Общие изменения

• Зафиксирована политика включения ядер в ОС (см. статью Политика включения ядер Linux в Astra Linux Special Edition). В ОС включены ядра:
  • 6.1 — ядро с долговременной поддержкой;
  • 6.6 — ядро с кратковременной поддержкой.
• В механизме автоматизированной настройки (генерации) комплекса средств защиты (КСЗ) реализованы следующие улучшения:
  • реализована возможность использования профилей для настройки КСЗ. В состав ОС включены профили для настройки КСЗ в соответствии с требованиями о защите информации, предъявляемыми к определенному классу информационных систем;
  • реализована возможность импорта и экспорта настроек КСЗ.

Защищенная СУБД

Обновлена защищенная СУБД (ЗСУБД) в составе ОС. Новая ЗСУБД разработана на основе СУБД Tantor в исполнении Basic, реализованной с использованием СУБД PostgreSQL версии 15 (ранее использовалась ЗСУБД на основе PostgreSQL версии 11). ЗСУБД:

• доработана в соответствии с требованиями интеграции с Astra Linux в части защиты информации, в том числе мандатного управления доступом к информации;

• содержит реализацию ДП-модели управления доступом и информационными потоками, описывающей все аспекты дискреционного, мандатного и ролевого управления доступом с учетом безопасности информационных потоков.

• обеспечивает реализацию функций безопасности по защите информации в соответствии с Требованиями по безопасности информации к системам управления базами данных, утвержденным приказом ФСТЭК России от  14 апреля 2023 г. № 64.

Порядок настройки ЗСУБД представлен в документе РУСБ.10015-01 97 01-3 «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 3. Защищенная СУБД».

Замкнутая программная среда и изоляция приложений

В программном обеспечении (ПО), предназначенном для создания замкнутой программной среды (ЗПС), реализованы следующие улучшения:

• Реализована возможность создавать отсоединенную подпись (подпись в отдельном файле) и осуществлять проверку подписи в ЗПС на ее основе . Данный вид подписи:
  • не нарушает целостность файла;
  • может применяться в любой файловой системе;
  • применяется для контроля неизменности (целостности) и подлинности модулей ядра.

• Реализована возможность использования сертификатов ключей проверки цифровой подписи, выпущенных не только изготовителем ОС (ООО "РусБИТех-Астра"), но и удостоверяющим центром. Такие ключи загружаются без проверки принадлежности к системной иерархии ключей. Предварительную подготовку сертификата перед загрузкой в ОС, проверку его срока действия и уровня доверия к нему в этом случае выполняет администратор средствами КриптоПро CSP.

• Реализован механизм отзыва сертификата, который необходим в случае компрометации соответствующего ключа цифровой подписи.

• Реализована возможность выбора одного из следующих вариантов проверки цифровой подписи при запуске файла на исполнение.

  • проверять только встроенную подпись (используется по умолчанию);

  • проверять только подпись в расширенных атрибутах файловой системы;

  • проверять первый найденный у файла вид подписи. Поиск подписи выполняется в следующем порядке: встроенная подпись, подпись в расширенных атрибутах, отсоединённая подпись.;

  • проверять по очереди все виды подписи у файла до тех пор, пока не найдется верная. Запуск запрещается только при ошибке проверки всех видов подписи;

  • проверять и встроенную подпись, и подпись в расширенных атрибутах файловой системы. Запуск разрешается только при успешной проверке обоих видов подписи;

• В инструменте командной строки bsign реализована возможность подписать самораспаковывающийся 7Z архив.
• В основной репозиторий добавлен инструмент командной строки bsign-integrator позволяющий:
  • определять тип файла и создавать для него подпись соответствующего вида;
  • подписывать файлы по заданному списку (список файлов не ограничен по размеру);
  • подписывать файлы по заданной директории;
  • выполнять анализ файловой системы для поиска всех файлов, подпись которых соответствует заданному сертификату ключа проверки цифровой подписи.
• В основной репозиторий добавлено программное обеспечение Podman, предназначенное для автоматизации развертывания и управления приложениями в средах с поддержкой контейнеризации аналогичное программному обеспечению Docker.

Виртуализация

В программном обеспечении, предназначенном для создания защищенной среды виртуализации, реализованы функциональные возможности:

• возможность экспорта и импорта виртуальных машин со снимками состояний;
• возможность создания полных, инкрементных и дифференциальных резервных копий виртуальных машин (ВМ) с использованием средства virtnbdbackup;
• поддержка моментальных снимков состояний (снапшотов) виртуальных машин, использующих загрузку UEFI (external, internal), подробнее см. Создание виртуальный машин с загрузкой UEFI и поддержкой внутренних моментальных снимков;
• поддержка моментальных снимков состояний (снапшотов) для виртуальных машин на тонких (thick) и толстых (thin) дисках LVM;
• ограничение средством виртуализации доступных классификационных меток в гостевых ОС в соответствии с назначенной классификационной меткой ВМ;
• возможность отключения блокировки старта ВМ без "проброшенного" устройства;
• возможность объединения ВМ в группы в virt-manager;
• возможность отображения дерева снимков в virt-manager;
• отображение результатов контроля целостности памяти и файлового контроля в virt-manager;
•  расширен перечень регистрируемых событий, возникающих при включении контроля целостности памяти ВМ.

