Содержание
Данная статья применима к:
- Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7)
- Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)
Данная статья неприменима к Astra Linux Special Edition РУСБ.10015-10
Подробно все особенности комплекса средств защиты информации описаны в документе РУСБ.10015-01 97 01-1 «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1».
Уровни защищенности операционной системы
Начиная с очередного обновления 1.7/4.7 операционная система специального назначения «Astra Linux Special Edition» (далее по тексту — ОС ОН) может работать на различных уровнях защищенности, каждому из которых соответствует набор функций подсистемы безопасности реализованной в ОС запатентованными средствами защиты информации, объединенными в единый комплекс средств защиты (КСЗ). В зависимости от приобретаемой лицензии возможен выбор одного из уровней защищенности системы:
- усиленный уровень защищенности;
- максимальный уровень защищенности.
Усиленный уровень защищенности
Вариант лицензирования с усиленным уровнем защищенности рекомендуется для обработки и защиты конфиденциальной информации в государственных информационных системах, в информационных системах, обрабатывающих персональные данные, в составе значимых объектов критической информационной инфраструктуры, в иных информационных (автоматизированных) системах, обрабатывающих информацию ограниченного доступа, не содержащую сведения, составляющие государственную тайну.
Максимальный уровень защищенности
Вариант лицензирования с максимальным уровнем защищенности рекомендуется для обработки и защиты информации любой категории доступа в государственных информационных системах, в информационных системах, обрабатывающих персональные данные, в составе значимых объектов критической информационной инфраструктуры, в иных информационных (автоматизированных) системах, обрабатывающих информацию ограниченного доступа, в т.ч. содержащую сведения, составляющие государственную тайну до степени секретности «совершенно секретно» или «особой важности» (в зависимости от класса защиты, установленного в сертификате соответствия для используемого конечным пользователем варианта исполнения Astra Linux) включительно.
Каждый из уровней защищенности ОС соответствует набору доступных к включению пользователем функций подсистемы безопасности :
Для усиленного уровня защищенности доступны следующие базовые функции безопасности:
«Запрет вывода меню загрузчика» — при включении данной функции будет запрещен вывод меню загрузчика GRUB 2. В процессе загрузки будет загружаться ядро системы, выбранное по умолчанию. По умолчанию функция не включена;
- «Запрет трассировки ptrace» — при включении данной функции будет исключена возможность трассировки и отладки выполнения программного кода. По умолчанию функция включена;
- «Запрос пароля для команды sudo» — при включении данной функции будет необходим ввод пароля при использовании механизма sudo. По умолчанию функция включена;
- «Запрет установки бита исполнения» — при включении данной функции будет активирован режим запрета установки бита исполнения, обеспечивающий предотвращение несанкционированного запуска исполняемых файлов и сценариев для командной оболочки. По умолчанию функция не включена;
- «Запрет исполнения скриптов пользователя» — при включении данной функции будет блокировано интерактивное использование пользователем интерпретаторов. По умолчанию функция не включена;
- «Запрет исполнения макросов пользователя» — при включении данной функции будет блокировано исполнение макросов в стандартных приложениях. По умолчанию функция не включена;
- «Запрет консоли» — при включении данной функции будет блокирован консольный вход в систему для пользователя и запуск консоли из графического интерфейса сессии пользователя. По умолчанию функция не включена;
- «Системные ограничения ulimits» — при включении данной функции будут активированы системные ограничения, установленные в файле
/etc/security/limits.conf
. По умолчанию функция не включена; - «Запрет автонастройки сети» — при включении данной функции будет блокирована автоматическая настройка сети в процессе установки ОС, сеть необходимо будет настроить вручную. По умолчанию функция не включена;
- «Местное время для системных часов» — при включении данной функции будет включен режим интерпретации показаний аппаратных (RTC) часов. По умолчанию функция не включена;
Для усиленного уровня защищенности доступны следующие усиленные функции безопасности:
- «Мандатный контроль целостности» — при включении данной функции будет активирован механизм мандатного контроля целостности. По умолчанию функция включена;
- «Замкнутая программная среда» — при включении данной функции будет активирован механизм, обеспечивающий проверку неизменности и подлинности загружаемых исполняемых файлов формата ELF. По умолчанию функция не включена;
- «Очистка освобождаемой внешней памяти» — при включении данной функции будет активирован режим очистки блоков файловой системы непосредственно при их освобождении, а также режим очистки разделов страничного обмена. По умолчанию функция не включена.
Для максимального уровня защищенности доступны все функции безопасности усиленного уровня, а также функция:
- «Мандатное управление доступом» — при включении данной функции будет активирован механизм мандатного управления доступом. По умолчанию функция включена.
