Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.


Предупреждение

Данная статья устарела. Актуальную статью см. Astra Linux: Режим замкнутой программной среды.


Отображение дочерних

Оглавление


Информация
titleДанная статья применима к:
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5)


Замкнутая программная среда

Замкнутая программная среда (ЗПС) является средством повышения безопасность ОС путем контроля целостности (неизменности) файлов. Механизм контроля реализован в виде невыгружаемого модуля ядра Astra Linux (модуль digsig_verif), выполняющего проверку встроенной электронной цифровой подписи файлов (ЭЦП). Проверка применяется к файлам формата ELF (исполняемым файлам и разделяемым библиотекам, далее - файлам) при запуске их выполнения и может осуществляться в следующих режимах:

  • запрещается выполнение файлов, имеющих неверную ЭЦП или не имеющих ЭЦП (штатный режим функционирования);
  • разрешается выполнение файлов, имеющих неверную ЭЦП или не имеющих ЭЦП, но при этом выдается сообщение об ошибке проверки ЭЦП (режим проверки ЭЦП в СПО);
  • ЭЦП не проверяется (отладочный режим для тестирования СПО).

Средства создания ЗПС предоставляют возможность внедрения ЭЦП в исполняемые файлы формата ELF, входящие в состав устанавливаемого СПО.

Включение замкнутой программной среды

Информация
Настройка работы ЗПС может быть выполнена с помощью графического инструмента fly-admin-smc: "Пуск" - "Панель управления" - "Политика безопасности" - "Замкнутая программная среда".

Для включения ЗПС из командной строки:

  1. При наличии собственных ключей в каталог /etc/digsig/keys поместить открытый (публичный) ключ;

    Информация

    Без предоставления открытого ключа возможна работа только пакетов из состава дистрибутива Astra Linux Special Edition.


  2. В файле /etc/digsig/digsig_initramfs.conf установить параметры:

    1. для использования отладочного режима для тестирования СПО:

      Блок кода
      DIGSIG_ELF_MODE=0


    2. для использования режима проверки ЭЦП в СПО:

      Блок кода
      DIGSIG_ELF_MODE=2


    3. для использования штатного режима функционирования:

      Блок кода
      DIGSIG_ELF_MODE=1


  3. Выполнить команду:

    Command

    sudo update-initramfs -u -k all


  4. Перезагрузить компьютер.


Создание подписи для собственных файлов

Для подписания собственных пакетов:

  1. Запросить и получить собственные ключи. См. Как получить ключи для подписи СПО;
  2. Импортировать полученные ключи. Пример команд:

    Command
    gpg --import ***.gpg
    gpg --import ***.key


  3. Загрузить сценарий по ссылке: ссылка;
  4. Указать в сценарии идентификатор полученного ключа. Посмотреть идентификатор импортированного ключа можно командой:


    Command
    gpg --list-keys


  5. После импорта ключей отдельные файлы ELF можно подписать командой:

    Command
    bsign -s