Инструменты командной строки astra-safepolicy:

• В инструменте командной строки  astra-interpreters-lock расширен перечень блокируемых интерпретаторов. Подробное описание представлено в документе РУСБ.10015-01 97 01. См. также Инструменты командной строки astra-safepolicy.
• При включении блокировки интерпретаторов автоматически включается запрет установки бита исполнения. Ранее после включения блокировки интерпретаторов необходимо было дополнительно включать запрет установки бита исполнения с помощью инструмента командной строки astra-nochmodx-lock.
• Инструмент командной строки astra-modban-lock , обеспечивающий блокировку загрузки неиспользуемых модулей ядра, исключен из состава ОС. Блокировку загрузки неподписанных модулей ядра осуществляет механизм замкнутой программной среды.
• В состав ОС включен инструмент командной строки astra-rootloginssh-control, обеспечивающий блокировку доступа по протоколу SSH для учетной записи root.

Мандатный контроль целостности

• Реализована возможность использования иерархического (линейного) уровня целостности.

  В графическом интерфейсе системы и в консоли термином «Уровень целостности» обозначается неиерархический уровень целостности (неиерархическая категория целостности) с двумя зарезервированными значениями: Высокий(High) для максимальной категории целостности и Низкий(Low) для минимальной категории целостности.

  Отличительные особенности реализации линейного уровня целостности:

  • Корень файловой системы имеет нулевую линейную целостность и после установки ОС все файловые объекты имеют нулевую линейную целостность.
  • Пользователи линейной целостности не имеют (что эквивалентно наличию у них линейной целостности ноль).
  • Файловым объектам может быть назначена линейная целостность меньше нуля (отрицательная линейная целостность).
  • Процессы могут быть запущены с отрицательной линейной целостностью, при этом они могут создавать файловые объекты с отрицательной линейной целостностью.
  • Значение линейной целостности может находиться в диапазоне от -128 до 0  включая границы. Положительная линейная целостность зарезервирована для дальнейшего использования и не может быть присвоена ни файловым объектам, ни процессам.
• Введены следующие дополнительные атрибуты сущностей для МКЦ:

  • ssi (числовое значение 0x40) — присваивается файловым объектам для ограничения доступа на чтение и выполнение: файловые объекты с установленным атрибутом ssi могут открываться на чтение только процессами, имеющими метку целостности большую или равную метке целостности открываемого объекта;

  • iinh (числовое значение 0x80) — присваивается каталогам. При наличии в метке безопасности каталога атрибута iinh создаваемым в каталоге сущностям присваивается метка целостности родительского каталога (создаваемые сущности наследуют метку целостности содержащего их каталога), при этом дочерние каталоги также наследуют атрибут iinh. Флаг действует только в расширенном режиме МКЦ.

  Более подробные описания дополнительных атрибутов сущностей для МКЦ представлены в документе РУСБ.10015-01 97 01-1 и в статье Особенности работы МКЦ Astra Linux Special Edition с файловыми объектами. См. также страницу Особенности работы МКЦ Astra Linux Special Edition с файловыми объектами.

Контроль целостности (неизменности) ОС

• Реализована возможность обеспечения контроля целостности объектов файловой системы на основе шаблонов.  Шаблоны проверки представляют собой текстовые файлы, содержащие списки файлов для проверки целостности. По умолчанию в системе присутствуют следующие шаблоны:
  • /usr/share/gostsum/templates/gostsum_minimal.txt — список минимального состава файлов ОС;
  • /usr/share/gostsum/templates/gostsum_fb.txt — список файлов, реализующих функции безопасности или поддерживающих их выполнение.
• Также на основе шаблонов возможно проверять MD5-суммы установленных в системе deb-пакетов.
• Для вычисления и проверки контрольных сумм по умолчанию устанавливается доработанный инструмент командной строки astra-int-check. Кроме того, вычисление контрольных сумм файлов и проверка соответствия полученных значений эталонным контрольным суммам может быть выполнено с помощью графической утилиты fly-admin-int-check, как и ранее.
• В инструменте командной строки gostsum реализована возможность подсчета контрольных сумм файлов в deb-пакетах. Для обеспечения совместимости сохранен устаревший инструмент командной строки gostsum_from_deb.

Привилегии

• Добавлены следующие Linux-привилегии:

  • cap_perfmon (0x4000000000) – разрешает использование систем мониторинга;

  • cap_bpf (0x8000000000) – разрешает выполнение некоторых операций с модулем отбора пакетов BPF;

  • cap_checkpoint_restore (0x10000000000) – позволяет определить PID, который выделяется следующему процессу, созданному внутри пространства имен.

