Справочный центр

Дерево страниц

Сравнение версий

Старая версия 8

changes.mady.by.user Александр Левдонский

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Александр Левдонский

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.


Предупреждение

Данная статья устарела. Актуальную статью см. Astra Linux: Режим замкнутой программной среды.


Отображение дочерних

Оглавление

...

Средства создания замкнутой программной среды предоставляют возможность внедрения цифровой подписи в исполняемые файлы формата ELF, входящие в состав устанавливаемого СПО.

...


Информация
titleДанная статья применима к:
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5)


Замкнутая программная среда

Замкнутая программная среда (ЗПС) является средством повышения безопасность ОС путем контроля целостности (неизменности) файлов. Механизм контроля реализован в виде невыгружаемого модуля ядра Astra Linux (модуль digsig_verif), выполняющего проверку встроенной электронной цифровой подписи файлов (ЭЦП). Проверка применяется к файлам формата ELF (исполняемым файлам и разделяемым библиотекам, далее - файлам) при запуске их выполнения и может осуществляться в следующих режимах:

  • запрещается выполнение файлов, имеющих неверную ЭЦП или не имеющих ЭЦП

...

  • (штатный режим функционирования);

...

  • разрешается выполнение файлов, имеющих неверную ЭЦП или не имеющих ЭЦП, но при этом выдается сообщение об ошибке проверки ЭЦП (режим

...

  • проверки ЭЦП в СПО);
  • ЭЦП

...

  • не проверяется (отладочный режим для тестирования СПО).

Средства создания ЗПС предоставляют возможность внедрения ЭЦП в исполняемые файлы формата ELF, входящие в состав устанавливаемого СПО.

Включение замкнутой программной среды

...

Информация
Настройка работы ЗПС может быть выполнена с помощью графического инструмента fly-admin-smc: "Пуск" - "Панель управления" - "Политика безопасности" - "Замкнутая программная среда".

Для включения ЗПС из командной строки:

  1. При наличии собственных ключей в каталог /etc/digsig/keys

...

  1. поместить

...

  1. открытый

...

  1. (публичный) ключ

...

  1. ;

    Информация

    Без предоставления открытого ключа возможна работа только пакетов из состава дистрибутива Astra Linux Special Edition.


  2. В файле /etc/digsig/digsig_initramfs.conf установить параметры:

    1. для использования отладочного режима для тестирования СПО:

      Блок кода

...

title /etc/digsig/digsig_initramfs.conf

...

    1. DIGSIG_ELF_MODE=0


    2. для использования режима проверки ЭЦП в СПО:

      Блок кода
      DIGSIG_ELF_MODE=2


    3. для использования штатного режима функционирования:

      Блок кода
      DIGSIG_ELF_MODE=1


  2. Выполнить команду:

    Command

    sudo update-initramfs -u -k all


  3. Перезагрузить компьютер.

...

Информация

Без открытого ключа (*_pub_key.gpg) Вашей компании, возможна работа только пакетов из состава дистрибутива операционной системы специального назначения "Astra Linux Special Edition".

Для подписи Ваших пакетов воспользуйтесь этим скриптом(потребуется заменить идентификатор ключа).

...


Создание подписи для собственных файлов

Для подписания собственных пакетов:

  1. Запросить и получить собственные ключи. См. Как получить ключи для подписи СПО;

  2. Импортировать полученные ключи. Пример команд:

    Command
  1. gpg --import ***.gpg

...


  1. gpg --import ***.key

...


  2. Загрузить сценарий по ссылке: ссылка;
  3. Указать в сценарии идентификатор полученного ключа. Посмотреть идентификатор импортированного ключа можно командой:


    Command
    gpg --list-keys

...

...


  2. После импорта ключей отдельные файлы ELF можно подписать командой:

    Command
    bsign -s

...