Справочный центр

Дерево страниц

Сравнение версий

Старая версия 2

changes.mady.by.user Александр Левдонский

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Александр Левдонский

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Содержание

Оглавление
excludeСодержание


Информация
titleДанная статья применима к:
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7)
  • Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)

Данная статья неприменима к Astra Linux Special Edition РУСБ.10015-10


     


Информация

Подробно все особенности комплекса средств защиты информации описаны в документе РУСБ.10015-01 97 01-1 «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1».


Базовый уровень защищенности («Орел»)

Вариант лицензирования «Орел» по объему предоставляемых для использования функциональных возможностей соответствует действующим условиям лицензирования операционной системы общего назначения Astra Linux Common Edition и рекомендуется для обработки общедоступной информации в составе значимых объектов критической информационной инфраструктуры, не требующих применения средств защиты информации, прошедших оценку соответствия требованиям безопасности информации в форме обязательной сертификации, а также для применения в информационных системах, обрабатывающих информацию ограниченного доступа, совместно с сертифицированными средствами технической и криптографической защиты информации
  • усиленный уровень защищенности;
  • максимальный уровень защищенности.


панель
Режимы работы

Уровни защищенности операционной системы

Начиная с очередного обновления 1.7/4.7 режим работы операционной системы операционная система специального назначения «Astra Linux Special Edition» (далее по тексту — Astra Linux) разделяется на три уровня защищенности, каждый ОС ОН) может работать на различных уровнях защищенности, каждому из которых соответствует режиму работы набор функций подсистемы безопасности реализованной в ОС запатентованными средствами защиты информации, объединенными в единый комплекс средств защиты (КСЗ). В зависимости от приобретаемой лицензии возможен выбор одного из трёх режимов работы уровней защищенности системы:

панель
панель

Усиленный уровень защищенности

(«Воронеж»)

Вариант лицензирования «Воронеж» с усиленным уровнем защищенности рекомендуется для обработки и защиты конфиденциальной информации в государственных информационных системах, в информационных системах персональных данных, обрабатывающих персональные данные, в составе значимых объектов критической информационной инфраструктуры, в иных информационных (автоматизированных) системах, обрабатывающих информацию ограниченного доступа, не содержащую сведения, составляющие государственную тайну.


панель

Максимальный уровень защищенности

(«Смоленск»)

Вариант лицензирования «Смоленск» с максимальным уровнем защищенности рекомендуется для обработки и защиты информации любой категории доступа в государственных информационных системах, в информационных системах персональных данных, обрабатывающих персональные данные, в составе значимых объектов критической информационной инфраструктуры, в иных информационных (автоматизированных) системах, обрабатывающих информацию ограниченного доступа, в т.ч. содержащую сведения, составляющие государственную тайну до степени секретности «совершенно секретно» или «особой важности» (в зависимости от класса защиты, установленного в сертификате соответствия для используемого конечным пользователем варианта исполнения Astra Linux) включительно.

Информация
Названия режимов приведены в аналогии с релизами «Смоленск» и «Орел» для сохранения преемственности.



панель

Каждый из режимов работы уровней защищенности ОС соответствует набору доступных к включению пользователем функций подсистемы безопасности :

панель

Для усиленного уровня защищенности «Базовый» доступны следующие базовые функции безопасности:

  • «Запрет вывода меню загрузчика» — при включении данной функции будет запрещен вывод меню загрузчика GRUB 2. В процессе загрузки будет загружаться ядро системы, выбранное по умолчанию. По умолчанию функция не включена;

