- Методика безопасности № 2022-0407СE212MD
- Обновление безопасности, нейтрализующее угрозу эксплуатации уязвимостей ядра linux
- Подготовка к установке обновления
- Установка обновления
- Завершение установки обновления
- Методика безопасности № 2022-0128CE212MD
- Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости пакета polkit’s pkexec
- Порядок применения методики безопасности
- Предупреждение «Download is performed unsandboxed»/»Загрузка без ограничения песочницы» при установке обновления
- Возможности по реализации мер защиты информации, содержащейся в государственных информационных системах, в соответствии с требованиями приказа ФСТЭК России №17, и способов их реализации средствами операционной системы специального назначения «Astra Linux Special Edition» (Astra Linux) релиз «Смоленск»
- Меры защиты информации в информационных системах и способы реализации меры защиты с использованием штатных средств Astra Linux
Методика безопасности № 2022-0407СE212MD
Методика безопасности операционной системы общего назначения Astra Linux Common Edition 2.12, далее по тексту — Astra Linux, предназначено для нейтрализации уязвимостей в информационных системах.
Настоящая методика безопасности не является кумулятивной. При выполнении указаний данной методики безопасности другие виды обновлений автоматически не применяются и должны быть установлены отдельно.
Перечень уязвимостей, закрываемых настоящей методикой безопасности, предоставляется после соответствующего обращения на портале технической поддержки.
Обновление безопасности, нейтрализующее угрозу эксплуатации уязвимостей ядра linux
Нейтрализация угрозы эксплуатации уязвимостей осуществляется путём обновления отдельных пакетов. Пакеты с устраненными уязвимостями войдут в состав последующей версии Astra Linux.
Подготовка к установке обновления
Перед массовой установкой обновления на находящиеся в эксплуатации компьютеры в обязательном порядке необходимо выполнить проверку работоспособности на тестовых компьютерах в аналогичных используемым конфигурациях (путем установки обновления и перезагрузки).
Установка обновления
37c8d326039ac54b385102b6b45911fb791db56ab6cf1ba1db7f0ff23769367e
deb file:/mnt/2022-0407CE212MD/ orel main contrib non-free
echo «deb file:/mnt/2022-0407CE212MD/ orel main contrib non-free» | sudo tee -a /etc/apt/sources.list
Завершение установки обновления
После выполнения обновления необходимо перезагрузить систему.
Методика безопасности № 2022-0128CE212MD
Методика безопасности для операционной системы общего назначения Astra Linux Common Edition 2.12, далее по тексту — Astra Linux, предназначенная для нейтрализации уязвимостей в информационных системах.
Перечень уязвимостей, закрываемых настоящей методикой безопасности, предоставляется после соответствующего обращения на портале технической поддержки.
Настоящая методика безопасности не является кумулятивной. При выполнении указаний данной методики безопасности другие виды обновлений автоматически не применяются и должны быть установлены отдельно.
Перед применением настоящей методикой безопасности рекомендуется обновить Astra Linux до версии 2.12.43
Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости пакета polkit’s pkexec
Настоящая методика предназначена для нейтрализации угрозы эксплуатации уязвимости путём обновления пакетов. Для реализации настоящей методики предоставляется архив, содержащий файлы с обновлёнными пакетами. В последующем, эти пакеты войдут в состав следующего оперативного обновления.
Для установки обновления используется инструмент командной строки astra-scripts (необходимо установить, если был ранее удалён).
Если обновить пакеты не представляется возможным, то необходимо снять SUID-бит файла /usr/bin/pkexec, выполнив команду:
Порядок применения методики безопасности
- Скачать tar-архив с помощью WEB-браузера по следующей ссылке ;
- Перейти в каталог с полученным tar-архивом;
- Проверить соответствие контрольной сумме, представленной ниже. Для получения контрольной суммы выполнить команду:
1ae8f96727dde51b75d101ab07fee9bb33b78ad591865078c1ee9603a4370f64
Предупреждение «Download is performed unsandboxed»/»Загрузка без ограничения песочницы» при установке обновления
При установке пакетов из файлов с помощью команды apt (используемой инструментом командной строки astra-scripts ) пакеты и их зависимости устанавливаются автоматически, но при успешном завершении установки выдается предупреждение:
N: Download is performed unsandboxed as root as file . couldn't be accessed by user '_apt'. - pkgAcquire::Run (13: Отказано в доступе)
N: Загрузка выполняется от лица суперпользователя без ограничений песочницы, так как файл «. » недоступен для пользователя «_apt». - pkgAcquire::Run (13: Отказано в доступе)
Это предупреждение о том, что программа установщик, не имея нужных прав доступа к текущему каталогу, вынуждена была получить привилегии root для выполнения установки. Установка при этом завершается успешно, и предупреждение можно игнорировать, однако с точки зрения безопасности, правильнее по возможности исключить работу с привилегиями root . Для того, чтобы исключить это предупреждение, нужно на время выполнения установки предоставить служебному пользователю _apt права на доступ к текущему каталогу. Примерный сценарий (предполагается, что tar-архив был распакован в каталог /mnt/2022-0128CE212MD ):
sudo setfacl -m u:_apt:rwx /mnt/2022-0128CE212MD
cd /mnt/2022-0128CE212MD
sudo astra-debs-update-installed
sudo setfacl -x u:_apt /mnt/2022-0128CE212MD
Возможности по реализации мер защиты информации, содержащейся в государственных информационных системах, в соответствии с требованиями приказа ФСТЭК России №17, и способов их реализации средствами операционной системы специального назначения «Astra Linux Special Edition» (Astra Linux) релиз «Смоленск»
Меры защиты информации в информационных системах и способы реализации меры защиты с использованием штатных средств Astra Linux
Аутентификация осуществляется локально или централизованно с помощью организации единого пространства пользователей, в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации.
Многофакторная аутентификация обеспечивается совместным применением средств идентификации и аутентификации Astra Linux, средств доверенной загрузки и устройств аутентификации (например, USB-токенов).
Реализуется с применением сертифицированных межсетевых экранов.
Управление информационными потоками в информационной системе осуществляется средствами Astra Linux, реализующими функции контроля и фильтрации проходящих информационных потоков в соответствии с заданными правилами.
Правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов, а также атрибутами передаваемой информации (классификационными метками и контрольными суммами, вычисляемых в соответствии с ГОСТ Р 34.11-94 и ГОСТ Р 34.11-2012)
Контроль осуществляется путем анализа содержимого журналов регистрации событий безопасности для мер защиты УПД.1-УПД.6
Реализуется с применением сертифицированных межсетевых экранов.
Управление информационными потоками в информационной системе осуществляется средствами Astra Linux, реализующими функции контроля и фильтрации проходящих информационных потоков в соответствии с заданными правилами.
Правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов, а также атрибутами передаваемой информации
Доверенная загрузка виртуальных машин реализуется средствами создания замкнутой программной среды, настройками подсистемы эмуляции аппаратного обеспечения и контроля целостности образов виртуальных машин. Для ЭВМ — защита реализуется с применением средств доверенной загрузки
Защита периметра (физических и (или) логических границ) информационной системы при ее взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями