- Возможности реализации требований РД «СВТ. Защита от НСД к информации. Показатели защищенности от несанкционированного доступа к информации» (РД СВТ) средствами операционной системы специального назначения Astra Linux Special Edition, очередные обновления 1.7 и 4.7
- Возможности реализации требований РД «СВТ. Защита от НСД к информации. Показатели защищенности от несанкционированного доступа к информации» (РД СВТ) средствами операционной системы специального назначения Astra Linux Special Edition, очередные обновления 1.7 и 4.7
- Дискреционный принцип контроля доступа.
- Мандатный принцип контроля доступа.
- Система печати CUPS в Astra Linux
- Встроенный сервер печати
- Предоставление пользователям прав на выполнение административных действий
- Предоставление пользователям прав на выполнение административных действий с классификационными метками (маркировка документов)
- Включение удаленного администрирования сервера печати
- Включение удаленного использования принтеров
- Возможности реализации требований РД «СВТ. Защита от НСД к информации. Показатели защищенности от несанкционированного доступа к информации» (РД СВТ) средствами операционной системы специального назначения Astra Linux Special Edition, очередное обновление 1.6 и 8.1
- Возможности реализации требований РД «СВТ. Защита от НСД к информации. Показатели защищенности от несанкционированного доступа к информации» (РД СВТ) средствами операционной системы специального назначения Astra Linux Special Edition, очередное обновление 1.6 и 8.1
- Дискреционный принцип контроля доступа.
- Мандатный принцип контроля доступа.
Возможности реализации требований РД «СВТ. Защита от НСД к информации. Показатели защищенности от несанкционированного доступа к информации» (РД СВТ) средствами операционной системы специального назначения Astra Linux Special Edition, очередные обновления 1.7 и 4.7
Возможности реализации требований РД «СВТ. Защита от НСД к информации. Показатели защищенности от несанкционированного доступа к информации» (РД СВТ) средствами операционной системы специального назначения Astra Linux Special Edition, очередные обновления 1.7 и 4.7
В cледующей таблице приведены возможности реализации мер защиты согласно руководящему документу РД СВТ. Информация о гарантиях проектирования, составе конструкторской документации и контроле модификации не приведена в эксплуатационной документации на ОС. При разработке и сертификации СВТ на соответствие РД СВТ разработчикам СВТ необходимо разработать собственные документы по настоящим разделам.
Дискреционный принцип контроля доступа.
Для каждой пары (субъект – объект) в СВТ должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т.д.), т.е. тех типов доступа, которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу СВТ (объекту).
КСЗ должен содержать механизм, претворяющий в жизнь дискреционные правила разграничения доступа.
Контроль доступа должен быть применим к каждому объекту и каждому субъекту (индивиду или группе равноправных индивидов).
Механизм, реализующий дискреционный принцип контроля доступа, должен предусматривать возможности санкционированного изменения ПРД, в том числе возможность санкционированного изменения списка пользователей СВТ и списка защищаемых объектов.
Дискреционное управление доступом применяется к каждой сущности и каждому субъекту. Определяются три вида доступа: чтение (read, r), запись (write, w) и исполнение (execution, x). Права доступа включают список (битовую маску) из девяти пунктов: по три вида доступа для трех классов — пользователя-владельца, группы-владельца и всех остальных. Каждый пункт в этом списке может быть либо разрешен, либо запрещен (равен 1 или 0).
Дополнительно в Astra Linux механизмом дискреционных ПРД поддерживаются списки контроля доступа ACL (Access Control List), реализованные на основе расширенных атрибутов файловых систем.
Реализация механизма дискреционных ПРД обеспечивает наличие для каждой пары (субъект-сущность) явное и недвусмысленное перечисление разрешенных типов доступа.
Мандатный принцип контроля доступа.
Для работы с подсистемой протоколирования могут использоваться средства управления протоколированием в режиме командной строки (setfaud, getfaud, useraud, psaud), а также графические утилиты, которые позволяют настраивать параметры регистрации событий и просмотра протоколов:
— fly-admin-smc («Управление политикой безопасности») — управление протоколированием, привилегиями и мандатными атрибутами пользователей, работа с пользователями и группами;
— system-config-audit («Конфигурация аудита») — включение и выключение регистрации событий аудита, настройка auditd, настройка журнала аудита, а также добавление, удаление и редактирование правил аудита;
Система печати CUPS в Astra Linux
Раздел «Ограничение отображения сетевых принтеров в LibreOffice» применим к Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) с установленным обновлением БЮЛЛЕТЕНЬ № 20210611SE16 (оперативное обновление 7) и более поздним обновлениям.
Раздел «Ограничение видимости заданий (Astra Linux Special Edition 1.6.9 и Astra Linux Common Edition 2.12.43)» применим только к Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) с установленным обновлением БЮЛЛЕТЕНЬ № 20211008SE16 (оперативное обновление 9) и к более поздним обновлениям, а также к Astra Linux Common Edition 2.12.43.
Раздел «Настройка аутентификации Kerberos» применим только к Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7) с установленным обновлением БЮЛЛЕТЕНЬ № 2021-1126SE17 (оперативное обновление 1.7.1) (версия cups 2.3.3op2-4astra.se9 и выше).
Встроенный сервер печати
Сервер печати CUPS входит в стандартные дистрибутивы Astra Linux и автоматически устанавливается и запускается при инсталляции ОС. Проверить статус сервера можно командой
После установки администрирование сервера печати, находящегося на локальном сервере, может осуществляться:
- С помощью графического администратора печати fly-admin-printer.
- Через web-интерфейс с помощью web-браузера. Адрес для доступа к интерфейсу администрирования:
Предоставление пользователям прав на выполнение административных действий
Пользователи, от имени которых будут выполняться действия по настройке принтеров не связанные с мандатным управлением доступом, должны быть включены в группу lpadmin (локальная группа, используемая «по умолчанию») или в другую группу, указанную в списке значений параметра SystemGroup в конфигурационном файле /etc/cups/cups-files.conf.
В Astra Linux Special Edition x.7 с включенным МКЦ администраторы службы печати для внесения изменений в конфигурацию службы должны иметь высокую целостность.
Кроме того, разрешения на выполнение операций для отдельных пользователей и групп могут быть явно заданы в описаниях ресурсов в конфигурационном файле /etc/cups/cupsd.conf. Пример использования доменной группы приведен далее в разделе про настройку аутентификации Kerberos, подробное описание форматов конфигурационных файлов см. man cupsd.conf.
Для того, чтобы такие пользователи могли применять сделанные ими изменения конфигурации им должно быть предоставлено право перезапускать службу печати. Это можно сделать создав файл /etc/sudoers.d/lpadmins со следующим содержимым:
%lpadmin ALL=(ALL:ALL) NOPASSWD: /usr/bin/systemctl restart cups %lpadmin ALL=(ALL:ALL) NOPASSWD: /usr/bin/systemctl stop cups %lpadmin ALL=(ALL:ALL) NOPASSWD: /usr/bin/systemctl start cups %lpadmin ALL=(ALL:ALL) NOPASSWD: /usr/bin/systemctl status cups
В приведенном примере пользователям, входящим в группу lpadmin, разрешается использовать sudo для перезапуска, остановки, запуска службы печати cups и проверки её состояния. Подробнее см. man sudoers.
При работе в Astra Linux с включенным МКЦ для управления службой печати пользователю требуется высокая целостность.
Предоставление пользователям прав на выполнение административных действий с классификационными метками (маркировка документов)
Пользователи, работающие с маркировкой заданий печати в Astra Linux Special Edition, должны быть включены в локальную группу lpmac (создается при установке ОС) или группу lpmac_ald (предназначена для использования в доменах и должна быть создана вручную). Имена этих групп задаются в параметре MacAdmin в конфигурационном файле /etc/cups/cupsd.conf (параметр используется отдельно для каждого определяемого ресурса).
Включение удаленного администрирования сервера печати
После установки службы по умолчанию разрешено только локальное администрирование, т.е. принимаются только обращения через адрес localhost. Обращения через полное имя хоста не принимаются.
Удаленное администрирование может быть разрешено:
- В web-интерфейсе через соответствующий пункт в меню web-интерфейса.
- Из командной строки можно использовать команду:
Включение удаленного использования принтеров
После установки службы по умолчанию запрещено удаленное использование принтеров, подключенных к серверу печати.
Удаленное использование принтеров может быть разрешено:
- В web-интерфейсе через соответствующий пункт в меню web-интерфейса.
- Из командной строки командой :
- —share-printers — указание включить разделение принтеров;
- —remote-any — разрешение принимать задания печати с любых адресов (по умолчанию задания печати разрешено получать только от компьютеров, находящихся в той же подсети, что и сервер);
- ServerAlias — «псевдоним» сервера печати. Служба cups принимает только HTTP-обращения, содержащие указанный в этом параметре псевдоним (подразумевается, что псевдонимы разрешаются в IP-адреса с помощью настроенной службы DNS). Можно указать метасимвол «*» (звездочка) для обозначения любых псевдонимов. При необходимости в конфигурационном файле можно указать несколько псевдонимов, разделенных пробелами (в команде cupsctl такая возможность не поддерживается). Для того, чтобы псевдонимы работали, должно быть разрешено удаленное администрирование, иначе разрешен только псевдоним localhost.
Возможности реализации требований РД «СВТ. Защита от НСД к информации. Показатели защищенности от несанкционированного доступа к информации» (РД СВТ) средствами операционной системы специального назначения Astra Linux Special Edition, очередное обновление 1.6 и 8.1
Возможности реализации требований РД «СВТ. Защита от НСД к информации. Показатели защищенности от несанкционированного доступа к информации» (РД СВТ) средствами операционной системы специального назначения Astra Linux Special Edition, очередное обновление 1.6 и 8.1
В следующей таблице приведены возможности реализации мер защиты согласно руководящему документу РД СВТ. Информация о гарантиях проектирования, составе конструкторской документации и контроле модификации не приведена в эксплуатационной документации на ОС. При разработке и сертификации СВТ на соответствие РД СВТ разработчикам СВТ необходимо разработать собственные документы по настоящим разделам.
Дискреционный принцип контроля доступа.
Для каждой пары (субъект – объект) в СВТ должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т.д.), т.е. тех типов доступа, которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу СВТ (объекту).
КСЗ должен содержать механизм, претворяющий в жизнь дискреционные правила разграничения доступа.
Контроль доступа должен быть применим к каждому объекту и каждому субъекту (индивиду или группе равноправных индивидов).
Механизм, реализующий дискреционный принцип контроля доступа, должен предусматривать возможности санкционированного изменения ПРД, в том числе возможность санкционированного изменения списка пользователей СВТ и списка защищаемых объектов.
Дискреционное управление доступом применяется к каждой сущности и каждому субъекту. Определяются три вида доступа: чтение (read, r), запись (write, w) и исполнение (execution, x). Права доступа включают список (битовую маску) из девяти пунктов: по три вида доступа для трех классов — пользователя-владельца, группы-владельца и всех остальных. Каждый пункт в этом списке может быть либо разрешен, либо запрещен (равен 1 или 0).
Дополнительно в Astra Linux механизмом дискреционных ПРД поддерживаются списки контроля доступа ACL (Access Control List), реализованные на основе расширенных атрибутов файловых систем.
Реализация механизма дискреционных ПРД обеспечивает наличие для каждой пары (субъект-сущность) явное и недвусмысленное перечисление разрешенных типов доступа.
Мандатный принцип контроля доступа.
Для работы с подсистемой протоколирования могут использоваться средства управления протоколированием в режиме командной строки (setfaud, getfaud, useraud, psaud), а также графические утилиты, которые позволяют настраивать параметры регистрации событий и просмотра протоколов:
— fly-admin-smc («Управление политикой безопасности») — управление протоколированием, привилегиями и мандатными атрибутами пользователей, работа с пользователями и группами;
— system-config-audit («Конфигурация аудита») — включение и выключение регистрации событий аудита, настройка auditd, настройка журнала аудита, а также добавление, удаление и редактирование правил аудита;