Маркировка при печати astra linux

Содержание
  1. Система печати CUPS в Astra Linux
  2. Встроенный сервер печати
  3. Предоставление пользователям прав на выполнение административных действий
  4. Предоставление пользователям прав на выполнение административных действий с классификационными метками (маркировка документов)
  5. Включение удаленного администрирования сервера печати
  6. Включение удаленного использования принтеров
  7. Возможности реализации требований РД «СВТ. Защита от НСД к информации. Показатели защищенности от несанкционированного доступа к информации» (РД СВТ) средствами операционной системы специального назначения Astra Linux Special Edition, очередное обновление 1.6 и 8.1
  8. Возможности реализации требований РД «СВТ. Защита от НСД к информации. Показатели защищенности от несанкционированного доступа к информации» (РД СВТ) средствами операционной системы специального назначения Astra Linux Special Edition, очередное обновление 1.6 и 8.1
  9. Дискреционный принцип контроля доступа.
  10. Мандатный принцип контроля доступа.
  11. Возможности реализации требований по защите информации в автоматизированных системах различных классов в соответствии с руководящим документом «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (Гостехкомиссия России, 1992 г.) средствами операционной системы специального назначения Astra Linux Special Edition, РУСБ.10015-01 очередное обновление 1.6 и 8.1
  12. Требования по защите информации и способы реализации меры защиты с использованием штатных средств Astra Linux

Система печати CUPS в Astra Linux

Раздел «Ограничение отображения сетевых принтеров в LibreOffice» применим к Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) с установленным обновлением БЮЛЛЕТЕНЬ № 20210611SE16 (оперативное обновление 7) и более поздним обновлениям.

Раздел «Ограничение видимости заданий (Astra Linux Special Edition 1.6.9 и Astra Linux Common Edition 2.12.43)» применим только к Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) с установленным обновлением БЮЛЛЕТЕНЬ № 20211008SE16 (оперативное обновление 9) и к более поздним обновлениям, а также к Astra Linux Common Edition 2.12.43.

Раздел «Настройка аутентификации Kerberos» применим только к Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7) с установленным обновлением БЮЛЛЕТЕНЬ № 2021-1126SE17 (оперативное обновление 1.7.1) (версия cups 2.3.3op2-4astra.se9 и выше).

Встроенный сервер печати

Сервер печати CUPS входит в стандартные дистрибутивы Astra Linux и автоматически устанавливается и запускается при инсталляции ОС. Проверить статус сервера можно командой

После установки администрирование сервера печати, находящегося на локальном сервере, может осуществляться:

  1. С помощью графического администратора печати fly-admin-printer.
  2. Через web-интерфейс с помощью web-браузера. Адрес для доступа к интерфейсу администрирования:

Предоставление пользователям прав на выполнение административных действий

Пользователи, от имени которых будут выполняться действия по настройке принтеров не связанные с мандатным управлением доступом, должны быть включены в группу lpadmin (локальная группа, используемая «по умолчанию») или в другую группу, указанную в списке значений параметра SystemGroup в конфигурационном файле /etc/cups/cups-files.conf.

В Astra Linux Special Edition x.7 с включенным МКЦ администраторы службы печати для внесения изменений в конфигурацию службы должны иметь высокую целостность.

Кроме того, разрешения на выполнение операций для отдельных пользователей и групп могут быть явно заданы в описаниях ресурсов в конфигурационном файле /etc/cups/cupsd.conf. Пример использования доменной группы приведен далее в разделе про настройку аутентификации Kerberos, подробное описание форматов конфигурационных файлов см. man cupsd.conf.

