Справочный центр

Дерево страниц

Данная статья устарела. Актуальную статью см. Astra Linux: Режим замкнутой программной среды.


Данная статья применима к:

  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5)

Замкнутая программная среда

Замкнутая программная среда (ЗПС) является средством повышения безопасность ОС путем контроля целостности (неизменности) файлов. Механизм контроля реализован в виде невыгружаемого модуля ядра Astra Linux (модуль digsig_verif), выполняющего проверку встроенной электронной цифровой подписи файлов (ЭЦП). Проверка применяется к файлам формата ELF (исполняемым файлам и разделяемым библиотекам, далее - файлам) при запуске их выполнения и может осуществляться в следующих режимах:

  • запрещается выполнение файлов, имеющих неверную ЭЦП или не имеющих ЭЦП (штатный режим функционирования);
  • разрешается выполнение файлов, имеющих неверную ЭЦП или не имеющих ЭЦП, но при этом выдается сообщение об ошибке проверки ЭЦП (режим проверки ЭЦП в СПО);
  • ЭЦП не проверяется (отладочный режим для тестирования СПО).

Средства создания ЗПС предоставляют возможность внедрения ЭЦП в исполняемые файлы формата ELF, входящие в состав устанавливаемого СПО.

Включение замкнутой программной среды

Настройка работы ЗПС может быть выполнена с помощью графического инструмента fly-admin-smc: "Пуск" - "Панель управления" - "Политика безопасности" - "Замкнутая программная среда".

Для включения ЗПС из командной строки:

  1. При наличии собственных ключей в каталог /etc/digsig/keys поместить открытый (публичный) ключ;

    Без предоставления открытого ключа возможна работа только пакетов из состава дистрибутива Astra Linux Special Edition.

  2. В файле /etc/digsig/digsig_initramfs.conf установить параметры:

    1. для использования отладочного режима для тестирования СПО:

      DIGSIG_ELF_MODE=0

    2. для использования режима проверки ЭЦП в СПО:

      DIGSIG_ELF_MODE=2

    3. для использования штатного режима функционирования:

      DIGSIG_ELF_MODE=1

  3. Выполнить команду:

    sudo update-initramfs -u -k all

  4. Перезагрузить компьютер.

Создание подписи для собственных файлов

Для подписания собственных пакетов:

  1. Запросить и получить собственные ключи. См. Как получить ключи для подписи СПО;

  2. Импортировать полученные ключи. Пример команд:

    gpg --import ***.gpg
    gpg --import ***.key

  3. Загрузить сценарий по ссылке: ссылка;
  4. Указать в сценарии идентификатор полученного ключа. Посмотреть идентификатор импортированного ключа можно командой:

    gpg --list-keys

  5. После импорта ключей отдельные файлы ELF можно подписать командой:

    bsign -s