /usr/share/applications/flystartmenu. Для публикации ярлыков:

  • при использовании новой версии меню — публиковать ярлыки в каталоге  /usr/share/applications/;
  • при необходимости публиковать иные объекты, а также при необходимости обеспечения совместимости — использовать классическую версию меню.

Подробнее см. статью: Общие ярлыки/папки на рабочих столах/в меню пользователей

Show If
groupastra-linux

JIRA
serverJira - Astra Linux
serverIdd19f6132-65dc-37bb-94ca-4be05d9bb688
keyDEVDOC-1678

В меню Пуск отсутствует Панель управления

Описание

В меню Пуск отсутствует Панель управления.

Рекомендации

В Astra Linux Special Edition x.8 приложение Панель управления (fly-admin-center) заменено приложением Параметры системы (astra-systemsettings). Для доступа к остальным модулям настроек fly, составляющим классическую Панель управления, используется раздел Параметры нового меню Пуск, в котором в виде иерархической группировки доступны как новые так и старые модули настроек:

Дополнительно, при выборе классического меню Пуск:
  Medium
разделы Панели управления продублированы в группе Параметры

Пакет fly-admin-center перенесен в расширенный репозиторий. При его установке в классическом меню Пуск происходит переопределение вызова и вызывается Панель управления вместо Параметров системы.

Show If
groupastra-linux

JIRA
serverJira - Astra Linux
serverIdd19f6132-65dc-37bb-94ca-4be05d9bb688
keyBT-49631

Не найден инструмент fly-admin-smc

Описание

Не найден (отсутствует) графический инструмент администрирования fly-admin-smc.

Рекомендации

Для администрирования системы следует использовать графический инструмент astra-systemsettings, заменяющий в Astra Linux Special Edition x.8 графический инструмент fly-admin-smc.

Show If
groupastra-linux

Astra Linux Special Edition (очередное обновление 1.8): Ключевые изменения в комплексе средств защиты информации

Анимация fly-start-menu выполняется слишком медленно

Описание

В Astra Linux Special Edition 1.8 по умолчанию включена анимация развертывания меню "Пуск". Использование анимации может негативно влиять на производительность системы, а также вызывать субъективный дискомфорт у пользователей.

Рекомендации

Для устранения негативных эффектов анимацию меню "Пуск" можно отключить. Для отключения анимации:

  1. В секцию [General] файла .config/rusbitech/fly-start-menu.conf в домашнем каталоге пользователя добавить параметр animationEnabled=false. Пример содержимого файла:

    Блок кода
    [General]
    animationEnabled=false

    Если файла .config/rusbitech/fly-start-menu.conf нет, то создать его:

    Command
    echo -e "[General]\nanimationEnabled=false" | sudo tee ~<имя_пользователя>/.config/rusbitech/fly-start-menu.conf
    sudo chown <имя_пользователя>:<имя_пользователя> ~<имя_пользователя>/.config/rusbitech/fly-start-menu.conf


  2. Для отключения анимации у будущих пользователей действуя от имени суперпользователя (при включенном МКЦ — от имени суперпользователя с высоким уровнем целостности) создать файл .config/rusbitech/fly-start-menu.conf с указанным выше содержимым в каталоге /etc/skel.
Show If
groupastra-linux

JIRA
serverJira - Astra Linux
serverIdd19f6132-65dc-37bb-94ca-4be05d9bb688
keyBT-48257

Прекращается отслеживание изменяемых файлов inotify

Описание

В состав Astra Linux входит подсистема inotify. Эта подсистема позволяет приложениям получать уведомления об изменении файловых объектов. Для отслеживания изменений для каждого контролируемого каталога приложением, использующим inotify, создается экземпляр (instance) inotify в ядре. При изменении или удалении какого-либо файлового объекта  в этом каталоге генерируется уведомление. Уведомления обрабатываются приложением, создавшим inotify.