Функции подсистемы безопасности и их состояния определяются следующим образом:
- Значения «по умолчанию» задаются при выборе уровня защищенности в процессе установки ОС;
- Значения «по умолчанию», определенные уровнем защищенности, могут быть изменены в процессе установки ОС;
- Функции подсистемы безопасности могут быть включены и выключены в процессе эксплуатации ОС. Порядок включения и выключения функций подсистемы безопасности после установки Astra Linux описан в документе РУСБ.10015-01 97 01-1 «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1»;
- При изменении уровня защищенности (режимов работы ОС):
- В сторону снижения уровня защищенности — автоматически отключаются функции безопасности, которые для данного уровня защищенности недоступны;
- В сторону увеличения уровня защищенности — состояние функций безопасности автоматически не меняется. Функции безопасности становятся доступными для включения.
Краткое описание механизмов мандатного управления доступом и мандатного контроля целостности представлено в статье Мандатное управление доступом и мандатный контроль целостности.
Сводная таблица «расширенных» функций подсистемы безопасности и их состояний по умолчанию
В таблице ниже представлен список «расширенных» функций подсистемы безопасности ( доступных к включению пользователем для систем с уровнями защищенности «Усиленный» и «Максимальный») и их состояний по умолчанию, задаваемых при установке в зависимости от выбранного режима:
Функция подсистемы безопасности | Уровень защищенности | |
---|---|---|
Усиленный | Максимальный | |
Замкнутая Программная Среда (ЗПС) | Выкл | Выкл |
Очистка освобождаемой внешней памяти | Выкл | Выкл |
Мандатный Контроль Целостности (МКЦ) | Вкл | Вкл |
Мандатное упРавление Доступом (МРД) | Н/Д | Вкл |
Обозначения:
- Вкл — режим по умолчанию Включен и доступен для отключения;
- Выкл — режим по умолчанию Отключен и доступен для включения;
- Н/Д — режим по умолчанию Отключен и недоступен для включения.
Отличительные особенности максимального уровня защищенности в сравнении с Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
Изменения программных компонентов, относящихся к КСЗ
Обновлены и доработаны следующие основные компоненты, относящихся к КСЗ:
- FreeIPA — пакет программ для создания доверительных отношений с доменными службами AD и создания ЕПП, доработанный для поддержки КСЗ;
- SambaDC — пакет программ для создания доверительных отношений с доменными службами AD и создания ЕПП Samba DC;
- PostgreSQL — защищенная СУБД;
- CUPS – защищенный комплекс программ печати и маркировки документов;
- Zabbix — средство централизованного протоколирования;
- fly-admin-smc — управление локальной политикой безопасности и управление ЕПП;
- Parsec — комплекс средств защиты информации.
Интегрированы следующие сторонние приложения, относящиеся к КСЗ:
- docker.io — программное обеспечение для автоматизации развёртывания и управления приложениями в средах с поддержкой контейнеризации;
- bleachbit — приложение для управления приватностью и очисткой свободного места, а также увеличения производительности операционных систем;
- keepassxc — менеджер паролей с поддержкой различных алгоритмов защитного преобразования данных. Совместим с менеджерами паролей – KeePass2, KeePassX, KeeWeb. Поддерживает интеграцию с web-браузерами Google Chrome, Chromium, Mozilla Firefox;
- seahorse — приложение для управления PGP и SSH ключами, поддерживает интеграцию с Caja, Nautilus, gedit и Evolution для защитного преобразования данных и других криптографических операций и серверами ключей HKP и LDAP.
Значения по умолчанию
- защитные механизмы МКЦ и МРД можно не включать при установке Astra Linux. Они могут быть включены и выключены в процессе эксплуатации системы (ранее можно было выключить и включить только МКЦ);
- такие защитные механизмы, как МКЦ, МРД, ЗПС и Очистка освобождаемой внешней памяти, работают независимо друг от друга;
- при включении защитного механизма МКЦ автоматически включается МКЦ на корневой файловой системе и присваиваются атрибуты МКЦ;
- при использовании механизма
sudo
требуется ввести пароль; - в настройках ядра установлены следующие параметры:
- включена защита от неправомерного создания жестких и символических ссылок;
- для протокола IPv4 включена фильтрация пакетов по адресу назначения (проверка адреса получателя);
- для протокола IPv4 включена фильтрация входящих пакетов, которые были отправлены одним интерфейсом, а приняты другим;
- протокол IPv6 в настройках ядра не отключен;
- межсетевой экран ufw выключен (при установке Astra Linux соответствующий пакет только устанавливается).
Графическая утилита «Управление политикой безопасности»
Добавлены следующие функции:
- включение/выключение защитного механизма МРД;
- управление ограничениями на использование дискового пространства (квотами).
Дополнительные мандатные атрибуты управления доступом
- мандатный атрибут управления доступом ccnri более не используется в Astra Linux для управления доступом, при этом штатное функционирование Astra Linux соответствует функционированию с установленным мандатным атрибутом ccnri. Возможность установки и получения данного мандатного атрибута сохранена в Astra Linux для обеспечения совместимости с системами и ПО, которые его использует;
- мандатный атрибут управления доступом ccnra в Astra Linux приравнивается к ccnr и также сохранен только для обеспечения совместимости и не рекомендован к использованию;
- мандатный атрибут управления доступом whole можно присваивать только файлам с максимальной меткой (ранее можно было присваивать файлам c ненулевой классификационной меткой).
Parsec-привилегии
- исключена Parsec-привилегия
PARSEC_CAP_BYPASS_KIOSK
, позволяющая игнорировать ограничения киоска; - добавлена новая Parsec-привилегия
PARSEC_CAP_BYPASS_XATTR
, отключающая проверку подписи файлов вxattr
; - добавлена новая Parsec-привилегия
PARSEC_CAP_PROCFS
, позволяющая игнорировать уровни конфиденциальности и уровни целостности при работе с/proc
.
Регистрация событий безопасности
В Astra Linux реализована расширенная подсистема протоколирования, осуществляющая регистрацию событий в двоичные файлы с использованием службы auditd. Протоколирование работает согласно правилам, которые делятся на два типа:
- постоянные — действуют всегда, даже после перезагрузки системы;
- временные — действуют до перезагрузки системы.
Помимо графической утилиты fly-admin-smc («Управление политикой безопасности») для работы с подсистемой протоколирования используются следующие новые графические утилиты:
- system-config-audit («Конфигурация аудита») — включение и выключение регистрации событий аудита, настройка auditd, настройка журнала аудита, а также добавление, удаление и редактирование правил аудита;
- ksystemlog («Системный журнал») — выборочный просмотр протоколов аудита.
Защищенный комплекс программ печати и маркировки документов
Вместо web-приложения printcontrol-web («Управление печатью») для печати документов с маркировкой используется графическая утилита fly-print-station («Управление печатью документов»).
Добавлена возможность изменения шрифтов маркировки, в том числе и добавление своего шрифта маркировки.
Изменены наименования дополнительных атрибутов заданий (см. таблицу ниже).
Наименование в 1.7 | Наименование в 1.6 | Назначение |
---|---|---|
mac-job-mac-label | mac-job-mac | Метка безопасности задания |
mac-job-mac-level-name | stepen | Уровень (название текстом) |
mac-job-mac-level-reason | punkt | Основание для степени секретности (пункт перечня) |
mac-job-user-full-name | printuser-fullname | Полное имя пользователя, выполнившего маркировку («отпечатал») |
mac-job-originating-user-full-name | user-fullname | Полное имя пользователя, который создал задание («исполнитель») |
Кроме того, добавлен следующий дополнительный атрибут — mac-marking-session-id
(идентификатор сессии).
Добавлены следующие дополнительные запросы:
MAC-Lock-Job
— блокировка задания;MAC-Unock-Job
— снятие блокировки задания;MAC-Get-Info
— получение информации о станции печати (версия и т.д.);MAC-Get-Journal
— получение журнала маркировки.
Изменены дополнительные параметры конфигурации (см. таблицу ниже).
Ключ | Описание |
---|---|
MacDuplex | Режим печати маркера на обратной стороне (при наличии поддержки со стороны принтера). Значения:
Значение по умолчанию — «отключено». |
MacJournal | Включить журнал маркировки. По умолчанию журнал записывается в базу данных SQLITE: |
MacHighIntAdmin | Новый параметр. Требовать высокую целостность для операций администрирования (редактирование принтеров, перенос задания на другой принтер и т.д.) — работает только для локальных сокетов. Значение по умолчанию — «отключено». |
Добавлены следующие файлы конфигурации:
/etc/cups/cups-marker-vars.conf
— конфигурационный файл переменных маркировки, значения которых будут запрошены у пользователя перед маркировкой;/usr/share/cups/fonts/*.t42
— шрифты для маркировки;/usr/share/cups/charsets/utf-8.*, /usr/share/cups/charsets/utf-8
— наборы символов для различных шрифтов маркировки.
