...

• sos report — сбор отладочной информации с одной системы;
• sos collect — запуск и сбор отдельных отчетов с указанного набора узлов;
• sos clean — сокрытие потенциально конфиденциальной информации (имена пользователей, имена хостов, IP- или MAC-адреса или другие данные, указанные пользователем).

Информация, собранная в отчете, содержит сведения о конфигурации, системную информацию и диагностическую информацию из системы, такую как:

...

astra@pcmk-1:~# sudo ls -l /tmp/sos*
-rw------- 1 root root 13109664 дек  2 13:26 /tmp/sos-collector-test-2023-12-02-lnyhg.tar.xz

Обфускация отчета

Утилита sos позволяет скрывать конфиденциальные данные. Исходный отчет остается неизменным, при этом создается новый файл *-obfuscated.tar.xz, предназначенный для передачи третьим лицам.

...

sudo sos clean

...

Создание отчета и защита его с помощью шифрования GPG

Защита отчета с помощью шифрования GPF используется для передачи его по общедоступной сети третьей стороне.

При создании зашифрованного отчета 

Запустите команду sos report , укажите парольную фразу с помощью опции --encrypt-pass и следуйте инструкциям. Имя файла отчета отображается в конце вывода консоли:

astra@pcmk-1:~$ sudo sos report --encrypt-pass 1234

sosreport 

...

...

(version 4.0)

...

...

...

Нажмите ENTER 

...

для 

...

продолжения 

...

или CTRL-C 

...

для 

...

выхода.

...

Please 

...

enter 

...

the 

...

case 

...

id that you are generating this report for []: gpg-test

 Setting up archive ...
 Setting up plugins ...
 
 Running plugins. Please wait ...

  Finishing plugins            

...

...

 [Running: pacemaker]                                     
  Finished running plugins                                                               
Создаётся архив...

Your sosreport has been generated and saved in:
        /tmp/secured-sosreport-pcmk-1-gpg-test-2023-12-02-

...

bluhmko.tar.xz.gpg

 Size   10.54MiB
 Owner  root
 md5    005d7b79b61ebcfc0c97707b355306db

Please send this file to your support representative.

Убедитесь, что утилита sos создала архив, соответствующий следующим требованиям:

• Имя файла начинается с secured.
• Имя файла заканчивается на расширение .gpg.

• Архив находится в /tmp/.

astra@pcmk-1:~$ ls -l /tmp/secured*
-rw-r----- 1 root astra-admin 11051437 дек  2 07:26 /tmp/secured-sosreport-pcmk-1-gpg-test-2023-12-02-

...

bluhmko.tar.xz

...

...

.gpg
-rw-r--r-- 1 root root          

...

...

   33 дек  2 

...

07:26 /tmp/secured-sosreport-pcmk-1-gpg-test-2023-12-02-bluhmko.tar.xz.gpg.md5

Убедитесь, что архив возможно расшифровать с помощью той же парольной фразы, которая использовалась для его шифрования:

• Использовать команду gpg для расшифровки архива:

  Блок кода
  astra@pcmk-1:~$ sudo gpg --output decrypted-sosreport.tar.gz --decrypt /tmp/secured-sosreport-pcmk-1-gpg-test-2023-12-02-bluhmko.tar.xz.gpg

  
  

• При появлении запроса необходимо ввести кодовую фразу, которая вы использовалась для шифрования архива:

  Блок кода

...

• ┌────────────────────────────────────────────────────────┐

...

...

...

...

Создание отчета и защита его с помощью шифрования GPG

Эта процедура описывает, как сгенерировать sos report и защитить его с помощью шифрования GPG на основе парольной фразы. Данный тип шифрования подходит, если, например, необходимо передать отчет по общедоступной сети третьей стороне.

Запустите команду sos report , укажите парольную фразу с помощью опции --encrypt-pass и следуйте инструкциям. Имя файла отчета отображается в конце вывода консоли:

...

• │ Введите фразу-пароль │

...

...

• │

...

...

...

...

• │

...

• │

...

...

...

...

...

...

...

...

...

...

...

...

...

Убедитесь, что утилита sos создала архив, соответствующий следующим требованиям:

• Имя файла начинается с secured.
• Имя файла заканчивается на расширение .gpg.

