|
Общая информация
В состав Astra Linux Special Edition входят системы контейнеризации Docker и Podman. В соответствии с требованиями ФСТЭК эти системы должны обеспечивать следующий функционал:
- Средство контейнеризации 6 класса защиты должно:
- выявлять известные уязвимости при создании, установке образа контейнера в информационной (автоматизированной) системе и хранении образов контейнеров во взаимодействии с сертифицированным средством контроля и анализа защищенности на основе сведений, содержащихся в банке данных угроз безопасности информации;
- оповещать о выявленных уязвимостях в образах контейнеров разработчика образов контейнеров и администратора безопасности информационной (автоматизированной) системы.
- Средство контейнеризации 5, 4, 3 должно запрещать создание образов содержащих известные уязвимости критического и высокого уровня опасности.
- Средство контейнеризации 2, 1 классов защиты должно запрещать создание образов содержащих известные уязвимости критического, высокого и среднего уровня опасности.
Для реализации этих требований в состав Astra Linux Special Edition включены средства выявления уязвимостей в образах контейнеров, используемых системами контейнеризации. Далее в статье описан порядок установки, настройки и применения этих средств.
Термины
- oval-описание — файл в формате XML, содержащий информацию об уязвимости, объектах, подверженный уязвимости, способах и условиях выявления наличия уязвимости;
- сканирование — проверка содержимого контейнера для выявления уязвимостей описанных в oval-db;
- swarm-правила —
Установка и базовое применение системы сканирования уязвимостей
Система сканирования уязвимостей представлена в пакетах openscap-scanner и oval-db. Эти пакеты устанавливаются автоматически при установке систем контейнеризации Docker или Podman. Также пакеты могут быть установлены отдельно, например, для загрузки oval-описаний с последующим копированием этих описаний в изолированную сеть или для поиска уязвимостей в образах без возможности запуска этих образов.
При установке пакетов сразу устанавливаются oval-описания для контейнеров Astra Linux. Эти описания будут обновляться по мере установки оперативных обновлений, однако для более быстрой актуализации описаний следует настроить автоматическое обновление. Порядок настройки автоматического обновления описан далее. Oval-описания для
После установки пакетов система готова к работу с базовыми настройками (настройками по умолчанию). Начиная с обновлений 1.8.3 (для Docker и Podman) и 1.7.8 (только для Docker) по умолчанию применяются следующие настройки:
- включено сканирование при создании образов;
- включено сканирование при создании контейнеров (запуске образов);
- включено периодическое сканирование образов с периодом 168 часов (7 суток);
- для образов Docker дополнительно включено применение swarm-правил.
Таким образом, при использовании контейнеров Astra Linux система сканирования может эксплуатироваться сразу после установки, обеспечивая соответствие требованиям ФСТЭК, и не требуя специальных настроек, кроме настройки автоматического обновления oval-описаний для образов Astra Limux. При использовании контейнеров сторонних производителей дополнительно потребуется вручную загрузить соответствующие oval-описания. Порядок действий по загрузке описан далее.
Конфигурационные файлы и настройки системы сканирования уязвимостей
Конфигурация системы сканирования хранится в следующих файлах:
- /etc/podman.json — настройки сканирования для системы контейнеризации Podman. Если файл отсутствует, то применяются значения по умолчанию:
Значение true включает управляемую параметром функцию, значение false — выключает. Функции параметров:{ "scan_on_image_create": true, "scan_on_container_start": true, "periodic_scan_time_in_hours": 168 }- scan_on_image_create — включение/выключение сканирования при создании образов;
- scan_on_container_start — включение/выключение сканирования при создании контейнеров (запуске образов);
- periodic_scan_time_in_hours — период сканирования образов в часах;
- /etc/docker/docker.json — настройки сканирования для системы контейнеризации Docker. Если файл отсутствует, то применяются значения по умолчанию:
Используются те же параметры, что и для Podman и дополнительный параметр swarm_rules_enabled включающий/выключающий использование swarm-правил.{ "scan_on_image_create": true, "scan_on_container_start": true, "swarm_rules_enabled": true, "periodic_scan_time_in_hours": 168 } - /usr/share/oval/conf/daemon.json —
- /usr/share/oval/db — каталог oval-описаний;
- /usr/share/oval/db/backup — каталог для сохранения резервных копий oval-описаний при их обновлении.
Работа с oval-описаниями
В системе сканирования уязвимостей имеется возможность обновлять и добавлять собственные oval-описания. Это можно сделать следующими способами:
- Обновление oval-описаний для Astra Linux с сервера Astra Limux. Может выполняться в автоматическом и ручном режимах.
- Ручная загрузка любых oval-описаний.
Обновление oval-описаний с сервера Astra Linux
| На сервере Astra Linux хранятся oval-описания только для контейнеров Astra Linux. Для других ОС oval-описания добавляются вручную. |
- Автоматическое обновление oval-описаний включается командой:
Эта команда включает автоматическое обновление oval-описаний, проверяя наличие и актуальность описаний всех возможных версий. Периодичность автоматического обновления oval-описаний может быть изменена в конфигурационном файле /usr/share/oval/conf/daemon.json параметром Interval. События, связанные с обновлением oval-описаний, регистрируются в системном журнале /var/log/syslog:sudo oval-db auto-update -e
Операции автоматического обновления oval-описаний могут завершаться со следующим результатом:Jul 3 10:29:01 se18-25055 systemd[1]: Starting oval-dbd.service - OVAL Database Daemon... Jul 3 10:29:01 se18-25055 systemd[1]: Started oval-dbd.service - OVAL Database Daemon. Jul 3 10:29:01 se18-25055 oval-dbd[32338]: 2025/07/03 10:29:01 INFO failed to read config file /usr/share/oval/conf/daemon.json, open /usr/share/oval/conf/daemon.json: no such file or directory. Using defaults. Jul 3 10:29:01 se18-25055 oval_dbd_audit[32338]: oval_dbd.audit|0|root|cafa28faa9564b38958266d01e99a706|oval_dbd.started|success|socketPath=/tmp/oval-dbd/daemon_vul_scanner.sock Jul 3 10:29:01 se18-25055 oval_dbd_audit[32338]: oval_dbd.audit|0|root|cafa28faa9564b38958266d01e99a706|oval_dbd.started|success|socketPath=/tmp/oval-dbd/daemon_cli.sock
- unchanged - файл не изменен (уже актуальный).
- downloaded - файл скачан (изначально не было в системе).
- up-to-date - файл обновлен (изначально был в системе).
- Для выключения автоматического обновления oval-описаний используется команда:
sudo oval-db auto-update -e=false - Для принудительного выполнения обновления oval-описаний используется команда:
Опция -v all указывает, что необходимо обновить все описания. Для сокращения объемов загрузки можно вместо значения all использовать версию системы из файла /etc/os-release, например:sudo oval-db update -v all
sudo oval-db update -v 1.8_x86-64.
Ручное добавление oval-описаний для контейнеров сторонних производителей
Oval-описания для сторонних ОС доступны на на Интернет-ресурсах производителей этих ОС. Для загрузки этих описаний и, возможно, их распаковки после загрузки, следуйте инструкциям производителей.
Для добавления загруженного и распакованного файла с oval-описанием в базу данных системы сканирования используется команда:
| sudo oval-db load -f <полный_абсолютный_путь_к_файлу> -o <имя_ОС> -v <версия_ОС> |
Флаги команды:
- -f — полный абсолютный путь к добавляемому файлу (путь от корневого каталога файловых системы);
- -o — название ОС;
- -v — версия ОС;
Информация для значений флагов -o и -v доступна в файле /etc/os-release.
Пример для Ubuntu (https://security-metadata.canonical.com/oval/ - примеры файлов для Ubuntu):
- Загрузить файл с архивом описания:
Файл com.ubuntu.noble.cve.oval.xml.bz2 будет сохранен в текущем каталоге.wget https://security-metadata.canonical.com/oval/com.ubuntu.noble.cve.oval.xml.bz2 - Распаковать загруженный файл:
Описание будет распаковано в файл с именем com.ubuntu.noble.cve.oval.xml в текущем каталоге.bunzip2 -k com.ubuntu.noble.cve.oval.xml.bz2 - Добавить файл в базу данных:
sudo oval-db load -o ubuntu -v 24.04 -f `pwd`/com.ubuntu.noble.cve.oval.xml
После загрузки в каталоге /usr/share/oval/db/<имя_ОС>/<версия_ОС>/ будут созданы файлы базы данных, в которых описания угроз будут сгруппированы по степени их критичности, и файл manifest.json с общим описанием. Для приведенного выше примера файла Ubuntu Nobble (24.04):
-rwxrwxr-x 1 root root 37747 июл 3 14:27 CriticalSeverity.xml |
Удаление oval-описаний
Для удаления ранее загруженных oval-описаний используется команда:
| sudo oval-db remove -o <имя_ОС> -v <версия_ОС> |
Флаги команды задают название и версию ОС, аналогично флагам команды добавления описания.
