Команды-переключатели

astra-autologin-control

Управление автоматическим входом в графическую среду.

astra-bash-lock

Управление блокировкой интерпретатора команд bash. Аналогична блокировке других интерпретаторов команд, но вынесена в отдельную блокировку, т.к. доставляет больше неудобств, в том числе для служб, работающих в фоновом режиме.
Не распространяет своё действие на пользователей из группы astra-admin

astra-commands-lock

Управление блокировкой запуска пользователями следующих программ:

• df;
• chatt;
• arp;
• ip.

Программы блокируются для пользователей с помощью выставления на них прав доступа 750 (rwx   r-x    - - -). Эти программы необходимо блокировать при обработке в одной системе информации разных уровней конфиденциальности, т.к. с их помощью можно организовать скрытый канал передачи информации между уровнями.

astra-console-lock

Управление блокировкой доступа к консоли и терминалам для пользователей, не входящих в группу astra-console. При необходимости группа astra-console автоматически создается и при этом в неё включаются пользователи, состоящие в группе astra-admins на момент включения этой функции.

astra-digsig-control

Позволяет из командной строки управлять режимом ЗПС в исполняемых файлах.

astra-hardened-control

Включает/отключает в загрузчике grub2 загрузку ядра hardened по умолчанию, если такое ядро присутствует в системе.

astra-ilev1-control

Переводит некоторые сетевые сервисы с высокого уровня целостности на уровень 1, для чего в каталоге /etc/systemd размещаются override-файлы для соответствующих сервисов. Изменения касаются следующих сервисов:

• apache2;
• dovecot;
• exim4.

Если указанные сервисы не были установлены при включении этой функции, то функция автоматически применится и к вновь установленным сервисам.

astra-interpreters-lock

Блокирует запуск пользователями командных интерпретаторов, таких как python, perl и другие. Блокировка не позволяет пользователям исполнять в системе произвольный код в обход ЗПС. Не распространяется на пользователей из группы astra-admin.

astra-lkrg-control

Если установлен пакет lkrg, настраивает автозагрузку модуля ядра lkrg при загрузке системы (на этапе загрузки initrd) и загружает модуль lkrg сразу после включения этой функции. При отключении функции модуль lkrg удаляется из автозагрузки и выгружается из ядра. lkrg - это экспериментальный модуль, обеспечивающий обнаружение некоторых уязвимостей и защиту пространства памяти ядра от модификации. Может конфликтовать с драйверами виртуализации, например, virtualbox.

astra-macros-lock

Блокирует исполнение макросов в документах libreoffice. Для этого из меню программ libreoffice удаляются соответствующие пункты, а файлы, отвечающие за работу макросов, перемещаются или делаются недоступными пользователю. Блокировка макросов решает две задачи - защищает от выполнения вредоносного кода при открытии документов и не позволяет злонамеренному пользователю исполнять произвольный код через механизм макросов.

astra-mic-control

Включает или отключает механизм контроля целостности в ядре, изменяя значение параметра parsec.max_ilev командной строки ядра. После отключении механизма контроля целостности и перезагрузки целостность на файловой системе сбрасывается на нулевые значения. После включения механизма контроля целостности и перезагрузки на объектах файловой системы восстанавливаются принятые по умолчанию значения целостности (высокий уровень целостности на каталоги /dev, /proc, /run, /sys). При включении этой функции возможно указать значение максимальной целостности, отличное от принятого по умолчанию (63), что требуется для специальных применений (Брест).

astra-modban-lock

Блокирует загрузку неиспользуемых модулей ядра. Неиспользуемыми считаются те модули, которые не загружены в момент включения функции.

astra-mount-lock

Запрещает монтирование съемных носителей пользователям, входящим в группу floppy, но не входящим в группу astra-admin.

astra-noautonet-control

Отключает автоконфигурирование сетевых подключений, блокируя работу служб network-manager и connman, а также отключает элемент управления сетью в трее графического интерфейса.

astra-nobootmenu-control

Отключает отображение меню загрузчика grub2. Это затрудняет вмешательство пользователя в процесс загрузки и несколько ускоряет загрузку.

astra-nochmodx-lock

Блокирует возможность установки на файлы бита разрешения исполнения (chmod +x), чем не позволяет пользователям привнести в систему посторонний исполняемый код. Запрет не распространяется на пользователей из группы astra-admin.

astra-overlay

Включает overlay на корневой файловой системе (ФС). Фактическое содержимое корневой ФС монтируется в overlay одновременно с файловой системой, хранящейся в памяти. После этого все изменения файлов сохраняются только в памяти, а файловая система, хранящаяся на носителе, остается без изменений. После перезагрузки все изменения теряются, и система каждый раз загружается в исходном состоянии. Эта функция может применяться в тех случаях, когда носитель, на котором расположена корневая ФС, аппаратно защищен от записи, либо необходимо программно защитить ее от изменений.