• Архив находится в /tmp/.

...

• │

...

...

...

• │

...

• Фраза-пароль:

...

Убедитесь, что архив возможно расшифровать с помощью той же парольной фразы, которая использовалась для его шифрования:

• Использовать команду gpg для расшифровки архива:

  Блок кода
  astra@pcmk-1:~$ sudo gpg --output decrypted-sosreport.tar.gz --decrypt /tmp/secured-sosreport-pcmk-1-gpg-test-2023-12-02-bluhmko.tar.xz.gpg

  При появлении запроса необходимо ввести кодовую фразу, которая вы использовалась для шифрования архива:

  Блок кода
  ________________________________________ │ │ ┌────────────────────────────────────────────────────────┐ │ Введите фразу-пароль │ │ <OK> <Отмена (C)> │ │ │ │ │ │ Фраза-пароль: ________________________________________ │ └────────────────────────────────────────────────────────┘

  
  

• Необходимо убедиться, что утилита gpg создала незашифрованный архив с расширением .tar.gz файл:

  Блок кода
  astra@pcmk-1:~$ ls -l decrypted* -rw-r--r-- 1 root root 11025760 дек 2 07:32 decrypted-sosreport.tar.gz

  
  

Создание отчета и защита его с помощью GPG-шифрования на основе пары ключей

Эта процедура описывает, как сгенерировать отчет и защитить его с помощью шифрования GPG2 на основе пары ключей из связки ключей GPG. Данный тип шифрования подходит, если, например, необходимо защитить отчет, хранящийся на сервере.

Должны быть соблюдены следующие условия:

• Создан ключ GPG2.

1. Запустите команду sos report, укажите имя пользователя, которому принадлежит связка ключей GPG, с помощью опции --encrypt-key и следуйте инструкциям. Имя файла отчета отображается в конце вывода консоли:

2. Убедитесь, что утилита sos создала архив, соответствующий следующим требованиям:
   • Имя файла начинается с secured.
   • Имя файла заканчивается на расширение .gpg.

   • Архив находится в /tmp/.

     Блок кода
     astra@pcmk-1:~$ ls -l /tmp/secured* -rw-r----- 1 root astra-admin 11051437 дек 2 08:26 /tmp/secured-sosreport-pcmk-1-gpg-test-key-2023-12-02-bluhmko.tar.xz.gpg -rw-r--r-- 1 root root 33 дек 2 08:26 /tmp/secured-sosreport-pcmk-1-gpg-test-key-2023-12-02-bluhmko.tar.xz.gpg.md5

     
     

3. Убедитесь, что архив возможно расшифровать с помощью той же парольной фразы, которая использовалась для его шифрования:

• Используйте команду gpg для расшифровки архива:

  Command
  astra@pcmk-1:~$ sudo gpg --output decrypted-sosreport-key.tar.gz --decrypt /tmp/secured-sosreport-pcmk-1-gpg-test-key-2023-12-02-bluhmko.tar.xz.gpg

  
  

• При появлении запроса необходимо ввести кодовую фразу, которая использовалась при создании ключа GPG:

  
  

  Блок кода
  │ │ ┌───────────────────────────────────────────────────────────────────┐ │ <OK> │ Введите фразу-пароль для разблокировки секретного <Отмена (C)>ключа OpenPGP: │ │ │ "GPG User (first key) <root@example.com>" └────────────────────────────────────────────────────────┘

  Необходимо убедиться, что утилита gpg создала незашифрованный архив с расширением .tar.gz файл:

  Блок кода
  astra@pcmk-1:~$ ls -l decrypted* -rw-r--r-- 1 root root 11025760 дек 2 07:32 decrypted-sosreport.tar.gz

Создание отчета и защита его с помощью GPG-шифрования на основе пары ключей

Эта процедура описывает, как сгенерировать отчет и защитить его с помощью шифрования GPG2 на основе пары ключей из связки ключей GPG. Данный тип шифрования подходит, если, например, необходимо защитить отчет, хранящийся на сервере.

Должны быть соблюдены следующие условия:

• Создан ключ GPG2.

...

