Данная статья применима к:
- Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7)
- Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)
- Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
- Astra Linux Special Edition РУСБ.10015-16 исп. 1
- Astra Linux Special Edition РУСБ.10015-16 исп. 2
- Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)
- Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5)
Замкнутая программная среда
Режим замкнутой программной среды (ЗПС) представляет собой механизм проверки целостности (неизменности) файлов. Механизм ЗПС реализован в виде невыгружаемого модуля ядра Astra Linux (модуль digsig_verif), выполняющего проверку встроенной электронной цифровой подписи файлов (ЭЦП). Проверка применяется к файлам формата ELF (исполнямым файлам и разделяемым библиотекам, далее - файлам) при запуске их выполнения и может осуществляться в следующих режимах:
- запрещается выполнение файлов, имеющих неверную ЭЦП или не имеющих ЭЦП (штатный режим функционирования);
- разрешается выполнение файлов, имеющих неверную ЭЦП или не имеющих ЭЦП, но при этом выдается сообщение об ошибке проверки ЭЦП (режим для проверки ЭЦП в СПО);
- ЭЦП не проверяется (отладочный режим для тестирования СПО).
Средства создания ЗПС предоставляют возможность внедрения ЭЦП в исполняемые файлы формата ELF, входящие в состав устанавливаемого СПО.
Включение замкнутой программной среды
Для включения ЗПС:
При наличии собственных ключей в каталог /etc/digsig/keys поместить открытый (публичный) ключ;
Без предоставления открытого ключа возможна работа только пакетов из состава дистрибутива Astra Linux Special Edition.
В файле /etc/digsig/digsig_initramfs.conf установить параметры:
/etc/digsig/digsig_initramfs.confDIGSIG_ENFORCE=1 DIGSIG_LOAD_KEYS=1
Выполнить команду:
update-initramfs -u -k allПерезагрузить компьютер.
Создание подписи для собственных файлов
Для подписания собственных пакетов:
- Запросить и получить собственные ключи. См. Как получить ключи для подписи СПО;
Импортировать полученные ключи. Пример команд:
gpg --import ***.gpg
gpg --import ***.key- Загрузить сценарий по ссылке: ссылка;
- Указать в сценарии идентификатор полученного ключа. Посмотреть идентификатор импортированного ключа можно командой:gpg --list-keys
После импорта ключей отдельные файлы ELF можно подписать командой:
bsign -s