  • «Запрет трассировки ptrace» — при включении данной функции будет исключена возможность трассировки и отладки выполнения программного кода. По умолчанию функция включена;
  • «Запрос пароля для команды sudo» — при включении данной функции будет необходим ввод пароля при использовании механизма sudo. По умолчанию функция включена;
  • «Запрет установки бита исполнения» — при включении данной функции будет активирован режим запрета установки бита исполнения, обеспечивающий предотвращение несанкционированного запуска исполняемых файлов и сценариев для командной оболочки. По умолчанию функция не включена;
  • «Запрет исполнения скриптов пользователя» — при включении данной функции будет блокировано интерактивное использование пользователем интерпретаторов. По умолчанию функция не включена;
  • «Запрет исполнения макросов пользователя» — при включении данной функции будет блокировано исполнение макросов в стандартных приложениях. По умолчанию функция не включена;
  • «Запрет консоли» — при включении данной функции будет блокирован консольный вход в систему для пользователя и запуск консоли из графического интерфейса сессии пользователя. По умолчанию функция не включена;
  • «Системные ограничения ulimits» — при включении данной функции будут активированы системные ограничения, установленные в файле /etc/security/limits.conf. По умолчанию функция не включена;
  • «Запрет автонастройки сети» — при включении данной функции будет блокирована автоматическая настройка сети в процессе установки ОС, сеть необходимо будет настроить вручную. По умолчанию функция не включена;
  • «Местное время для системных часов» — при включении данной функции будет включен режим интерпретации показаний аппаратных (RTC) часов. По умолчанию функция не включена.;


панель

Для усиленного уровня защищенности «Усиленный» доступны следующие усиленные функции безопасности уровня «Базовый», а также следующие функции:

  • «Мандатный контроль целостности» — при включении данной функции будет активирован механизм мандатного контроля целостности. По умолчанию функция включена;
  • «Замкнутая программная среда» — при включении данной функции будет активирован механизм, обеспечивающий проверку неизменности и подлинности загружаемых исполняемых файлов формата ELF. По умолчанию функция не включена;
  • «Очистка освобождаемой внешней памяти» — при включении данной функции будет активирован режим очистки блоков файловой системы непосредственно при их освобождении, а также режим очистки разделов страничного обмена. По умолчанию функция не включена.


панель

Для максимального уровня защищенности «Максимальный» доступны все функции безопасности уровней «Базовый» и «Усиленный»усиленного уровня, а также функция:

  • «Мандатное управление доступом» — при включении данной функции будет активирован механизм мандатного управления доступом. По умолчанию функция включена.

 Функции подсистемы безопасности и их состояния определяются следующим образом:

  1. Значения «по умолчанию» задаются при выборе режима работы уровня защищенности в процессе установки ОС;
  2. Значения «по умолчанию», определенные режимом работыуровнем защищенности, могут быть изменены в процессе установки ОС;
  3. Функции подсистемы безопасности могут быть включены и выключены в процессе эксплуатации ОС. Порядок включения и выключения функций подсистемы безопасности после установки Astra Linux описан в документе РУСБ.10015-01 97 01-1 «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1»;
  4. При изменении уровня защищенности (режимов работы ОС):
    1. В сторону снижения уровня защищенности — автоматически отключаются функции безопасности, которые для данного уровня защищенности недоступны;
    2. В сторону увеличения уровня защищенности — состояние функций безопасности автоматически не меняется. Функции безопасности становятся доступными для включения.

Краткое описание механизмов мандатного управления доступом и мандатного контроля целостности представлено здесьв статье Мандатное управление доступом и мандатный контроль целостности.

панель

Сводная таблица «расширенных» функций подсистемы безопасности и их состояний по умолчанию

В таблице ниже представлен список «расширенных» функций подсистемы безопасности ( доступных к включению пользователем для ситемы систем с уровнями защищенности «Усиленный» и «Максимальный») и их состояний по умолчанию, задаваемых при установке в зависимости от выбранного режима:

Н/ДН/Д

 Функция подсистемы безопасности

Уровень защищенности

БазовыйУсиленныйМаксимальный
Замкнутая Программная Среда (ЗПС)Н/ДВыклВыкл
Очистка освобождаемой внешней памятиВыклВыкл
Мандатный Контроль Целостности (МКЦ)Н/ДВклВкл
Мандатное упРавление Доступом (МРД)Н/ДВкл

Обозначения:

  • Вкл — режим по умолчанию Включен и доступен для отключения;
  • Выкл — режим по умолчанию Отключен и доступен для включения;
  • Н/Д — режим по умолчанию Отключен и недоступен для включения.