Запустите команду sos report, укажите имя пользователя, которому принадлежит связка ключей GPG, с помощью опции --encrypt-key и следуйте инструкциям. Имя файла отчета отображается в конце вывода консоли:

...

Архив находится в /tmp/.

...

• │ │ 2048-битный ключ RSA, идентификатор B7354458F02D70D5, │ │ создан 2023-12-02. │ │ │

...

...

...

...

Убедитесь, что архив возможно расшифровать с помощью той же парольной фразы, которая использовалась для его шифрования:

• Используйте команду gpg для расшифровки архива:

  Command
  astra@pcmk-1:~$ sudo gpg --output decrypted-sosreport-key.tar.gz --decrypt /tmp/secured-sosreport-pcmk-1-gpg-test-key-2023-12-02-bluhmko.tar.xz.gpg

  При появлении запроса необходимо ввести кодовую фразу, которая использовалась при создании ключа GPG:

  Блок кода

  │ ┌───────────────────────────────────────────────────────────────────┐│ │ Введите фразуФраза-пароль для разблокировки секретного ключа OpenPGP: : ___________________________________________________ │ │ "GPG User (first key) <root@example.com>" │ │ │ 2048-битный ключ RSA, идентификатор B7354458F02D70D5, │ │ <OK> │ создан 2023-12-02. <Отмена (C)> │ │ └───────────────────────────────────────────────────────────────────┘

  
  

4. Убедитесь, что утилита gpg создала незашифрованный архив с расширением .tar.gz файл:

astra@pcmk-1:~$ ls -l decrypted*
-rw-r--r-- 1 root root 11025760 дек  2 

...

08:32 decrypted-sosreport-key.tar.gz

Создание ключа GPG

Эта процедура описывает, как сгенерировать пользователю root GPG-ключ для использования с утилитами шифрования.

1. Создайте файл key-input, используемый для генерации пары ключей GPG с предпочтительными данными. Например:

   Блок кода
   astra@pcmk-1:~$ cat >key-input <<EOF %echo Generating a standard key Key-Type: RSA Key-Length: 2048 Name-Real: GPG User Name-Comment: first key Name-Email: root@example.com Expire-Date: 0 %commit %echo Finished creating standard key EOF

   
   

2. Сгенеририруйте новый ключ GPG2 на основе содержимого файла key-input:

   Command
   astra@pcmk-1:~$sudo gpg --batch --gen-key key-input

   
   

3. Введите кодовую фразу для защиты ключа GPG для доступа к закрытому ключу для расшифровки:

   Блок кода
   ┌────────────────────────────────────────────────────────┐

...

...

1. │ Введите фразу-пароль │

...

1. │ для защиты нового

...

1. ключа

...

...

...

1. │

...

1. │

...

1. │

...

...

1. │ Фраза-пароль: ________________________________________ │

...

...

...

1. │

...

4. Убедитесь, что утилита gpg создала незашифрованный архив с расширением .tar.gz файл:

...

...

...

...

...

...

...

...

...

...

...

...

Создание ключа GPG

Эта процедура описывает, как сгенерировать пользователю root GPG-ключ для использования с утилитами шифрования.

1. Создайте файл key-input, используемый для генерации пары ключей GPG с предпочтительными данными. Например:

   Блок кода
   astra@pcmk-1:~$ cat >key-input <<EOF %echo Generating a standard key Key-Type: RSA Key-Length: 2048 Name-Real: GPG User Name-Comment: first key Name-Email: root@example.com Expire-Date: 0 %commit %echo Finished creating standard key EOF

   Сгенеририруйте новый ключ GPG2 на основе содержимого файла key-input:

   Command
   astra@pcmk-1:~$sudo gpg --batch --gen-key key-input

   Введите кодовую фразу для защиты ключа GPG для доступа к закрытому ключу для расшифровки:

   Блок кода
   │ ┌────────────────────────────────────────────────────────┐ │ <OK> <Отмена (C)> │ │ Введите фразу-пароль │ └────────────────────────────────────────────────────────┘

   
   

2. Подтвердите правильность парольной фразы, введя ее еще раз:

   Блок кода
   │ для защиты┌────────────────────────────────────────────────────────┐ нового ключа │ │ Повторите фразу-пароль: │ │ │ │ Фраза-пароль: _______________ │ Фраза-пароль: ________________________________________ │ │ │ │ <OK> <Отмена (C)> │ └────────────────────────────────────────────────────────┘

   
   

3. Подтвердите правильность парольной фразы, введя ее еще разУбедитесь, что новый ключ GPG был успешно создан:

   Блок кода
   gpg: Generating a standard key gpg: /root/.gnupg/trustdb.gpg: создана таблица доверия gpg: ключ B7354458F02D70D5 помечен как абсолютно доверенный gpg: создан каталог '/root/.gnupg/openpgp-revocs.d' gpg: сертификат отзыва записан в '/root/.gnupg/openpgp-revocs.d/0BF533429D80F579827F61CFB7354458F02D70D5.rev'. gpg: Finished creating standard key

   
   

4. Проверьте GPG-ключи пользователя root на сервере:

   Блок кода

   astra@pcmk-1:~$ sudo gpg --list-secret-key /root/.gnupg/pubring.kbx ------------------------ sec rsa2048 2023-12-02 [SCEA] ┌────────────────────────────────────────────────────────┐0BF533429D80F579827F61CFB7354458F02D70D5 uid [ абсолютно ] GPG User (first │ Повторите фразу-пароль: │ │ │ │ Фраза-пароль: ________________________________________ │ │ │ │ <OK> <Отмена (C)> │ └────────────────────────────────────────────────────────┘

   Убедитесь, что новый ключ GPG был успешно создан:

   Блок кода
   gpg: Generating a standard key gpg: /root/.gnupg/trustdb.gpg: создана таблица доверия gpg: ключ B7354458F02D70D5 помечен как абсолютно доверенный gpg: создан каталог '/root/.gnupg/openpgp-revocs.d' gpg: сертификат отзыва записан в '/root/.gnupg/openpgp-revocs.d/0BF533429D80F579827F61CFB7354458F02D70D5.rev'. gpg: Finished creating standard key

   Проверьте GPG-ключи пользователя root на сервере:

   Блок кода
   astra@pcmk-1:~$ sudo gpg --list-secret-key /root/.gnupg/pubring.kbx ------------------------ sec rsa2048 2023-12-02 [SCEA] 0BF533429D80F579827F61CFB7354458F02D70D5 uid [ абсолютно ] GPG User (first key) <root@example.com>

Создание отчета из среды восстановления

Используя режим восстановления, возможно смонтировать целевую систему, получив доступ к ее содержимому и запустить команду sos report.

Должны быть соблюдены следующие условия:

• Если хост представляет собой обычный сервер, необходим физический доступ к компьютеру.
• Если хост является виртуальной машиной, необходим доступ к настройкам виртуальной машины в гипервизоре.
• Технический установочный диск операционной системы специального назначения Astra Linux: файл образа ISO, установочный DVD, компакт-диск netboot или конфигурация среды выполнения предварительной загрузки (PXE).

1. key) <root@example.com>

   
   

Создание отчета из среды восстановления

Используя режим восстановления, возможно смонтировать целевую систему, получив доступ к ее содержимому и запустить команду sos report.

Должны быть соблюдены следующие условия:

• Если хост представляет собой обычный сервер, необходим физический доступ к компьютеру.
• Если хост является виртуальной машиной, необходим доступ к настройкам виртуальной машины в гипервизоре.
• Технический установочный диск операционной системы специального назначения Astra Linux: файл образа ISO, установочный DVD, компакт-диск netboot или конфигурация среды выполнения предварительной загрузки (PXE).

1. Следуя инструкциям статьи Справочного центра: Режимы восстановления, перейдите в псевдотерминал. Активируйте консоль, нажав "Enter"

2. Для получения доступа к корневому разделу выполнить команду chroot /target

   Image Added

3. Запустите команду sos report и следуйте инструкциям на экране:

   Image Added

4. Имя файла отчета отображается в конце вывода консоли:
   Image Added

5. Убедитесь, что утилита sos создала архив в каталоге /tmp/:
   Image Added

6. Скопируйте диагностический архив на другое устройство или носитель для дальнейшей отправки.