Количество одновременно создаваемых instance лимитировано. При превышении лимита создание новых instance завершается ошибкой. Лимит количества instance по умолчанию определяется автоматически, и зависит от следующих параметров ядра: 

  • fs.inotify.max_user_watches — выбирается в диапазоне 8 192 — 1 048 576, при этом на размещение instance выделяется не более 1% от адресуемой памяти (один instance при использовании архитектуры x86-64 занимает 80 байт);
  • fs.inotify.max_user_instances — максимальное количество экземпляров не должно превышать значение параметра kernel.pid_max (128 по умолчанию);
  • kernel.pid_max — значение параметра по умолчанию определяется как 1024 * <количество_процессоров/нитей>. Например:
    • для системы с 32 процессорами это 32 768;
    • для системы с 64 процессорами это 65 536;
    • для системы  с 4096 процессорами это 4 194 304 (максимально возможный лимит).

Рекомендации

Для устранения проблемы необходимо увеличить значение лимита instance.

Текущий значения параметров можно узнать командой:

Command
cat /proc/sys/fs/inotify/{max_user_watches,max_user_instances} /proc/sys/kernel/pid_max

Изменить значение лимита количества instance можно командой:

Command
sudo sysctl fs.inotify.max_user_watches=<новое_значение_лимита>

где <новое_значение_лимита> — число, задающее значение.
Такое изменение будет действовать до перезагрузки. Для того, чтобы значение лимита устанавливалось автоматически после перезагрузки, с
оздать в каталоге /etc/sysctl.d/ файл с произвольным именем и расширением .conf. Например, создать файл /etc/sysctl.d/40-max-user-watches.conf со следующим содержимым:

Блок кода
title/etc/sysctl.d/40-max-user-watches.conf
fs.inotify.max_user_watches=<значение_лимита>

где <значение_лимита> — число, задающее значение лимита instance.

Show If
groupastra-linux

JIRA
serverJira - Astra Linux
serverIdd19f6132-65dc-37bb-94ca-4be05d9bb688
keyBT-32993


Комплекс средств защиты информации

Создаваемые файловые объекты не наследуют метку целостности контейнера

Описание

В расширенном режиме Мандатного Контроля Целостности (режим strict mode) при создании файловых объектов (сущностей) создаваемым объектам назначается нулевая метка. Метка целостности каталога (контейнера) в котором создается объект не наследуется.

Рекомендации

При необходимости использовать strict mode, одновременно обеспечив наследование меток целостности каталогам, в которых должна наследоваться метка целостности, должны быть присвоены атрибуты метки безопасности iinh и irelax:

  • При наличии только атрибута iinh создаваемые файловые объекты будут наследовать метку целостности каталога, в котором они создаются. Создаваемые каталоги при этом будут наследовать атрибут iinh. Метка целостности процесса, создающего объекты, при этом должна быть не ниже метки целостности контейнера.
  • При наличии атрибута irelax метка целостности процесса, создающего объекты, может быть меньше метки целостности каталога. Метка целостности создаваемого объекта при этом будет выбираться как максимальная метка, меньшая меток процесса и каталога.
  • При одновременном наличии атрибутов iinh и irelax действуют правила наследования метки целостности, определенные атрибутом irelax. Атрибут iinh при этом наследуется.

Подробнее см. эксплуатационную документацию, "Руководство по КСЗ", ч.1.

Show If
groupastra-linux

Astra Linux Special Edition (очередное обновление 1.8): Ключевые изменения в комплексе средств защиты информации

Недоступен инструмент psmac

Описание

Недоступен инструмент psmac (чтение и установка классификационной метки процесса).

Рекомендации

Инструмент psmac исключен из состава Astra Linux Special Edition x.8. Изменение меток безопасности выполняющихся процессов в Astra Linux Special Edition x.8 не поддерживается.

Show If
groupastra-linux

Astra Linux Special Edition (очередное обновление 1.8): Ключевые изменения в комплексе средств защиты информации

JIRA
serverJira - Astra Linux
serverIdd19f6132-65dc-37bb-94ca-4be05d9bb688
keyBT-40916


Недоступен инструмент astra-modban-lock

Описание

Недоступен инструмент astra-modban-lock из состава пакета astra-safepolicy.

Рекомендации

Инструмент astra-modban-lock исключен из состава пакета astra-safepolicy. Замена не предусмотрена. Для предотвращения загрузки неподписанных модулей следует использовать механизм замкнутой программной среды (ЗПС).

Show If
groupastra-linux

Astra Linux Special Edition (очередное обновление 1.8): Ключевые изменения в комплексе средств защиты информации

JIRA
serverJira - Astra Linux
serverIdd19f6132-65dc-37bb-94ca-4be05d9bb688
keyBT-48443