- Возможности реализации требований по защите информации в автоматизированных системах различных классов в соответствии с руководящим документом «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (Гостехкомиссия России, 1992 г.) средствами операционной системы специального назначения Astra Linux Special Edition, РУСБ.10015-01 очередное обновление 1.6 и 8.1
- Требования по защите информации и способы реализации меры защиты с использованием штатных средств Astra Linux
- Astra Linux.Справка.Настройка аудита в Astra Linux
Возможности реализации требований по защите информации в автоматизированных системах различных классов в соответствии с руководящим документом «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (Гостехкомиссия России, 1992 г.) средствами операционной системы специального назначения Astra Linux Special Edition, РУСБ.10015-01 очередное обновление 1.6 и 8.1
Требования по защите информации и способы реализации меры защиты с использованием штатных средств Astra Linux
Требования по защите информации | Классы АС | Средства реализации | Способ реализации меры защиты с использованием штатных средств Astra Linux | Компоненты Astra Linux | ||||||||||
Раздел | Подсистемы и функции | Требования | 1Д | 2Б | 3Б | 1Г | 1В | 1Б | 3А | 2А | 1А | |||
ОВ | ||||||||||||||
СС | ||||||||||||||
С | ||||||||||||||
ДСП | ||||||||||||||
ПД | ||||||||||||||
1 | I. Подсистема управления доступом | |||||||||||||
1 | 1.1. Идентификация, проверка подлинности и контроль доступа субъектов: | |||||||||||||
1 | — в систему | Должны осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного/временного действия длиной не менее указанного количества буквенно-цифровых символов; | 6 | 6 | 6 | 6 | 6 | 8 | 6 | 6 | Средства Astra Linux | Идентификация и проверка подлинности субъектов доступа осуществляется локально (PAM) или централизованно с помощью организации единого пространства пользователей (ЕПП), в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации. Решение задачи идентификации и аутентификации локальных пользователей в Astra Linux основывается на использовании механизма PAM. Если Astra Linux не настроен для работы в ЕПП, то аутентификация осуществляется с помощью локальной БД пользователей. При использовании ЕПП аутентификация пользователей осуществляется централизованно по протоколу Kerberos. Концепция ЕПП подразумевает хранение системной информации о пользователе (включая доступные мандатные уровни и категории) централизованно в службе каталогов LDAP. Для управления пользователями, группами и настройками их атрибутов используется графическая утилита, соответствующие настройки обеспечивают требования к длине пароля. | Локальная идентификация и аутентификация (PAM), Сквозная аутентификация (ЕПП), Управление политикой безопасности fly-admin-smc (Пользователи, Политики учетной записи). Управление доменным пользователями (FreeIPA,ALD) | |
Должны осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по биометрическим характеристикам или специальным устройствам (жетонам, картам, электронным ключам) и паролю временного действия длиной не менее восьми буквенно-цифровых символов | 8 | Средства Astra Linux СДЗ, Токены | Идентификация и проверка подлинности субъектов доступа осуществляется локально (PAM) или централизованно с помощью организации единого пространства пользователей (ЕПП), в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации. |
Astra Linux.Справка.Настройка аудита в Astra Linux
Все факты начала и окончания работы пользователя фиксируется в журнале /var/log/auth.log на клиентской машине.
Например:
Feb 19 12:32:48 nd-nout fly-dm: :0[3421]: pam_unix(fly-dm:session): session opened for user ivanov by (uid=0)
Указанная запись содержит информацию о начале сессии для пользователя с учетной записью ivanov .
Feb 19 13:15:38 ac-old login[3865]: pam_unix(login:session): session closed for user petrovich
Указанная запись содержит информацию о завершении сессии для пользователя с учетной записью petrovich .
Кроме того, информация о начале и завершении работы пользователя попадает в журнал подсистемы безопасности parsec: /var/log/parsec/user.mlog , доступный для просмотра при помощи утилиты userlog . В журнале регистрируются события с типами auth (вход), exit (выход).
