Данная статья применима к:
- Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
- Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7)
- Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.8)
Назначение утилиты sos
Утилита sos предназначена для анализа операционной системы (ОС) при поступлении запроса в службу технической поддержки. С ее помощью осуществляется сбор диагностической информации, которая помогает инженерам службы технической поддержки определять проблему и исключать повторные запросы данных об ошибках.
Утилита sos позволяет собирать различную отладочную информацию из одной или нескольких ОС, при необходимости очищать и защищать конфиденциальные данные.
Далее в статье термин "шифрование" применяется в значении защитного преобразования данных.
Параметры утилиты:
sos report— сбор отладочной информации с одной системы;sos collect— запуск и сбор отдельных отчетов с указанного набора узлов;sos clean— сокрытие потенциально конфиденциальной информации (имена пользователей, имена хостов, IP- или MAC-адреса или других данных, указанных пользователем).
Информация, собранная в отчете, содержит сведения о конфигурации, системную информацию и диагностическую информацию из ОС, такую как:
- запущенная версия ядра;
- загруженные модули ядра;
- конфигурационные файлы системы и служб;
- вывод диагностической команды;
- список установленных пакетов.
По умолчанию утилита sos записывает собранные данные в архив с именем sosreport-<имя_хоста>-<номер_запроса>-<ГГГГ-ММ-ДД>-<случайные_уникальные_символы>.tar.xz.
Утилита сохраняет архив и его контрольную сумму в каталоге /tmp:
astra@server:~$ ls -l /tmp/sosreport* -rw-r----- 1 root astra-admin 87036 ноя 27 09:27 /tmp/sosreport-server-123-2023-11-27-aywdsnl.tar.xz -rw-r--r-- 1 root root 33 ноя 27 09:27 /tmp/sosreport-server-123-2023-11-27-aywdsnl.tar.xz.md5
Запуск утилиты sos
Терминал
Утилита sos входит в состав ОС Astra Linux Special Edition 1.7 и выше.
Чтобы установить утилиту на Astra Linux Special Edition 1.6.x, требуются права суперпользователя и подключение к репозиторию:
- Скачать архив репозитория по ссылке.
- Распаковать архив.
- Выполнить команду:
sudo dpkg -i /путь_к_каталогу_sosreport/*.deb
Убедиться, что пакет установлен:
sudo dpkg -s sosreport
Графический режим
- Установить графическую утилиту "Центр системных отчетов" (входит в состав ОС Astra Linux Special Edition 1.7 и выше):
sudo apt install fly-sosreport
- Запустить утилиту: Меню "Пуск" — Панель управления — Система — Центр системных отчетов.
Создание отчета
Выполнить команду:
sudo sos report
Следовать инструкциям на экране:
sosreport (version 4.0) This command will collect system configuration and diagnostic information from this Debian system. For more information on the Debian project visit: https://www.debian.org/ The generated archive may contain data considered sensitive and its content should be reviewed by the originating organization before being passed to any third party. No changes will be made to system configuration. Нажмите ENTER для продолжения или CTRL-C для выхода.
Имя файла отчета отображается в конце вывода:
Finished running plugins Создается архив... Your sosreport has been generated and saved in: /tmp/sosreport-server-123-2023-11-27-ztdyuvc.tar.xz Size 11.14MiB Owner root md5 9713252c24d0ea5f524b119156b6825f Please send this file to your support representative.Чтобы обфусцировать создаваемый sosreport, см. Обфускация отчета.
Убедиться, что создан архив в каталоге
/tmp, соответствующий описанию из выходных данных команды:astra@server:~$ ls -l /tmp/sosreport* -rw-r----- 1 root astra-admin 87036 ноя 27 09:27 /tmp/sosreport-server-123-2023-11-27-aywdsnl.tar.xz -rw-r--r-- 1 root root 33 ноя 27 09:27 /tmp/sosreport-server-123-2023-11-27-aywdsnl.tar.xz.md5
Создание отчета и защита его с помощью шифрования GPG
Защита отчета с помощью шифрования GPG используется для передачи его по общедоступной сети третьей стороне.
