Справочный центр

Дерево страниц

Вы просматриваете старую версию данной страницы. Смотрите текущую версию.

Сравнить с текущим просмотр истории страницы

« Предыдущий Версия 24 Следующий »

Данная статья связана с:

Создание локальных и сетевых репозиториев

Данная статья применима начиная с:

  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.8)
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7) и РУСБ.10015-10, РУСБ.10015-17
  • Astra Linux Special Edition РУСБ.10015-37 (очередное обновление 7.7)
  • Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7

Аннотация

Протокол автоматизации содержимого безопасности (SCAP, Security Content Automation Protocol) — это набор стандартов и спецификаций, разработанных для автоматизации управления безопасностью информационных систем. SCAP позволяет организациям оценивать состояние безопасности своих систем, выявлять уязвимости и соответствие политике безопасности. Он включает в себя несколько компонентов, таких как языки для описания уязвимостей (CVE), конфигураций (CIS) и проверок соблюдения политик (XCCDF). Основная цель SCAP — упростить и ускорить процесс оценки и управления рисками, обеспечивая автоматизированные и стандартизированные методы анализа безопасности. SCAP включает в себя язык описания уязвимостей OVAL.

OVAL-описания

Язык уязвимостей и оценки (OVAL, Open Vulnerability and Assessment Language) — это стандартный язык, используемый для описания уязвимостей в системах и программном обеспечении, а также для оценки их наличия. OVAL позволяет автоматически собирать информацию о состоянии безопасности систем и проводить анализ уязвимостей. В качестве файла базы данных уязвимостей в Astra Linux Special Edition используется OVAL-файл в формате xml.

Общий принцип работы сканеров уязвимостей

  1. Обнаружение узлов сети: сканер выявляет доступные по сети устройства и их характеристики.
  2. Сканирование портов: сканер проверяет открытые порты, исследуя сетевые сервисы и протоколы.
  3. Идентификация уязвимостей: сканер ищет уязвимости в конфигурациях устройств, операционных систем и приложений, сопоставляя найденные конфигурации с имеющимися в собственной базе данных.
  4. Генерация отчетов: по итогам сканирования создается отчет с перечнем обнаруженных уязвимостей и отображаются рекомендации по их исправлению.

Сканирование уязвимостей выполняется с использованием файла базы данных уязвимостей, рекомендуемого ФСТЭК России и содержащего сведения об уязвимостях банка данных угроз безопасности информации ФСТЭК России.

В целях исключения ложных срабатываний при проведении контроля (анализа) защищенности информационных систем, функционирующих под управлением ОС Astra Linux, необходимо руководствоваться:

  • списком устраненных уязвимостей (доступен в личном кабинете пользователя);
  • перечнями устраненных и неактуальных уязвимостей ОС Astra Linux, представленными в формате, используемом средствами анализа защищенности в качестве источника сведений об уязвимостях (OVAL-описания), (предоставляются по запросу в техническую поддержку).

Обзор сканеров уязвимости для Astra Linux Special Edition

OpenScap

Набор библиотек с открытым исходным кодом, обеспечивающий более простой способ интеграции линейки стандартов SCAP. Включает в себя инструмент-сканер openscap-scanner.

Сканер уязвимостей OpenScap входит в расширенный репозиторий Astra Linux Special Edition начиная с версии 1.7.5


ScanOVAL

Сканер разработан для ФСТЭК России и работает с БДУ ФСТЭК. При загрузке OVAL-файла проверяется его цифровая подпись.

Основные функции ScanOVAL:

  • - загрузка XML-файлов с OVAL-описаниями уязвимостей, выполненными в соответствии со спецификацией OVAL версии не ниже 5.10.1;
  • - обнаружение на основании обработки данных, представленных в XML-файлах, уязвимостей программного обеспечения.

VulScan

Скрипт для работы с инструментом Nmap, специализированный для работы в качестве сканера уязвимостей. Написан на Lua. Не требует установки из репозитория.