Для того, чтобы такие пользователи могли применять сделанные ими изменения конфигурации им должно быть предоставлено право перезапускать службу печати. Это можно сделать создав файл /etc/sudoers.d/lpadmins со следующим содержимым:

%lpadmin ALL=(ALL:ALL) NOPASSWD: /usr/bin/systemctl restart cups %lpadmin ALL=(ALL:ALL) NOPASSWD: /usr/bin/systemctl stop cups %lpadmin ALL=(ALL:ALL) NOPASSWD: /usr/bin/systemctl start cups %lpadmin ALL=(ALL:ALL) NOPASSWD: /usr/bin/systemctl status cups

В приведенном примере пользователям, входящим в группу lpadmin, разрешается использовать sudo для перезапуска, остановки, запуска службы печати cups и проверки её состояния. Подробнее см. man sudoers.

При работе в Astra Linux с включенным МКЦ для управления службой печати пользователю требуется высокая целостность.

Предоставление пользователям прав на выполнение административных действий с классификационными метками (маркировка документов)

Пользователи, работающие с маркировкой заданий печати в Astra Linux Special Edition, должны быть включены в локальную группу lpmac (создается при установке ОС) или группу lpmac_ald (предназначена для использования в доменах и должна быть создана вручную). Имена этих групп задаются в параметре MacAdmin в конфигурационном файле /etc/cups/cupsd.conf (параметр используется отдельно для каждого определяемого ресурса).

Включение удаленного администрирования сервера печати

После установки службы по умолчанию разрешено только локальное администрирование, т.е. принимаются только обращения через адрес localhost. Обращения через полное имя хоста не принимаются.
Удаленное администрирование может быть разрешено:

  1. В web-интерфейсе через соответствующий пункт в меню web-интерфейса.
  2. Из командной строки можно использовать команду:

Включение удаленного использования принтеров

После установки службы по умолчанию запрещено удаленное использование принтеров, подключенных к серверу печати.
Удаленное использование принтеров может быть разрешено:

  1. В web-интерфейсе через соответствующий пункт в меню web-интерфейса.
  2. Из командной строки командой :
  • —share-printers — указание включить разделение принтеров;
  • —remote-any — разрешение принимать задания печати с любых адресов (по умолчанию задания печати разрешено получать только от компьютеров, находящихся в той же подсети, что и сервер);
  • ServerAlias — «псевдоним» сервера печати. Служба cups принимает только HTTP-обращения, содержащие указанный в этом параметре псевдоним (подразумевается, что псевдонимы разрешаются в IP-адреса с помощью настроенной службы DNS). Можно указать метасимвол «*» (звездочка) для обозначения любых псевдонимов. При необходимости в конфигурационном файле можно указать несколько псевдонимов, разделенных пробелами (в команде cupsctl такая возможность не поддерживается). Для того, чтобы псевдонимы работали, должно быть разрешено удаленное администрирование, иначе разрешен только псевдоним localhost.

Источник

Возможности реализации требований РД «СВТ. Защита от НСД к информации. Показатели защищенности от несанкционированного доступа к информации» (РД СВТ) средствами операционной системы специального назначения Astra Linux Special Edition, очередное обновление 1.6 и 8.1

Возможности реализации требований РД «СВТ. Защита от НСД к информации. Показатели защищенности от несанкционированного доступа к информации» (РД СВТ) средствами операционной системы специального назначения Astra Linux Special Edition, очередное обновление 1.6 и 8.1

В следующей таблице приведены возможности реализации мер защиты согласно руководящему документу РД СВТ. Информация о гарантиях проектирования, составе конструкторской документации и контроле модификации не приведена в эксплуатационной документации на ОС. При разработке и сертификации СВТ на соответствие РД СВТ разработчикам СВТ необходимо разработать собственные документы по настоящим разделам.

Дискреционный принцип контроля доступа.

Для каждой пары (субъект – объект) в СВТ должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т.д.), т.е. тех типов доступа, которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу СВТ (объекту).

КСЗ должен содержать механизм, претворяющий в жизнь дискреционные правила разграничения доступа.

Контроль доступа должен быть применим к каждому объекту и каждому субъекту (индивиду или группе равноправных индивидов).

