Astra Linux Special Edition (очередное обновление 1.7)#

Описание применения#

СОДЕРЖАНИЕ

1. Назначение программы
1.1. Назначение
1.2. Основные характеристики
1.3. Возможности
1.4. Функции безопасности
2. Условия применения
2.1. Требования к техническим средствам
2.2. Совместимость с оборудованием
2.3. Порядок эксплуатации
2.4. Правовой аспект использования функций безопасности
3. Порядок обновления ОС
3.1. Очередное (плановое) обновление
3.2. Оперативное (внеочередное) обновление
4. Описание задачи
4.1. Классы решаемых задач
4.1.1. Обеспечение пользовательского интерфейса
4.1.2. Идентификация и аутентификация
4.1.3. Организация единого пространства пользователей
4.1.4. Дискреционное управление доступом
4.1.5. Мандатное управление доступом и мандатный контроль целостности
4.1.6. Изоляция процессов
4.1.7. Регистрация событий безопасности
4.1.8. Очистка оперативной и внешней памяти
4.1.9. Контроль целостности
4.1.10. Ограничение программной среды
4.1.10.1. Замкнутая программная среда
4.1.10.2. Системные ограничения и блокировки
4.1.11. Фильтрация сетевого потока
4.1.12. Обеспечение работы в среде виртуализации
4.1.13. Сервис электронной подписи
4.1.14. Маркировка документов
4.1.15. Обеспечение работы в отказоустойчивом режиме
4.1.16. Обеспечение надежного функционирования
4.1.17. Обеспечение доступа к БД
4.1.17.1. Идентификация и аутентификация
4.1.17.2. Управление доступом
4.1.17.3. Регистрация событий безопасности
4.1.17.4. Обеспечение надежного функционирования
4.1.18. Гипертекстовая обработка данных
4.1.19. Обмен сообщениями электронной почты
5. Входные и выходные данные

