- Astra Linux Special Edition — Форум по вопросам информационной безопасности
- Astra Linux Special Edition — Форум по вопросам информационной безопасности
- Astra Linux Special Edition — Форум по вопросам информационной безопасности
- Astra Linux Special Edition — Форум по вопросам информационной безопасности
- Система печати CUPS в Astra Linux
- Встроенный сервер печати
- Предоставление пользователям прав на выполнение административных действий
- Предоставление пользователям прав на выполнение административных действий с классификационными метками (маркировка документов)
- Включение удаленного администрирования сервера печати
- Включение удаленного использования принтеров
- Убрать маркировку документов astra linux
Astra Linux Special Edition — Форум по вопросам информационной безопасности
Astra Linux Special Edition — Форум по вопросам информационной безопасности
Здравствуйте, уважаемые коллеги!
В одну из организаций поставили машину с установленной ОС Astra Linux Special Edition для обработки ГТ по 2 категории. Обязательно ли к ней покупать плату доверенной загрузки?
К ней-то покупать не обязательно (впрочем, нужно почитать, чего там пишут в формуляре, какие условия по применению), а вот требования РД ФСТЭК выполнять обязательно.
Вдогонку:
если применяется Астра РУСБ.10015-07 по линии ФСБ, то в формуляре явное требование наличия сертифицированных АПМДЗ. На объектах Минобороны тоже АПМДЗ требуют.
Будет применяться релиз «Смоленск» по линии ФСТЭК.
Если я вас правильно понял, коллеги, то мы на текущий момент, применяя данную ОС без АПМДЗ, никаких требований ФСТЭК не нарушим?
Да, у ФСТЭК на данный момент на сей счет белое пятно. А в формуляре Астры на ФСТЭК-версию требований по обязательному наличию АПМДЗ нет.
По ФСТЭК после ИК скоро будет Антивирус Касперского 8.0 для Linux File Servers (сейчас пока только по Минобороны).
http://support.kaspersky.ru/general/certificates/12509
Dr.Web Enterprise Security Suite (серт 3509) работает под Астрой в режиме ЗПС, но под мандатной меткой работает с ограничениями
to Евгений
Антивирусная защита? Это же навесное СЗИ по отношению к Астре. DrWeb for Linux, KES for Linux — и вперед, у них собственные сертификаты. Или в составе Астры хотят и антивирус протащить под сертификацию? Или речь идет о номинальном сертификате совместимости какого-то антивирусного продукта с Астрой?
Вот, что ответила тех. поддержка Русбитех :
Операционная система специального назначения «Astra Linux Special Edition» соответствует РД СВТ по 3 классу и РД НДВ по 2 уровню, предназначена для создания на ее основе автоматизированных систем в защищенном исполнении, обрабатывающих информацию со степенью секретности «совершенно секретно» включительно.
Сертификат соответствия ФСТЭК России № 2557 от 27.01.2012 г., действующий до 27.01.2018 г. (По истечению срока действия, сертификат продлевается)
Описание классов защищенности АС доступно на нашем сайте: ссылка.
Для достижения класса АС 2А требуется применение модулей доверенной загрузки, а также межсетевого экрана класса 2.
Все-таки требуется плата получается?
Astra Linux Special Edition — Форум по вопросам информационной безопасности
Astra Linux Special Edition — Форум по вопросам информационной безопасности
Здравствуйте, уважаемые коллеги!
В одну из организаций поставили машину с установленной ОС Astra Linux Special Edition для обработки ГТ по 2 категории. Обязательно ли к ней покупать плату доверенной загрузки?
К ней-то покупать не обязательно (впрочем, нужно почитать, чего там пишут в формуляре, какие условия по применению), а вот требования РД ФСТЭК выполнять обязательно.
Вдогонку:
если применяется Астра РУСБ.10015-07 по линии ФСБ, то в формуляре явное требование наличия сертифицированных АПМДЗ. На объектах Минобороны тоже АПМДЗ требуют.
Будет применяться релиз «Смоленск» по линии ФСТЭК.
Если я вас правильно понял, коллеги, то мы на текущий момент, применяя данную ОС без АПМДЗ, никаких требований ФСТЭК не нарушим?
Да, у ФСТЭК на данный момент на сей счет белое пятно. А в формуляре Астры на ФСТЭК-версию требований по обязательному наличию АПМДЗ нет.
По ФСТЭК после ИК скоро будет Антивирус Касперского 8.0 для Linux File Servers (сейчас пока только по Минобороны).
http://support.kaspersky.ru/general/certificates/12509
Dr.Web Enterprise Security Suite (серт 3509) работает под Астрой в режиме ЗПС, но под мандатной меткой работает с ограничениями
to Евгений
Антивирусная защита? Это же навесное СЗИ по отношению к Астре. DrWeb for Linux, KES for Linux — и вперед, у них собственные сертификаты. Или в составе Астры хотят и антивирус протащить под сертификацию? Или речь идет о номинальном сертификате совместимости какого-то антивирусного продукта с Астрой?
Вот, что ответила тех. поддержка Русбитех :
Операционная система специального назначения «Astra Linux Special Edition» соответствует РД СВТ по 3 классу и РД НДВ по 2 уровню, предназначена для создания на ее основе автоматизированных систем в защищенном исполнении, обрабатывающих информацию со степенью секретности «совершенно секретно» включительно.
Сертификат соответствия ФСТЭК России № 2557 от 27.01.2012 г., действующий до 27.01.2018 г. (По истечению срока действия, сертификат продлевается)
Описание классов защищенности АС доступно на нашем сайте: ссылка.
Для достижения класса АС 2А требуется применение модулей доверенной загрузки, а также межсетевого экрана класса 2.
Все-таки требуется плата получается?
Система печати CUPS в Astra Linux
Раздел «Ограничение отображения сетевых принтеров в LibreOffice» применим к Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) с установленным обновлением БЮЛЛЕТЕНЬ № 20210611SE16 (оперативное обновление 7) и более поздним обновлениям.
Раздел «Ограничение видимости заданий (Astra Linux Special Edition 1.6.9 и Astra Linux Common Edition 2.12.43)» применим только к Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) с установленным обновлением БЮЛЛЕТЕНЬ № 20211008SE16 (оперативное обновление 9) и к более поздним обновлениям, а также к Astra Linux Common Edition 2.12.43.
Раздел «Настройка аутентификации Kerberos» применим только к Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7) с установленным обновлением БЮЛЛЕТЕНЬ № 2021-1126SE17 (оперативное обновление 1.7.1) (версия cups 2.3.3op2-4astra.se9 и выше).
Встроенный сервер печати
Сервер печати CUPS входит в стандартные дистрибутивы Astra Linux и автоматически устанавливается и запускается при инсталляции ОС. Проверить статус сервера можно командой
После установки администрирование сервера печати, находящегося на локальном сервере, может осуществляться:
- С помощью графического администратора печати fly-admin-printer.
- Через web-интерфейс с помощью web-браузера. Адрес для доступа к интерфейсу администрирования:
Предоставление пользователям прав на выполнение административных действий
Пользователи, от имени которых будут выполняться действия по настройке принтеров не связанные с мандатным управлением доступом, должны быть включены в группу lpadmin (локальная группа, используемая «по умолчанию») или в другую группу, указанную в списке значений параметра SystemGroup в конфигурационном файле /etc/cups/cups-files.conf.
В Astra Linux Special Edition x.7 с включенным МКЦ администраторы службы печати для внесения изменений в конфигурацию службы должны иметь высокую целостность.
Кроме того, разрешения на выполнение операций для отдельных пользователей и групп могут быть явно заданы в описаниях ресурсов в конфигурационном файле /etc/cups/cupsd.conf. Пример использования доменной группы приведен далее в разделе про настройку аутентификации Kerberos, подробное описание форматов конфигурационных файлов см. man cupsd.conf.
Для того, чтобы такие пользователи могли применять сделанные ими изменения конфигурации им должно быть предоставлено право перезапускать службу печати. Это можно сделать создав файл /etc/sudoers.d/lpadmins со следующим содержимым:
%lpadmin ALL=(ALL:ALL) NOPASSWD: /usr/bin/systemctl restart cups %lpadmin ALL=(ALL:ALL) NOPASSWD: /usr/bin/systemctl stop cups %lpadmin ALL=(ALL:ALL) NOPASSWD: /usr/bin/systemctl start cups %lpadmin ALL=(ALL:ALL) NOPASSWD: /usr/bin/systemctl status cups
В приведенном примере пользователям, входящим в группу lpadmin, разрешается использовать sudo для перезапуска, остановки, запуска службы печати cups и проверки её состояния. Подробнее см. man sudoers.
При работе в Astra Linux с включенным МКЦ для управления службой печати пользователю требуется высокая целостность.
Предоставление пользователям прав на выполнение административных действий с классификационными метками (маркировка документов)
Пользователи, работающие с маркировкой заданий печати в Astra Linux Special Edition, должны быть включены в локальную группу lpmac (создается при установке ОС) или группу lpmac_ald (предназначена для использования в доменах и должна быть создана вручную). Имена этих групп задаются в параметре MacAdmin в конфигурационном файле /etc/cups/cupsd.conf (параметр используется отдельно для каждого определяемого ресурса).
