Справочный центр

Дерево страниц

Вы просматриваете старую версию данной страницы. Смотрите текущую версию.

Сравнить с текущим просмотр истории страницы

Версия 1 Следующий »

Данная статья применима к:

  • Astra Linux

Введение

В настоящей статье рассматриваются механизмы обеспечения и проверки целостности (неизменности) файловых объектов, входящих с состав Astra Linux. 

Обеспечение целостности носителей

Далее под носителями подразумеваются:

  • установочный диск (образ установочного диска) Astra Linux;
  • диски (образы дисков) оперативных и срочных обновлений;
  • архивы, предоставляемые в рамках срочных  обновлений.

Для проверки целостности носителей предоставляются:

  • Контрольные суммы дисков и архивов— публикуются на Интернет-ресурсах совместно с носителями. Для установочного диска контрольные суммы также предоставляются в формуляре изделия.
  • Отсоединенные подписи образов дисков — публикуются на Интернет-ресурсах совместно с образами в бюллетенях безопасности.

Порядок выполнения проверки целостности носителей также публикуется в указанных документах.

Обеспечение целостности репозиториев пакетов

Целостность всех репозиториев пакетов Astra Linux обеспечивается механизмами безопасности, реализованными в составе системы управления пакетами Astra Linux:

  1. При установке Astra Linux устанавливается пакет ca-certificates, содержащий публичный ключ для проверки подписей файлов.
  2. Каждый репозиторий содержит файл Release. Файл Release защищен отсоединенной подписью, находящейся в файле Release.gpg. При начале работы с репозиторием файлы Release и Reles.gpg загружаются, и целостность файла Release проверяется с помощью предустановленного публичного ключа.
  3. Файл Release содержит список файлов со списками пакетов репозитория и контрольные суммы этих файлов.  После проверки целостности файла Release загружаются списки пакетов репозитория, и указанные в файле Release контрольные суммы используются для проверки целостности списков пакетов.
  4. Списки пакетов в свою очередь содержат контрольные суммы пакетов репозитория. Эти контрольные суммы используются для проверки целостности загружаемых пакетов.
  5. Пакеты содержат контрольные суммы содержащихся в них файлов. Эти суммы используются для проверки устанавливаемых файлов.

Таким образом, репозитории защищены от искажения содержащихся в них данных. Эта защита действительна в том числе и при подмене данных, передаваемых по сети, что делает необязательным при работе с репозиториями использование защищенных протоколов типа HTTPS.

Обеспечение целостности при сетевой установке

При сетевой загрузке (см. статью Подготовка инфраструктуры PXE на Astra Linux) загрузка первичного меню выбора параметров загрузки выполняется по протоколу TFTP. Протокол TFTP не предусматривает никаких механизмов авторизации и защиты передаваемых данных.

Помимо меню при сетевой загрузке с использованием протоколов TFTP/FTP/HTTP загружаются :

  • первичное меню выбора параметров загрузки;
  • ядро (linux) для выполнения загрузки;
  • файловая системе initrd;
  • файл preseed с параметрами установки.

Единственным способом обеспечения целостности данных при использовании сетевой загрузки является её использование исключительно в доверенной сети.

Установка пакетов при сетевой загрузке выполняется с помощью стандартной системы установки пакетов. При этом полностью действует система обеспечения целостности репозиториев.

Обеспечение целостности после установки и при эксплуатации

Целостность файловых объектов Astra Linux в процессе эксплуатации обеспечивается мандатными и дискреционными правами доступа. Дополнительно могут использоваться:

  1.  Режим замкнутой программной среды (ЗПС) — режим запрета доступа к измененным файлам.
  2. Режимы системный киоск и графический киоск — режимы ограничения номенклатуры запускаемых программ.
  3. Режимы блокировки интерпретаторов и запрета выставления бита suid.

Для контроля целостности Astra Linux предоставляет следующие средства:

  • Нет меток