Введение

В настоящей статье рассматриваются механизмы контроля целостности (неизменности) файловых объектов, входящих в состав Astra Linux. 

Контроль целостности носителей

Далее под носителями подразумеваются:

• установочный диск (образ установочного диска) Astra Linux;
• диски (образы дисков) оперативных и срочных обновлений;
• архивы, предоставляемые в рамках срочных  обновлений.

Для контроля целостности носителей предоставляются:

• Контрольные суммы дисков и архивов— публикуются на Интернет-ресурсах совместно с носителями. Для установочного диска, входящего в комплект поставки, контрольные суммы также предоставляются в формуляре изделия.
• Отсоединенные подписи образов дисков — публикуются на Интернет-ресурсах совместно с образами в бюллетенях безопасности.

Порядок выполнения контроля целостности носителей также публикуется в указанных документах.

Контроль целостности репозиториев пакетов

Целостность всех репозиториев пакетов Astra Linux обеспечивается механизмами безопасности, реализованными в составе системы управления пакетами Astra Linux:

1. При установке Astra Linux устанавливается пакет ca-certificates, содержащий публичный ключ для проверки подписей файлов.
2. Каждый репозиторий содержит файл Release. Файл Release защищен отсоединенной подписью, находящейся в файле Release.gpg. При начале работы с репозиторием файлы Release и Release.gpg загружаются, и целостность файла Release проверяется с помощью предустановленного публичного ключа.
3. Файл Release содержит список файлов со списками пакетов репозитория и контрольные суммы этих файлов.  После проверки целостности файла Release загружаются списки пакетов репозитория, и указанные в файле Release контрольные суммы используются для проверки целостности списков пакетов.
4. Списки пакетов в свою очередь содержат контрольные суммы пакетов репозитория. Эти контрольные суммы используются для проверки целостности загружаемых пакетов.
5. Пакеты содержат контрольные суммы содержащихся в них файлов. Эти суммы используются для проверки устанавливаемых файлов.

Таким образом, репозитории защищены от искажения содержащихся в них данных. Эта защита действительна в том числе и при подмене данных, передаваемых по сети, что делает необязательным при работе с репозиториями использование защищенных протоколов типа HTTPS.

Контроль целостности при сетевой установке

Сетевая загрузка PXE (см. статью Подготовка инфраструктуры PXE на Astra Linux) позволяет установить Astra Linux на компьютер практически без его подготовки (единственная операция, которая может потребоваться - это разрешить сетевую загрузку в BIOS компьютера).

После загрузки первичной информации установка пакетов при сетевой загрузке выполняется с помощью стандартной системы установки пакетов. При этом полностью действует система обеспечения целостности репозиториев.

Альтернативой использованию PXE, исключающей использование незащищенного протокола TFTP, является предварительное развертывание программных средств для установки ОС с локальных носителей. При этом установка ОС может выполняться с использованием специализированных LIVE-образов, технологии SCCM или иных средств, обеспечивающих использование только защищенных каналов передачи данных.  

Контроль целостности после установки и при эксплуатации

Для контроля целостности Astra Linux после установки и при эксплуатации предоставляет следующие средства:

• средство регламентного контроля целостности afick (Another File Integrity Checker);

• средство контроля соответствия дистрибутиву fly-admin-int-check;

• средство подсчета контрольных сумм файлов и оптических дисков gostsum;
• средство подсчета контрольных сумм файлов в пакетах gostsum_from_deb.

Порядок применения указанных средств описан в документе "Руководстве по КСЗ, часть 1" и в электронных справках.