Восстановление oval-описаний из резервных копия
При выполнении обновления oval-описаний старые старые описания не удаляются, а перемещаются в подкаталог backup. Таким образом создается резервная копия, с помощью которой можно восстановить старые файлы при необходимости. Команда для восстановления:
| sudo oval-db restore -o <имя_ОС> -v <версия_ОС> |
Флаги команды определяют имя и версию ОС аналогично флагам команд загрузки и удаления.
Интерфейс командной строки системы сканирования уязвимостей (инструмент oval-db)
| Для работы с инструментом oval-db нужны права суперпользователя или участие в группе oval-db-admin. |
Общую справку по подкомандам инструмента oval-db можно получить любой из команд:
| sudo oval-db -h sudo oval-db --help sudo oval-db help |
Пример вывода справки:
A oval-db client to work with oval-db daemon Usage: oval-db [command] Available Commands: auto-update Enable or disable auto-update for the oval-db completion Generate the autocompletion script for the specified shell config Open GUI for configuration the scanner help Help about any command history History of scanning list List of all loaded files load A command to load and split .xml file by the severity level remove Remove oval descriptions for specific version of OS restore Restore a specific OS and version of oval-db files status A command to check daemon status update Update the oval db to a new version vul-info Search for vulnerability information by definition ID Flags: -h, --help help for oval-db Use "oval-db [command] --help" for more information about a command. |
Справку по опциям подкоманд можно получить используя опцию -h после любой команды, например:
| sudo oval-db auto-update -h |
Команды инструмента:
- sudo oval-db auto-update -e — включить автоматическое обновление oval-описаний;
- sudo oval-db auto-update -e=false — выключить автоматическое обновление oval-описаний;
- sudo oval-db config — запустить графический интерфейс для настройки конфигурации систем контейнеризации:
Навигация. Производится либо с помощью мыши, либо с помощью клавиатуры.
- Переход между двумя окнами производится с помощью стрелок влево и вправо.
- Подтверждение действия производится с помощью Enter.
- В правом окне передвигаться по настройкам можно с помощью Tab.
- Чтобы вернутся к пресету, надо нажать стрелку вверх.
- Чтобы выйти, нужной нажать Q и подтвердить.
В случае использования клавиатуры перемещение вниз по пунктам меню осуществляется клавишей TAB.
- Select Preset - пресет (предустановленные настройки) сканирования.
- Scan on Image Create - сканирование образа при создании образа (X - true).
- Scan on Container Start - сканирование образа при запуске контейнера (X - true).
- Swarm Rules Enabled - включение режима МРД docker swarm (X - true).
- Period - время в часах, для периодического сканирования всех образов контейнеров.
- Allow run without OVAL file - разрешать запуск контейнеров без файлов описания уязвимостей (X - true).
Если флаг сброшен, в случае отсутствия файла oval-описания, запустить (создать образ) контейнер будет невозможно.
В блоке Vulnerability можно настраивать обработку контейнеров для каждого уровня уязвимостей.
Сценарий при сканировании контейнеров.
Enabled/Drop - контейнер сканируется, в случае нахождения уязвимости, контейнер останавливается и добавляется запись в журнал событий.
Enabled/Scan - контейнер сканируется и запускается, в случае нахождения уязвимости добавляется запись в журнал событий.
Disabled - сканирование отключено.
- sudo oval-db list — просмотреть статистику загруженных уязвимостей. Необязательные опции подкоманды:
- -b — добавить в статистику уязвимости из резервной копии;
- -c — проверять контрольные суммы файлов с описанием уязвимостей.
- sudo oval-db load [flags]
aelrei@astra-70380:~$ sudo oval-db load -h A command to load and split .xml file by the severity level Usage: oval-db load [flags] Flags: -f, --filepath string Path to the input file (required) -h, --help help for load -o, --os string OS of oval file (required) -v, --version string Version of OS (required) |
Меню помощи для load.
Позволяет загружать и интегрировать файлы сторонних ОС вручную администратором.
Подробнее об этой команде можно почитать в 3.2.6 Манипуляции с файлами oval-описаний..
- sudo oval-db remove [flags]
aelrei@astra-70380:~$ sudo oval-db remove -h Remove oval descriptions for specific version of OS Usage: oval-db remove [flags] Flags: -h, --help help for remove -o, --os string OS of oval file (required) -v, --version string Version of OS (required) |
Меню помощи для remove.
Позволяет удалить файлы для ОС конкретной версии.
Подробнее об этой команде можно почитать в 3.2.6 Манипуляции с файлами oval-описаний..Пдрбе эйкомандможнопчит в 3.26Мпяци с фамиoval-пий.
- sudo oval-db restore [flags]
aelrei@astra-70380:~$ sudo oval-db restore -h Restore a specific OS and version of oval-db files Usage: oval-db restore [flags] Flags: -h, --help help for restore -o, --os string OS of oval file to restore (required) -v, --version string Version of OS to restore (required) |
Меню помощи для restore.
