Замкнутая программная среда

Имя пакета : astra-systemsettings
Версия пакета: 4:5.27.8-1astra12+ci10 и выше
Условия работы: любой пользователь может запустить программу. Для работы в программе требуется ввод пароля администратора

Описание

Модуль программы «Параметры системы» для настройки замкнутой программной среды (ЗПС). Применение ЗПС позволяет осуществлять динамический контроль целостности файлов на основе проверки подписи, внедренной в исполняемые файлы, подписи в расширенных атрибутах файловой системы и/или подписи в отдельных файлах (отсоединенная подпись). Подробное описание работы замкнутой программной среды приведено в эксплуатационном документе «Руководство по КСЗ. Часть 1».

Включение ЗПС доступно только в системе с усиленным уровнем защищенности («Воронеж») или с максимальным уровнем защищенности («Смоленск»).

Запуск

Модуль запускается:

  • в графическом интерфейсе:
    • через меню Пуск — Параметры — Ограничения программной среды — Замкнутая программная среда;
    • через классическое меню Пуск — Параметры системы, в окне Параметры системы перейти в раздел Ограничения программной среды — Замкнутая программная среда;
  • из терминала — выполнить команду:

astra-systemsettings astra_kcm_digsig

Контроль исполняемых файлов

Контроль целостности исполняемых файлов осуществляется путем проверки встроенной в них подписи, подписи в расширенных атрибутах или отсоединенной подписи в различных сочетаниях в зависимости от выбранного режима проверки. Все исполняемые файлы ОС изначально подписаны изготовителем ОС встроенной подписью.

При включении контроля целостности запрещается запуск файлов с неверной или отсутствующей подписью. Чтобы включить контроль целостности исполняемых файлов, необходимо:

  • из выпадающего списка Контроль исполняемых файлов выбрать Включить;
  • нажать [Применить] и при необходимости ввести пароль администратора;
  • в открывшемся окне предупреждения нажать [Да];
  • изменения вступят в силу после перезагрузки. Для немедленной перезагрузки системы в окне Перезагрузка нажать [Да], чтобы позднее самостоятельно перезагрузить систему нажать [Нет].

При включении отладочного режима контроля целостности запуск файлов с неверной или отсутствующей подписью разрешен, но выдается соответствующее предупреждение. Чтобы включить отладочный режим контроля целостности исполняемых файлов, необходимо:

  • из выпадающего списка Контроль исполняемых файлов выбрать Отладка;
  • нажать [Применить] и при необходимости ввести пароль администратора;
  • изменения вступят в силу после перезагрузки. Для немедленной перезагрузки системы в окне Перезагрузка нажать [Да], чтобы позднее самостоятельно перезагрузить систему нажать [Нет].

Для выбора режима проверки подписи необходимо:

  • нажать [Изменить режим проверки подписи];

  • в окне Режим проверки подписи выбрать один из следующих вариантов:
    • Только встроенная в файл подпись — запрещен запуск файлов с неверной или отсутствующей встроенной подписью;
    • Только в расширенных атрибутахзапрещен запуск файлов с неверной или отсутствующей подписью в расширенных атрибутах;
    • Проверка первого найденного у файла вида подписи — если первая найденная подпись неверна, то запуск запрещается. Поиск осуществляется в следующем порядке:
      • встроенная подпись;
      • отсоединенная подпись;
      • подпись в расширенных атрибутах;
    • Проверка всех видов подписи, пока не найдется верная — разрешен запуск файлов с хотя бы одной верной подписью любого типа;
    • Проверять обе подписипроверяются встроенная подпись и подпись в расширенных атрибутах. Запуск разрешается только при успешной проверке обоих видов подписей;
  • для применения настроек нажать [Да].

ВНИМАНИЕ! При выборе вариантов Только в расширенных атрибутах или Проверять обе подписи исполняемые файлы ОС должны быть предварительно подписаны в расширенных атрибутах, в противном случае загрузка ОС будет невозможна.

Чтобы выключить контроль целостности исполняемых файлов, необходимо:

  • из выпадающего списка Контроль исполняемых файлов выбрать Выключить;
  • нажать [Применить] и при необходимости ввести пароль администратора;
  • изменения вступят в силу после перезагрузки. Для немедленной перезагрузки системы в окне Перезагрузка нажать [Да], чтобы позднее самостоятельно перезагрузить систему нажать [Нет].

Контроль неисполняемых файлов

Контроль целостности неисполняемых файлов осуществляется путем проверки подписи в расширенных атрибутах у файлов, добавленных в список контроля.

При включении контроля целостности запрещается открытие поставленных на контроль файлов с неверной подписью или без подписи. При отладочном режиме контроля целостности открытие файлов без подписи/с неверной подписью разрешено, но выдается соответствующее предупреждение.