При создании зашифрованного отчета используется вдвое больше места на диске, т. к. утилита sos:
- создает незашифрованный отчет;
- шифрует отчет как новый файл;
- удаляет незашифрованный архив.
- Выполнить команду, указав парольную фразу с помощью опции
--encrypt-pass:sudo sos report --encrypt-pass 1234
- Следовать инструкциям. Имя файла отчета отображается в конце вывода:
- Убедиться, что создан архив, соответствующий следующим требованиям:
- имя файла начинается с
secured; - файл имеет расширение
.gpg; - архив находится в каталоге
/tmp.astra@pcmk-1:~$ ls -l /tmp/secured* -rw-r----- 1 root astra-admin 11051437 дек 2 07:26 /tmp/secured-sosreport-pcmk-1-gpg-test-2023-12-02-bluhmko.tar.xz.gpg -rw-r--r-- 1 root root 33 дек 2 07:26 /tmp/secured-sosreport-pcmk-1-gpg-test-2023-12-02-bluhmko.tar.xz.gpg.md5
- имя файла начинается с
- Убедиться, что архив можно расшифровать с помощью парольной фразы, которая использовалась для его шифрования:
Выполнить команду:
astra@pcmk-1:~$ sudo gpg --output decrypted-sosreport.tar.gz --decrypt /tmp/secured-sosreport-pcmk-1-gpg-test-2023-12-02-bluhmko.tar.xz.gpg
Ввести парольную фразу, которая использовалась для шифрования архива:
┌────────────────────────────────────────────────────────┐ │ Введите фразу-пароль │ │ │ │ │ │ Фраза-пароль: ________________________________________ │ │ │ │ <OK> <Отмена (C)> │ └────────────────────────────────────────────────────────┘
Убедиться, что создан незашифрованный архив с расширением
.tar.gz:astra@pcmk-1:~$ ls -l decrypted* -rw-r--r-- 1 root root 11025760 дек 2 07:32 decrypted-sosreport.tar.gz
Создание пары ключей GPG
Создать файл
key-input, используемый для генерации пары ключей GPG с предпочтительными данными. Например:Сгенерировать ключ GPG2 на основе содержимого файла
key-input:astra@pcmk-1:~$sudo gpg --batch --gen-key key-input
Ввести парольную фразу для защиты ключа GPG (доступ к закрытому ключу для расшифровки):
┌────────────────────────────────────────────────────────┐ │ Введите фразу-пароль │ │ для защиты нового ключа │ │ │ │ Фраза-пароль: ________________________________________ │ │ │ │ <OK> <Отмена (C)> │ └────────────────────────────────────────────────────────┘Повторить ввод парольной фразы:
┌────────────────────────────────────────────────────────┐ │ Повторите фразу-пароль: │ │ │ │ Фраза-пароль: ________________________________________ │ │ │ │ <OK> <Отмена (C)> │ └────────────────────────────────────────────────────────┘Убедиться, что новый ключ GPG успешно создан:
gpg: Generating a standard key gpg: /root/.gnupg/trustdb.gpg: создана таблица доверия gpg: ключ B7354458F02D70D5 помечен как абсолютно доверенный gpg: создан каталог '/root/.gnupg/openpgp-revocs.d' gpg: сертификат отзыва записан в '/root/.gnupg/openpgp-revocs.d/0BF533429D80F579827F61CFB7354458F02D70D5.rev'. gpg: Finished creating standard key
Проверить GPG-ключи пользователя
rootна сервере:astra@pcmk-1:~$ sudo gpg --list-secret-key /root/.gnupg/pubring.kbx ------------------------ sec rsa2048 2023-12-02 [SCEA] 0BF533429D80F579827F61CFB7354458F02D70D5 uid [ абсолютно ] GPG User (first key) <root@example.com>
Создание отчета и защита его на основе пары ключей
Защита отчета с помощью пары ключей из связки ключей GPG подходит для отчетов, хранящихся на сервере.
При создании зашифрованного отчета используется вдвое больше места на диске, т. к. утилита sos:
- создает незашифрованный отчет;
- шифрует отчет как новый файл;
- удаляет незашифрованный архив.
- Создать ключ GPG2 (см. ниже).