   Информация
   title Перемещение диагностического архива
   Ниже приведены несколько вариантов перемещения диагностического архива для последующей отправки в службу технической поддержки. По сети: 1. Проверить статус сетевого интерфейса, выполнив команду: Command ip a Пример вывода команды: Image Added 2. Если интерфейс имеет состояние DOWN, как показано на скришоте, следует поднять интерфейс, выполнив команду: Command ip link set enp1s0 up где enp1s0 - имя необходимого интерфейса. 3. Назначить ip-адрес интерфейсу: Если в локальной сети работает DHCP -сервер, выполнить команду: Command dhclient Если в локальной сети отсутствует DHCP - сервер, назначить адрес вручную, выполнив команду: Command ip addr add 192.168.0.123/255.255.255.0 dev enp1s0 где 192.168.0.123 - ip-адрес устройства; 255.255.255.0 - маска подсети, enp1s0 - имя необходимого интерфейса. Пример настроенного интерфейса enp1s0: Image Added 4. Использовать утилиту scp, для копирования диагностического архива на работающее устройство в локально сети: Command scp /tmp/sosreport* test@192.168.0.100:/tmp где test- имя пользователя для SSH подключения, 192.168.0.100 - ip-адрес удаленного устройства, :/tmp -директория на удаленном устройстве. Предупреждение Для подключения на удаленном устройстве должен быть настроен SSH-сервер. Для настройки SSH-сервера на ОС СН Astra Linux рекомендуем ознакомиться со статье справочного центра: SSH Через съемный носитель информации: 1. Подключить съемный носитель информации(далее -СНИ) к устройству. 2. Выполнить поиск устройства с помощью утилиты lsblk. Например: Image Added 3. Выполнить монтирование раздела в каталог с помощью утилиты mount. Например: Command mount /dev/sda1 /media где /dev/sda1 - раздел СНИ, /media - точка монтирования. 4. Использовать утилиту cp, для копирования диагностического архива на СНИ: Command cp /tmp/sosreport* /media где /media - точка монтирования.

   
   

7. Следуя инструкциям статьи Справочного центра: Режимы восстановления, завершить работу с псевдотерминалом.

Обфускация отчета

Утилита sos позволяет скрывать конфиденциальные данные. Исходный отчет остается неизменным, при этом создается новый файл *-obfuscated.tar.xz, предназначенный для передачи третьим лицам.

1. Выполнить команду (для архива, созданного sos reportили sos collect):
   

   Блок кода
   sudo sos clean

2. Следовать инструкциям на экране. Чтобы дополнительно заменить базовый список ключевых слов, добавить опцию --keywords:
   

   Блок кода
   collapse true
   astra@pcmk-1:~#sudo sos clean /tmp/sos-collector-test-2023-12-02-lnyhg.tar.xz sos clean (version 4.0) ... Press ENTER to continue, or CTRL-C to quit. Found 3 total reports to obfuscate, processing up to 4 concurrently sosreport-pcmk-2-test-2023-12-02-qkjsswr : Extracting... sosreport-pcmk-1-test-2023-12-02-xjjpysa : Extracting... sos-collector-test-2023-12-02-lnyhg : Beginning obfuscation... sos-collector-test-2023-12-02-lnyhg : Obfuscation completed sosreport-pcmk-2-test-2023-12-02-qkjsswr : Beginning obfuscation... sosreport-pcmk-1-test-2023-12-02-xjjpysa : Beginning obfuscation... sosreport-pcmk-1-test-2023-12-02-xjjpysa : Re-compressing... sosreport-pcmk-2-test-2023-12-02-qkjsswr : Re-compressing... sosreport-pcmk-2-test-2023-12-02-qkjsswr : Obfuscation completed sosreport-pcmk-1-test-2023-12-02-xjjpysa : Obfuscation completed Successfully obfuscated 3 report(s) A mapping of obfuscated elements is available at /tmp/sos-collector-test-2023-12-02-lnyhg-private_map The obfuscated archive is available at /tmp/sos-collector-test-2023-12-02-lnyhg-obfuscated.tar.xz Size 12.52MiB Owner root Please send the obfuscated archive to your support representative and keep the mapping file private