ac-old:~# userlog
‘Tue Feb 19 12:50:00 2013’ ‘/bin/login’ [s] exit(«login»,»petrovich»)
‘Tue Feb 19 12:57:59 2013’ ‘/usr/bin/fly-dm’ [s] exit(«fly-dm»,»root»)
‘Tue Feb 19 13:14:52 2013’ ‘/bin/login’ [s] auth(«login»,»root»)
‘Tue Feb 19 13:15:33 2013’ ‘/bin/login’ [s] auth(«login»,»petrovich»)
‘Tue Feb 19 13:15:39 2013’ ‘/bin/login’ [s] exit(«login»,»petrovich»)
‘Tue Feb 19 13:19:53 2013’ ‘/bin/login’ [s] auth(«login»,»petrovich»)
‘Tue Feb 19 13:20:13 2013’ ‘/bin/login’ [s] exit(«login»,»petrovich»)
‘Tue Feb 19 13:20:23 2013’ ‘/bin/login’ [s] auth(«login»,»petrovich»)
‘Tue Feb 19 13:20:31 2013’ ‘/bin/login’ [s] exit(«login»,»petrovich»)
‘Tue Feb 19 13:27:48 2013’ ‘/bin/login’ [s] auth(«login»,»petrovich»)
‘Tue Feb 19 13:27:54 2013’ ‘/bin/login’ [s] exit(«login»,»petrovich»)
‘Tue Feb 19 13:33:51 2013’ ‘/bin/login’ [s] auth(«login»,»petrovich»)
‘Tue Feb 19 13:33:55 2013’ ‘/bin/login’ [s] exit(«login»,»petrovich»)
‘Tue Feb 19 13:39:49 2013’ ‘/bin/login’ [s] auth(«login»,»petrovich»)
‘Tue Feb 19 13:39:53 2013’ ‘/bin/login’ [s] exit(«login»,»petrovich»)
Описание системы регистрации событий приведено в разделе 10 документа «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1». Дополнительная информация приведена на страницах справочного руководства man для расширенной системы протоколирования, доступной по команде man parselog .
В операционной системе специального назначения «Astra Linux Special Edition» обеспечивается регистрация всех событий в соответствии с требованиями документа «Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» ФСТЭК России, предъявляемых к средствам вычислительной техники третьего класса защищенности.
Регистрация событий может быть проверена следующим образом:
устанавливаем для пользователя (доменного) все возможные флаги аудита:
dc-old:~# ald-admin user-aud-get petrovich
Audit policy user:petrovich
Audit success rules: ocxudntligarmphew
nr f flag
— — —-
0 o open
1 c create
2 x exec
3 u delete
4 d chmod
5 n chown
6 t mount
7 l module
8 i uid
9 g gid
10 a audit
11 r acl
12 m mac
13 p cap
14 h chroot
15 e rename
16 w net
Audit fail rules: ocxudntligarmphew
nr f flag
— — —-
0 o open
1 c create
2 x exec
3 u delete
4 d chmod
5 n chown
6 t mount
7 l module
8 i uid
9 g gid
10 a audit
11 r acl
12 m mac
13 p cap
14 h chroot
15 e rename
16 w net
Очищаем журнал событий на ЭВМ:
ac-old:~# > /var/log/parsec/kernel.mlog
Выполняем вход в систему пользователем petrovich . Смотрим журнал событий командой kernlog с фильтрацией по имени пользователя petrovich :
ac-old:~# kernlog | grep «petrovich*»
[p] ‘Tue Feb 19 13:39:49 2013’ ‘/bin/bash’ [f] open(«/ald_home/petrovich/.bash_profile»,O_RDONLY) = -2 ENOENT (Нет такого файла иликаталога)
[p] ‘Tue Feb 19 13:39:49 2013’ ‘/bin/bash’ [f] open(«/ald_home/petrovich/.bash_login»,O_RDONLY) = -2 ENOENT (Нет такого файла или каталога)
[p] ‘Tue Feb 19 13:39:49 2013’ ‘/bin/bash’ [f] open(«/ald_home/petrovich/.profile»,O_RDONLY) = -2 ENOENT (Нет такого файла или каталога)
[p] ‘Tue Feb 19 13:39:49 2013’ ‘/bin/bash’ [s] open(«/ald_home/petrovich/.bash_history»,O_RDONLY) = 3
[p] ‘Tue Feb 19 13:39:49 2013’ ‘/bin/bash’ [s] open(«/ald_home/petrovich/.bash_history»,O_RDONLY) = 3
[p] ‘Tue Feb 19 13:39:52 2013’ ‘/bin/bash’ [f] open(«/ald_home/petrovich/.bash_logout»,O_RDONLY) = -2 ENOENT (Нет такого файла или каталога)
[p] ‘Tue Feb 19 13:39:52 2013’ ‘/bin/bash’ [s] open(«/ald_home/petrovich/.bash_history»,O_WRONLY | O_APPEND) = 3
[p] ‘Tue Feb 19 13:39:52 2013’ ‘/bin/bash’ [s] open(«/ald_home/petrovich/.bash_history»,O_RDONLY) = 3
[p] ‘Tue Feb 19 13:39:52 2013’ ‘/bin/login’ [s] umount(«/ald_home/petrovich/mac/0/0») = 0
[p] ‘Tue Feb 19 13:39:52 2013’ ‘/bin/login’ [s] umount(«/ald_home/petrovich/mac») = 0
[p] ‘Tue Feb 19 13:39:52 2013’ ‘/bin/login’ [s] umount(«/ald_home/petrovich») = 0
[p] ‘Tue Feb 19 13:39:52 2013’ ‘/bin/login’ [s] umount(«/var/private/mac/petrovich/0/0») = 0
[p] ‘Tue Feb 19 13:39:52 2013’ ‘/bin/login’ [s] umount(«/var/private/mac/petrovich») = 0
[p] ‘Tue Feb 19 13:39:52 2013’ ‘/usr/sbin/pmvarrun’ [s] create(«/var/run/pam_mount/petrovich»,O_RDWR | O_CREAT,-rw——-) = 7
[p] ‘Tue Feb 19 13:39:52 2013’ ‘/usr/sbin/pmvarrun’ [s] chown(«/var/run/pam_mount/petrovich»,2500,0) = 0
[p] ‘Tue Feb 19 13:39:53 2013’ ‘/sbin/umount.cifs’ [s] umount(«/ald_home/petrovich») = 0
Имеется множество событий open (открытие файла), mount (монтирование и размонтирование), create (создание объекта), chown (изменение прав доступа пользователя).
