Системные параметры

Имя пакета программы: astra-systemsettings
Версия пакета программы: 4:5.27.8-1astra12+ci10 и выше
Условия запуска программы: любой пользователь может запустить программу. Для работы в программе требуется ввод пароля администратора

О программе

Централизованное управление различными функциями, повышающими безопасность работы в системе.

Перед использованием данного модуля рекомендуется ознакомиться с описанием функций безопасности системы в эксплуатационном документе «Руководство по КСЗ. Часть 1».

Запуск

Программа запускается:

  • в графическом интерфейсе:
    • через меню Пуск — Параметры — Ограничения программной среды — Системные параметры;
    • через классическое меню Пуск — Параметры системы, в окне Параметры системы перейти в раздел Ограничения программной среды — Системные параметры;
  • из терминала — выполнить команду:

astra-systemsettings astra_kcm_system_parameters

Функции безопасности системы

Блокировка автоматической настройки сети

Функция блокировки автоматической настройки сетевых подключений. Для включения/выключения блокировки необходимо установить/снять флаг Блокировка автоматического конфигурирования сетевых подключений. Управление автоматической настройкой осуществляется в программе «Параметры сети» (см. справочную страницу «Параметры сети»).

Блокировка выключения и перезагрузки системы

Функция блокировки выключения и перезагрузки системы запрещает пользователям выключать и перезагружать систему — при попытке выключения или перезагрузки системы будет выполнен выход из пользовательской сессии (подробное описание работы механизма см. справочную страницу «Вход в систему»). Блокировка не распространяется на администраторов.

Для включения/выключения блокировки выключения и перезагрузки системы необходимо установить/снять флаг Блокировка выключения/перезагрузки ПК для пользователей.

При нажатии на кнопку настройки будет открыто окно программы «Вход в систему» (см. справочную страницу «Вход в систему»).

Блокировка удаленного входа учетной записи root

Функция блокировки удаленного входа учетной записи root запрещает учетной записи root выполнять удаленный вход в систему с использованием протокола SSH.

Для включения/выключения блокировки удаленного входа учетной записи root необходимо установить/снять флаг Блокировка доступа пользователя root по протоколу SSH.

Блокировка клавиши SysRq

Функция блокировки клавиши <SysRq> предотвращает доступ к системным функциям через комбинации клавиш с использованием клавиши <SysRq>. Блокировка распространяется в том числе и на администраторов.

Для включения/выключения блокировки клавиши <SysRq> необходимо установить/снять флаг Блокировка клавиш SysRq для всех пользователей, включая администраторов.

Блокировка макросов

Функция блокировки макросов повышает уровень безопасности при запуске макросов LibreOffice (в меню программы LibreOffice выбрать Сервис — Параметры — LibreOffice — Безопасность — [Безопасн. макросов]) до значения «Очень высокий». При включении функции (установленном значении «Очень высокий») запуск макросов возможен только из библиотек, расположенных в доверенном каталоге /opt/libreoffice (каталог необходимо создать вручную). Если во время включения блокировки программа LibreOffice была запущена, то для применения настройки нужно ее перезапустить. Блокировка распространяется в том числе и на администраторов.

Для включения/выключения блокировки макросов необходимо установить/снять флаг Блокировка макросов.

Блокировка работы с разными мандатными уровнями

Функция блокировки одновременной работы с разными мандатными уровнями блокирует работу утилиты sumac. Если данная блокировка включена, то все пользователи, включая пользователей с привилегией PARSEC_CAP_SUMAC, не смогут использовать команду sumac, а также выполнить команду (запустить программу) с другой классификационной меткой с использованием программы «Запуск приложения» (см. справочную страницу «Запуск приложения»).

Для включения/выключения блокировки использования утилиты sumac необходимо установить/снять флаг Блокировка одновременной работы с разными уровнями в пределах одной сессии.

Блокировка применения системных команд

Функция блокировки применения системных команд запрещает всем пользователям, включая администраторов, запускать утилиты df, chattr, arp, ip. Данные утилиты необходимо блокировать при обработке в одной системе информации разных уровней конфиденциальности, т.к. с их помощью можно организовать скрытый канал передачи информации между уровнями конфиденциальности.

Для включения/выключения блокировки применения системных команд необходимо установить/снять флаг Блокировка системных команд для пользователей.

Блокировка трассировки ptrace

Функция блокировки трассировки ptrace устанавливает максимальные ограничения на использование механизма ptrace для всех пользователей, включая администраторов.

Для включения/выключения блокировки трассировки ptrace необходимо установить/снять флаг Блокировка трассировки ptrace для всех пользователей, включая администраторов. При выключении блокировки для вступления изменений в силу потребуется перезагрузка.

Включение системных ограничений ulimits

Механизм ulimits позволяет ограничить использование ресурсов системы процессами с целью предотвратить нарушение доступности системы из-за чрезмерного потребления ресурсов.

Для включения/выключения механизма ulimits необходимо установить/снять флаг Включение системных ограничений ulimits. Изменение режима ограничений не повлияет на уже вошедших в систему пользователей и будет применено при следующем входе.

PARSEC-аудит

Для включения/выключения PARSEC-аудита файлов и процессов необходимо установить/снять флаг Включить аудит parsec.

