Главная » Linux

Astra linux отключить мандатный контроль

На чтение 8 мин Просмотров 13 Опубликовано
Содержание
  1. Настройка загрузки Astra Linux Embedded
  2. Настройка в графическом меню
  3. Настройка в терминале
  4. Уровни конфиденциальности
  5. Режим Мандатного Контроля Целостности
  6. Режим Мандатного Контроля Целостности ФС
  7. Режим ЗПС (замкнутой программной среды) в исполняемых файлах
  8. Блокировка консоли для пользователей
  9. Блокировка интерпретаторов
  10. Блокировка установки бита исполнения
  11. Блокировка макросов
  12. Блокировка трассировки ptrace
  13. Гарантированное удаление файлов и папок
  14. Межсетевой экран ufw
  15. Системные ограничения ulimits
  16. Блокировка клавиш SysRq
  17. Режим ЗПС (замкнутой программной среды) в расширенных атрибутах
  18. Графический киоск
  19. Системный киоск
  20. Виртуализация средствами AstraLinux 1.6 SE
  21. oko

Настройка загрузки Astra Linux Embedded

При изменении настройки отображения загрузочного меню GRUB2 с помощью графического меню ОС «fly-admin-grub2», могут появится следующие проблемы:

Сведения о текущем состоянии отображения меню GRUB2, получаемые с помощью консольной команды «astra-nobootmenu-control» могут быть неактуальными

При расхождении сведений о текущих настройках отображения меню GRUB2 в графическом меню ОС «fly-admin-grub2» и сведениях, получаемых с помощью консольной команды «astra-nobootmenu-control», попытки изменить настройки с помощью консольной команды «astra-nobootmenu-control» могут быть безрезультатными.

Настройка в графическом меню

Настройки GRUB2 находятся на панели управления «Пуск > Панель Управления > Система > Загрузчик GRUB2»
Данное окно можно открыть выполнив команду с наивысшими правами

Настройка в терминале

Обратите внимание, что команда содержит слово «nobootmenu» — отсутствие загрузочного меню, поэтому когда эта возможность включена, то загрузочное меню отключено.

Для получения желаемого результата выполните команду с наивысшими правами

Отключить отображение загрузочного меню:

astra-nobootmenu-control enable

Включить отображение загрузочного меню:

astra-nobootmenu-control disable

Узнать текущий статус отображения загрузочного меню:

astra-nobootmenu-control is-enabled

Значения результатов статуса:

Подробная справка о команде:

man astra-nobootmenu-control

Источник

Уровни конфиденциальности

По умолчанию в системе мандатного контроля доступа ОС Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) настроено 4 уровня конфиденциальности:

При необходимости, количество уровней конфиденциальности может быть увеличено до 255.

Для того, чтобы определить уровни конфиденциальности выше созданных по умолчанию,
и назначать их пользователям, необходимо:

    в файле конфигурации мандатных атрибутов файловой системы /usr/sbin/pdp-init-fs
    задать параметру sysmaclev значение, равное максимальному созданному уровню конфиденциальности

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Панель Управления ->
Безопасность ->
Политика безопасности ->
Мандатные атрибуты ->
Уровни целостности

Управление в консольном режиме:

userlev
0 Уровень_0
1 Уровень_1
2 Уровень_2
3 Уровень_3

Режим Мандатного Контроля Целостности

Управление в графическом режиме с помощью графического инструмента fly-admin-smc :

Панель Управления ->
Безопасность ->
Политика безопасности ->
Мандатный контроль целостности

Читайте также:  Linux установка amd radeon

Управление в консольном режиме:

cat /proc/cmdline | grep «parsec.max_ilev»

Режим Мандатного Контроля Целостности ФС

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Управление в консольном режиме

Режим ЗПС (замкнутой программной среды) в исполняемых файлах

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Блокировка консоли для пользователей

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Управление в консольном режиме

systemctl is-enabled astra-console-lock
enabled включен
disabled выключен
Failed to get unit file state . сервис не активирован

Блокировка интерпретаторов

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Управление в консольном режиме

systemctl is-enabled astra-interpreters-lock
enabled включен
disabled выключен
Failed to get unit file state . сервис не активирован

Блокировка установки бита исполнения

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Управление в консольном режиме

cat /parsecfs/nochmodx
1 включен
0 выключен

Блокировка макросов

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Управление в консольном режиме

systemctl is-enabled astra-macros-lock
enabled включен
disabled выключен
Failed to get unit file state . сервис не активирован

Блокировка трассировки ptrace

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Панель Управления -> Безопасность -> Политика безопасности -> Настройки безопасности -> Параметры ядра

Управление в консольном режиме

systemctl is-enabled astra-ptrace-lock
enabled включен
disabled выключен
Failed to get unit file state . сервис не активирован

Гарантированное удаление файлов и папок

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Панель Управления -> Безопасность -> Политика безопасности -> Настройки безопасности -> Политика очистки памяти

Управление в консольном режиме

Межсетевой экран ufw

Управление в графическом режиме

Управление в консольном режиме

ufw status
Status: active включен
Status: inactive выключен

Системные ограничения ulimits

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Управление в консольном режиме

systemctl is-enabled astra-ulimits-control
enabled включен
disabled выключен
Failed to get unit file state . сервис не активирован

Блокировка клавиш SysRq

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Панель Управления -> Безопасность -> Политика безопасности -> Настройки безопасности -> Параметры ядра

Управление в консольном режиме

sysctl -w kernel.sysrq=0
sysctl -w kernel.sysrq=1

cat /proc/sys/kernel/sysrq
0 включен
1 выключен

Режим ЗПС (замкнутой программной среды) в расширенных атрибутах

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Панель Управления -> Безопасность -> Политика безопасности -> Замкнутая программная среда

Графический киоск

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Читайте также:  Linux mysql client gui

Системный киоск

Управление в графическом режиме с помощью графического инструмента fly-admin-kiosk:

Источник

Виртуализация средствами AstraLinux 1.6 SE

В руководстве администратора к AstraLinux 1.6 SE присутствует лишь описание пакетов и параметров.
Согласно данной статье на АстраВики https://wiki.astralinux.ru/pages/viewpage.action?pageId=27363213 — сделать не получается:
1) Пока не выполнил пункт 2 по включению пользователя в группы (даже для пользователя root !) при регистрации ВМ выпадает ошибка.
2) Упомянутый в статье пакет gvncviewer отсутствует в AstraLinux 1.6 SE.
3) После успешной регистрации ВМ — при запуска выдает ошибку «unable to set PDP label ‘0:63:0 on ‘/kvm/123.qcow2’: Отказано в доступе‘»
в /var/log/libvirt/qemu/123.log содержится следующее
«warning : virExec:744 : Setting child security label to 0:63:0
warning : virExec:752 : CAPS on start: PARSEC capabilities eip(80c,80c,80c) euid 0
libvirt: error : libvirtd quit during handshake: Ошибка ввода/вывода «

Подскажите пожалуйста, имеется ли возможность создавать и управлять виртуальными машинами (не покупая средства виртуализации Брест) имея только AstraLinux1.6 SE?
И если да — то как?

oko

New member

1) Пока не выполнил пункт 2 по включению пользователя в группы (даже для пользователя root !) при регистрации ВМ выпадает ошибка.

Что логично. Для этого данный пункт и был добавлен сразу после установки необходимых пакетов.

Вообще, если нужен условный гипервизор без поддержки режима «Мандатного контроля целостности», то делается все довольно просто:

1. Ставим Astra Linux в обычном варианте без выбора каких-либо доп.флагов (затирание, киоск, ALD и проч.) и без графики. Затирание не рекомендуется по причине его бессмысленности — вся защищаемая информация будет крутиться в qcow2-образе. Киоск и ALD по понятным причинам. Но рекомендуется отключить вывод загрузчика и использовать ядро hardened по умолчанию.

2. Заводим пользователя-администратора. Все действия будет совершать от его лица. При входе в консоли всегда выбираем Integrity level: 0

3. Отключаем нафиг мандатный контроль целостности:
sudo astra-mic-control disable

4. Отключаем NetworkManager:
sudo systemctl stop NetworkManager
sudo systemctl disable NetworkManager

5. Правим конфиг-файл сетевых интерфейсов с целью создания сетевого моста для виртуальных машин и нашей сети:
(в примере только 1 сетевая карта — eth0) и создаем сетевой мост (к примеру, с ip-адресом 192.168.12.110 из подсети 192.168.12.0/24, где шлюз по умолчанию и DNS — роутер выхода вовне — 192.168.12.1)
sudo nano /etc/network/interfaces
auto lo
iface lo inet loopback
auto br0
iface br0 inet static
address 192.168.12.110
netmask 255.255.255.0
gateway 192.168.12.1
dns-nameservers 192.168.12.1
bridge_ports eth0
bridge_stp off
bridge_fd 0
bridge_maxwait 0

Читайте также:  Best all in one linux distro

6. Ставим пакеты поддержки KVM:
sudo apt install libvirt-daemon-system libvirt0 qemu-kvm bridge-utils virt*

7. Добавляем нашего пользователя-администратора в группы поддержки kvm:
sudo adduser libvirt-admin
sudo adduser kvm
sudo adduser libvirt-qemu

8. Механизм мандатных меток (даже отключенный) запрещает создание вирт.машин в любом каталоге кроме /var/lib/libvirt/images (или я пока не
нашел, как его обойти), поэтому размечаем пространство в формате QCOW2 (можно и в RAW, но он более «сырой», ага) для файл-образа вирт.машины
нужного объема (в пример, 20 Гигабайт):
sudo qemu-img create -f qcow2 /var/lib/libvirt/images/ИМЯ-МАШИНЫ.img 20G

9. Создаем виртуальную машину (в примере ниже Windows, для Linux будут иные параметр os-type и кое-что еще):
sudo virt-install —connect qemu:///system -n win8 -r 2048 —cdrom «/mnt/Win81_64.iso» —arch=x86_64 —vcpus 2 —os-type windows —network=bridge:br0,model=e1000 —hvm —accelerate —graphics vnc,password=password,listen=0.0.0.0,port=5903 —disk «/var/lib/libvirt/images/ИМЯ-МАШИНЫ.img»,size=20,bus=sata,format=qcow2,cache=none
Если команда как бы подвисла, завершаем ее сочетанием Ctrl+C.
Проверяем командой sudo netstat -tpl, что *:5903 порт прослушивается — виртуальная машина создана и готова к работе.

10. Подключаемся к виртуальной машине через любой VNC-viewer на ip-адрес нашего сетевого моста, порт 5903. Вводим пароль (в примере
конфигурации, password). Инсталлируем гостевую ОС из выбранного ранее источника (в примере, /mnt/Win81_64.iso). Дожидаемся окончания установки

11. Средствами самой виртуальной машины смотрим MAC-адрес. При необходимости, выставляем статический IP либо на самой виртуальной машине, либо на DHCP-сервере, обслуживающем сеть нашего гипервизора.

12. Проверяем устойчивость работы виртуальной машины и радуемся жизни! Конфигурационный файл виртуальной машины лежит по адресу:
/etc/libvirt/qemu/ИМЯ_МАШИНЫ.xml (редактируется тем же sudo nano).

13. Добавляем виртуальную машину в автозапуск:
sudo ln -s /etc/libvirt/qemu/ИМЯ-МАШИНЫ.xml /etc/libvirt/qemu/autostart/ИМЯ-МАШИНЫ.xml

14. Завершить работу вирт.машины (в Астре по умолчанию не работает, ошибка PolKit, поэтому либо машину тушим изнутри, либо убиваем процесс командой sudo kill -9 номер_процесса. Поиск номера процесса — в качестве домашнего задания). Аналогично с system reboot — перезагрузка
вирт.машины:
virsh -c qemu:///system shutdown ИМЯ_МАШИНЫ

15. Редактировать конфигурацию, чтобы не лазить в файл постоянно
virsh -c qemu://system edit ИМЯ_МАШИНЫ

По вкусу настраиваем /etc/libvirt/libvirtd.conf — основные настройки гипервизора в части подключения администраторов, аудита и проч.

Доп.настройку хостовой ОС гипервизора проводим согласно Red Book или же без нее (в зависимости от требуемого уровня защищенности).

Источник

Оцените статью
© 2023 Posetke
Adblock
detector