Astra linux политика безопасности вылетает

Запуск своей программы

Всем привет.
Не могу понять проблему.
Astra Linux SE Smolensk 1.5
Захожу под любым уровнем доступа (в данный момент — под 0).
Компилирую любую программу, но при попытке ее запустить, выскакивает «ошибка сегментирования», и внизу экрана появляется информационное сообщение: «Загрузка неподписанного файла заблокирована СЗ ОС (DIGSIG) . «.
dmesg выдает сообщение: DIGSIG:[ERROR] NOT SIGNED: path=/home/pavel/Programs/test uid=1000 gid=1000

Собственно вопрос: как разрешить выполнение своих файлов?

Olej

New member

Захожу под любым уровнем доступа (в данный момент — под 0).
Компилирую любую программу, но при попытке ее запустить, выскакивает «ошибка сегментирования», и внизу экрана появляется информационное сообщение: «Загрузка неподписанного файла заблокирована СЗ ОС (DIGSIG) . «.

1. Разрабатывать программный код в защищённой системе — это, по моему (IMHO), дурное занятие . и об этом в том же духе уже высказывались здесь на форуме.

2. Ошибка «ошибка сегментирования» (сигнал SIGSEGV) — это слишком серьёзно для просто нарушения требований безопасности.
Не могли бы вы сказать:
— с какого языка (программирования) компилируете код?
— каким образом (командой)?
— привести фрагмент кода.

3. Не могу, к сожалению, ничего подсказать относительно «подписи» исполнимых файлов — мне дядя за большие деньги не покупал Astra SE
Но было бы очень интересно послушать знающих людей, а ещё лучше — ссылки, про то как это должно выглядеть.

kdewyz

New member

не для работы, а лишь для ознакомления можно и с торрента какого-нибудь скачать
не совсем легально, зато познавательно

AFilippov

New member

Думаю, ознакомившись с данными разделами Вики, Вы решите свою проблему:
Подписывание ПО
Режим замкнутой программной среды
Смоленск 1.6: Режим замкнутой программной среды

Как совершенно справедливо заметили, зачем самому себе создавать трудности?

Olej

New member

Настройка режима функционирования механизма контроля целостности файлов при их открытии на основе ЭЦП в расширенных атрибутах файловой системы осуществляется с помощью графического инструмента fly-admin-smc (<<Панель управления --- Безопасность --- Политика безопасности --- Замкнутая программная среда>>) или путем редактирования конфигурационного файла /etc/digsig/digsig_initramfs.conf.

После внесения изменений в конфигурационный файл /etc/digsig/digsig_initramfs.conf и для загрузки модулем digsig_verif ключей после их размещения его в каталогах /etc/digsig/keys/ и /etc/digsig/xattr_keys/
необходимо от имени учетной записи администратора через механизм \verb|sudo| выполнить команду:

sudo update-initramfs -u -k all

Означает ли это, что изменения режима функционирования (1 из 3-х) через fly-admin-smc можно делать «на лету»? (без перегенерации initramfs, перезагрузки и т.д.)

AFilippov

New member

Измените формулировку от греха подальше.
Примерно так: Конечно, некоторые не для работы, а лишь для ознакомления, скачивают Смоленск 1.5 с торрент-трекеров. Но я это не одобряю.
А то какое-то подстрекательство к противоправным действия получается.

Читайте также:  Linux узнать владельца процесса

Olej

New member

AFilippov

New member

Означает ли это, что изменения режима функционирования (1 из 3-х) через fly-admin-smc можно делать «на лету»? (без перегенерации initramfs, перезагрузки и т.д.)

kdewyz

New member

то не призыв и не подстрекательство
то констатация факта всего лишь,
факта, для меня ненужного, так как
мне «от дяди» 5 дистрибутивов перепало
за полгода благодаря им разнообразил свой лексикон неприличных слов

AFilippov

New member

. мне «от дяди» 5 дистрибутивов перепало за полгода благодаря им разнообразил свой лексикон неприличных слов

Означает ли это, что изменения режима функционирования (1 из 3-х) через fly-admin-smc можно делать «на лету»? (без перегенерации initramfs, перезагрузки и т.д.)

kdewyz

New member

не настолько знаком с линуксом, чтобы ответить
всего полгода изучения, да и то периодически (решаю только возникающие проблемы)

pavel_v

New member

1. Разрабатывать программный код в защищённой системе — это, по моему (IMHO), дурное занятие . и об этом в том же духе уже высказывались здесь на форуме.