Руководство администратора. Часть 1#

СОДЕРЖАНИЕ

1. Администрирование ОС
1.1. Получение прав суперпользователя
1.1.1. su
1.1.2. sudo
1.2. Механизмы разделения полномочий
1.2.1. Механизм привилегий
1.2.2. Механизм повышения полномочий
1.2.3. Механизм установки ACL на файлы
2. Установка и настройка ОС
2.1. Общие положения
2.2. Установка с DVD-диска
2.2.1. Запуск программы установки
2.2.2. Установка ОС
2.2.3. Дополнительные настройки ОС
2.3. Первичная настройка ОС
2.3.1. Базовый уровень защищенности («Орел»)
2.3.2. Усиленный уровень защищенности («Воронеж»)
2.3.3. Максимальный уровень защищенности («Смоленск»)
2.4. Создание LiveCD
2.5. Обновление ОС
2.6. Установка и обновление ОС в режиме «Мобильный»
2.6.1. Подготовка к установке
2.6.2. Установка
2.6.3. Настройка установленной ОС
2.6.3.1. Начальная настройка ОС
2.6.3.2. Настройка виртуальной клавиатуры
2.6.4. Обновление ОС
3. Системные компоненты
3.1. Управление устройствами
3.1.1. Типы устройств
3.1.2. Жесткие диски
3.1.3. Разделы жесткого диска
3.1.3.1. Разбиение жесткого диска
3.1.3.2. Расширенный и логические разделы
3.1.3.3. Файлы устройств и разделы
3.1.4. Форматирование
3.1.5. Программная организация дисковых разделов в RAID и тома LVM
3.1.6. Разделы диска в режиме «Мобильный»
3.2. Управление ФС
3.2.1. Общие сведения
3.2.2. Создание
3.2.3. Монтирование
3.2.3.1. mount
3.2.3.2. fstab
3.2.4. Размонтирование
3.3. Управление пользователями
3.3.1. Работа с пользователями
3.3.1.1. Добавление пользователя
3.3.1.2. Установка пароля пользователя
3.3.1.3. Удаление пользователя
3.3.1.4. Неудачный вход в систему
3.3.2. Работа с группами
3.3.2.1. Добавление
3.3.2.2. Удаление
3.3.3. Рабочие каталоги пользователей
3.4. Перезагрузка и выключение
3.4.1. shutdown
3.4.2. halt и reboot
4. Системные службы, состояния и команды
4.1. Системные службы
4.1.1. Управление службами
4.1.2. Конфигурационные файлы systemd
4.2. Системные (целевые) состояния
4.3. Системные команды
4.3.1. Планирование запуска команд
4.3.1.1. at
4.3.1.2. cron
4.3.2. Администрирование многопользовательской и многозадачной среды
4.3.2.1. who
4.3.2.3. nohup
4.3.2.4. nice
4.3.2.5. renice
4.3.2.6. kill
5. Управление программными пакетами
5.1. dpkg
5.2. apt
5.2.1. Настройка доступа к репозиториям
5.2.2. Установка и удаление пакетов
6. Базовые сетевые службы
6.1. Сеть TCP/IP
6.1.1. Пакеты и сегментация
6.1.2. Адресация пакетов
6.1.3. Маршрутизация
6.1.3.1. Таблица
6.1.3.2. Организация подсетей
6.1.4. Создание сети TCP/IP
6.1.4.1. Планирование сети
6.1.4.2. Назначение lP-адресов
6.1.4.3. Настройка сетевых интерфейсов
6.1.4.4. Настройка статических маршрутов
6.1.5. Проверка и отладка сети
6.1.5.1. ping
6.1.5.2. netstat
6.1.5.3. arp
6.2. Cлужба FTP
6.2.1. Клиентская часть
4.3.2.2. ps
6.2.2. Сервер vsftpd
6.3. Служба DHCP
6.4. Служба NFS
6.4.1. Установка и настройка сервера
6.4.2. Установка и настройка клиента
6.5. Служба DNS
6.5.1. Установка DNS-сервера
6.5.2. Настройка сервера службы доменных имен named
6.5.3. Настройка клиентов для работы со службой доменных имен
6.6. Настройка SSH
6.6.1. Служба ssh
6.6.2. Клиент ssh
6.7. Службы точного времени
6.7.1. Служба сетевого времени ntp
6.7.1.1. Режимы работы
6.7.1.2. Установка и базовая настройка сервера времени
6.7.1.3. Конфигурационный файл ntp.conf
6.7.1.4. Настройка аутентификации
6.7.1.5. ntpd
6.7.1.6. ntpq
6.7.1.7. ntpdate
6.7.1.8. ntptrace
6.7.1.9. Методы синхронизации системных часов
6.7.1.10. Синхронизация времени в виртуальной среде
6.7.2. Служба timesyncd
6.7.2.1. Настройка
6.7.2.2. Выбор серверов времени
6.7.3. Служба chronyd
6.7.3.1. Установка
6.7.3.2. Настройка
6.7.4. Служба времени высокой точности PTP
6.7.4.1. Проверка оборудования
6.7.4.2. Установка
6.7.4.3. Настройка службы
6.7.4.4. Настройка режима интерпретации показаний аппаратных часов
6.8. Программный коммутатор Open vSwitch
6.8.1. Основные модули
6.8.2. Установка и настройка Open vSwitch
6.8.3. Добавление порта
6.8.4. Конфигурирование правил обработки пакетов
6.8.5. Пример создания сетевого моста в Open vSwitch
6.8.6. Регистрация событий
6.8.6.1. Встроенные средства регистрации
6.8.6.2. Регистрация событий безопасности
6.8.6.3. Аудит IP-пакетов
6.9. Сетевая защищенная файловая система
6.9.1. Назначение и возможности
6.9.2. Состав
6.9.3. Настройка
6.9.4. Графическая утилита настройки СЗФС
6.9.5. Запуск сервера
6.9.6. Правила конвертации меток целостности
6.10. Средство создания защищенных каналов
6.10.1. Установка
6.10.2. Управление с помощью инструмента командной строки
6.10.2.1. Параметры инструмента командной строки
6.10.2.2. Запуск службы
6.10.2.3. Генерация сертификатов и ключей
6.10.2.4. Отзыв сертификатов
6.10.2.5. Замена сертификатов
6.10.2.6. Настройка клиента
6.10.3. Управление службой с помощью графической утилиты
6.10.3.1. Управление службой
6.10.3.2. Настройка службы
6.10.3.3. Управление сертификатами
6.10.3.4. Настройка клиента
6.10.4. Диагностика работы службы и клиента
6.10.5. Использование инструмента XCA для создания собственного удостоверяющего центра
6.10.5.1. Установка инструмента XCA
6.10.5.2. Подготовка шаблонов
6.10.5.3. Типовая схема применения инструмента XCA
6.10.5.4. Создание корневого сертификата удостоверяющего центра
6.10.5.5. Создание сертификата сервера
6.10.5.6. Создание сертификата клиента
6.10.5.7. Экспорт корневого сертификата удостоверяющего центра
6.10.5.8. Экспорт файлов сертификатов и ключей сервера
6.10.5.9. Экспорт файлов сертификатов и ключей клиента
6.10.5.10. Отзыв сертификатов
6.11. Средство удаленного администрирования Ansible
6.11.1. Состав
6.11.2. Установка и настройка Ansible
6.11.3. Сценарии Ansible
7. Средства обеспечения отказоустойчивости и высокой доступности
7.1. Pacemaker и Corosync
7.1.1. Установка
7.1.2. Пример настройки кластера
7.2. Keepalived
7.2.1. Установка
7.2.2. Пример настройки
7.3. