Главная » Linux

Astra linux политика безопасности вылетает

На чтение 2 мин Просмотров 1 Опубликовано
Содержание
  1. Запуск своей программы
  2. Olej
  3. kdewyz
  4. AFilippov
  5. Olej
  6. AFilippov
  7. Olej
  8. AFilippov
  9. kdewyz
  10. AFilippov
  11. kdewyz
  12. pavel_v
  13. Смоленск 1.5 Зависание задачи политики создания пользователей
  14. Андрей
  15. cogniter
  16. Андрей
  17. Dim
  18. Андрей
  19. Андрей
  20. cogniter
  21. Dim
  22. Андрей
  23. cogniter
  24. kostia
  25. Смоленск 1.5 Ошибка инициализации kadm5
  26. cogniter
  27. MasterShkip
  28. xene

Запуск своей программы

Всем привет.
Не могу понять проблему.
Astra Linux SE Smolensk 1.5
Захожу под любым уровнем доступа (в данный момент — под 0).
Компилирую любую программу, но при попытке ее запустить, выскакивает «ошибка сегментирования», и внизу экрана появляется информационное сообщение: «Загрузка неподписанного файла заблокирована СЗ ОС (DIGSIG) . «.
dmesg выдает сообщение: DIGSIG:[ERROR] NOT SIGNED: path=/home/pavel/Programs/test uid=1000 gid=1000

Собственно вопрос: как разрешить выполнение своих файлов?

Olej

New member

Захожу под любым уровнем доступа (в данный момент — под 0).
Компилирую любую программу, но при попытке ее запустить, выскакивает «ошибка сегментирования», и внизу экрана появляется информационное сообщение: «Загрузка неподписанного файла заблокирована СЗ ОС (DIGSIG) . «.

1. Разрабатывать программный код в защищённой системе — это, по моему (IMHO), дурное занятие . и об этом в том же духе уже высказывались здесь на форуме.

2. Ошибка «ошибка сегментирования» (сигнал SIGSEGV) — это слишком серьёзно для просто нарушения требований безопасности.
Не могли бы вы сказать:
— с какого языка (программирования) компилируете код?
— каким образом (командой)?
— привести фрагмент кода.

3. Не могу, к сожалению, ничего подсказать относительно «подписи» исполнимых файлов — мне дядя за большие деньги не покупал Astra SE
Но было бы очень интересно послушать знающих людей, а ещё лучше — ссылки, про то как это должно выглядеть.

kdewyz

New member

не для работы, а лишь для ознакомления можно и с торрента какого-нибудь скачать
не совсем легально, зато познавательно

AFilippov

New member

Думаю, ознакомившись с данными разделами Вики, Вы решите свою проблему:
Подписывание ПО
Режим замкнутой программной среды
Смоленск 1.6: Режим замкнутой программной среды
Как совершенно справедливо заметили, зачем самому себе создавать трудности?

Olej

New member

Настройка режима функционирования механизма контроля целостности файлов при их открытии на основе ЭЦП в расширенных атрибутах файловой системы осуществляется с помощью графического инструмента fly-admin-smc (<<Панель управления --- Безопасность --- Политика безопасности --- Замкнутая программная среда>>) или путем редактирования конфигурационного файла /etc/digsig/digsig_initramfs.conf.

После внесения изменений в конфигурационный файл /etc/digsig/digsig_initramfs.conf и для загрузки модулем digsig_verif ключей после их размещения его в каталогах /etc/digsig/keys/ и /etc/digsig/xattr_keys/
необходимо от имени учетной записи администратора через механизм \verb|sudo| выполнить команду: 

sudo update-initramfs -u -k all

Означает ли это, что изменения режима функционирования (1 из 3-х) через fly-admin-smc можно делать «на лету»? (без перегенерации initramfs, перезагрузки и т.д.)

AFilippov

New member

Измените формулировку от греха подальше.
Примерно так: Конечно, некоторые не для работы, а лишь для ознакомления, скачивают Смоленск 1.5 с торрент-трекеров. Но я это не одобряю.
А то какое-то подстрекательство к противоправным действия получается.

Читайте также:  Linux узнать владельца процесса

Olej

New member

AFilippov

New member

Означает ли это, что изменения режима функционирования (1 из 3-х) через fly-admin-smc можно делать «на лету»? (без перегенерации initramfs, перезагрузки и т.д.)

kdewyz

New member

то не призыв и не подстрекательство
то констатация факта всего лишь,
факта, для меня ненужного, так как
мне «от дяди» 5 дистрибутивов перепало
за полгода благодаря им разнообразил свой лексикон неприличных слов

AFilippov

New member

. мне «от дяди» 5 дистрибутивов перепало за полгода благодаря им разнообразил свой лексикон неприличных слов

Означает ли это, что изменения режима функционирования (1 из 3-х) через fly-admin-smc можно делать «на лету»? (без перегенерации initramfs, перезагрузки и т.д.)

kdewyz

New member

не настолько знаком с линуксом, чтобы ответить
всего полгода изучения, да и то периодически (решаю только возникающие проблемы)

pavel_v

New member

1. Разрабатывать программный код в защищённой системе — это, по моему (IMHO), дурное занятие . и об этом в том же духе уже высказывались здесь на форуме.

2. Ошибка «ошибка сегментирования» (сигнал SIGSEGV) — это слишком серьёзно для просто нарушения требований безопасности.
Не могли бы вы сказать:
— с какого языка (программирования) компилируете код?
— каким образом (командой)?
— привести фрагмент кода.

3. Не могу, к сожалению, ничего подсказать относительно «подписи» исполнимых файлов — мне дядя за большие деньги не покупал Astra SE
Но было бы очень интересно послушать знающих людей, а ещё лучше — ссылки, про то как это должно выглядеть.

Поясню, чтобы было понятнее.
1. Есть свой вычислительный код, с помощью которого собираемся проводить вычисления в защищенной системе. То есть, установить этот код на компьютере в защищенной среде НУЖНО.
Собираю и использую его от имени рядового пользователя, без админских прав.

2. Теперь непонятки: На реальном компьютере под Astra SE все собралось, запускается и работает без проблем. Теперь понадобилось этот код несколько изменить. Для этого на другом рабочем месте (Ubuntu mate) в виртуалке установил Astra SE, где хотел поработать над кодом. И вот тут-то появилась проблема.
Не запускается даже простой «hello_world».
Вот код, если нужно: 

#include int main (int argc, char* argv[])

Язык C++,
компилирую: g++ hello.cc -o hello
запуск: ./hello

Про подписывание я почитал. Но (честно скажу, невнимательно еще читал) остался вопрос: при каждом новом изменении и компиляции программы нужно ее заново подписывать?
И почему на рабочей машине все сработало? Вроде виртуалку старался сделать такую же, как и рабочую машину.

Источник

Смоленск 1.5 Зависание задачи политики создания пользователей

В общем проблема следующая: после установки ОС Astra Linux 1.5 SE проводим настройку через GUI «управление политикой безопасности» производим настройку исключения вновь создаваемых пользователей из группы floppy и после применения настроек вылезает окно «задачи» с заданием «обновление политики создания пользователей» статус «неизвестно» и так висим до скончания веков пока не убьём всю задачу родительского окна «управление политикой безопасности — политика создания пользователей». В чем проблема? Баг?

Читайте также:  Linux check running services

Андрей

New member

cogniter

Moderator

Андрей

New member

Dim

New member

После редактирования политики создания пользователей и применения настроек, утилита зависает, но её можно закрыть, правым кликом в панели и завершить задачу, при этом изменения сохраняются.

Андрей

New member

После редактирования политики создания пользователей и применения настроек, утилита зависает, но её можно закрыть, правым кликом в панели и завершить задачу, при этом изменения сохраняются.

И? Я ведь так и написал что только после убивания родительского процесса скроется данное сообщение. А модератор блин ещё и лайкнул. вы чего? Это решение по вашему?

Андрей

New member

cogniter

Moderator

Баг не закрыт, но по вопросу все понятно.

И? Я ведь так и написал что только после убивания родительского процесса скроется данное сообщение. А модератор блин ещё и лайкнул. вы чего? Это решение по вашему?

Dim

New member

Дистрибутив операционной системы специального назначения «Astra Linux Special Edition» фиксирован, сертифицирован, удостоверен контрольными суммами. Внести изменения в сертифицированную версию программы не представляется возможным, но возможно в рамках новой версии и версии с сертификатом ФСТЭК.

Данное поведение программы является неудобством, не блокирует работу и сохраняет изменения при принудительном завершении.

Мы постараемся исправить поведение программы в следующей версии операционной системы специального назначения «Astra Linux Special Edition».

Андрей

New member

Это не «неудобство» а нарушение штатного функционирования. Если бы не зависала задача а выключался бы компьютер с сохранением данных вы бы сказали «это просто неудобство, данные ведь сохраняются». Есть заявленные функции и штатный режим работы.
Есть же нормальная общепринятая практика: накатывание патчей безопасности и т.д. Они так же нормально подлежат сертификации ФСТЭК про которую вы в каждой второй теме пишете в ответах. А исправлять баг, переустановкой системы и по новой настраивать во всей сети и дочерних филиалах почту, ALD, DNS, NTP, межсетевой, локальные параметры безопасности (а они кстати почему-то не подлежат экспорту/импорту) и т.д. это шлак. В общем сырая система вышла на рынок.

cogniter

Moderator

kostia

New member

Вам бы отдел тестировщиков расширить и углубить. Ну правда, такие баги в сертифицированных версиях вылазят, что создается впечатление, что никто эту систему в реальных режимах эксплуатации не тестировал и не использовал. Вы бы вот хотя-бы просто прошли по своей документации и попробовали сделать так, как у вас там написано. Ну и программу и методику тестирования нужно поддерживать, актуализировать и прогонять при каждом добавлении/исправлении чего либо.

Читайте также:  Проводник операционной системы linux

Источник

Смоленск 1.5 Ошибка инициализации kadm5

При инициализации на сервере, ALD выдаёт «Ошибка MIT Kerberos v5. Ошибка инициализации интерфейса администратирования kadm5. В ALDKadm5Connection cpp.345 (connect password) GSS_API (от Kerberos) error». На сервере ntp и bind9 настроены и функционируют. Пароли при инициализации вводил разные,от самого простого (от 1 до 8) до сложного и постоянно такая ошибка выскакивает. Но после инициализации ALD,в доменную политику безопасности под паролем который вводил изначально заходит. Все настройки производились по контрольном примеру для ВС РФ.

cogniter

Moderator

Насколько я вижу по информации по данной ссылке, у вас некорректно настроены имя и ip адрес, например в /etc/hosts

MasterShkip

New member

В hosts имеются записи вида
127.0.0.1 localhost
127.0.1.1 ns1
Ip-адрес нашего сервера ns1

По методичке было указано что надо удалить строку 127.0.0.1 localhost

Но у меня есть ещё предположение что надо удалить строку 127.0.1.1 ns1, но не уверен,так как с настройками серверов раньше не сталкивался. Компьютеры пользователей подключены к серверу через коммутатор, поэтому я предположил что данную строку не стоит удалять или я все таки не прав и надо в файле оставить лишь ip-адрес и название нашего сервера а остальные записи удалить?
UPD: все ip-адреса серверного оборудования и компьютеров имеют вид 10.f.g.0 (в целях безопасности полные ip-адреса не могу предоставить)

xene

New member

В hosts имеются записи вида
127.0.0.1 localhost
127.0.1.1 ns1
Ip-адрес нашего сервера ns1

По методичке было указано что надо удалить строку 127.0.0.1 localhost

Но у меня есть ещё предположение что надо удалить строку 127.0.1.1 ns1, но не уверен,так как с настройками серверов раньше не сталкивался. Компьютеры пользователей подключены к серверу через коммутатор, поэтому я предположил что данную строку не стоит удалять или я все таки не прав и надо в файле оставить лишь ip-адрес и название нашего сервера а остальные записи удалить?
UPD: все ip-адреса серверного оборудования и компьютеров имеют вид 10.f.g.0 (в целях безопасности полные ip-адреса не могу предоставить)

127.0.0.1 localhost удалять не надо иначе Ваш сервер не увиидт себя по локальной петле (на ней тоже сенрвисы крутятся).
127.0.1.1 ns1 — это надо удалить иначе сервер будет воспринимать себя по этому адресу а не по сетевому
Третья строчка должна иметь вид: IP-адрес сервера полное доменное имя короткое доменное имя
Для того чтобы поднять ALD домен убедитесь, что у Вас dns-серер функционирует верно ( service bind9 status) вывод должен быть : ОК

Источник

Оцените статью
© 2023 Posetke
Adblock
detector