Содержание

Данная статья применима к:

  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7)
  • Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)

Данная статья неприменима к Astra Linux Special Edition РУСБ.10015-10

     

Подробно все особенности комплекса средств защиты информации описаны в документе РУСБ.10015-01 97 01-1 «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1».

Уровни защищенности операционной системы

Начиная с очередного обновления 1.7/4.7 операционная система специального назначения «Astra Linux Special Edition» (далее по тексту — ОС ОН) может работать на различных уровнях защищенности, каждому из которых соответствует набор функций подсистемы безопасности реализованной в ОС запатентованными средствами защиты информации, объединенными в единый комплекс средств защиты (КСЗ). В зависимости от приобретаемой лицензии возможен выбор одного из уровней защищенности системы:

  • усиленный уровень защищенности;
  • максимальный уровень защищенности.

Усиленный уровень защищенности

Вариант лицензирования с усиленным уровнем защищенности рекомендуется для обработки и защиты конфиденциальной информации в государственных информационных системах, в информационных системах, обрабатывающих персональные данные, в составе значимых объектов критической информационной инфраструктуры, в иных информационных (автоматизированных) системах, обрабатывающих информацию ограниченного доступа, не содержащую сведения, составляющие государственную тайну.

Максимальный уровень защищенности

Вариант лицензирования с максимальным уровнем защищенности рекомендуется для обработки и защиты информации любой категории доступа в государственных информационных системах, в информационных системах, обрабатывающих персональные данные, в составе значимых объектов критической информационной инфраструктуры, в иных информационных (автоматизированных) системах, обрабатывающих информацию ограниченного доступа, в т.ч. содержащую сведения, составляющие государственную тайну до степени секретности «совершенно секретно» или «особой важности» (в зависимости от класса защиты, установленного в сертификате соответствия для используемого конечным пользователем варианта исполнения Astra Linux) включительно.

Каждый из уровней защищенности ОС соответствует набору доступных к включению пользователем функций подсистемы безопасности :

Для усиленного уровня защищенности доступны следующие базовые функции безопасности:

  • «Запрет вывода меню загрузчика» — при включении данной функции будет запрещен вывод меню загрузчика GRUB 2. В процессе загрузки будет загружаться ядро системы, выбранное по умолчанию. По умолчанию функция не включена;

  • «Запрет трассировки ptrace» — при включении данной функции будет исключена возможность трассировки и отладки выполнения программного кода. По умолчанию функция включена;
  • «Запрос пароля для команды sudo» — при включении данной функции будет необходим ввод пароля при использовании механизма sudo. По умолчанию функция включена;
  • «Запрет установки бита исполнения» — при включении данной функции будет активирован режим запрета установки бита исполнения, обеспечивающий предотвращение несанкционированного запуска исполняемых файлов и сценариев для командной оболочки. По умолчанию функция не включена;
  • «Запрет исполнения скриптов пользователя» — при включении данной функции будет блокировано интерактивное использование пользователем интерпретаторов. По умолчанию функция не включена;
  • «Запрет исполнения макросов пользователя» — при включении данной функции будет блокировано исполнение макросов в стандартных приложениях. По умолчанию функция не включена;
  • «Запрет консоли» — при включении данной функции будет блокирован консольный вход в систему для пользователя и запуск консоли из графического интерфейса сессии пользователя. По умолчанию функция не включена;
  • «Системные ограничения ulimits» — при включении данной функции будут активированы системные ограничения, установленные в файле /etc/security/limits.conf. По умолчанию функция не включена;
  • «Запрет автонастройки сети» — при включении данной функции будет блокирована автоматическая настройка сети в процессе установки ОС, сеть необходимо будет настроить вручную. По умолчанию функция не включена;
  • «Местное время для системных часов» — при включении данной функции будет включен режим интерпретации показаний аппаратных (RTC) часов. По умолчанию функция не включена;

Для усиленного уровня защищенности доступны следующие усиленные функции безопасности:

  • «Мандатный контроль целостности» — при включении данной функции будет активирован механизм мандатного контроля целостности. По умолчанию функция включена;
  • «Замкнутая программная среда» — при включении данной функции будет активирован механизм, обеспечивающий проверку неизменности и подлинности загружаемых исполняемых файлов формата ELF. По умолчанию функция не включена;
  • «Очистка освобождаемой внешней памяти» — при включении данной функции будет активирован режим очистки блоков файловой системы непосредственно при их освобождении, а также режим очистки разделов страничного обмена. По умолчанию функция не включена.

Для максимального уровня защищенности доступны все функции безопасности усиленного уровня, а также функция:

  • «Мандатное управление доступом» — при включении данной функции будет активирован механизм мандатного управления доступом. По умолчанию функция включена.

 Функции подсистемы безопасности и их состояния определяются следующим образом:

  1. Значения «по умолчанию» задаются при выборе уровня защищенности в процессе установки ОС;
  2. Значения «по умолчанию», определенные уровнем защищенности, могут быть изменены в процессе установки ОС;
  3. Функции подсистемы безопасности могут быть включены и выключены в процессе эксплуатации ОС. Порядок включения и выключения функций подсистемы безопасности после установки Astra Linux описан в документе РУСБ.10015-01 97 01-1 «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1»;
  4. При изменении уровня защищенности (режимов работы ОС):
    1. В сторону снижения уровня защищенности — автоматически отключаются функции безопасности, которые для данного уровня защищенности недоступны;
    2. В сторону увеличения уровня защищенности — состояние функций безопасности автоматически не меняется. Функции безопасности становятся доступными для включения.

Краткое описание механизмов мандатного управления доступом и мандатного контроля целостности представлено в статье Мандатное управление доступом и мандатный контроль целостности.

Сводная таблица «расширенных» функций подсистемы безопасности и их состояний по умолчанию

В таблице ниже представлен список «расширенных» функций подсистемы безопасности ( доступных к включению пользователем для систем с уровнями защищенности «Усиленный» и «Максимальный») и их состояний по умолчанию, задаваемых при установке в зависимости от выбранного режима:

 Функция подсистемы безопасности

Уровень защищенности

УсиленныйМаксимальный
Замкнутая Программная Среда (ЗПС)ВыклВыкл
Очистка освобождаемой внешней памятиВыклВыкл
Мандатный Контроль Целостности (МКЦ)ВклВкл
Мандатное упРавление Доступом (МРД)Н/ДВкл

Обозначения:

  • Вкл — режим по умолчанию Включен и доступен для отключения;
  • Выкл — режим по умолчанию Отключен и доступен для включения;
  • Н/Д — режим по умолчанию Отключен и недоступен для включения.



Отличительные особенности максимального уровня защищенности в сравнении с Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)

Изменения программных компонентов, относящихся к КСЗ

Обновлены и доработаны следующие основные компоненты, относящихся к КСЗ:

  • FreeIPA — пакет программ для создания доверительных отношений с доменными службами AD и создания ЕПП, доработанный для поддержки КСЗ;
  • SambaDC — пакет программ для создания доверительных отношений с доменными службами AD и создания ЕПП Samba DC;
  • PostgreSQL — защищенная СУБД;
  • CUPS – защищенный комплекс программ печати и маркировки документов;
  • Zabbix — средство централизованного протоколирования;
  • fly-admin-smc — управление локальной политикой безопасности и управление ЕПП;
  • Parsec — комплекс средств защиты информации.

Интегрированы следующие сторонние приложения, относящиеся к КСЗ:

  • docker.io — программное обеспечение для автоматизации развёртывания и управления приложениями в средах с поддержкой контейнеризации;
  • bleachbit — приложение для управления приватностью и очисткой свободного места, а также увеличения производительности операционных систем;
  • keepassxc — менеджер паролей с поддержкой различных алгоритмов защитного преобразования данных. Совместим с менеджерами паролей – KeePass2, KeePassX, KeeWeb. Поддерживает интеграцию с web-браузерами Google Chrome, Chromium, Mozilla Firefox;
  • seahorse — приложение для управления PGP и SSH ключами, поддерживает интеграцию с Caja, Nautilus, gedit и Evolution для защитного преобразования данных и других криптографических операций и серверами ключей HKP и LDAP.

Значения по умолчанию

  • защитные механизмы МКЦ и МРД можно не включать при установке Astra Linux. Они могут быть включены и выключены в процессе эксплуатации системы (ранее можно было выключить и включить только МКЦ);
  • такие защитные механизмы, как МКЦ, МРД, ЗПС и Очистка освобождаемой внешней памяти, работают независимо друг от друга;
  • при включении защитного механизма МКЦ автоматически включается МКЦ на корневой файловой системе и присваиваются атрибуты МКЦ;
  • при использовании механизма sudo требуется ввести пароль;
  • в настройках ядра установлены следующие параметры:
    • включена защита от неправомерного создания жестких и символических ссылок;
    • для протокола IPv4 включена фильтрация пакетов по адресу назначения (проверка адреса получателя);
    • для протокола IPv4 включена фильтрация входящих пакетов, которые были отправлены одним интерфейсом, а приняты другим;
  • протокол IPv6 в настройках ядра не отключен;
  • межсетевой экран ufw выключен (при установке Astra Linux соответствующий пакет  только устанавливается).

Графическая утилита «Управление политикой безопасности»

Добавлены следующие функции:

  • включение/выключение защитного механизма МРД;
  • управление ограничениями на использование дискового пространства (квотами).

Дополнительные мандатные атрибуты управления доступом

  • мандатный атрибут управления доступом ccnri более не используется в Astra Linux для управления доступом, при этом штатное функционирование Astra Linux соответствует функционированию с установленным мандатным атрибутом ccnri. Возможность установки и получения данного мандатного атрибута сохранена в Astra Linux для обеспечения совместимости с системами и ПО, которые его использует;
  • мандатный атрибут управления доступом ccnra в Astra Linux приравнивается к ccnr и также сохранен только для обеспечения совместимости и не рекомендован к использованию;
  • мандатный атрибут управления доступом whole можно присваивать только файлам с максимальной меткой (ранее можно было присваивать файлам c ненулевой классификационной меткой).

Parsec-привилегии

  • исключена Parsec-привилегия PARSEC_CAP_BYPASS_KIOSK, позволяющая игнорировать ограничения киоска;
  • добавлена новая Parsec-привилегия PARSEC_CAP_BYPASS_XATTR, отключающая проверку подписи файлов в xattr;
  • добавлена новая Parsec-привилегия PARSEC_CAP_PROCFS, позволяющая игнорировать уровни конфиденциальности и уровни целостности при работе с /proc.

Регистрация событий безопасности

В Astra Linux реализована расширенная подсистема протоколирования, осуществляющая регистрацию событий в двоичные файлы с использованием службы auditd. Протоколирование работает согласно правилам, которые делятся на два типа:

  • постоянные — действуют всегда, даже после перезагрузки системы;
  • временные — действуют до перезагрузки системы.

Помимо графической утилиты fly-admin-smc («Управление политикой безопасности») для работы с подсистемой протоколирования используются следующие новые графические утилиты:

  • system-config-audit («Конфигурация аудита») — включение и выключение регистрации событий аудита, настройка auditd, настройка журнала аудита, а также добавление, удаление и редактирование правил аудита;
  • ksystemlog («Системный журнал») — выборочный просмотр протоколов аудита.

Защищенный комплекс программ печати и маркировки документов

Вместо web-приложения printcontrol-web («Управление печатью») для печати документов с маркировкой используется графическая утилита fly-print-station («Управление печатью документов»).

Добавлена возможность изменения шрифтов маркировки, в том числе и добавление своего шрифта маркировки.

Изменены наименования дополнительных атрибутов заданий (см. таблицу ниже).

Наименование в 1.7Наименование в 1.6Назначение
mac-job-mac-labelmac-job-macМетка безопасности задания
mac-job-mac-level-namestepenУровень (название текстом)
mac-job-mac-level-reasonpunktОснование для степени секретности (пункт перечня)
mac-job-user-full-nameprintuser-fullnameПолное имя пользователя, выполнившего маркировку («отпечатал»)
mac-job-originating-user-full-nameuser-fullnameПолное имя пользователя, который создал задание («исполнитель»)

Кроме того, добавлен следующий дополнительный атрибут — mac-marking-session-id (идентификатор сессии).

Добавлены следующие дополнительные запросы:

  • MAC-Lock-Job — блокировка задания;
  • MAC-Unock-Job — снятие блокировки задания;
  • MAC-Get-Info — получение информации о станции печати (версия и т.д.);
  • MAC-Get-Journal — получение журнала маркировки.

Изменены дополнительные параметры конфигурации (см. таблицу ниже).

КлючОписание
MacDuplex

Режим печати маркера на обратной стороне (при наличии поддержки со стороны принтера). Значения:

  • off — отключено;
  • marker — печать маркера на обратной стороне;
  • fonarik — печать «фонарика» на обратной стороне последнего листа (будет создано задание с маркированном документом без последней страницы и задание из двух страниц — последняя страница документа и «фонарик» в дуплексном режиме).

Значение по умолчанию — «отключено».

MacJournal

Включить журнал маркировки.

По умолчанию журнал записывается в базу данных SQLITE:
/var/spool/cups/parsec/marking-journal.sqlite.

MacHighIntAdmin

Новый параметр.

Требовать высокую целостность для операций администрирования (редактирование принтеров, перенос задания на другой принтер и т.д.) — работает только для локальных сокетов.

Значение по умолчанию — «отключено».

Добавлены следующие файлы конфигурации:

  • /etc/cups/cups-marker-vars.conf — конфигурационный файл переменных маркировки, значения которых будут запрошены у пользователя перед маркировкой;
  • /usr/share/cups/fonts/*.t42 — шрифты для маркировки;

  • /usr/share/cups/charsets/utf-8.*, /usr/share/cups/charsets/utf-8 — наборы символов для различных шрифтов маркировки.

