Замкнутая программная среда линукс

В этом разделе описаны действия, которые требуется выполнить, чтобы запустить приложение в операционной системе Astra Linux Special Edition.

Для Astra Linux Special Edition (очередное обновление 1.7) и Astra Linux Special Edition (очередное обновление 1.6)

Чтобы запустить приложение в операционной системе Astra Linux Special Edition (очередное обновление 1.7) или Astra Linux Special Edition (очередное обновление 1.6):

Укажите следующие параметры в файле /etc/digsig/digsig_initramfs.conf: DIGSIG_ELF_MODE=1
Установите пакет совместимости: apt install astra-digsig-oldkeys
Создайте директорию для ключа приложения: mkdir -p /etc/digsig/keys/legacy/kaspersky/
Разместите ключ приложения (/opt/kaspersky/kesl/shared/kaspersky_astra_pub_key.gpg) в директории, созданной на предыдущем шаге: cp kaspersky_astra_pub_key.gpg /etc/digsig/keys/legacy/kaspersky/
Обновите образ initramfs: update-initramfs -u -k all

Для Astra Linux Special Edition (очередное обновление 1.5)

Чтобы запустить приложение в операционной системе Astra Linux Special Edition (очередное обновление 1.5):

Укажите следующие параметры в файле /etc/digsig/digsig_initramfs.conf: DIGSIG_LOAD_KEYS=1 DIGSIG_ENFORCE=1
Создайте директорию для ключа приложения: mkdir -p /etc/digsig/keys/legacy/kaspersky/
Разместите ключ приложения (/opt/kaspersky/kesl/shared/kaspersky_astra_pub_key.gpg) в директории, созданной на предыдущем шаге: cp kaspersky_astra_pub_key.gpg /etc/digsig/keys/legacy/kaspersky/
Обновите образ initramfs: sudo update-initramfs -u -k all

Работа с графическим пользовательским интерфейсом приложения поддерживается для сессий с мандатным разграничением доступа.

Источник

Режим замкнутой программной среды

Средства создания замкнутой программной среды предоставляют возможность внедрения цифровой подписи в исполняемые файлы формата ELF, входящие в состав устанавливаемого СПО.
Механизм контроля целостности исполняемых файлов и разделяемых библиотек формата ELF при запуске программы на выполнение реализован в модуле ядра ОС digsig_verif, который является не выгружаемым модулем ядра Linux, и может функционировать в одном из следующих режимов:

Читайте также: Архивация файла в линукс

1) исполняемым файлам и разделяемым библиотекам с неверной ЭЦП, а также без ЭЦП загрузка на исполнение запрещается (штатный режим функционирования);
2) исполняемым файлам и разделяемым библиотекам с неверной ЭЦП, а также без ЭЦП загрузка на исполнение разрешается, при этом выдается сообщение об ошибке проверки ЭЦП (режим для проверки ЭЦП в СПО);
3) ЭЦП при загрузке исполняемых файлов и разделяемых библиотек не проверя ется (отладочный режим для тестирования СПО).

Пример активизации режима замкнутой программной среды

Для запуска замкнутой программной среды выполните:

1) необходимо отредактировать файл /etc/digsig/digsig_initramfs.conf, для проверки режима выставите в нем DIGSIG_LOAD_KEYS=1 и DIGSIG_ENFORCE=0, в дальнейшем можно поменять на 1 1 (потребуется повторное выполнение пунктов 3-5);
2) скопируйте ключи primary_key.gpg и key_for_signing.gpg из /etc/digsig в /etc/digsig/keys/. Скопируйте ключ переданный_Вам_ключ.gpg в /etc/digsig/keys/, если такой имеется;
3) выпоните скрипт /etc/digsig/digsig_initramfs;
4) выпоните команду update-initramfs -u -k all;
5) перезагрузите компьютер.

Этого достаточно для включения режима замкнутой программной среды.

Для подписи Ваших пакетов воспользуйтесь этим скриптом, только замените в нем идентификатор ключа. Перед подписыванием пакетов необходимо импортировать секретный и публичный ключи переданные Вашей организации (gpg —import ***.gpg, gpg —import ***.key). Посмотреть идентификатор импортированного ключа можно командой gpg —list-keys.

Отдельные файлы ELF можно подписать командой bsign -s, секретный и публичный ключи переданные Вашей организации должны быть импортированы.

Источник

Уровни конфиденциальности

По умолчанию в системе мандатного контроля доступа ОС Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) настроено 4 уровня конфиденциальности:

При необходимости, количество уровней конфиденциальности может быть увеличено до 255.

Для того, чтобы определить уровни конфиденциальности выше созданных по умолчанию,
и назначать их пользователям, необходимо:

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Панель Управления ->
Безопасность ->
Политика безопасности ->
Мандатные атрибуты ->
Уровни целостности

Управление в консольном режиме:

userlev
0 Уровень_0
1 Уровень_1
2 Уровень_2
3 Уровень_3

Режим Мандатного Контроля Целостности

Управление в графическом режиме с помощью графического инструмента fly-admin-smc :

Панель Управления ->
Безопасность ->
Политика безопасности ->
Мандатный контроль целостности

Управление в консольном режиме:

cat /proc/cmdline | grep «parsec.max_ilev»

Режим Мандатного Контроля Целостности ФС

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Управление в консольном режиме

Режим ЗПС (замкнутой программной среды) в исполняемых файлах

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Блокировка консоли для пользователей

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Управление в консольном режиме

systemctl is-enabled astra-console-lock
enabled включен
disabled выключен
Failed to get unit file state . сервис не активирован

Блокировка интерпретаторов

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Управление в консольном режиме

systemctl is-enabled astra-interpreters-lock
enabled включен
disabled выключен
Failed to get unit file state . сервис не активирован

Блокировка установки бита исполнения

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Управление в консольном режиме

cat /parsecfs/nochmodx
1 включен
0 выключен

Блокировка макросов

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Управление в консольном режиме

systemctl is-enabled astra-macros-lock
enabled включен
disabled выключен
Failed to get unit file state . сервис не активирован

Блокировка трассировки ptrace

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Панель Управления -> Безопасность -> Политика безопасности -> Настройки безопасности -> Параметры ядра

Управление в консольном режиме

systemctl is-enabled astra-ptrace-lock
enabled включен
disabled выключен
Failed to get unit file state . сервис не активирован

Читайте также: Linux read mail console

Гарантированное удаление файлов и папок

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Панель Управления -> Безопасность -> Политика безопасности -> Настройки безопасности -> Политика очистки памяти

Управление в консольном режиме

Межсетевой экран ufw

Управление в графическом режиме

Управление в консольном режиме

ufw status
Status: active включен
Status: inactive выключен

Системные ограничения ulimits

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Управление в консольном режиме

systemctl is-enabled astra-ulimits-control
enabled включен
disabled выключен
Failed to get unit file state . сервис не активирован

Блокировка клавиш SysRq

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Панель Управления -> Безопасность -> Политика безопасности -> Настройки безопасности -> Параметры ядра

Управление в консольном режиме

sysctl -w kernel.sysrq=0
sysctl -w kernel.sysrq=1

cat /proc/sys/kernel/sysrq
0 включен
1 выключен

Режим ЗПС (замкнутой программной среды) в расширенных атрибутах

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Панель Управления -> Безопасность -> Политика безопасности -> Замкнутая программная среда

Графический киоск

Управление в графическом режиме с помощью графического инструмента fly-admin-smc:

Системный киоск

Управление в графическом режиме с помощью графического инструмента fly-admin-kiosk:

Источник