Программное обеспечение Docker
Добавлена возможность запуска контейнеров Docker на пониженном уровне целостности 2 для обеспечения еще большей изоляции и безопасности основной системы. Это позволяет изолировать работу процессоров внутри контейнера от процессов других контейнеров и хостовой ОС, что предотвращает воздействие потенциально вредоносного кода, выполняемого в контейнерах.
По умолчанию данная функция выключена. Подробнее — см. статью Установка и администрирование Docker в Astra Linux Special Edition.
Другие изменения, касающиеся встроенных средств защиты
- для файловой системы XFS добавлена поддержка таких защитных механизмов, как МКЦ, МРД и Очистка освобождаемой памяти;
- реализована поддержка мандатных меток в протоколе IPv6 и фильтрация пакетов по меткам;
- для файлового сервера Samba добавлена поддержка МРД на всех версиях протокола SMB (v1, v2, v3).
Отличительные особенности в сравнении с Astra Linux Common Edition 2.12
Изменения программных компонентов, относящихся к КСЗ
Повышены версии основных компонентов, относящихся к КСЗ:
- служба FreeIPA версии 4.8.5, доработанная для поддержки КСЗ;
- SambaDC версии 4.12.5 — пакет программ для создания доверительных отношений с доменными службами AD и создания ЕПП Samba DC;
- PostgreSQL версии 11.10 — защищенная СУБД, доработанная для обеспечения мандатного управления доступом к информации;
- CUPS версии 2.3.3 – защищенный комплекс программ печати и маркировки документов (версия CUPS в Astra Linux Common Edition 2.12 не обеспечивает маркировку выводимых на печать документов);
- Zabbix версии 5.0.7 — средство централизованного протоколирования;
- fly-admin-smc версии 0.1.54 — управление локальной политикой безопасности и управление ЕПП;
- docker.io версии 20.10.2 — программное обеспечение для автоматизации развёртывания и управления приложениями в средах с поддержкой контейнеризации;
- bleachbit версии 2.0-3 — приложение для управления приватностью и очисткой свободного места, а также увеличения производительности операционных систем;
- keepassxc версии 2.3.4 — менеджер паролей с поддержкой различных алгоритмов защитного преобразования данных. Совместим с менеджерами паролей – KeePass2, KeePassX, KeeWeb. Поддерживает интеграцию с браузерами Google Chrome, Chromium, Mozilla Firefox;
- seahorse версии 3.30.1.1-1 — приложение для управления PGP и SSH ключами, поддерживает интеграцию с Caja, Nautilus, gedit и Evolution для защитного преобразования данных и других криптографических операций и серверами ключей HKP и LDAP.
Значения по умолчанию
- межсетевой экран ufw выключен (при установке Astra Linux соответствующий пакет только устанавливается);
- в настройках ядра включена защита от неправомерного создания жестких и символических ссылок;
- протокол IPv6 в настройках ядра не отключен;
- функции безопасности «Запрет исполнения макросов пользователя» и «Запрет установки бита исполнения» можно включить при установке ОС.
Графическая утилита «Управление политикой безопасности»
Добавлены следующие функции:
- управление расширенной подсистемой протоколирования (аудит);
- управление разграничением доступа к подключаемым устройствам;
- отображение сводки состояний функций безопасности (монитор безопасности).
Регистрация событий безопасности
В Astra Linux реализована расширенная подсистема протоколирования, осуществляющая регистрацию событий в двоичные файлы с использованием службы auditd. Протоколирование работает согласно правилам, которые делятся на два типа:
- постоянные — действуют всегда, даже после перезагрузки системы;
- временные — действуют до перезагрузки системы.
Для работы с подсистемой протоколирования могут использоваться следующие графические утилиты, которые позволяют настраивать параметры регистрации событий и просмотра протоколов:
- fly-admin-smc («Управление политикой безопасности») — управление протоколированием, работа с пользователями и группами;
- system-config-audit («Конфигурация аудита») — включение и выключение регистрации событий аудита, настройка auditd, настройка журнала аудита, а также добавление, удаление и редактирование правил аудита;
- ksystemlog («Системный журнал») — выборочный просмотр протоколов аудита.
Средства разграничения доступа к подключаемым устройствам
В Astra Linux поддерживается разграничение доступа к символьным и блочным устройствам, для которых в каталоге /dev
создаются файлы устройств. Разграничение доступа реализуется с использованием генерации правил менеджера устройств udev. Для разграничения доступа к устройствам типа видеокарт, сетевых карт и т.д. данный метод не используется.
Учет носителей, управление их принадлежностью и протоколированием осуществляется с помощью утилиты fly-admin-smc («Управление политикой безопасности»), в том числе и при работе в ЕПП.