Для включения контроля целостности неисполняемых файлов на основе подписи в расширенных атрибутах или для выполнения контроля в отладочном режиме необходимо:

  • из выпадающего списка Контроль расширенных атрибутов выбрать Включить или Отладка;
  • нажать [Показать] и в текстовом поле Шаблоны имен файлов в расширенных атрибутах задать шаблоны имен файлов/каталогов, в которых будет выполняться проверка подписи в расширенных атрибутах файла. Каждая строка задает отдельный шаблон в виде маски полного пути. Например, шаблон /bin/lo определяет, что будут проверяться все файлы в каталоге /bin, имя которых начинается на lo;
  • нажать [Применить] и при необходимости ввести пароль администратора;
  • в открывшемся окне предупреждения нажать [Да];
  • изменения вступят в силу после перезагрузки. Для немедленной перезагрузки системы в окне Перезагрузка нажать [Да], чтобы позднее самостоятельно перезагрузить систему нажать [Нет].

Чтобы выключить контроль целостности файлов на основе подписи в расширенных атрибутах, необходимо:

  • из выпадающего списка Контроль расширенных атрибутов выбрать Выключить;
  • нажать [Применить] и при необходимости ввести пароль администратора;
  • изменения вступят в силу после перезагрузки. Для немедленной перезагрузки системы в окне Перезагрузка нажать [Да], чтобы позднее самостоятельно перезагрузить систему нажать [Нет].

Управление ключами

Ключи используются для подписывания файлов и проверки их подписей. Для управления ключами необходимо перейти во вкладку Ключи.

Во вкладке в виде таблицы представлен список добавленных ключей. Таблица содержит следующую информацию:

  • Имя имена файлов ключей, размещенных в каталогах /etc/digsig/keys/ и /etc/digsig/xattr_keys/ (указаны в категориях keys и xattr_keys соответственно);
  • Размер — размер файла ключа;
  • Тип указывает на тип объекта: файл открытой подписи («Файл gpg») или каталог размещения («Папка»);
  • Дата изменения — дата и время изменения файла или каталога.

Чтобы создать новый ключ, необходимо:

  • нажать [Создать новый ключ];
  • в окне Создание ключа:
    • задать наименование ключа;
    • указать адрес электронной почты;
    • при необходимости добавить комментарий;
    • нажать [Да] и при необходимости ввести пароль администратора;
  • в открывшемся окне дважды ввести фразу-пароль для защиты ключа и нажать [Ок];
  • в открывшемся окне Параметры системы с сообщением об успешно созданном ключе нажать [Да].

Созданный ключ будет добавлен в хранилище ключей и отображен в таблице.

Для создания, импорта и экспорта ключей можно использовать программу «Управление ключами — KGpg» (см. справочную страницу «Управление ключами — KGpg»). Для запуска программы нажать [Открыть утилиту управления ключами].

Подписание файлов

Чтобы подписать один или несколько файлов для контроля их целостности, необходимо во вкладке Подпись:

  • выбрать нужный тип подписи:
    • Подпись в бинарные файлыподписать исполняемые файлы, файлы формата PE и библиотеки формата ELF встроенной подписью. Для успешной проверки подписи открытый ключ из использованной при подписании ключевой пары должен быть подписан ключом изготовителя или ключом из иерархии ключей, подписанных ключом изготовителя;
    • Подпись в расширенные атрибуты — подписать исполняемые и/или неисполняемые файлы с внедрением подписи в расширенные атрибуты файлов;
  • в столбце Имя раскрыть нужный каталог и выбрать файл, который необходимо подписать, установив флаг рядом с именем файла. При установке флага рядом с именем каталога будут выбраны все подкаталоги и файлы в этом каталоге. Если исполняемые файлы уже были подписаны встроенной подписью, то в столбце Подпись соответствующих строк будут установлены значки галочек. Если в расширенные атрибуты файлов уже была внедрена подпись, то в столбце Расширенная подпись соответствующих строк будут установлены символы галочек. Для отображения дополнительной информации о подписи следует навести курсор на символ галочки в столбце Подпись или Расширенная подпись;

  • нажать [Подписать] и ввести пароль администратора;
  • если выбранные файлы расположены в каталогах, где обычно находятся файлы, изменяемые в процессе работы в системе (например, конфигурационные файлы программ), то при их подписании в расширенных атрибутах будет отображено окно Подтверждение выбора. Чтобы продолжить процедуру подписания, в окне Подтверждение выбора необходимо нажать [Да]. Для отмены подписания нажать [Нет];
  • в окне Выбор ключа выполнить следующие действия:
    • из выпадающего списка Выберите ключ выбрать один из ранее созданных ключей;
    • если необходимо создать новый ключ, то нажать [Создать новый ключ] (см. Управление ключами);
    • если необходимо изменить настройки ключа или импортировать ключ, то нажать [Открыть утилиту управления ключами]. После этого откроется окно программы «Управление ключами — KGpg» (см. справочную страницу «Управление ключами — KGpg»);
    • для сохранения журнала процесса выполнения операции по подписанию файла установить флаг Сохранить журнал подписи в /var/log/astra-kcm-digsig.log;
    • нажать [Да];
  • в открывшемся окне ввести фразу-пароль выбранного ключа и нажать [Ок];
  • в открывшемся окне Процесс подписи после завершения подписания файлов нажать [Да];
  • если подписание в расширенных атрибутах осуществляется после включения контроля неисполняемых файлов, то будет отображено окно Добавление файлов. Чтобы добавить подписанные файлы в шаблоны имен для проверки подписи, нажать [Да], чтобы не добавлять на данном этапе подписанные файлы в шаблоны имен — нажать [Нет].