2. Ошибка «ошибка сегментирования» (сигнал SIGSEGV) — это слишком серьёзно для просто нарушения требований безопасности.
Не могли бы вы сказать:
— с какого языка (программирования) компилируете код?
— каким образом (командой)?
— привести фрагмент кода.

3. Не могу, к сожалению, ничего подсказать относительно «подписи» исполнимых файлов — мне дядя за большие деньги не покупал Astra SE
Но было бы очень интересно послушать знающих людей, а ещё лучше — ссылки, про то как это должно выглядеть.

Поясню, чтобы было понятнее.
1. Есть свой вычислительный код, с помощью которого собираемся проводить вычисления в защищенной системе. То есть, установить этот код на компьютере в защищенной среде НУЖНО.
Собираю и использую его от имени рядового пользователя, без админских прав.

2. Теперь непонятки: На реальном компьютере под Astra SE все собралось, запускается и работает без проблем. Теперь понадобилось этот код несколько изменить. Для этого на другом рабочем месте (Ubuntu mate) в виртуалке установил Astra SE, где хотел поработать над кодом. И вот тут-то появилась проблема.
Не запускается даже простой «hello_world».
Вот код, если нужно:

#include int main (int argc, char* argv[])

Язык C++,
компилирую: g++ hello.cc -o hello
запуск: ./hello

Про подписывание я почитал. Но (честно скажу, невнимательно еще читал) остался вопрос: при каждом новом изменении и компиляции программы нужно ее заново подписывать?
И почему на рабочей машине все сработало? Вроде виртуалку старался сделать такую же, как и рабочую машину.

Источник

Смоленск 1.5 Зависание задачи политики создания пользователей

В общем проблема следующая: после установки ОС Astra Linux 1.5 SE проводим настройку через GUI «управление политикой безопасности» производим настройку исключения вновь создаваемых пользователей из группы floppy и после применения настроек вылезает окно «задачи» с заданием «обновление политики создания пользователей» статус «неизвестно» и так висим до скончания веков пока не убьём всю задачу родительского окна «управление политикой безопасности — политика создания пользователей». В чем проблема? Баг?

Читайте также:  Linux check running services

Андрей

New member

cogniter

Moderator

Андрей

New member

Dim

New member

После редактирования политики создания пользователей и применения настроек, утилита зависает, но её можно закрыть, правым кликом в панели и завершить задачу, при этом изменения сохраняются.

Андрей

New member

После редактирования политики создания пользователей и применения настроек, утилита зависает, но её можно закрыть, правым кликом в панели и завершить задачу, при этом изменения сохраняются.

И? Я ведь так и написал что только после убивания родительского процесса скроется данное сообщение. А модератор блин ещё и лайкнул. вы чего? Это решение по вашему?

Андрей

New member

cogniter

Moderator

Баг не закрыт, но по вопросу все понятно.

И? Я ведь так и написал что только после убивания родительского процесса скроется данное сообщение. А модератор блин ещё и лайкнул. вы чего? Это решение по вашему?

Dim

New member

Дистрибутив операционной системы специального назначения «Astra Linux Special Edition» фиксирован, сертифицирован, удостоверен контрольными суммами. Внести изменения в сертифицированную версию программы не представляется возможным, но возможно в рамках новой версии и версии с сертификатом ФСТЭК.

Данное поведение программы является неудобством, не блокирует работу и сохраняет изменения при принудительном завершении.

Мы постараемся исправить поведение программы в следующей версии операционной системы специального назначения «Astra Linux Special Edition».

Андрей

New member

Это не «неудобство» а нарушение штатного функционирования. Если бы не зависала задача а выключался бы компьютер с сохранением данных вы бы сказали «это просто неудобство, данные ведь сохраняются». Есть заявленные функции и штатный режим работы.
Есть же нормальная общепринятая практика: накатывание патчей безопасности и т.д. Они так же нормально подлежат сертификации ФСТЭК про которую вы в каждой второй теме пишете в ответах. А исправлять баг, переустановкой системы и по новой настраивать во всей сети и дочерних филиалах почту, ALD, DNS, NTP, межсетевой, локальные параметры безопасности (а они кстати почему-то не подлежат экспорту/импорту) и т.д. это шлак. В общем сырая система вышла на рынок.

cogniter

Moderator

kostia

New member

Вам бы отдел тестировщиков расширить и углубить. Ну правда, такие баги в сертифицированных версиях вылазят, что создается впечатление, что никто эту систему в реальных режимах эксплуатации не тестировал и не использовал. Вы бы вот хотя-бы просто прошли по своей документации и попробовали сделать так, как у вас там написано. Ну и программу и методику тестирования нужно поддерживать, актуализировать и прогонять при каждом добавлении/исправлении чего либо.

Читайте также:  Проводник операционной системы linux

Источник

Смоленск 1.5 Ошибка инициализации kadm5

При инициализации на сервере, ALD выдаёт «Ошибка MIT Kerberos v5. Ошибка инициализации интерфейса администратирования kadm5. В ALDKadm5Connection cpp.345 (connect password) GSS_API (от Kerberos) error». На сервере ntp и bind9 настроены и функционируют. Пароли при инициализации вводил разные,от самого простого (от 1 до 8) до сложного и постоянно такая ошибка выскакивает. Но после инициализации ALD,в доменную политику безопасности под паролем который вводил изначально заходит. Все настройки производились по контрольном примеру для ВС РФ.

cogniter

Moderator

Насколько я вижу по информации по данной ссылке, у вас некорректно настроены имя и ip адрес, например в /etc/hosts

MasterShkip

New member

В hosts имеются записи вида
127.0.0.1 localhost
127.0.1.1 ns1
Ip-адрес нашего сервера ns1

По методичке было указано что надо удалить строку 127.0.0.1 localhost

Но у меня есть ещё предположение что надо удалить строку 127.0.1.1 ns1, но не уверен,так как с настройками серверов раньше не сталкивался. Компьютеры пользователей подключены к серверу через коммутатор, поэтому я предположил что данную строку не стоит удалять или я все таки не прав и надо в файле оставить лишь ip-адрес и название нашего сервера а остальные записи удалить?
UPD: все ip-адреса серверного оборудования и компьютеров имеют вид 10.f.g.0 (в целях безопасности полные ip-адреса не могу предоставить)

xene

New member

В hosts имеются записи вида
127.0.0.1 localhost
127.0.1.1 ns1
Ip-адрес нашего сервера ns1

По методичке было указано что надо удалить строку 127.0.0.1 localhost

Но у меня есть ещё предположение что надо удалить строку 127.0.1.1 ns1, но не уверен,так как с настройками серверов раньше не сталкивался. Компьютеры пользователей подключены к серверу через коммутатор, поэтому я предположил что данную строку не стоит удалять или я все таки не прав и надо в файле оставить лишь ip-адрес и название нашего сервера а остальные записи удалить?
UPD: все ip-адреса серверного оборудования и компьютеров имеют вид 10.f.g.0 (в целях безопасности полные ip-адреса не могу предоставить)

127.0.0.1 localhost удалять не надо иначе Ваш сервер не увиидт себя по локальной петле (на ней тоже сенрвисы крутятся).
127.0.1.1 ns1 — это надо удалить иначе сервер будет воспринимать себя по этому адресу а не по сетевому
Третья строчка должна иметь вид: IP-адрес сервера полное доменное имя короткое доменное имя
Для того чтобы поднять ALD домен убедитесь, что у Вас dns-серер функционирует верно ( service bind9 status) вывод должен быть : ОК

Источник

Оцените статью
Adblock
detector