Механизм, реализующий дискреционный принцип контроля доступа, должен предусматривать возможности санкционированного изменения ПРД, в том числе возможность санкционированного изменения списка пользователей СВТ и списка защищаемых объектов.

Дискреционное управление доступом применяется к каждой сущности и каждому субъекту. Определяются три вида доступа: чтение (read, r), запись (write, w) и исполнение (execution, x). Права доступа включают список (битовую маску) из девяти пунктов: по три вида доступа для трех классов — пользователя-владельца, группы-владельца и всех остальных. Каждый пункт в этом списке может быть либо разрешен, либо запрещен (равен 1 или 0).

Дополнительно в Astra Linux механизмом дискреционных ПРД поддерживаются списки контроля доступа ACL (Access Control List), реализованные на основе расширенных атрибутов файловых систем.

Реализация механизма дискреционных ПРД обеспечивает наличие для каждой пары (субъект-сущность) явное и недвусмысленное перечисление разрешенных типов доступа.

Мандатный принцип контроля доступа.

Для работы с подсистемой протоколирования могут использоваться средства управления протоколированием в режиме командной строки (setfaud, getfaud, useraud, psaud), а также графические утилиты, которые позволяют настраивать параметры регистрации событий и просмотра протоколов:
— fly-admin-smc («Управление политикой безопасности») — управление протоколированием, привилегиями и мандатными атрибутами пользователей, работа с пользователями и группами;
— system-config-audit («Конфигурация аудита») — включение и выключение регистрации событий аудита, настройка auditd, настройка журнала аудита, а также добавление, удаление и редактирование правил аудита;

Источник

Возможности реализации требований по защите информации в автоматизированных системах различных классов в соответствии с руководящим документом «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (Гостехкомиссия России, 1992 г.) средствами операционной системы специального назначения Astra Linux Special Edition, РУСБ.10015-01 очередное обновление 1.6 и 8.1

Требования по защите информации и способы реализации меры защиты с использованием штатных средств Astra Linux

Требования по защите информации Классы АС Средства реализации Способ реализации меры защиты с использованием штатных средств Astra Linux Компоненты Astra Linux
Раздел Подсистемы и функции Требования








ОВ







СС







С




ДСП



ПД
1 I. Подсистема управления доступом












1 1.1. Идентификация, проверка подлинности и контроль доступа субъектов:
1 — в систему Должны осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного/временного действия длиной не менее указанного количества буквенно-цифровых символов; 6 6 6 6 6 8 6 6 Средства Astra Linux Идентификация и проверка подлинности субъектов доступа осуществляется локально (PAM) или централизованно с помощью организации единого пространства пользователей (ЕПП), в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации.
Решение задачи идентификации и аутентификации локальных пользователей в Astra Linux основывается на использовании механизма PAM. Если Astra Linux не настроен для работы в ЕПП, то аутентификация осуществляется с помощью локальной БД пользователей.
При использовании ЕПП аутентификация пользователей осуществляется централизованно по протоколу Kerberos.
Концепция ЕПП подразумевает хранение системной информации о пользователе (включая доступные мандатные уровни и категории) централизованно в службе каталогов LDAP.
Для управления пользователями, группами и настройками их атрибутов используется графическая утилита, соответствующие настройки обеспечивают требования к длине пароля.
Локальная идентификация и аутентификация (PAM),
Сквозная аутентификация (ЕПП), Управление политикой безопасности fly-admin-smc (Пользователи, Политики учетной записи). Управление доменным пользователями (FreeIPA,ALD)
Должны осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по биометрическим характеристикам или специальным устройствам (жетонам, картам, электронным ключам) и паролю временного действия длиной не менее восьми буквенно-цифровых символов 8 Средства Astra Linux
СДЗ, Токены
Идентификация и проверка подлинности субъектов доступа осуществляется локально (PAM) или централизованно с помощью организации единого пространства пользователей (ЕПП), в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации.

Источник

Читайте также:  Linux to do list software
Оцените статью
Adblock
detector