Astra linux file systems

Установка Astra Linux на дисках с защитным преобразованием данных

В данной инструкции рассматривается установка ОС Astra Linux на дисковые разделы с включенным защитным преобразованием данных.
Инструкция основывается на статье про ОС семейства Debian: Installing Debian 8 (Jessie) with LUKS Encrypted /home and /var Partitions.

При написании инструкции в качестве примера использовалась установка Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6), для других ОС семейства Astra Linux процедура аналогична.
Установка выполнялась в графическом режиме, для текстового режима процедура аналогична.

При установке на защищенных дисковых разделах для примера будут размещены каталоги /var и /home. Выбор для защиты именно этих каталогов обусловлен тем, что в них обычно находятся конфиденциальные данные (базы данных в каталоге /var и пользовательские данные в каталоге /home). Более подробную информацию по распределению данных по дисковым разделам см. в Red Book: Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) и РУСБ.10015-16 исп. 1

Для установки использовался стандартный дистрибутив на компакт-диске.

Установка выполнялась на виртуальной машине с одним жёстким диском объёмом 20ГБ.

Данная статья применима к:

• Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7)
• Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
• Astra Linux Special Edition РУСБ.10015-16 исп. 1
• Astra Linux Common Edition 2.12

ОС устанавливается без раздела подкачки. Для промышленной эксплуатации ОС может потребоваться использовать раздел подкачки.

В любой момент после установки ОС в качестве раздела подкачки можно назначить и использовать дисковый файл, однако, если раздел подкачки необходим, устанавливая ОС не забудьте зарезервировать свободное место при разметке диска.

Для того, чтобы ОС, установленная на дисках с защитным преобразованием данных, запустилась, необходимо ввести пароль. Поэтому такую ОС невозможно будет запустить удалённо.

Процедура установки:

1. Установить компакт-диск с дистрибутивом в привод компьютера и начать обычную процедуру установки ОС.

1. Выбрать язык (русский);
2. Выбрать режим установки (графическая установка);
3. Подтвердить согласие с лицензионным соглашением;
4. Выбрать настройки клавиатуры;
5. Выбрать имя компьютера (astra);
6. Ввести имя учетной записи администратора;
7. Ввести и подтвердить пароль учетной записи администратора;
8. Выбрать часовой пояс;

На этапе «Разметка дисков» выбрать метод разметки «Вручную»:

Выбрать диск, на котором будет размещаться операционная система:

Создать на выбранном диске новую пустую таблицу томов:

Создать для размещения корневого каталога («/») новый дисковый раздел в начале свободного дискового пространства:
первичный дисковый раздел с файловой системой EXT4.
Рекомендуется выделить для этого раздела не менее 8ГБ:

Размер дискового раздела 8 GB:

Тип дискового раздела «Первичный»:

Размещение дискового раздела «Начало»:

По умолчанию будет предложена файловая система EXT4 и точка монтирования — корневой каталог.
Закончить настройку раздела:

Снимок экрана после завершения настройки первого раздела:

Создать на оставшемся свободном пространстве логический дисковый раздел для размещения защищённых данных:

Раздел должен иметь тип «логический»:

По умолчанию будет предложено использовать новый раздел как Ext4 с точкой монтирования /home. Эти значения нужно будет изменить:

Выбрать в качестве назначения диска «физический том для защитного преобразования»:

Выбрать нужные параметры защитного преобразования (можно оставить предложенные значения по умолчанию):

После завершения настройки второго дискового раздела перейти к настройке защищенных дисковых томов:

Перед настройкой защитного преобразования томов записать изменения на диск:

После записи изменений приступить к созданию защитно преобразованных томов:

Выбрать предназначенный для защищенных данных дисковый том:

Закончить:

Далее будет предложено стереть данные. Операция стирания данных довольно длительная, и, если диск ранее не использовался или не содержит конфиденциальных данных, от этой операции можно отказаться.

