Astra linux закрытая программная среда

Уровни конфиденциальности

По умолчанию в системе мандатного контроля доступа ОС Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) настроено 4 уровня конфиденциальности:

При необходимости, количество уровней конфиденциальности может быть увеличено до 255.

Для того, чтобы определить уровни конфиденциальности выше созданных по умолчанию,
и назначать их пользователям, необходимо:

в файле конфигурации мандатных атрибутов файловой системы /usr/sbin/pdp-init-fs
задать параметру sysmaclev значение, равное максимальному созданному уровню конфиденциальности

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Панель Управления ->
Безопасность ->
Политика безопасности ->
Мандатные атрибуты ->
Уровни целостности

Управление в консольном режиме:

userlev
0 Уровень_0
1 Уровень_1
2 Уровень_2
3 Уровень_3

Режим Мандатного Контроля Целостности

Управление в графическом режиме с помощью графического инструмента fly-admin-smc :

Панель Управления ->
Безопасность ->
Политика безопасности ->
Мандатный контроль целостности

Управление в консольном режиме:

cat /proc/cmdline | grep «parsec.max_ilev»

Режим Мандатного Контроля Целостности ФС

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Управление в консольном режиме

Режим ЗПС (замкнутой программной среды) в исполняемых файлах

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Блокировка консоли для пользователей

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Управление в консольном режиме

systemctl is-enabled astra-console-lock
enabled включен
disabled выключен
Failed to get unit file state . сервис не активирован

Блокировка интерпретаторов

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Управление в консольном режиме

systemctl is-enabled astra-interpreters-lock
enabled включен
disabled выключен
Failed to get unit file state . сервис не активирован

Блокировка установки бита исполнения

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Управление в консольном режиме

cat /parsecfs/nochmodx
1 включен
0 выключен

Блокировка макросов

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Управление в консольном режиме

systemctl is-enabled astra-macros-lock
enabled включен
disabled выключен
Failed to get unit file state . сервис не активирован

Блокировка трассировки ptrace

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Панель Управления -> Безопасность -> Политика безопасности -> Настройки безопасности -> Параметры ядра

Управление в консольном режиме

systemctl is-enabled astra-ptrace-lock
enabled включен
disabled выключен
Failed to get unit file state . сервис не активирован

Гарантированное удаление файлов и папок

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Панель Управления -> Безопасность -> Политика безопасности -> Настройки безопасности -> Политика очистки памяти

Управление в консольном режиме

Межсетевой экран ufw

Управление в графическом режиме

Управление в консольном режиме

ufw status
Status: active включен
Status: inactive выключен

Системные ограничения ulimits

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Управление в консольном режиме

systemctl is-enabled astra-ulimits-control
enabled включен
disabled выключен
Failed to get unit file state . сервис не активирован

Блокировка клавиш SysRq

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Панель Управления -> Безопасность -> Политика безопасности -> Настройки безопасности -> Параметры ядра

Управление в консольном режиме

sysctl -w kernel.sysrq=0
sysctl -w kernel.sysrq=1

cat /proc/sys/kernel/sysrq
0 включен
1 выключен

Режим ЗПС (замкнутой программной среды) в расширенных атрибутах

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Панель Управления -> Безопасность -> Политика безопасности -> Замкнутая программная среда

Графический киоск

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Системный киоск

Управление в графическом режиме с помощью графического инструмента fly-admin-kiosk:

Источник

Замкнутая программная среда

Замкнутая программная среда (ЗПС) является средством повышения безопасность ОС путем контроля целостности (неизменности) файлов. Механизм контроля реализован в виде невыгружаемого модуля ядра Astra Linux (модуль digsig_verif), выполняющего проверку встроенной электронной цифровой подписи файлов (ЭЦП). Проверка применяется к файлам формата ELF (исполняемым файлам и разделяемым библиотекам, далее — файлам) при запуске их выполнения и может осуществляться в следующих режимах:

• запрещается выполнение файлов, имеющих неверную ЭЦП или не имеющих ЭЦП (штатный режим функционирования);
• разрешается выполнение файлов, имеющих неверную ЭЦП или не имеющих ЭЦП, но при этом выдается сообщение об ошибке проверки ЭЦП (режим проверки ЭЦП в СПО);
• ЭЦП не проверяется (отладочный режим для тестирования СПО).

Средства создания ЗПС предоставляют возможность внедрения ЭЦП в исполняемые файлы формата ELF, входящие в состав устанавливаемого СПО.

Включение замкнутой программной среды

Настройка работы ЗПС может быть выполнена с помощью графического инструмента fly-admin-smc: «Пуск» — «Панель управления» — «Политика безопасности» — «Замкнутая программная среда».

Для включения ЗПС из командной строки:

При наличии собственных ключей в каталог /etc/digsig/keys поместить открытый (публичный) ключ;

Без предоставления открытого ключа возможна работа только пакетов из состава дистрибутива Astra Linux Special Edition.

Источник

Astra linux закрытая программная среда

В этом разделе описаны действия, которые требуется выполнить, чтобы запустить программу в операционной системе Astra Linux Special Edition.

Для Astra Linux Special Edition (очередное обновление 1.7) и Astra Linux Special Edition (очередное обновление 1.6)

Чтобы запустить программу в операционной системе Astra Linux Special Edition (очередное обновление 1.7) и Astra Linux Special Edition (очередное обновление 1.6), выполните следующие действия:

1. Укажите следующие параметры в файле /etc/digsig/digsig_initramfs.conf: DIGSIG_ELF_MODE=1
2. Установите пакет совместимости: apt install astra-digsig-oldkeys
3. Создайте директорию для ключа программы: mkdir -p /etc/digsig/keys/legacy/kaspersky/
4. Разместите ключ программы (/opt/kaspersky/kesl/shared/kaspersky_astra_pub_key.gpg) в директории, созданной на предыдущем шаге: cp kaspersky_astra_pub_key.gpg /etc/digsig/keys/legacy/kaspersky/
5. Обновите диски оперативной памяти: update-initramfs -u -k all

Для Astra Linux Special Edition (очередное обновление 1.5)

Чтобы запустить программу в операционной системе Astra Linux Special Edition (очередное обновление 1.5), выполните следующие действия:

1. Укажите следующие параметры в файле /etc/digsig/digsig_initramfs.conf: DIGSIG_LOAD_KEYS=1 DIGSIG_ENFORCE=1
2. Создайте директорию для ключа программы: mkdir -p /etc/digsig/keys/legacy/kaspersky/
3. Разместите ключ программы (/opt/kaspersky/kesl/shared/kaspersky_astra_pub_key.gpg) в директории, созданной на предыдущем шаге: cp kaspersky_astra_pub_key.gpg /etc/digsig/keys/legacy/kaspersky/
4. Обновите диски оперативной памяти: sudo update-initramfs -u -k all

Работа с графическим пользовательским интерфейсом программы поддерживается для сессий с мандатным разграничением доступа.

Источник