панель

Отличительные особенности

 уровня

максимального уровня защищенности

«Максимальный»

в сравнении с Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)

панель

Изменения программных компонентов, относящихся к КСЗ

панель

Повышены версии следующих основных компонентовОбновлены и доработаны следующие основные компоненты, относящихся к КСЗ:

  • служба FreeIPA версии 4.8.5, доработанная FreeIPA — пакет программ для создания доверительных отношений с доменными службами AD и создания ЕПП, доработанный для поддержки КСЗ;
  • SambaDC версии 4.12.5 — пакет программ для создания доверительных отношений с доменными службами AD и создания ЕПП Samba DC;
  • PostgreSQL версии 11.10 — защищенная СУБД;
  • CUPS версии 2.3.3 – защищенный комплекс программ печати и маркировки документов;
  • Zabbix версии 5.0.7 — средство централизованного протоколирования;
  • fly-admin-smc версии 0.1.54 — управление локальной политикой безопасности и управление ЕПП;
  • Parsec версии 3.0 Parsec — комплекс средств защиты информации.


панель

Интегрированы следующие сторонние приложения, относящиеся к КСЗ:

  • docker.io версии 20.10.2 — программное обеспечение для автоматизации развёртывания и управления приложениями в средах с поддержкой контейнеризации;
  • bleachbit версии 2.0-3 — приложение для управления приватностью и очисткой свободного места, а также увеличения производительности операционных систем;
  • keepassxc версии 2.3.4 — менеджер паролей с поддержкой различных алгоритмов защитного преобразования данных. Совместим с менеджерами паролей – KeePass2, KeePassX, KeeWeb. Поддерживает интеграцию с web-браузерами Google Chrome, Chromium, Mozilla Firefox;
  • seahorse версии 3.30.1.1-1 — приложение для управления PGP и SSH ключами, поддерживает интеграцию с Caja, Nautilus, gedit и Evolution для защитного преобразования данных и других криптографических операций и серверами ключей HKP и LDAP.



панель

Значения по умолчанию

  • защитные механизмы МКЦ и МРД можно не включать при установке Astra Linux. Они могут быть включены и выключены в процессе эксплуатации системы (ранее можно было выключить и включить только МКЦ);
  • такие защитные механизмы, как МКЦ, МРД, ЗПС и Очистка освобождаемой внешней памяти, работают независимо друг от друга;
  • при включении защитного механизма МКЦ автоматически включается МКЦ на корневой файловой системе и присваиваются атрибуты МКЦ;
  • при использовании механизма sudo требуется ввести пароль;
  • в настройках ядра установлены следующие параметры:
    • включена защита от неправомерного создания жестких и символических ссылок;
    • для протокола IPv4 включена фильтрация пакетов по адресу назначения (проверка адреса получателя);
    • для протокола IPv4 включена фильтрация входящих пакетов, которые были отправлены одним интерфейсом, а приняты другим;
  • протокол IPv6 в настройках ядра не отключен;
  • межсетевой экран ufw выключен (при установке Astra Linux соответствующий пакет  только устанавливается).


панель

Графическая утилита «Управление политикой безопасности»

Добавлены следующие функции:

  • включение/выключение защитного механизма МРД;
  • управление ограничениями на использование дискового пространства (квотами).


панель

Дополнительные мандатные атрибуты управления доступом

панель
  • мандатный атрибут управления доступом ccnri более не используется в Astra Linux для управления доступом, при этом штатное функционирование Astra Linux соответствует функционированию с установленным мандатным атрибутом ccnri. Возможность установки и получения данного мандатного атрибута сохранена в Astra Linux для обеспечения совместимости с системами и ПО, которые его использует;
  • мандатный атрибут управления доступом ccnra в Astra Linux приравнивается к ccnr и также сохранен только для обеспечения совместимости и не рекомендован к использованию;
  • мандатный атрибут управления доступом whole можно присваивать только файлам с максимальной меткой (ранее можно было присваивать файлам c ненулевой классификационной меткой).



панель

Parsec-привилегии

  • исключена Parsec-привилегия PARSEC_CAP_BYPASS_KIOSK, позволяющая игнорировать ограничения киоска;
  • добавлена новая Parsec-привилегия PARSEC_CAP_BYPASS_XATTR, отключающая проверку подписи файлов в xattr;
  • добавлена новая Parsec-привилегия PARSEC_CAP_PROCFS, позволяющая игнорировать уровни конфиденциальности и уровни целостности при работе с /proc.