Выполнить команду, указав имя пользователя, которому принадлежит связка ключей GPG, с помощью опции
--encrypt-key:sudo sos report --encrypt-key root
Следовать инструкциям. Имя файла отчета отображается в конце вывода:
- Убедиться, что создан архив, соответствующий следующим требованиям:
- имя файла начинается с
secured. - файл имеет расширение
.gpg. архив находится в каталоге
/tmp.astra@pcmk-1:~$ ls -l /tmp/secured* -rw-r----- 1 root astra-admin 11051437 дек 2 08:26 /tmp/secured-sosreport-pcmk-1-gpg-test-key-2023-12-02-bluhmko.tar.xz.gpg -rw-r--r-- 1 root root 33 дек 2 08:26 /tmp/secured-sosreport-pcmk-1-gpg-test-key-2023-12-02-bluhmko.tar.xz.gpg.md5
- имя файла начинается с
Убедиться, что архив можно расшифровать с помощью парольной фразы, которая использовалась для его шифрования:
Выполнить команду:
astra@pcmk-1:~$ sudo gpg --output decrypted-sosreport-key.tar.gz --decrypt /tmp/secured-sosreport-pcmk-1-gpg-test-key-2023-12-02-bluhmko.tar.xz.gpg
- Ввести кодовую фразу, которая использовалась при создании ключа GPG:
┌───────────────────────────────────────────────────────────────────┐ │ Введите фразу-пароль для разблокировки секретного ключа OpenPGP: │ │ "GPG User (first key) <root@example.com>" │ │ 2048-битный ключ RSA, идентификатор B7354458F02D70D5, │ │ создан 2023-12-02. │ │ │ │ │ │ Фраза-пароль: ___________________________________________________ │ │ │ │ <OK> <Отмена (C)> │ └───────────────────────────────────────────────────────────────────┘ - Убедиться, что создан незашифрованный архив с расширением
.tar.gz:astra@pcmk-1:~$ ls -l decrypted* -rw-r--r-- 1 root root 11025760 дек 2 08:32 decrypted-sosreport-key.tar.gz
Создание отчета из среды восстановления
Режим восстановления позволяет смонтировать целевую ОС, получив доступ к ее содержимому и запустить команду sos report.
Должны соблюдаться следующие условия:
- если хост представляет собой обычный сервер, необходим физический доступ к компьютеру;
- если хост является виртуальной машиной, необходим доступ к настройкам виртуальной машины в гипервизоре;
- наличие технического установочного диска ОС Astra Linux: файл образа ISO, установочный DVD, компакт-диск netboot или конфигурация среды выполнения предварительной загрузки (PXE).
- Выполнить шаги из статьи Справочного центра Режимы восстановления.
- Перейти в псевдотерминал.
- Активировать консоль, нажав клавишу <Enter>.
Выполнить команду
chroot /targetдля получения доступа к корневому разделу:Please press Enter to activate this console. BusyBox vl.30.1 (Debian 1:1.30.1—4+ci202301251328+astra2) built—in shell (ash) Enter 'help' for a list of built—in commands. ~ # chroot /target sh-5.0# _
Выполнить команду:
sos report
Следовать инструкциям для продолжения на экране:
Имя файла отчета отображается в конце вывода:
Убедиться, что создан архив в каталоге /
tmp:sh-5.0# ls -l /tmp/sosreport* -rw-r----- 1 root astra-admin 10939108 дек 6 09:34 /tmp/sosreport-astra-rescue-mod-test-2023-12-06-bfbowtj.tar.xz -rw-r--r-- 1 root root 33 дек 6 09:34 /tmp/sosreport-astra-rescue-mod-test-2023-12-06-bfbowtj.tar.xz.md5 sh-5.0#
Скопировать диагностический архив на удаленное или USB-устройство:
- по сети:
- Проверить статус сетевого интерфейса:Пример вывода команды:
ip a
sh—5.0# ip a 1: lo: <LOOPBACK> mtu 65536 qdisc noop state DOWN group default qlen 1000 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 2: enpls0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000 link/ether 52:51:00:2f:7f:7c brd ff:ff:ff:ff:ff:ff sh—5.0# _
