Данная статья применима к:
- Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.8)
Ниже представлены отличительные особенности комплекса средств защиты информации (КСЗ) операционной системы специального назначения Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.8), далее по тексту – ОС, в сравнении с Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7). Подробно реализация и особенности комплекса средств защиты информации (КСЗ) описаны в документе РУСБ.10015-01 97 01-1 «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1».
Общие изменения
- Зафиксирована политика включения ядер в ОС (см. статью Политика включения ядер Linux в Astra Linux Special Edition). В ОС включены ядра:
- 6.1 — ядро с долговременной поддержкой;
- 6.6 — ядро с кратковременной поддержкой.
- В механизме автоматизированной настройки (генерации) комплекса средств защиты (КСЗ) реализованы следующие улучшения:
- реализована возможность использования профилей для настройки КСЗ. В состав ОС включены профили для настройки КСЗ в соответствии с требованиями о защите информации, предъявляемыми к определенному классу информационных систем;
- реализована возможность импорта и экспорта настроек КСЗ.
Защищенная СУБД
Обновлена защищенная СУБД (ЗСУБД) в составе ОС. Новая ЗСУБД разработана на основе СУБД Tantor в исполнении Basic, реализованной с использованием СУБД PostgreSQL версии 15 (ранее использовалась ЗСУБД на основе PostgreSQL версии 11). ЗСУБД:
доработана в соответствии с требованиями интеграции с Astra Linux в части защиты информации, в том числе мандатного управления доступом к информации;
содержит реализацию ДП-модели управления доступом и информационными потоками, описывающей все аспекты дискреционного, мандатного и ролевого управления доступом с учетом безопасности информационных потоков.
- обеспечивает реализацию функций безопасности по защите информации в соответствии с Требованиями по безопасности информации к системам управления базами данных, утвержденным приказом ФСТЭК России от 14 апреля 2023 г. № 64.
Порядок настройки ЗСУБД представлен в документе РУСБ.10015-01 97 01-3 «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 3. Защищенная СУБД».
Замкнутая программная среда и изоляция приложений
В программном обеспечении (ПО), предназначенном для создания замкнутой программной среды (ЗПС), реализованы следующие улучшения:
- Реализована возможность создавать отсоединенную подпись (подпись в отдельном файле) и осуществлять проверку подписи в ЗПС на ее основе . Данный вид подписи:
- не нарушает целостность файла;
- может применяться в любой файловой системе;
- применяется для контроля неизменности (целостности) и подлинности модулей ядра.
Реализована возможность использования сертификатов ключей проверки цифровой подписи, выпущенных не только изготовителем ОС (ООО "РусБИТех-Астра"), но и удостоверяющим центром. Такие ключи загружаются без проверки принадлежности к системной иерархии ключей. Предварительную подготовку сертификата перед загрузкой в ОС, проверку его срока действия и уровня доверия к нему в этом случае выполняет администратор средствами КриптоПро CSP.
Реализован механизм отзыва сертификата, который необходим в случае компрометации соответствующего ключа цифровой подписи.
Реализована возможность выбора одного из следующих вариантов проверки цифровой подписи при запуске файла на исполнение.
проверять только встроенную подпись (используется по умолчанию);
проверять только подпись в расширенных атрибутах файловой системы;
проверять первый найденный у файла вид подписи. Поиск подписи выполняется в следующем порядке: встроенная подпись, подпись в расширенных атрибутах, отсоединённая подпись.;
проверять по очереди все виды подписи у файла до тех пор, пока не найдется верная. Запуск запрещается только при ошибке проверки всех видов подписи;
проверять и встроенную подпись, и подпись в расширенных атрибутах файловой системы. Запуск разрешается только при успешной проверке обоих видов подписи;
- В инструменте командной строки
bsign
реализована возможность подписать самораспаковывающийся 7Z архив. - В основной репозиторий добавлен инструмент командной строки
bsign-integrator
позволяющий:- определять тип файла и создавать для него подпись соответствующего вида;
- подписывать файлы по заданному списку (список файлов не ограничен по размеру);
- подписывать файлы по заданной директории;
- выполнять анализ файловой системы для поиска всех файлов, подпись которых соответствует заданному сертификату ключа проверки цифровой подписи.
- В основной репозиторий добавлено программное обеспечение Podman, предназначенное для автоматизации развертывания и управления приложениями в средах с поддержкой контейнеризации аналогичное программному обеспечению Docker.
Виртуализация
В программном обеспечении, предназначенном для создания защищенной среды виртуализации, реализованы функциональные возможности:
- возможность экспорта и импорта виртуальных машин со снимками состояний;
- возможность создания полных, инкрементных и дифференциальных резервных копий виртуальных машин (ВМ) с использованием средства
virtnbdbackup
; - поддержка моментальных снимков состояний (снапшотов) виртуальных машин с UEFI (external, internal);
- поддержка моментальных снимков состояний (снапшотов) для виртуальных машин на тонких (thick) и толстых (thin) дисках LVM;
- ограничение средством виртуализации доступных классификационных меток в гостевых ОС в соответствии с назначенной классификационной меткой ВМ;
- возможность отключения блокировки старта ВМ без "проброшенного" устройства;
- возможность объединения ВМ в группы в virt-manager;
- возможность отображения дерева снимков в virt-manager;
- отображение результатов контроля целостности памяти и файлового контроля в virt-manager;
- расширен перечень регистрируемых событий, возникающих при включении контроля целостности памяти ВМ.
Инструменты командной строки astra-safepolicy:
- В инструменте командной строки
astra-interpreters-lock
расширен перечень блокируемых интерпретаторов. Подробное описание представлено в документе РУСБ.10015-01 97 01. См. также Инструменты командной строки astra-safepolicy. - При включении блокировки интерпретаторов автоматически включается запрет установки бита исполнения. Ранее после включения блокировки интерпретаторов необходимо было дополнительно включать запрет установки бита исполнения с помощью инструмента командной строки
astra-nochmodx-lock
. - Инструмент командной строки
astra-modban-lock
, обеспечивающий блокировку загрузки неиспользуемых модулей ядра, исключен из состава ОС. Блокировку загрузки неподписанных модулей ядра осуществляет механизм замкнутой программной среды. - В состав ОС включен инструмент командной строки
astra-rootloginssh-control
, обеспечивающий блокировку доступа по протоколу SSH для учетной записиroot
.
Мандатный контроль целостности
Реализована возможность использования иерархического (линейного) уровня целостности.
В графическом интерфейсе системы и в консоли термином «Уровень целостности» обозначается неиерархический уровень целостности (неиерархическая категория целостности) с двумя зарезервированными значениями:
Высокий(High)
для максимальной категории целостности иНизкий(Low)
для минимальной категории целостности.Отличительные особенности реализации линейного уровня целостности:
- Корень файловой системы имеет нулевую линейную целостность и после установки ОС все файловые объекты имеют нулевую линейную целостность.
- Пользователи линейной целостности не имеют (что эквивалентно наличию у них линейной целостности ноль).
- Файловым объектам может быть назначена линейная целостность меньше нуля (отрицательная линейная целостность).
- Процессы могут быть запущены с отрицательной линейной целостностью, при этом они могут создавать файловые объекты с отрицательной линейной целостностью.
- Значение линейной целостности может находиться в диапазоне от -128 до 0 включая границы. Положительная линейная целостность зарезервирована для дальнейшего использования и не может быть присвоена ни файловым объектам, ни процессам.
- Введены следующие дополнительные атрибуты сущностей для МКЦ:
ssi
(числовое значение 0x40) — присваивается файловым объектам для ограничения доступа на чтение и выполнение: файловые объекты с установленным атрибутомssi
могут открываться на чтение только процессами, имеющими метку целостности большую или равную метке целостности открываемого объекта;iinh
(числовое значение 0x80) — присваивается каталогам. При наличии в метке безопасности каталога атрибутаiinh
создаваемым в каталоге сущностям присваивается метка целостности родительского каталога (создаваемые сущности наследуют метку целостности содержащего их каталога), при этом дочерние каталоги также наследуют атрибутiinh
. Флаг действует только в расширенном режиме МКЦ.
Контроль целостности (неизменности) ОС
- Реализована возможность обеспечения контроля целостности объектов файловой системы на основе шаблонов. Шаблоны проверки представляют собой текстовые файлы, содержащие списки файлов для проверки целостности. По умолчанию в системе присутствуют следующие шаблоны:
/usr/share/gostsum/templates/gostsum_minimal.txt
— список минимального состава файлов ОС;/usr/share/gostsum/templates/gostsum_fb.txt
— список файлов, реализующих функции безопасности или поддерживающих их выполнение.
- Также на основе шаблонов возможно проверять MD5-суммы установленных в системе deb-пакетов.
- Для вычисления и проверки контрольных сумм по умолчанию устанавливается доработанный инструмент командной строки
astra-int-check
. Кроме того, вычисление контрольных сумм файлов и проверка соответствия полученных значений эталонным контрольным суммам может быть выполнено с помощью графической утилитыfly-admin-int-check
, как и ранее. - В инструменте командной строки
gostsum
реализована возможность подсчета контрольных сумм файлов в deb-пакетах. Для обеспечения совместимости сохранен устаревший инструмент командной строкиgostsum_from_deb
.
Привилегии
- Добавлены следующие Linux-привилегии:
cap_perfmon
(0x4000000000) – разрешает использование систем мониторинга;cap_bpf
(0x8000000000) – разрешает выполнение некоторых операций с модулем отбора пакетов BPF;cap_checkpoint_restore
(0x10000000000) – позволяет определить PID, который выделяется следующему процессу, созданному внутри пространства имен.
- Привилегии PARSEC:
- Привилегия
PARSEC_CAP_UPDATE_ATIME
не используется и сохранена только для обеспечения совместимости. - Изменен механизм обработки привилегии
PARSEC_CAP_INHERIT_INTEGRITY
. Подробное описание представлено в документе РУСБ.10015-01 97 01. - Изменен механизм обработки PARSEC-привилегии
PARSEC_CAP_MAC_SOCK
. Подробное описание представлено в документе РУСБ.10015-01 97 01.
- Привилегия
Аудит и регистрация событий
В подсистеме регистрации событий реализованы следующие улучшения:
- оптимизирована работа подсистемы регистрации событий с целью уменьшения нагрузки на операционную систему;
- улучшен механизм самодиагностики – в случае обнаружения аварийного завершения работы какого-либо программного компонента из состава подсистемы регистрации событий производится перезапуск подсистемы;
- реализована возможность загрузки и отображения сообщений диагностического отчета, сформированного инструментом
sosreport
; - в инструменте командной строки
astra-event-viewer
расширен перечень форматов отображения даты и времени; - в программе «Настройка регистрации системных событий» (пакет
fly-admin-events
) реализована возможность отображения тестового примера регистрируемого события; - в программе «Журнал системных событий» (пакет
fly-event-viewer
) и инструменте командной строкиastra-event-viewer
реализованы следующие улучшения:- улучшен механизм фильтрации отображаемых событий – реализована возможность скрыть события определенного типа;
- улучшен механизм поиска событий;
- реализована возможность настройки реагирования системы на определенный тип событий. Варианты реагирования:
- воспроизведение звука;
- показ сообщений во всплывающих уведомлениях;
- сохранение сообщения в файле журнала;
- выделение программы в панели задач;
- выполнение программы или скрипта.
Защищенный комплекс программ печати и маркировки документов
В защищенном комплексе программ печати и маркировки документов добавлены следующие стандартные атрибуты:
mac-job-mac-level-name
– уровень конфиденциальности задания. Формируются на основе атрибутов сессии пользователя, создавшего задание на печать;mac-job-mac-ilevel-name
– категория целостности задания. Формируются на основе атрибутов сессии пользователя, создавшего задание на печать;mac-job-mac-category-name
– категория конфиденциальности задания. Формируются на основе атрибутов сессии пользователя, создавшего задание на печать.
Пользовательский интерфейс
- Взамен программы «Панель управления» добавлена новая программа «Параметры системы» (пакет
astra-systemsettings
), содержащая в себе различные модули настроек ОС. Вastra-systemsettings
, в том числе, интегрированы настройки, отвечающие за управление локальной политикой безопасности. Ранее для этой цели использовалась программа «Управление политикой безопасности» (fly-admin-smc
). - Для настройки КСЗ используются следующие модули программы
astra-systemsettings
:модуль «Пользователи» в разделе «Пользователи и группы» – для управления пользователями;
модуль «Мандатное управление доступом» в разделе «Управление доступом» – для включения и выключения мандатного управления доступом (МРД) после установки ОС;
Кроме того, включение и выключение МРД может быть выполнено с помощью инструмента командной строки
astra-mac-control
, как и ранее.модуль «Мандатный контроль целостности» в разделе «Управление доступом» – для включения и выключения МКЦ после установки ОС;
Кроме того, включение и выключение МКЦ может быть выполнено с помощью инструмента командной строки
astra-mic-control
, как и ранее.модуль «Замкнутая программная среда» в разделе «Ограничения программной среды» – для настройки режима функционирования механизма контроля целостности файлов при их открытии на основе цифровой подписи в расширенных атрибутах файловой системы;
модуль «Конфигурация аудита» в разделе «Регистрация событий и аудит» – для включения и выключения, а также настройки системы аудита;
модуль «Политика очистки памяти» – для установки параметра монтирования для очистки блоков памяти при их освобождении, а также для настройки очистки разделов страничного обмена;
модуль «Устройства и правила» – для учета съемных машинных носителей информации и управления их принадлежностью;
- модуль «Графический киоск» в разделе «Ограничения программной среды» – для настройки режима графического киоска;
модуль «Монитор безопасности» – для просмотра информации о состоянии функций безопасности.
Управление учетными записями
- В инструменте командной строки
pdpl-user
, предназначенном для отображения и изменения метки безопасности пользователей, устранена ошибочная чувствительность к регистру символов в доменной составляющей имени пользователя. - Для политики блокировки учетных записей пользователей по истечению установленного периода неиспользования (неактивности) реализовано исключение для учетных записей администраторов из группы
astra-admin
. Управление блокировкой осуществляется в программном модуле настройки параметров блокировки учетных записей (параметр "Период неактивности"). - Реализован инструмент управления (включением/отключением) средства контроля подключения устройств
pdac-adm state
. В средстве контроля подключения устройств реализовано обеспечение соответствия назначенных на файл устройства при регистрации съемных носителей информации дискреционных прав доступа и режима монтирования.