панель

Регистрация событий безопасности

В Astra Linux реализована расширенная подсистема протоколирования, осуществляющая регистрацию событий в двоичные файлы с использованием службы auditd. Протоколирование работает согласно правилам, которые делятся на два типа:

  • постоянные — действуют всегда, даже после перезагрузки системы;
  • временные — действуют до перезагрузки системы.

Помимо графической утилиты fly-admin-smc («Управление политикой безопасности») для работы с подсистемой протоколирования используются следующие новые графические утилиты:

  • system-config-audit («Конфигурация аудита») — включение и выключение регистрации событий аудита, настройка auditd, настройка журнала аудита, а также добавление, удаление и редактирование правил аудита;
  • ksystemlog («Системный журнал») — выборочный просмотр протоколов аудита.


панель

Защищенный комплекс программ печати и маркировки документов

панель

Вместо web-приложения printcontrol-web («Управление печатью») для печати документов с маркировкой используется графическая утилита fly-print-station («Управление печатью документов»).


панель

Добавлена возможность изменения шрифтов маркировки, в том числе и добавление своего шрифта маркировки.


панель

Изменены наименования дополнительных атрибутов заданий (см. таблицу ниже).

Наименование в 1.7Наименование в 1.6Назначение
mac-job-mac-labelmac-job-macМетка безопасности задания
mac-job-mac-level-namestepenУровень (название текстом)
mac-job-mac-level-reasonpunktОснование для степени секретности (пункт перечня)
mac-job-user-full-nameprintuser-fullnameПолное имя пользователя, выполнившего маркировку («отпечатал»)
mac-job-originating-user-full-nameuser-fullnameПолное имя пользователя, который создал задание («исполнитель»)

Кроме того, добавлен следующий дополнительный атрибут — mac-marking-session-id (идентификатор сессии).


панель

Добавлены следующие дополнительные запросы:

  • MAC-Lock-Job — блокировка задания;
  • MAC-Unock-Job — снятие блокировки задания;
  • MAC-Get-Info — получение информации о станции печати (версия и т.д.);
  • MAC-Get-Journal — получение журнала маркировки.


панель

Изменены дополнительные параметры конфигурации (см. таблицу ниже).

КлючОписание
MacDuplex

Режим печати маркера на обратной стороне (при наличии поддержки со стороны принтера). Значения:

  • off — отключено;
  • marker — печать маркера на обратной стороне;
  • fonarik — печать «фонарика» на обратной стороне последнего листа (будет создано задание с маркированном документом без последней страницы и задание из двух страниц — последняя страница документа и «фонарик» в дуплексном режиме).

Значение по умолчанию — «отключено».

MacJournal

Включить журнал маркировки.

По умолчанию журнал записывается в базу данных SQLITE:
/var/spool/cups/parsec/marking-journal.sqlite.

MacHighIntAdmin

Новый параметр.

Требовать высокую целостность для операций администрирования (редактирование принтеров, перенос задания на другой принтер и т.д.) — работает только для локальных сокетов.

Значение по умолчанию — «отключено».



панель

Добавлены следующие файлы конфигурации:

  • /etc/cups/cups-marker-vars.conf — конфигурационный файл переменных маркировки, значения которых будут запрошены у пользователя перед маркировкой;

  • /usr/share/cups/fonts/*.t42 — шрифты для маркировки;

  • /usr/share/cups/charsets/utf-8.*, /usr/share/cups/charsets/utf-8 — наборы символов для различных шрифтов маркировки.



панель

Программное обеспечение Docker

Добавлена возможность возможность запуска контейнеров Docker на пониженном уровне целостности 2 для обеспечения еще большей изоляции и безопасности основной системы. Это позволяет изолировать работу процессоров внутри контейнера от процессов других контейнеров и хостовой ОС, что предотвращает воздействие потенциально вредоносного кода, выполняемого в контейнерах.

По умолчанию данная функция выключена. Подробнее — см. Работа с контейнерами Docker на выделенных уровнях МКЦ (МРД) Установка и администрирование Docker в Astra Linux 1.7


панель

Другие изменения, касающиеся встроенных средств защиты

  • для файловой системы XFS добавлена поддержка таких защитных механизмов, как МКЦ, МРД и Очистка освобождаемой памяти;
  • реализована поддержка мандатных меток в протоколе IPv6 и фильтрация пакетов по меткам;
  • для файлового сервера Samba добавлена поддержка МРД на всех версиях протокола SMB (v1, v2, v3).