Для включения/выключения сетевого PARSEC-аудита необходимо установить/снять флаг Включить сетевой аудит parsec.

Межсетевой экран

Межсетевой экран ufw позволяет контролировать исходящий и входящий сетевой трафик.

Для включения/выключения межсетевого экрана необходимо установить/снять флаг Включить межсетевой экран. Если при включении межсетевого экрана ufw запущен другой межсетевой экран (например, firewalld), то применение изменений завершится с ошибкой и межсетевой экран ufw не будет включен.

Для настройки межсетевого экрана необходимо нажать кнопку настройки, при этом будет запущена программа «Настройка межсетевого экрана» (см. справочную страницу «Настройка межсетевого экрана»).

Работа корневой ФС в режиме «только чтение»

Функция работы корневой файловой системы в режиме «только чтение» включает механизм overlay, разделяющий файловую систему на два слоя — верхний (с возможностью чтения и записи) и нижний (только для чтения). При работе с файловой системой изменения происходят только в верхнем слое, а нижний остается без изменений. После перезагрузки системы будет восстановлено исходное состояние файловой системы, которое было зафиксировано в нижнем слое. Подробное описание работы механизма см. man astra-overlay.

Данная функция распространяется только на корневую файловую систему.

Для включения/выключения работы корневой файловой системы в режиме «только чтение» необходимо установить/снять флаг Включить режим работы файловой системы ОС — 'только чтение'. Чтобы изменения вступили в силу потребуется перезагрузка операционной системы.

Запрос пароля при форматировании съемных носителей

Функция запроса пароля администратора при форматировании съемных носителей информации. Для включения/отключения функции необходимо установить/снять флаг Запрашивать пароль администратора при форматировании съемных носителей.

Запрет монтирования носителей пользователями

Функция запрета монтирования носителей непривилегированными пользователями запрещает монтировать съемные носители информации пользователям, входящим в группу floppy. Запрет не распространяется на администраторов при монтировании с применением инструмента командной строки.

Для включения/выключения запрета монтирования носителей непривилегированными пользователями необходимо установить/снять флаг Запрет монтирования носителей непривилегированным пользователям.

Запрет установки бита исполнения

Функция запрета установки бита исполнения обеспечивает предотвращение несанкционированного запуска исполняемых файлов и сценариев командной оболочки любыми пользователями, включая администраторов. Если в системе включен запрет установки бита исполнения, то установка пакетов программ, создающих файлы с битом исполнения, будет завершаться с ошибкой. Запрет не распространяется на учетную запись root.

Для включения/выключения запрета установки бита исполнения необходимо установить/снять флаг Запрет установки бита исполнения для всех пользователей, включая администраторов.

Включение загрузки модуля ядра LKRG

Функция включения загрузки модуля ядра LKRG и контроля его автоматической загрузки. Модуль LKRG выполняет проверку целостности ядра и обнаруживает уязвимости в безопасности ядра. Для включения/отключения загрузки модуля LKRG необходимо установить/снять флаг Контролирует автозагрузку и загружает модуль ядра LKRG.

Отключение меню загрузчика GRUB2

Функция отключения отображения меню загрузчика GRUB2 при запуске ОС. Для отключения/включения отображения меню загрузчика GRUB2 необходимо установить/снять флаг Отключение отображения меню загрузчика GRUB2.

Политика консоли и интерпретаторов

Блокировка интерпретаторов

Чтобы включить/выключить блокировку доступа пользователей ко всем интерпретаторам, кроме bash, необходимо установить/снять флаг Включить блокировку интерпретаторов кроме Bash для пользователей.

Чтобы включить/выключить блокировку доступа пользователей к интерпретатору bash, необходимо установить/снять флаг Включить блокировку интерпретатора Bash для пользователей.

При включении любой из блокировок интерпретаторов будет автоматически включен запрет установки бита исполнения (см. 1.8 - Параметры системы - Системные параметры (astra_kcm_system_parameters)). Автоматическое включение запрета установки бита исполнения обусловлено тем, что пользователь может создать сценарий, назначить ему бит исполнения и запустить, обойдя таким образом блокировку интерпретаторов. Уже установленные биты исполнения не будут сброшены (сценарии, исполняемые на момент включения блокировки, останутся исполняемыми).

Блокировка интерпретаторов не распространяется на администраторов.

Блокировка консоли для пользователей

Функция блокировки доступа к консоли для пользователей запрещает доступ к консоли и терминалам всем пользователям, не входящим в группу astra-console. При отсутствии в ОС группы astra-console она будет создана, при этом в нее будут добавлены пользователи из группы astra-admin.

Для включения/выключения блокировки необходимо установить/снять флаг Включить блокировку консоли для пользователей, не входящих в группу astra-console.

Для настройки группы astra-console необходимо нажать кнопку настройки, при этом будет открыто окно модуля «Группы» программы «Параметры системы» (см. справочную страницу «Группы»).

Ввод пароля для sudo

Чтобы включить/выключить запрос пароля администратора при использовании механизма sudo, необходимо установить/снять флаг Включить ввод пароля для sudo.

Сохранение и сброс настроек

После установки флагов для сохранения настроек необходимо в окне программы нажать [Применить].

Для снятия установленных флагов и возврата настроек в последнее сохраненное состояние необходимо в окне программы нажать [Сбросить].