• Astra Linux Special Edition


Общие сведения о параметре AstraMode службы apache2


Служба гипертекстовой обработки данных apache2 в составе Astra Linux Special Edition (далее - Служба) обеспечивает работу с данными, имеющими различные (ненулевые) классификационные метки (см. Мандатное управление доступом и мандатный контроль целостности). Доступ к таким данным предоставляется только после успешного прохождения субъектом доступа процедур аутентификации и авторизации. Анонимный доступ к данным, имеющим ненулевую классификационную метку, запрещен.

Для включения и выключения обязательной аутентификации (авторизации) в конфигурации Службы предусмотрен параметр AstraMode. Порядок работы с этим параметром описан далее.

Начиная с обновления Astra Linux Special Edition x.7.1 при включенном параметре AstraMode авторизация пользователей требуется даже при выключенном мандатном управлении доступом (МРД) (см. Список улучшений функциональности, предоставляемых обновлением №2021-1126SE17 (оперативное обновление 1.7.1) и Список улучшений функциональности, предоставляемых обновлением №2021-0114SE47 (оперативное обновление 4.7.1)). В более ранних обновлениях при отключенном МРД параметр игнорируется.

Значение off параметра AstraMode отключает обязательную авторизацию. Это может снижать общую защищенность ресурсов, но может быть необходимо для обеспечения совместимости с приложениями, не работающими с классифицированными данными, не использующими аутентификацию  и, соответственно, не получающими авторизацию.

Значение off параметра AstraMode не отключает обязательную аутентификацию Kerberos, если такая аутентификация настроена для ресурса. При этом наличие классификационной метки у субъекта доступа не обязательно.

При значении on параметра AstraMode для успешного прохождения аутентификации Kerberos требуется наличие у субъекта доступа явно заданной классификационной метки (даже если эта метка нулевая). Такое умолчание:

  • не ограничивает доступ к защищаемым ресурсам для обычных пользователей доменов Astra Linux Special Edition (так как таким пользователям при их создании автоматически назначается нулевая классификационная метка);
  • ограничивает доступ к защищаемым ресурсам для пользователей доменов, не поддерживающих МРД (домены Windows AD, Samba, Astra Linux Common Edition).

Изменить это умолчание можно глобально для всей ОС настройкой параметров системы защиты PARSEC, для чего установить в файле /etc/parsec/msswitch.conf значение параметра  zero_if_notfound в yes:

zero_if_notfound: yes

При работе в Astra Linux Special Edition РУСБ.10015-01 очередное обновление 1.8 во включенном режиме AstraMode для корректного выполнения аутентификации Kerberos в файле /etc/apache2/apache2.conf указать (раскомментировать) параметр IncludeRealm со значением on:

IncludeRealm on

 

Значение параметра AstraMode по умолчанию

По умолчанию требование обязательной авторизации включено (значение параметра AstraMode задано как on). При этом, в зависимости от используемого обновления Astra Linux, явное задание значения параметра в конфигурационных файлх либо отсутствует, либо указано как комментарий в файле  /etc/apache2/apache2.conf.

Изменение значения параметра AstraMode

Глобальное (для всех активных web-сайтов запускаемых службой) значение параметра AstraMode задается в конфигурационном файле /etc/apache2/apache2.conf и может быть указано как:

  • Включено (по умолчанию):

    AstraMode on


  • Выключено:

    AstraMode off


  • Глобальное значение параметра AstraMode может быть повторно определено в любом конфигурационном файле. Действовать будет последнее обнаруженное определение. Использовать множественные определения параметра не рекомендуется, так как неверное определение или изменение порядка их обработки может вызвать ошибки.

  • В обновлениях, выпущенных до обновления БЮЛЛЕТЕНЬ № 2023-0426SE17 (оперативное обновление 1.7.4), при использовании опций конфигурации IncludeOption и Include (включение файлов в конфигурацию) значение параметра, применяемое к включаемым файлам, должно быть указано либо непосредственно перед инструкцией включения, например:

    AstraMode off
IncludeOption conf-test/*.conf

    либо в начале включаемого файла. Если значение не указано, то к включаемым файлам всегда применяется режим AstraMode on. Начиная с обновления БЮЛЛЕТЕНЬ № 2023-0426SE17 (оперативное обновление 1.7.4) на включаемые файлы действует глобальное указание режима.

 

Начиная с обновления Astra Linux Special Edition 1.6.7 (включая Astra Linux x.7):

  • Глобальное значение параметра AstraMode может быть переопределено индивидуально для каждого виртуального web-сайта. Для переопределения параметр указывается в списке параметров web-сайта, например:

    <VirtualHost _default_:443>
    AstraMode off
    ...
</VirtualHost>

    Такое переопределение действует только на режим работы web-сайта, для которого оно задано.