• Привилегии PARSEC:
  • Привилегия PARSEC_CAP_UPDATE_ATIME не используется и сохранена только для обеспечения совместимости.
  • Изменен механизм обработки привилегии PARSEC_CAP_INHERIT_INTEGRITY . Подробное описание представлено в документе РУСБ.10015-01 97 01.
  • Изменен механизм обработки PARSEC-привилегии PARSEC_CAP_MAC_SOCK. Подробное описание представлено в документе РУСБ.10015-01 97 01.

Аудит и регистрация событий

В подсистеме регистрации событий реализованы следующие улучшения:

• оптимизирована работа подсистемы регистрации событий с целью уменьшения нагрузки на операционную систему;
• улучшен механизм самодиагностики – в случае обнаружения аварийного завершения работы какого-либо программного компонента из состава подсистемы регистрации событий производится перезапуск подсистемы;
• реализована возможность загрузки и отображения сообщений диагностического отчета, сформированного инструментом sosreport;
• в инструменте командной строки astra-event-viewer расширен перечень форматов отображения даты и времени;
• в программе «Настройка регистрации системных событий» (пакет fly-admin-events) реализована возможность отображения тестового примера регистрируемого события;
• в программе «Журнал системных событий» (пакет fly-event-viewer) и инструменте командной строки astra-event-viewer реализованы следующие улучшения:
  • улучшен механизм фильтрации отображаемых событий – реализована возможность скрыть события определенного типа;
  • улучшен механизм поиска событий;
  • реализована возможность настройки реагирования системы на определенный тип событий. Варианты реагирования:
    • воспроизведение звука;
    • показ сообщений во всплывающих уведомлениях;
    • сохранение сообщения в файле журнала;
    • выделение программы в панели задач;
    • выполнение программы или скрипта.

Защищенный комплекс программ печати и маркировки документов

В защищенном комплексе программ печати и маркировки документов добавлены следующие стандартные атрибуты:

• mac-job-mac-level-name – уровень конфиденциальности задания. Формируются на основе атрибутов сессии пользователя, создавшего задание на печать;
• mac-job-mac-ilevel-name – категория целостности задания. Формируются на основе атрибутов сессии пользователя, создавшего задание на печать;
• mac-job-mac-category-name – категория конфиденциальности задания. Формируются на основе атрибутов сессии пользователя, создавшего задание на печать.

Пользовательский интерфейс

• Взамен программы «Панель управления» добавлена новая программа «Параметры системы» (пакет  astra-systemsettings ), содержащая в себе различные модули настроек ОС. В astra-systemsettings , в том числе, интегрированы настройки, отвечающие за управление локальной политикой безопасности. Ранее для этой цели использовалась программа «Управление политикой безопасности» ( fly-admin-smc ).
• Для настройки КСЗ используются следующие модули программы astra-systemsettings:

  • модуль «Пользователи» в разделе «Пользователи и группы» – для управления пользователями;

  • модуль «Мандатное управление доступом» в разделе «Управление доступом» – для включения и выключения мандатного управления доступом (МРД) после установки ОС;

    Кроме того, включение и выключение МРД может быть выполнено с помощью инструмента командной строки astra-mac-control, как и ранее.

    
    

  • модуль «Мандатный контроль целостности» в разделе «Управление доступом» – для включения и выключения МКЦ после установки ОС;

    Кроме того, включение и выключение МКЦ может быть выполнено с помощью инструмента командной строки astra-mic-control, как и ранее.

    
    

  • модуль «Замкнутая программная среда» в разделе «Ограничения программной среды» – для настройки режима функционирования механизма контроля целостности файлов при их открытии на основе цифровой подписи в расширенных атрибутах файловой системы;

  • модуль «Конфигурация аудита» в разделе «Регистрация событий и аудит» – для включения и выключения, а также настройки системы аудита;

  • модуль «Политика очистки памяти» – для установки параметра монтирования для очистки блоков памяти при их освобождении, а также для настройки очистки разделов страничного обмена;

  • модуль «Устройства и правила» – для учета съемных машинных носителей информации и управления их принадлежностью;

  • модуль «Графический киоск» в разделе «Ограничения программной среды» – для настройки режима графического киоска;

  • модуль «Монитор безопасности» – для просмотра информации о состоянии функций безопасности.

Управление учетными записями

• В инструменте командной строки pdpl-user, предназначенном для отображения и изменения метки безопасности пользователей, устранена ошибочная чувствительность к регистру символов в доменной составляющей имени пользователя.
• Для политики блокировки учетных записей пользователей по истечению установленного периода неиспользования (неактивности) реализовано исключение для учетных записей администраторов из группы astra-admin. Управление блокировкой осуществляется в программном модуле настройки параметров блокировки учетных записей (параметр "Период неактивности").
• Реализован инструмент управления (включением/отключением) средства контроля подключения устройств pdac-adm state. В средстве контроля подключения устройств реализовано обеспечение соответствия назначенных на файл устройства при регистрации съемных носителей информации дискреционных прав доступа и режима монтирования.