В домашнем каталоге пользователя petrovich создаем каталог testdir и в нем файл testfile . Владелец файлов — сам пользователь:
dc-old:~# ls -l /ald_export_home/petrovich/ | grep test
drwxr-x— 2 petrovich petrovich 4096 Фев 19 13:50 testdir
dc-old:~# ls -l /ald_export_home/petrovich/testdir/
итого 4
-rwxr—— 1 petrovich petrovich 5 Фев 19 13:50 testfile
Устанавливаем на данные файлы флаги аудита:
dc-old:/ald_export_home/petrovich# getfaud testdir/
# file: testdir
o:ouc:ouc
default:o:ouc:ouc
dc-old:/ald_export_home/petrovich# getfaud testdir/testfile
# file: testdir/testfile
o:ouc:ouc
После этого на ЭВМ пользователем petrovich удаляем testdir/testfile , создаем testdir/testfile2 . На сервере в журнале /var/log/parsec/kern.mlog регистрируются события:
чтение каталога:
[f] ‘Tue Feb 19 14:07:23 2013’ ‘/usr/sbin/smbd’ [s] open(«/ald_export_home/petrovich/testdir»,NO_PERMS | O_NONBLOCK | O_DIRECTORY) = 0
удаление файла:
[f] ‘Tue Feb 19 14:07:25 2013’ ‘/usr/sbin/smbd’ [s] unlink(«/ald_export_home/petrovich/testdir/testfile (deleted)») = 0
создание файла:
[f] ‘Tue Feb 19 14:07:34 2013’ ‘/usr/sbin/smbd’ [s] create(«/ald_export_home/petrovich/testdir/testfile2»,-rw-r——) = 0
[f] ‘Tue Feb 19 14:07:34 2013’ ‘/usr/sbin/smbd’ [s] open(«/ald_export_home/petrovich/testdir/testfile2»,O_RDONLY | O_CREAT | O_NOFOLLOW) = 0
удаленное копирование:
f] ‘Tue Feb 19 14:12:15 2013’ ‘/usr/bin/scp’ [s] create(«/ald_export_home/petrovich/testdir/remote_cp»,-rw-r—r—) = 0
[f] ‘Tue Feb 19 14:12:15 2013’ ‘/usr/bin/scp’ [s] open(«/ald_export_home/petrovich/testdir/remote_cp»,O_RDONLY | O_CREAT) = 0
При создании объектов внутри каталога, для которого отслеживаются соответствующие события ( create ), создание любых объектов в нём регистрируется. При установке на файл мандатного уровня/категории регистрируется событие chmac (изменение мандатных атрибутов).
dc-old:/ald_export_home/petrovich# setfaud -s o:ocum:ocum testdir/testfile2
dc-old:/ald_export_home/petrovich# > /var/log/parsec/kernel.mlog
dc-old:/ald_export_home/petrovich# chmac 1:0 testdir/testfile2
dc-old:/ald_export_home/petrovich# kernlog
[f] ‘Tue Feb 19 14:24:55 2013’ ‘/bin/bash’ [s] open(«/ald_export_home/petrovich/testdir»,NO_PERMS | O_NONBLOCK | O_DIRECTORY) = 0
[f] ‘Tue Feb 19 14:24:56 2013’ ‘/usr/sbin/chmac’ [s] parsec_chmac(«/ald_export_home/petrovich/testdir/testfile2»,,0) = 0
Регистрация событий передачи по линиям и каналам связи является требованием документа ФСТЭК России «Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» и должна обеспечиваться конструктором АС.
При этом операционная система специального назначения «Astra Linux Special Edition» предоставляет возможность регистрации подобного класса событий. Далее приведен протокол работы пользователя при обмене по сети с использованием утилиты ping .
В протоколе зафиксированы все факты отправки и приема сетевых пакетов, а также IP-адреса отправителя и получателя. Порядок настройки системы регистрации событий описан в разделе 10 документа «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1».
Существует известная проблема в версии 1.2: когда на клиентскую машину заходит пользователь под уровнем 0, аудит событий перестает работать корректно. Для исправления на каждой клиентской машине, где будут заходить пользователи, в файле /etc/pam.d/common-session неоьбходимо добавить в конец строку:
session optional pam_ald.so populate_krb5cc
Если на сервер должны заходить пользователи, то на нем так же следует внести эти изменения.
После этого желательно перезагрузить машины.