Данная статья применима к:

  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.8)


Ниже представлены отличительные особенности комплекса средств защиты информации (КСЗ) операционной системы специального назначения Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.8), далее по тексту – ОС, в сравнении с Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7). Подробно реализация и особенности комплекса средств защиты информации (КСЗ) описаны в документе РУСБ.10015-01 97 01-1 «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1».

См. также: Astra Linux Special Edition (очередное обновление 1.8): Основные отличия от Astra Linux Special Edition (очередное обновление 1.7).

Общие изменения

  • Зафиксирована политика включения ядер в ОС (см. статью Политика включения ядер Linux в Astra Linux Special Edition). В ОС включены ядра:
    • 6.1 — ядро с долговременной поддержкой;
    • 6.6 — ядро с кратковременной поддержкой.
  • В механизме автоматизированной настройки (генерации) комплекса средств защиты (КСЗ) реализованы следующие улучшения:
    • реализована возможность использования профилей для настройки КСЗ. В состав ОС включены профили для настройки КСЗ в соответствии с требованиями о защите информации, предъявляемыми к определенному классу информационных систем;
    • реализована возможность импорта и экспорта настроек КСЗ.

Защищенная СУБД

Обновлена защищенная СУБД (ЗСУБД) в составе ОС. Новая ЗСУБД разработана на основе СУБД Tantor в исполнении Basic, реализованной с использованием СУБД PostgreSQL версии 15 (ранее использовалась ЗСУБД на основе PostgreSQL версии 11). ЗСУБД:

  • доработана в соответствии с требованиями интеграции с Astra Linux в части защиты информации, в том числе мандатного управления доступом к информации;

  • содержит реализацию ДП-модели управления доступом и информационными потоками, описывающей все аспекты дискреционного, мандатного и ролевого управления доступом с учетом безопасности информационных потоков.

  • обеспечивает реализацию функций безопасности по защите информации в соответствии с Требованиями по безопасности информации к системам управления базами данных, утвержденным приказом ФСТЭК России от  14 апреля 2023 г. № 64.

Порядок настройки ЗСУБД представлен в документе РУСБ.10015-01 97 01-3 «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 3. Защищенная СУБД».

Замкнутая программная среда и изоляция приложений

В программном обеспечении (ПО), предназначенном для создания замкнутой программной среды (ЗПС), реализованы следующие улучшения:

  • Реализована возможность создавать отсоединенную подпись (подпись в отдельном файле) и осуществлять проверку подписи в ЗПС на ее основе . Данный вид подписи:
    • не нарушает целостность файла;
    • может применяться в любой файловой системе;
    • применяется для контроля неизменности (целостности) и подлинности модулей ядра.
  • Реализована возможность использования сертификатов ключей проверки цифровой подписи, выпущенных не только изготовителем ОС (ООО "РусБИТех-Астра"), но и удостоверяющим центром. Такие ключи загружаются без проверки принадлежности к системной иерархии ключей. Предварительную подготовку сертификата перед загрузкой в ОС, проверку его срока действия и уровня доверия к нему в этом случае выполняет администратор средствами КриптоПро CSP.

  • Реализован механизм отзыва сертификата, который необходим в случае компрометации соответствующего ключа цифровой подписи.

  • Реализована возможность выбора одного из следующих вариантов проверки цифровой подписи при запуске файла на исполнение.

    • проверять только встроенную подпись (используется по умолчанию);

    • проверять только подпись в расширенных атрибутах файловой системы;

    • проверять первый найденный у файла вид подписи. Поиск подписи выполняется в следующем порядке: встроенная подпись, подпись в расширенных атрибутах, отсоединённая подпись.;

    • проверять по очереди все виды подписи у файла до тех пор, пока не найдется верная. Запуск запрещается только при ошибке проверки всех видов подписи;

    • проверять и встроенную подпись, и подпись в расширенных атрибутах файловой системы. Запуск разрешается только при успешной проверке обоих видов подписи;

  • В инструменте командной строки bsign реализована возможность подписать самораспаковывающийся 7Z архив.
  • В основной репозиторий добавлен инструмент командной строки bsign-integrator позволяющий:
    • определять тип файла и создавать для него подпись соответствующего вида;
    • подписывать файлы по заданному списку (список файлов не ограничен по размеру);
    • подписывать файлы по заданной директории;
    • выполнять анализ файловой системы для поиска всех файлов, подпись которых соответствует заданному сертификату ключа проверки цифровой подписи.
  • В основной репозиторий добавлено программное обеспечение Podman, предназначенное для автоматизации развертывания и управления приложениями в средах с поддержкой контейнеризации аналогичное программному обеспечению Docker.

Виртуализация

В программном обеспечении, предназначенном для создания защищенной среды виртуализации, реализованы функциональные возможности:

  • возможность экспорта и импорта виртуальных машин со снимками состояний;
  • возможность создания полных, инкрементных и дифференциальных резервных копий виртуальных машин (ВМ) с использованием средства virtnbdbackup;
  • поддержка моментальных снимков состояний (снапшотов) виртуальных машин с UEFI (external, internal);
  • поддержка моментальных снимков состояний (снапшотов) для виртуальных машин на тонких (thick) и толстых (thin) дисках LVM;
  • ограничение средством виртуализации доступных классификационных меток в гостевых ОС в соответствии с назначенной классификационной меткой ВМ;
  • возможность отключения блокировки старта ВМ без "проброшенного" устройства;
  • возможность объединения ВМ в группы в virt-manager;
  • возможность отображения дерева снимков в virt-manager;
  • отображение результатов контроля целостности памяти и файлового контроля в virt-manager;
  •  расширен перечень регистрируемых событий, возникающих при включении контроля целостности памяти ВМ.

Инструменты командной строки astra-safepolicy:

  • В инструменте командной строки  astra-interpreters-lock расширен перечень блокируемых интерпретаторов. Подробное описание представлено в документе РУСБ.10015-01 97 01. См. также Инструменты командной строки astra-safepolicy.
  • При включении блокировки интерпретаторов автоматически включается запрет установки бита исполнения. Ранее после включения блокировки интерпретаторов необходимо было дополнительно включать запрет установки бита исполнения с помощью инструмента командной строки astra-nochmodx-lock.
  • Инструмент командной строки astra-modban-lock , обеспечивающий блокировку загрузки неиспользуемых модулей ядра, исключен из состава ОС. Блокировку загрузки неподписанных модулей ядра осуществляет механизм замкнутой программной среды.
  • В состав ОС включен инструмент командной строки astra-rootloginssh-control, обеспечивающий блокировку доступа по протоколу SSH для учетной записи root.

Мандатный контроль целостности

  • Реализована возможность использования иерархического (линейного) уровня целостности.

    В графическом интерфейсе системы и в консоли термином «Уровень целостности» обозначается неиерархический уровень целостности (неиерархическая категория целостности) с двумя зарезервированными значениями: Высокий(High) для максимальной категории целостности и Низкий(Low) для минимальной категории целостности.

    Отличительные особенности реализации линейного уровня целостности:

    • Корень файловой системы имеет нулевую линейную целостность и после установки ОС все файловые объекты имеют нулевую линейную целостность.
    • Пользователи линейной целостности не имеют (что эквивалентно наличию у них линейной целостности ноль).
    • Файловым объектам может быть назначена линейная целостность меньше нуля (отрицательная линейная целостность).
    • Процессы могут быть запущены с отрицательной линейной целостностью, при этом они могут создавать файловые объекты с отрицательной линейной целостностью.
    • Значение линейной целостности может находиться в диапазоне от -128 до 0  включая границы. Положительная линейная целостность зарезервирована для дальнейшего использования и не может быть присвоена ни файловым объектам, ни процессам.
  • Введены следующие дополнительные атрибуты сущностей для МКЦ:
    • ssi (числовое значение 0x40) — присваивается файловым объектам для ограничения доступа на чтение и выполнение: файловые объекты с установленным атрибутом ssi могут открываться на чтение только процессами, имеющими метку целостности большую или равную метке целостности открываемого объекта;

    • iinh (числовое значение 0x80) — присваивается каталогам. При наличии в метке безопасности каталога атрибута iinh создаваемым в каталоге сущностям присваивается метка целостности родительского каталога (создаваемые сущности наследуют метку целостности содержащего их каталога), при этом дочерние каталоги также наследуют атрибут iinh. Флаг действует только в расширенном режиме МКЦ.

    Более подробные описания дополнительных атрибутов сущностей для МКЦ представлены в документе РУСБ.10015-01 97 01-1 и в статье Особенности работы МКЦ Astra Linux Special Edition с файловыми объектами. См. также страницу Особенности работы МКЦ Astra Linux Special Edition с файловыми объектами.

Контроль целостности (неизменности) ОС

  • Реализована возможность обеспечения контроля целостности объектов файловой системы на основе шаблонов.  Шаблоны проверки представляют собой текстовые файлы, содержащие списки файлов для проверки целостности. По умолчанию в системе присутствуют следующие шаблоны:
    • /usr/share/gostsum/templates/gostsum_minimal.txt — список минимального состава файлов ОС;
    • /usr/share/gostsum/templates/gostsum_fb.txt — список файлов, реализующих функции безопасности или поддерживающих их выполнение.
  • Также на основе шаблонов возможно проверять MD5-суммы установленных в системе deb-пакетов.
  • Для вычисления и проверки контрольных сумм по умолчанию устанавливается доработанный инструмент командной строки astra-int-check. Кроме того, вычисление контрольных сумм файлов и проверка соответствия полученных значений эталонным контрольным суммам может быть выполнено с помощью графической утилиты fly-admin-int-check, как и ранее.
  • В инструменте командной строки gostsum реализована возможность подсчета контрольных сумм файлов в deb-пакетах. Для обеспечения совместимости сохранен устаревший инструмент командной строки gostsum_from_deb.

Привилегии

  • Добавлены следующие Linux-привилегии:
    • cap_perfmon (0x4000000000) – разрешает использование систем мониторинга;

    • cap_bpf (0x8000000000) – разрешает выполнение некоторых операций с модулем отбора пакетов BPF;

    • cap_checkpoint_restore (0x10000000000) – позволяет определить PID, который выделяется следующему процессу, созданному внутри пространства имен.

  • Привилегии PARSEC:
    • Привилегия PARSEC_CAP_UPDATE_ATIME не используется и сохранена только для обеспечения совместимости.
    • Изменен механизм обработки привилегии PARSEC_CAP_INHERIT_INTEGRITY . Подробное описание представлено в документе РУСБ.10015-01 97 01.
    • Изменен механизм обработки PARSEC-привилегии PARSEC_CAP_MAC_SOCK. Подробное описание представлено в документе РУСБ.10015-01 97 01.

Аудит и регистрация событий

В подсистеме регистрации событий реализованы следующие улучшения:

  • оптимизирована работа подсистемы регистрации событий с целью уменьшения нагрузки на операционную систему;
  • улучшен механизм самодиагностики – в случае обнаружения аварийного завершения работы какого-либо программного компонента из состава подсистемы регистрации событий производится перезапуск подсистемы;
  • реализована возможность загрузки и отображения сообщений диагностического отчета, сформированного инструментом sosreport;
  • в инструменте командной строки astra-event-viewer расширен перечень форматов отображения даты и времени;
  • в программе «Настройка регистрации системных событий» (пакет fly-admin-events) реализована возможность отображения тестового примера регистрируемого события;
  • в программе «Журнал системных событий» (пакет fly-event-viewer) и инструменте командной строки astra-event-viewer реализованы следующие улучшения:
    • улучшен механизм фильтрации отображаемых событий – реализована возможность скрыть события определенного типа;
    • улучшен механизм поиска событий;
    • реализована возможность настройки реагирования системы на определенный тип событий. Варианты реагирования:
      • воспроизведение звука;
      • показ сообщений во всплывающих уведомлениях;
      • сохранение сообщения в файле журнала;
      • выделение программы в панели задач;
      • выполнение программы или скрипта.

Защищенный комплекс программ печати и маркировки документов

В защищенном комплексе программ печати и маркировки документов добавлены следующие стандартные атрибуты:

  • mac-job-mac-level-name – уровень конфиденциальности задания. Формируются на основе атрибутов сессии пользователя, создавшего задание на печать;
  • mac-job-mac-ilevel-name – категория целостности задания. Формируются на основе атрибутов сессии пользователя, создавшего задание на печать;
  • mac-job-mac-category-name – категория конфиденциальности задания. Формируются на основе атрибутов сессии пользователя, создавшего задание на печать.

Пользовательский интерфейс

  • Взамен программы «Панель управления» добавлена новая программа «Параметры системы» (пакет  astra-systemsettings ), содержащая в себе различные модули настроек ОС. В astra-systemsettings , в том числе, интегрированы настройки, отвечающие за управление локальной политикой безопасности. Ранее для этой цели использовалась программа «Управление политикой безопасности» ( fly-admin-smc ).
  • Для настройки КСЗ используются следующие модули программы astra-systemsettings:
    • модуль «Пользователи» в разделе «Пользователи и группы» – для управления пользователями;

    • модуль «Мандатное управление доступом» в разделе «Управление доступом» – для включения и выключения мандатного управления доступом (МРД) после установки ОС;

      Кроме того, включение и выключение МРД может быть выполнено с помощью инструмента командной строки astra-mac-control, как и ранее.

    • модуль «Мандатный контроль целостности» в разделе «Управление доступом» – для включения и выключения МКЦ после установки ОС;

      Кроме того, включение и выключение МКЦ может быть выполнено с помощью инструмента командной строки astra-mic-control, как и ранее.

    • модуль «Замкнутая программная среда» в разделе «Ограничения программной среды» – для настройки режима функционирования механизма контроля целостности файлов при их открытии на основе цифровой подписи в расширенных атрибутах файловой системы;

    • модуль «Конфигурация аудита» в разделе «Регистрация событий и аудит» – для включения и выключения, а также настройки системы аудита;

    • модуль «Политика очистки памяти» – для установки параметра монтирования для очистки блоков памяти при их освобождении, а также для настройки очистки разделов страничного обмена;

    • модуль «Устройства и правила» – для учета съемных машинных носителей информации и управления их принадлежностью;

    • модуль «Графический киоск» в разделе «Ограничения программной среды» – для настройки режима графического киоска;
    • модуль «Монитор безопасности» – для просмотра информации о состоянии функций безопасности.

Управление учетными записями

  • В инструменте командной строки pdpl-user, предназначенном для отображения и изменения метки безопасности пользователей, устранена ошибочная чувствительность к регистру символов в доменной составляющей имени пользователя.
  • Для политики блокировки учетных записей пользователей по истечению установленного периода неиспользования (неактивности) реализовано исключение для учетных записей администраторов из группы astra-admin. Управление блокировкой осуществляется в программном модуле настройки параметров блокировки учетных записей (параметр "Период неактивности").
  • Реализован инструмент управления (включением/отключением) средства контроля подключения устройств pdac-adm state. В средстве контроля подключения устройств реализовано обеспечение соответствия назначенных на файл устройства при регистрации съемных носителей информации дискреционных прав доступа и режима монтирования.