Программное обеспечение Docker

Добавлена возможность запуска контейнеров Docker на пониженном уровне целостности 2 для обеспечения еще большей изоляции и безопасности основной системы. Это позволяет изолировать работу процессоров внутри контейнера от процессов других контейнеров и хостовой ОС, что предотвращает воздействие потенциально вредоносного кода, выполняемого в контейнерах.

По умолчанию данная функция выключена. Подробнее — см. статью Установка и администрирование Docker в Astra Linux Special Edition.

Другие изменения, касающиеся встроенных средств защиты

  • для файловой системы XFS добавлена поддержка таких защитных механизмов, как МКЦ, МРД и Очистка освобождаемой памяти;
  • реализована поддержка мандатных меток в протоколе IPv6 и фильтрация пакетов по меткам;
  • для файлового сервера Samba добавлена поддержка МРД на всех версиях протокола SMB (v1, v2, v3).




Отличительные особенности в сравнении с Astra Linux Common Edition 2.12

Изменения программных компонентов, относящихся к КСЗ

Повышены версии основных компонентов, относящихся к КСЗ:

  • служба FreeIPA версии 4.8.5, доработанная для поддержки КСЗ;
  • SambaDC версии 4.12.5 — пакет программ для создания доверительных отношений с доменными службами AD и создания ЕПП Samba DC;
  • PostgreSQL версии 11.10 — защищенная СУБД, доработанная для обеспечения мандатного управления доступом к информации;
  • CUPS версии 2.3.3 – защищенный комплекс программ печати и маркировки документов (версия CUPS в Astra Linux Common Edition 2.12 не обеспечивает маркировку выводимых на печать документов);
  • Zabbix версии 5.0.7 — средство централизованного протоколирования;
  • fly-admin-smc версии 0.1.54 — управление локальной политикой безопасности и управление ЕПП;
  • docker.io версии 20.10.2 — программное обеспечение для автоматизации развёртывания и управления приложениями в средах с поддержкой контейнеризации;
  • bleachbit версии 2.0-3 — приложение для управления приватностью и очисткой свободного места, а также увеличения производительности операционных систем;
  • keepassxc версии 2.3.4 — менеджер паролей с поддержкой различных алгоритмов защитного преобразования данных. Совместим с менеджерами паролей – KeePass2, KeePassX, KeeWeb. Поддерживает интеграцию с браузерами Google Chrome, Chromium, Mozilla Firefox;
  • seahorse версии 3.30.1.1-1 — приложение для управления PGP и SSH ключами, поддерживает интеграцию с Caja, Nautilus, gedit и Evolution для защитного преобразования данных и других криптографических операций и серверами ключей HKP и LDAP.

Значения по умолчанию

  • межсетевой экран ufw выключен (при установке Astra Linux соответствующий пакет только устанавливается);
  • в настройках ядра включена защита от неправомерного создания жестких и символических ссылок;
  • протокол IPv6 в настройках ядра не отключен;
  • функции безопасности «Запрет исполнения макросов пользователя» и «Запрет установки бита исполнения» можно включить при установке ОС.

Графическая утилита «Управление политикой безопасности»

Добавлены следующие функции:

  • управление расширенной подсистемой протоколирования (аудит);
  • управление разграничением доступа к подключаемым устройствам;
  • отображение сводки состояний функций безопасности (монитор безопасности).

Регистрация событий безопасности

В Astra Linux реализована расширенная подсистема протоколирования, осуществляющая регистрацию событий в двоичные файлы с использованием службы auditd. Протоколирование работает согласно правилам, которые делятся на два типа:

  • постоянные — действуют всегда, даже после перезагрузки системы;
  • временные — действуют до перезагрузки системы.

Для работы с подсистемой протоколирования могут использоваться следующие графические утилиты, которые позволяют настраивать параметры регистрации событий и просмотра протоколов:

  • fly-admin-smc («Управление политикой безопасности») — управление протоколированием, работа с пользователями и группами;
  • system-config-audit («Конфигурация аудита») — включение и выключение регистрации событий аудита, настройка auditd, настройка журнала аудита, а также добавление, удаление и редактирование правил аудита;
  • ksystemlog («Системный журнал») — выборочный просмотр протоколов аудита.

Средства разграничения доступа к подключаемым устройствам

В Astra Linux поддерживается разграничение доступа к символьным и блочным устройствам, для которых в каталоге /dev создаются файлы устройств. Разграничение доступа реализуется с использованием генерации правил менеджера устройств udev. Для разграничения доступа к устройствам типа видеокарт, сетевых карт и т.д. данный метод не используется.

Учет носителей, управление их принадлежностью и протоколированием осуществляется с помощью утилиты fly-admin-smc («Управление политикой безопасности»), в том числе и при работе в ЕПП.