astra-ptrace-lock

Устанавливает максимальные ограничения на использование механизма ptrace, выставляя параметр kernel.yama.ptrace_scope в значение 3. Значение устанавливается сразу при включении этой функции и настраивается сохранение этого значения после перезагрузки. Функция не может быть отключена без перезагрузки.

astra-secdel-control

Включает функционал безопасного удаления файлов на разделах с файловыми системами ext2, ext3, ext4, присутствующих в /etc/fstab. Когда эта функция включена, при удалении содержимое файлов затирается, чтобы его нельзя было восстановить. В обычных условиях при удалении файлы логически помечаются как удаленные, но их содержимое остается на носителе, пока не будет затерто новыми данными.

astra-shutdown-lock

Блокирует выключение компьютера пользователями, не являющимися суперпользователями. Для этого права доступа на исполняемый файл /bin/systemctl меняются на 750 (rwx   - - -   - - -) и меняются параметры в fly-dmrc, после чего команды systemctl могут выполняться только от имени суперпользователя (sudo systemctl ...).

astra-sudo-control

Включает требование ввода пароля при использовании sudo. По умолчанию не требуется вводить пароль при вызове sudo. Это повышает удобство, но в некоторых случаях может быть небезопасно. Состояние "включено" означает, что будет требоваться пароль, "выключено" - не будет требоваться.

astra-sumac-lock

Блокирует работу утилит sumac и fly-sumac. Если эта функция включена, даже те пользователи, у которых есть привилегия PARSEC_CAP_SUMAC, не смогут использовать команду sumac. Для этого устанавливаются права доступа 000 на исполняемый файл sumac и библиотеку libsumacrunner.so.

astra-swapwiper-control

Включает функцию очистки разделов подкачки при завершении работы ОС. Для этого вносятся изменения в конфигурационный файл /etc/parsec/swap_wiper.conf.

astra-sysrq-lock

Отключает функции системы, доступные при нажатии клавиши SysRq, т.к. их использование пользователем может быть небезопасно. Для этого изменяется значение параметра kernel.sysrq. Значение параметра сохраняется в файл /etc/sysctl.d/999-astra.conf.

astra-ufw-control

Включает межсетевой экран ufw. Если уже включен firewalld (другой межсетевой экран), то ufw не будет включен, т.к. при одновременном включении они вызывают конфликты.

astra-ulimits-control

Включает ограничения на использование пользователями некоторых ресурсов системы, чтобы предотвратить нарушение доступности системы в результате исчерпания ресурсов. Настройка ограничений производится путем внесения изменений в файл /etc/security/limits.conf

Монитор безопасности astra-security-monitor

Аналог графической утилиты "Монитор безопасности". Отображает компактную сводку о состоянии функций безопасности. Для каждой функции возможны четыре состояния:

Включено/Выключено;

Включается/Выключается.

Состояние "Включается" обозначает, что функция находится в процессе включения или будет включена после перезагрузки, но в настоящий момент еще не активна. Состояние "Выключается" имеет обратный смысл. Например, после отключения блокировки ptrace она переходит в состояние "Выключается", т.к. она не может быть выключена в процессе работы системы, но отключится после перезагрузки.

Включенное состояние функций безопасности означает повышенную безопасность, т.е. состояние, когда некий потенциально небезопасный функционал ОС запрещен.

Кроме перечисленных выше функций монитор безопасности также контролирует:

• МКЦ на файловой системе - соответствуют ли метки целостности, установленные на объектахфайловой системы конфигурации, указанной в /etc/parsec/fs-ilev.conf;
• Подпись в расширенных атрибутах (xattr) - включена ли проверка подписи не только в исполняемых файлах, но ив любых других, которые подписаны в xattr соответствующей утилитой;
• Запрет входа root по ssh - запрещен ли удаленный вход в систему пользователю root (если незапрещен, это упрощает перебор паролей). По умолчанию root не может войтипо ssh, функция имеет состояние "включено";
• Безопасный вход в домен- применимо только в том случае, если машина введена в домен. Если в файле/etc/parsec/parsec.conf параметр login_local имеет значение admin (вход для локальных пользователей разрешён только для пользователей, входящих в группу astra-admin) или значение no (вход запрещён для всех локальных пользователей), то такая настройка считается безопасной;
• Системный киоск -"включено", если системный киоск включен и настроен хотя бы для одного пользователя;
• Графический киоск -"включено", если графический киоск настроен хотя бы для одного пользователя.