Включение удаленного администрирования сервера печати
После установки службы по умолчанию разрешено только локальное администрирование, т.е. принимаются только обращения через адрес localhost. Обращения через полное имя хоста не принимаются.
Удаленное администрирование может быть разрешено:
- В web-интерфейсе через соответствующий пункт в меню web-интерфейса.
- Из командной строки можно использовать команду:
Включение удаленного использования принтеров
После установки службы по умолчанию запрещено удаленное использование принтеров, подключенных к серверу печати.
Удаленное использование принтеров может быть разрешено:
- В web-интерфейсе через соответствующий пункт в меню web-интерфейса.
- Из командной строки командой :
- —share-printers — указание включить разделение принтеров;
- —remote-any — разрешение принимать задания печати с любых адресов (по умолчанию задания печати разрешено получать только от компьютеров, находящихся в той же подсети, что и сервер);
- ServerAlias — «псевдоним» сервера печати. Служба cups принимает только HTTP-обращения, содержащие указанный в этом параметре псевдоним (подразумевается, что псевдонимы разрешаются в IP-адреса с помощью настроенной службы DNS). Можно указать метасимвол «*» (звездочка) для обозначения любых псевдонимов. При необходимости в конфигурационном файле можно указать несколько псевдонимов, разделенных пробелами (в команде cupsctl такая возможность не поддерживается). Для того, чтобы псевдонимы работали, должно быть разрешено удаленное администрирование, иначе разрешен только псевдоним localhost.
Убрать маркировку документов astra linux
Пример упрощённой настройки
Далее приводится пример упрощённой настройки CUPS без авторизации, маркировки и мандатных атрибутов:
Присвоить клиенту и серверу имена. Пример содержимого файла /etc/hosts:
127.0.0.1 localhost
192.168.1.8 astra-client.myserver.ru astra-client
192.168.1.7 astra.myserver.ru astra
1. Восстановить исходной файл конфигурации /etc/cups/cupsd.conf из файла /usr/share/cups/cupsd.conf.default (если требуется).
2. На сервере установить драйвер и настроить принтер.
Для принтера необходимо разрешить общий доступ и выставить политику операций «default» (вкладки «параметры» и «MAC» в fly-admin-printer).
3. Настроить файл /etc/cupsd.conf на сервере, для чего от имени администратора печать выполнить последовательно команды:
cupsctl —remote-admin —share-printers —remote-any
cupsctl ServerAlias=*
cupsctl ServerName=astra.myserver.ru
cupsctl MacEnable=Off
4. Отредактировать файл /etc/cupsd.conf, заменив строку Port 631 на Listen 0.0.0.0:631.
5. Для работы на ненулевых уровнях конфиденциальности:
В Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5):
1. Добавить строку /usr/sbin/cupsd в /etc/parsec/privsock.conf и перезагрузить сервер;
В Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6),
Astra Linux Special Edition РУСБ.10015-16,
Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1):
1. Добавить строчку CapabilitiesParsec=PARSEC_CAP_PRIV_SOCK в секцию [Service] файла /lib/systemd/system/cups.service.
6. На клиенте создать файл /etc/client.conf или ~/.cups/client.conf с именем сервера:
7. На клиенте также можно удалить CUPS:
Маркировка документов в домене.
Маркировка может быть выполнена с компьютера любой архитектуры, имеющего сетевой доступ к серверу печати.
Для этого этого достаточно ввести данный компьютер в домен, установить пакет parsec-cups и настроить согласно руководству администратора, ч. 1, гл. 11. п.4.
Маркировка документов без домена.
Если домен не требуется, то можно настроить маркировку с авторизацией по имени пользователя и паролю. Для этого должны быть выполнены следующие условия:
1. Сервер печати должен быть настроен согласно руководству администратора, ч. 1, гл. 11. п.2.
2. Принтер, подключенный к серверу, должен быть настроен согласно руководству администратора, ч. 1, гл. 11. п.4.
3. Для принтера необходимо разрешить общий доступ и выставить политику операций «parsec» (вкладки «параметры» и «MAC» в fly-admin-printer).
4. На клиенте создать файл /etc/client.conf или ~/.cups/client.conf с именем сервера и пользователем myuser, который на сервере входит в группу lpmac:
1. Имя пользователя в client.conf можно не указывать, если имена пользователей на клиенте и сервере совпадают.
2. Уровень и категория пользователя на клиенте должны быть нулевые.
В этом случае утилита markjob после ввода всех полей запросит пароль, соответствующий пользователю myuser на сервере печати.