Выбрать и подтвердить ключевую фразу для защищенного диска:

Перейти к шагу настройки логических томов:

Записать изменения на диск:

Создать группу томов:

Выбрать название группы томов:

Выбрать устройство для размещения группы томов:

Записать изменения на диск:

Перейти к созданию логических томов:

Выбрать группу, в которой создавать новый логический том:

Указать название тома (home — для монтирования /home):

Выбрать размер нового тома (для примера — 7 GB свободного пространства):

Повторить процедуру создания логического тома для тома var (или для всех создаваемых томов). При этом в качестве размере тома автоматически будет предложено всё оставшееся свободное место в группе томов. Закончить шаг:

Указать файловую систему Ext4 и точку монтирования /home для созданного защищённого тома home:

После завершения шага закончить разметку и записать изменения на диск:

На следующем шаге система выдаст предупредреждение о том, что отсутствует раздел подкачки. Это предупреждение можно игнорировать:

Разрешить записать изменения на диск:

После завершения установки ОС и перезагрузки компьютера перед запуском ОС будет запрошен пароль для доступа к защищенным дискам:

Источник

Введение

Защищенной сетевой файловой системой для работы с информацией ограниченного доступа в Astra Linux Special Edition является Samba SMB/CIFS.
При работе в Astra Linux Special Edition с включенной политикой мандатного управления доступом (МРД) и обработкой информации ограниченного доступа применять сетевую файловую систему NFS для хранения данных в общем случае не рекомендуется.

NFS (сокращение от Network File System, Сетевая Файловая Система) — сервис, обеспечивающий общий доступ к файлам и каталогам систем *nix / Linux. Файловая система NFS позволяет монтировать удалённые разделяемые файлы подобно локальным. Существует в двух вариантах:

• вариант nfs-kernel -server , работающий на уровне ядра (входит в состав Astra Linux)
• и вариант работающий на уровне пользовательских программ (в состав Astra Linux не входит)

В Astra Linux Special Edition для того, чтобы включить NFS v2, нужно добавить опцию «-V 2» в две переменные в файле /etc/default/nfs-kernel-server (второй переменной по умолчанию нет, её надо создавать):

Исходные данные

Пакеты nfs-kernel-server (сервер) и nfs-common (клиент) входят в стандартный дистрибутив Astra Linux Special Edition, и доступны в сетевом репозитории Astra Linux Common Edition. Поддержка файловой системы NFS интегрирована в ядро всех ОС Astra Linux.

По умолчанию пакет nfs-kernel-server не устанавливается. Установить сервер nfs и клиент nfs-common можно из графического менеджера пакетов (см. Графический менеджер пакетов synaptic) , или из командной строки.

При установке пакетов для работы с файловой системой NFS будет автоматически установлена служба rpcbind. Использование службы rpcbind несовместимо с работой на ненулевых уровнях конфиденциальности. Для работы с включенным МРД на ненулевых уровнях конфиденциальности следует использовать рекомендованную сетевую файловую систему Samba SMB/CIFS.

Установка сервера из командной строки:

Дополнительно, можно установить пакет «монтирования ресурсов NFS по запросу», позволяющий монтировать ресурсы только при обращениях к ним, см. Autofs монтирование по запросу.

Настройка сервера

Подготовка

Для развёртывания сервера NFS, как и любого другого сервера:

• рекомендуется назначить серверу постоянный IP-адрес;
• настроить разрешение имён клиентских компьютеров, или назначить им статические IP-адреса;
• выделить ресурс (каталог), который в дальнейшем станет разделяемым. Пример: создание каталога /srv/nfsshare и задание для него полного доступа на чтение и запись:

Корректировка настроек пакета

При работе в операционных системах Astra Linux, выпущенных ранее очередного обновления x.7, для нормального автоматического запуска службы nfs-kernel-server после перезагрузки компьютера внести изменения в его UNIT-файл /etc/systemd/system/multi-user.target.wants/nfs-server.service добавив следующие строки в секцию unit:

Указанные исправления обеспечат запуск службы nfs-server после службы rpcbind. После внесения изменений перезапустить службу:

При работе в Astra Linux Special Edition очередное обновление x.7 указанные действия не требуются.

Конфигурация

Основная конфигурация сервиса nfs хранится в файле /etc/exports . Кроме этого файла сервис использует файлы:

• /etc/fstab — записи обо всех файловых системах, включая nfs, автоматически монтируемых при загрузке системы.
• /etc/hosts.allow , /etc/hosts.deny — используется, чтобы решить, принять или отклонить подключения, приходящие с внешних IP-адресов

Экспорт разделяемого ресурса

Для экспорта созданного ранее разделяемого ресурса (каталога) /srv/nfsshare добавить в конфигурационный файл /etc/exports строку

• — постоянный IP-адрес компьютера-клиента (может быть использовано имя компьютера), или, для указания группы компьютеров, можно использовать адрес сети или подстановочный знак «*» (подробнее см. справку man exports);

Строк с записями о разделяемых ресурсах может быть добавлено несколько. После внесения изменений для того, чтобы они вступили в силу, нужно выполнить команду

Безопасный экспорт разделяемых ресурсов

• Протокол передачи данных NFS поддерживает защитное преобразование данных начиная с версии 4 (NFSv4).

А следующая строка файла/etc/exports, напротив, определяет для того же каталога компьютеру master.astralinux.ru разрешение только на чтение, а всем остальным разрешает не только чтение, но и запись
Отличие конфигураций состоит всего в одном пробеле после имени компьютера :

Чтобы избежать подобных ошибок,

проверяйте все настроенные общие ресурсы NFS с помощью команды showmount:

• Не рекомендуется использование параметра no_root_squash, так как потенциально создает угрозы безопасности, связанные с возможностью удаленного внедрения в файловую систему вредоносного ПО. По умолчанию, в общих ресурсах NFS пользователь root становится обычным пользователем nfsnobody. Таким образом, владельцем всех файлов, созданных root, становится пользователь nfsnobody, что предотвращает загрузку на сервер программ с установленным битом setuid.

Настройка клиента

После установки клиентского пакета nfs-common, на компьютере — клиенте следует примонтировать разделяемые ресурсы. Список доступных ресурсов можно проверить, выполнив команду:

sudo showmount -e 192.168.1.10

Export list for 192.168.1.10:
/srv/nfsshare 192.168.1.20

Монтируем ресурс

Чтобы примонтировать разделяемый ресурс на клиентской машине:

Создать на клиентской машине точку монтирования, например, каталог /mnt/share:

Команда выдаст строку (строки) с информацией о примонтированном ресурсе (ресурсах). Кроме того, можно использовать команду проверки свободного места на всех примонтированных ресурсах:

Автоматическое монтирование ресурса при загрузке

Чтобы ресурс NFS монтировался автоматически при перезагрузки ОС, его нужно зарегистрировать в файле /etc/fstab добавив строчку вида

Автоматическое монтирование ресурса по запросу

Автоматическое монтирование ресурсов NFS можно выполнить с помощью пакета autofs.

Решение проблемы зависания графических приложений

При работе в сессии с ненулевой классификационной меткой с одновременным использованием файловых систем NFS и Samba возможна нештатная работа графических приложений. Нарушение работы приложения может проявляться, например, «в зависаниях» текстового редактора kate, и вызвано несовместимостью службы rpcbind с работой КСЗ Astra Linux Special Edition. Д ля устранения нарушений работы следует остановить и запретить службу rpcbind:

Для находящихся в эксплуатации систем Astra Linux следует использовать рекомендованную для работы с информацией ограниченного доступа сетевую файловую систему Samba SMB/CIFS.

Источник