- Если состояние интерфейса DOWN, выполнить команду:где
ip link set enp1s0 up
enp1s0— имя необходимого интерфейса. - Назначить IP-адрес интерфейсу:
- DHCP -сервер работает:
dhclient
- DHCP-сервер отсутствует:где
ip addr add 192.168.0.123/255.255.255.0 dev enp1s0
192.168.0.123— IP-адрес устройства;255.255.255.0— маска подсети,enp1s0— имя необходимого интерфейса.Пример настроенного интерфейса
enp1s0:1: lo: <LOOPBACK> mtu 65536 qdisc noop state DOWN group default qlen 1000 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 2: enpls0: <BROADCAST,MULTICAST,UP.LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1 000 link/ether 52:51:00:2f:7f:7c brd ff:ff:ff:ff:ff:ff inet 192.168.0.123/21 scope global enpls0 valid_lft forever preferred_lft forever inet6 fe80::5054:ff:fe2f:7f7c/64 scope link valid_lft forever preferred_lft forever
- DHCP -сервер работает:
- Cкопировать диагностический архив на удаленное устройство:где
scp /tmp/sosreport* test@192.168.0.100:/tmp
- test — имя пользователя для SSH-подключения;
- 192.168.0.100 — IP-адрес удаленного устройства;
/tmp— каталог на удаленном устройстве.Для подключения на удаленном устройстве должен быть настроен SSH-сервер (см. статью Справочного центра SSH).
- Проверить статус сетевого интерфейса:
- с помощью USB-устройства:
- Подключить USB-устройство.
- Выполнить поиск USB-устройства. Например:
sh—5.0# lsblk NAME MAJ:MIN RM SIZE RO TYPE MOUNTPRINT sda 8:0 0 953.9G 0 disk '—sda1 8:1 0 953.9G 0 part sr0 11:0 1 1.2G 0 rom vda 252:0 0 29.3G 0 disk '—vda1 252:1 0 29.3G 0 part / sh—5.0# _
- Смонтировать раздел USB-устройства в каталог:где
mount /dev/sda1 /media
/dev/sda1— раздел USB-устройства;/media— точка монтирования.
- Скопировать диагностический архив на USB-устройство:
cp /tmp/sosreport* /media
- по сети:
- Выполнить шаги из статьи Справочного центра Режимы восстановления.
- Завершить работу с псевдотерминалом.
Обфускация отчета
Сохранить копии оригинального необфусцированного архива и файла *private_map в локальном каталоге (не /tmp), т. к. сотрудники технической поддержки могут запросить уточнения обфусцированных данных.
Обфускация данных доступна начиная с обновлений Astra Linux Special Edition 1.6.14, 1.7.6 и 1.8.1.
Утилита sos позволяет скрывать конфиденциальные данные. Исходный отчет остается неизменным, при этом создается новый файл *-obfuscated.tar.xz, предназначенный для передачи в техническую поддержку.
Исходный архив, а также файлы obfuscation.log, private_map хранятся у инициатора отчета и не требуют отправки в техническую поддержку.
- Выполнить команду (для архива, созданного
sos reportилиsos collect):sudo sos clean <файл_отчета>
- Следовать инструкциям на экране. Чтобы дополнительно заменить базовый список ключевых слов, добавить опцию
--keywords: - Убедиться, что создан архив со скрытыми данными в каталоге
/tmp, соответствующий описанию из выходных данных команды:astra@pcmk-1:~# ls -l /tmp/sos-collector-test-2023-12-02-lnyhg* -rw------- 1 root root 13130372 дек 2 13:50 /tmp/sos-collector-test-2023-12-02-lnyhg-obfuscated.tar.xz -rw------- 1 root root 1253 дек 2 13:50 /tmp/sos-collector-test-2023-12-02-lnyhg-obfuscation.log -rw------- 1 root root 2198 дек 2 13:50 /tmp/sos-collector-test-2023-12-02-lnyhg-private_map -rw------- 1 root root 13109664 дек 2 13:26 /tmp/sos-collector-test-2023-12-02-lnyhg.tar.xz
- Проверить файл
*-private_mapна предмет обфускации данных: