Оглавление |
---|
Информация | ||
---|---|---|
| ||
|
Аннотация
OVAL-описания
Общий принцип работы сканеров уязвимостей
- Обнаружение узлов сети: сканер выявляет доступные по сети устройства и их характеристики.
- Сканирование портов: сканер проверяет открытые порты, исследуя сетевые сервисы и протоколы.
- Идентификация уязвимостей: сканер ищет уязвимости в конфигурациях устройств, операционных систем и приложений, сопоставляя найденные конфигурации с имеющимися в собственной базе данных.
- Генерация отчетов: по итогам сканирования создается отчет с перечнем обнаруженных уязвимостей и отображаются рекомендации по их исправлению.
В целях исключения ложных срабатываний при проведении контроля (анализа) защищенности информационных систем, функционирующих под управлением ОС Astra Linux, необходимо руководствоваться:
- списком устраненных уязвимостей (доступен в личном кабинете пользователя);
- перечнями устраненных и неактуальных уязвимостей ОС Astra Linux, представленными в формате, используемом средствами анализа защищенности в качестве источника сведений об уязвимостях (OVAL-описания), (предоставляются по запросу в техническую поддержку).
Обзор сканеров уязвимости для Astra Linux Special Edition
OpenScap
Набор библиотек с открытым исходным кодом, обеспечивающий более простой способ интеграции линейки стандартов SCAP. Включает в себя инструмент-сканер openscap-scanner.
Сканер уязвимостей OpenScap входит в расширенный репозиторий Astra Linux Special Edition начиная с версии 1.7.5
ScanOVAL
Сканер разработан для
и работает с БДУ ФСТЭК. При загрузке OVAL-файла проверяется его цифровая подпись. Работает со спецификацией OVAL версии не ниже 5.10.1.VulScan
Скрипт для работы с инструментом Nmap, специализированный для работы в качестве сканера уязвимостей. Написан на Lua. Не требует установки из репозитория.
Работа с OpenScap
Установка OpenScap:
Command |
---|
Работа с Scanoval
Установка Scanoval:
- Скачать архив установщика и deb-пакет с обновлениями с сайта ФСТЭК.
- Распаковать архив в каталог:
Command sudo tar -C /var/lib -xvf <scanovalrepo_версия_пакета>.tar.gz
- Установить открытый ключ из архива:
Command sudo apt-key add /var/lib/scanoval/repo/PUBLIC-GPG-KEY-scanoval
- Создать конфигурационный файл локального репозитория:
Command sudo touch /etc/apt/sources.list.d/scanoval.list
- Добавить в файл
/etc/apt/sources.list.d/scanoval.list
строку:Command deb file:///var/lib/scanoval/repo 1.7_x86-64 main content
- Обновить информацию о пакетах:
Command sudo apt update
- Установить сканер уязвимостей Scanoval и дополнительные необходимые для работы пакеты:
Command sudo apt-get install openscap-scanner openscap-common openssl scanoval
- пункт
- пункт
Запуск
Command |
---|
|
Работа с VulScan
Сканирование в образах Docker/Podman
Проверка образов и контейнеров на наличие уязвимостей выполняется автоматически при следующих событиях:
- создание образа из Dockerfile или из контейнера;
- загрузка образа из архива или потока ввода;
- создание файловой системы образа из архива;
- скачивание образа из реестра;
- запуск или перезапуск контейнера.
Регистрация событий безопасности, связанных с образами и контейнерами Podman и Docker осуществляется подсистемой регистрации событий. Событиям безопасности, связанным с образами и контейнерами Docker, присваиваются метки dockerd_audit
. Событиям безопасности, связанным с образами и контейнерами Podman, присваиваются метки podman_audit.
Записи в журнале имеют следующий формат:
Блок кода |
---|
podman.audit | user ; uid | событие | результат | дополнительная информация |
Предупреждение |
---|
При обнаружении уязвимостей дальнейшее использование образа контейнера запрещено. |
Для устранения обнаруженной уязвимости и последующего запуска контейнера без блокировки, необходимо:
- Запустить средство контейнеризации в режиме отладки (6 класс защиты).
- Запустить контейнер и устранить уязвимость.
- Запустить средство контейнеризации с требуемым классом защиты.
Для блокировки запуска контейнера, в образе которого обнаружена уязвимость, применяется глобальный параметр astra-sec-level
в конфигурационных файлах средств контейнеризации. В качестве значения параметра задается число от 1 до 6, которое определяет класс защиты:
- 1-5 классы защиты — при обнаружении уязвимости в контейнере его запуск блокируется;
- 6 класс защиты — отладочный режим, при обнаружении уязвимости в контейнере выводится соответствующее предупреждение, при этом запуск контейнера не блокируется.
В случае если класс защиты не задан или задан не из диапазона 1-6, то при обнаружении уязвимости в контейнере автоматически задается 1 класс защиты с выводом соответствующего сообщения в журнал и запуск контейнера блокируется.
Docker
Предупреждение |
---|
Для указания класса защиты контейнеров Docker допускается использовать только один из способов. |
Установить значение параметра astra-sec-level
можно двумя способами:
- при запуске процесса:
Command sudo dockerd --astra-sec-level 4 # значение от 1 до 6
- при запуске сервиса:
- Остановить службу:
Command sudo systemctl stop docker
- В файле
/etc/docker/daemon.json
добавить полеastra-sec-level:
Command sudo cat
/
etc
/
docker
/
daemon.json
{
"astra-sec-level"
:
3
}
- Повторно запустить службу:
Command sudo systemctl start docker
- Остановить службу:
Podman
Создать конфигурационный файл /etc/podman.conf
, если он не был создан ранее, и указать в нем значение параметра astra-sec-level
:
Блок кода |
---|
{ "astra-sec-level" : <класс_защиты> # значение от 1 до 6 } |
Для просмотра настроек выполнить:
Command | ||
---|---|---|
| ||
|