3. Убедиться, что создан архив со скрытыми данными в каталоге /tmp/, соответствующий описанию из выходных данных команды:
   

   Блок кода

   astra@pcmk-1:~# ls -l /tmp/sos-collector-test-2023-12-02-lnyhg* -rw------- 1 root root 13130372 дек 2 13:50 /tmp/sos-collector-test-2023-12-02-lnyhg-obfuscated.tar.xz -rw------- 1 root root 1253 дек 2 13:50 /tmp/sos-collector-test-2023-12-02-lnyhg-obfuscation.log -rw------- 1 root root 2198 дек 2 13:50 /tmp/sos-collector-test-2023-12-02-lnyhg-private_map -rw------- 1 root root 13109664 дек 2 13:26 /tmp/sos-collector-test-2023-12-02-lnyhg.tar.xz

4. Проверить файл *-private_map на предмет отображения карты соотношения реальных данных к обфусцированным:
   

   Блок кода
   collapse true
   { "hostname_map": { "pcmk-2": "host0", "pcmk-1": "host1" }, "ip_map": { "10.10.10.0/24": "100.0.0.0/24", ... }, "mac_map": { "52:54:00:cb:d0:d9": "53:4f:53:b7:47:88", ... "1b36:0100:1af4:1100": "534f:53ff:fe5f:c599" }, "keyword_map": {} }

5. Следуя инструкциям статьи Справочного центра: Режимы восстановления, перейдите в псевдотерминал. Активируйте консоль, нажав "Enter"

6. Для получения доступа к корневому разделу выполнить команду chroot /target

   Image Removed

7. Запустите команду sos report и следуйте инструкциям на экране:

   Image Removed

8. Имя файла отчета отображается в конце вывода консоли:

   Image Removed

9. Убедитесь, что утилита sos создала архив в каталоге /tmp/:

   Image Removed

10. Скопируйте диагностический архив на другое устройство или носитель для дальнейшей отправки.

    Информация

    title	Перемещение диагностического архива

    Ниже приведены несколько вариантов перемещения диагностического архива для последующей отправки в службу технической поддержки.

    По сети:

    1. Проверить статус сетевого интерфейса, выполнив команду:

    Command
    ip a

    Пример вывода команды:

    Image Removed

    2. Если интерфейс имеет состояние DOWN, как показано на скришоте, следует поднять интерфейс, выполнив команду:

    Command
    ip link set enp1s0 up

    где enp1s0 - имя необходимого интерфейса.

    3. Назначить ip-адрес интерфейсу:

    если в локальной сети работает DHCP -сервер, выполнить команду:

    Command
    dhclient

11. если в локальной сети отсутствует DHCP - сервер, назначить адрес вручную, выполнив команду:

    Command
    ip addr add 192.168.0.123/255.255.255.0 dev enp1s0

    где 192.168.0.123 - ip-адрес устройства; 255.255.255.0 - маска подсети, enp1s0 - имя необходимого интерфейса.

Пример настроенного интерфейса enp1s0:

Image Removed

4. Использовать утилиту scp, для копирования диагностического архива на работающее устройство в локально сети:

Command
scp /tmp/sosreport* test@192.168.0.100:/tmp

где test- имя пользователя для SSH подключения, 192.168.0.100 - ip-адрес удаленного устройства, :/tmp -директория на удаленном устройстве.

Предупреждение
Для подключения на удаленном устройстве должен быть настроен SSH-сервер. Для настройки SSH-сервера на ОС СН Astra Linux рекомендуем ознакомиться со статье справочного центра: SSH

Через съемный носитель информации:

1. Подключить съемный носитель информации(далее -СНИ) к устройству.

2. Выполнить поиск устройства с помощью утилиты lsblk. Например:

Image Removed


3. Выполнить монтирование раздела в каталог с помощью утилиты mount. Например:

Command
mount /dev/sda1 /media

где /dev/sda1 - раздел СНИ, /media - точка монтирования.

4. Использовать утилиту cp, для копирования диагностического архива на СНИ:

Command
cp /tmp/sosreport* /media

где /media - точка монтирования.

Следуя инструкциям статьи Справочного центра: Режимы восстановления, завершить работу с псевдотерминалом.