Позволяет восстановить файлы уязвимостей из backup.
Подробнее об этой команде можно почитать в 3.2.6 Манипуляции с файлами oval-описаний..Пдрб экемжчтть3.2.6 Мнипуляции самovlописний.
- sudo oval-db status [flags]
aelrei@astra-70380:~$ sudo oval-db status -h A command to check daemon status Usage: oval-db status [flags] Flags: -h, --help help for status |
Меню помощи для status.
Позволяет посмотреть статус демона, его версию и режим auto-update.
aelrei@astra-70380:~$ sudo oval-db status Daemon Status: Status: running Version: 0.1.0.0 Auto-update: true |
Статус демона.
- sudo oval-db update [flags]
aelrei@astra-70380:~$ sudo oval-db update -h Update the oval db to a new version Usage: oval-db update [flags] Flags: -h, --help help for update -v, --version string Version to update the service to (required) |
Меню помощи для update.
Позволяет обновить файлы с описанием уязвимостей в полуавтоматическом режиме.
Подробнее об этой команде можно почитать в 3.2.6 Манипуляции с файлами oval-описаний..
- sudo oval-db vul-info [flags]
aelrei@astra-70380:~$ sudo oval-db vul-info Error: required flag(s) "id", "os", "version" not set Usage: oval-db vul-info [flags] Flags: -h, --help help for vul-info -i, --id string Definition ID to search for (required) -o, --os string In which OS we need to search for vulnerability (required) -v, --version string In which version of OS we need to search for vulnerability (required) -x, --xml Print raw xml |
Меню помощи для vul-info.
Позволяет посмотреть информацию по конкретной уязвимости с помощью её ID (требуется полный ID).
К примеру: oval:astra:def:1139872346980661574462931648992835
Флаги:
- -h - помощь
- -i - id уязвимости (содержит не только цифры).
- -o - название ОС (обязательно).
- -v - версия ОС (обязательно).
- -x - печать информации об уязвимости в сыром xml виде.
aelrei@astra-70380:~$ sudo oval-db vul-info -o astra -v 1.7_x86-64 -i oval:astra:def:1139872346980661574462931648992835
Definition Found in NoneSeverity.xml:
ID: oval:astra:def:1139872346980661574462931648992835
Class: vulnerability
Title: Astra Linux - уязвимость в linux-5.15, linux-6.1
Description: In the Linux kernel, the following vulnerability has been resolved:
can: j1939: prevent deadlock by changing j1939_socks_lock to rwlock
The following 3 locks would race against each other, causing the
deadlock situation in the Syzbot bug report:
- j1939_socks_lock
- active_session_list_lock
- sk_session_queue_lock
A reasonable fix is to change j1939_socks_lock to an rwlock, since in
the rare situations where a write lock is required for the linked list
that j1939_socks_lock is protecting, the code does not attempt to
acquire any more locks. This would break the circular lock dependency,
where, for example, the current thread already locks j1939_socks_lock
and attempts to acquire sk_session_queue_lock, and at the same time,
another thread attempts to acquire j1939_socks_lock while holding
sk_session_queue_lock.
NOTE: This patch along does not fix the unregister_netdevice bug
reported by Syzbot; instead, it solves a deadlock situation to prepare
for one or more further patches to actually fix the Syzbot bug, which
appears to be a reference counting problem within the j1939 codebase.
[mkl: remove unrelated newline change]
Remediation:
References:
Source: CVE
URL: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-52638
ID: CVE-2023-52638 |
Информация об уязвимости. Форматированный вид.
|
Информация об уязвимости. XML вид.
Меню помощи для completion. Позволяет сгенерировать скрипт автодополнения для указанной оболочки. Команды:
Для того, чтобы посмотреть, как применить этот скрипт в системе, нужна команда:
Инструкция по применения скрипта для bash. |
Порядок выполнения периодического сканирования
Начиная с обновления 1.7.8 и 1.8.3 сканирование выполняется в следующем порядке:
- Раз в час системы контейнеризации (Podman и Docker) получает список образов/
- Для каждого образа проверятся время последнего сканирования, сохраненное в системе контейнеризации. в своей библиотеке.
- Если сканирование образа ранее не выполнялось (образ был был недавно создан) или время, прошедшее с последнего сканирования превышает период, заданный настройкой periodic_scan_time_in_hours в часах, то образ отправляется на сканирование.
В более ранних обновлениях система контейнеризации получает список образов раз в 7/30 дней (в зависимости от настройки astra-sec-level) и сканирует каждый образ из списка.