Работа с OpenScap

Установка OpenScap:


Работа с Scanoval 

Установка Scanoval:

  1. Скачать архив установщика и deb-пакет с обновлениями с сайта ФСТЭК.
  2. Распаковать архив в каталог:
    sudo tar -C /var/lib -xvf <scanovalrepo_версия_пакета>.tar.gz
  3. Установить открытый ключ из архива:
    sudo apt-key add /var/lib/scanoval/repo/PUBLIC-GPG-KEY-scanoval
  4. Создать конфигурационный файл локального репозитория:
    sudo touch /etc/apt/sources.list.d/scanoval.list
  5. Добавить в файл /etc/apt/sources.list.d/scanoval.list строку:
    deb file:///var/lib/scanoval/repo 1.7_x86-64 main content
  6. Обновить информацию о пакетах:
    sudo apt update
  7. Установить сканер уязвимостей Scanoval и дополнительные необходимые для работы пакеты:
    sudo apt-get install openscap-scanner openscap-common openssl scanoval
  8. пункт
  9. пункт

Запуск 

/usr/bin/scanoval.


Работа с VulScan

  1. Перейти к сервису по адресу https://vulscan.infosec.astralinux.ru.
  2. Войти или зарегистрироваться.

Сканирование в образах Docker/Podman

Проверка образов и контейнеров на наличие уязвимостей выполняется автоматически при следующих событиях:

  • создание образа из Dockerfile или из контейнера;
  • загрузка образа из архива или потока ввода;
  • создание файловой системы образа из архива;
  • скачивание образа из реестра;
  • запуск или перезапуск контейнера.

Регистрация событий безопасности, связанных с образами и контейнерами Podman и Docker осуществляется подсистемой регистрации событий. Событиям безопасности, связанным с образами и контейнерами Docker, присваиваются метки dockerd_audit. Событиям безопасности, связанным с образами и контейнерами Podman, присваиваются метки podman_audit. Записи в журнале имеют следующий формат:

podman.audit | user ; uid | событие | результат | дополнительная информация


При обнаружении уязвимостей дальнейшее использование образа контейнера запрещено.

Для устранения обнаруженной уязвимости и последующего запуска контейнера без блокировки, необходимо:

  1. Запустить средство контейнеризации в режиме отладки (6 класс защиты).
  2. Запустить контейнер и устранить уязвимость.
  3. Запустить средство контейнеризации с требуемым классом защиты.

Для блокировки запуска контейнера, в образе которого обнаружена уязвимость, применяется глобальный параметр astra-sec-level в конфигурационных файлах средств контейнеризации. В качестве значения параметра задается число от 1 до 6, которое определяет класс защиты:

  • 1-5 классы защиты — при обнаружении уязвимости в контейнере его запуск блокируется;
  • 6 класс защиты — отладочный режим, при обнаружении уязвимости в контейнере выводится соответствующее предупреждение, при этом запуск контейнера не блокируется.

В случае если класс защиты не задан или задан не из диапазона 1-6, то при обнаружении уязвимости в контейнере автоматически задается 1 класс защиты с выводом соответствующего сообщения в журнал и запуск контейнера блокируется.

Docker

Для указания класса защиты контейнеров Docker допускается использовать только один из способов. 


Установить значение параметра astra-sec-level можно двумя способами:

  • при запуске процесса:
    sudo dockerd --astra-sec-level 4 # значение от 1 до 6


  • при запуске сервиса:
    1. Остановить службу:
      sudo systemctl stop docker

    2. В файле /etc/docker/daemon.json добавить поле astra-sec-level:
      sudo cat /etc/docker/daemon.json
      {
          "astra-sec-level" : 3
      }

    3. Повторно запустить службу:
      sudo systemctl start docker

Podman

Создать конфигурационный файл /etc/podman.conf, если он не был создан ранее, и указать в нем значение параметра astra-sec-level:

{
"astra-sec-level" : <класс_защиты> # значение от 1 до 6
}

Для просмотра настроек выполнить:

podman astra-config

{

"astra-sec-level": 4,

"oscap-report-dir": "/home/astra/.podman/scanoval/reports",

"oscap-exec": "/usr/bin/oscap",

"oscap-db-xml": "/usr/share/oval/db.xml"

}

 


  • Нет меток