панель

Отличительные особенности

 уровня защищенности «Базовый»

в сравнении с Astra Linux Common Edition 2.12

панель

Изменения программных компонентов, относящихся к КСЗ

Повышены версии основных компонентов, относящихся к КСЗ:

  • служба FreeIPA версии 4.8.5, доработанная для поддержки КСЗ;
  • SambaDC версии 4.12.5 — пакет программ для создания доверительных отношений с доменными службами AD и создания ЕПП Samba DC;
  • PostgreSQL версии 11.10 — защищенная СУБД, доработанная для обеспечения мандатного управления доступом к информации;
  • CUPS версии 2.3.3 – защищенный комплекс программ печати и маркировки документов (версия CUPS в Astra Linux Common Edition 2.12 не обеспечивает маркировку выводимых на печать документов);
  • Zabbix версии 5.0.7 — средство централизованного протоколирования;
  • fly-admin-smc версии 0.1.54 — управление локальной политикой безопасности и управление ЕПП;
  • docker.io версии 20.10.2 — программное обеспечение для автоматизации развёртывания и управления приложениями в средах с поддержкой контейнеризации;
  • bleachbit версии 2.0-3 — приложение для управления приватностью и очисткой свободного места, а также увеличения производительности операционных систем;
  • keepassxc версии 2.3.4 — менеджер паролей с поддержкой различных алгоритмов защитного преобразования данных. Совместим с менеджерами паролей – KeePass2, KeePassX, KeeWeb. Поддерживает интеграцию с браузерами Google Chrome, Chromium, Mozilla Firefox;
  • seahorse версии 3.30.1.1-1 — приложение для управления PGP и SSH ключами, поддерживает интеграцию с Caja, Nautilus, gedit и Evolution для защитного преобразования данных и других криптографических операций и серверами ключей HKP и LDAP.


панель

Значения по умолчанию

  • межсетевой экран ufw выключен (при установке Astra Linux соответствующий пакет только устанавливается);
  • в настройках ядра включена защита от неправомерного создания жестких и символических ссылок;
  • протокол IPv6 в настройках ядра не отключен;
  • функции безопасности «Запрет исполнения макросов пользователя» и «Запрет установки бита исполнения» можно включить при установке ОС.


панель

Графическая утилита «Управление политикой безопасности»

Добавлены следующие функции:

  • управление расширенной подсистемой протоколирования (аудит);
  • управление разграничением доступа к подключаемым устройствам;
  • отображение сводки состояний функций безопасности (монитор безопасности).


панель

Регистрация событий безопасности

В Astra Linux реализована расширенная подсистема протоколирования, осуществляющая регистрацию событий в двоичные файлы с использованием службы auditd. Протоколирование работает согласно правилам, которые делятся на два типа:

  • постоянные — действуют всегда, даже после перезагрузки системы;
  • временные — действуют до перезагрузки системы.

Для работы с подсистемой протоколирования могут использоваться следующие графические утилиты, которые позволяют настраивать параметры регистрации событий и просмотра протоколов:

  • fly-admin-smc («Управление политикой безопасности») — управление протоколированием, работа с пользователями и группами;
  • system-config-audit («Конфигурация аудита») — включение и выключение регистрации событий аудита, настройка auditd, настройка журнала аудита, а также добавление, удаление и редактирование правил аудита;
  • ksystemlog («Системный журнал») — выборочный просмотр протоколов аудита.


панель

Средства разграничения доступа к подключаемым устройствам

В Astra Linux поддерживается разграничение доступа к символьным и блочным устройствам, для которых в каталоге /dev создаются файлы устройств. Разграничение доступа реализуется с использованием генерации правил менеджера устройств udev. Для разграничения доступа к устройствам типа видеокарт, сетевых карт и т.д. данный метод не используется.

Учет носителей, управление их принадлежностью и протоколированием осуществляется с помощью утилиты fly-admin-smc («Управление политикой безопасности»), в том числе и при работе в ЕПП.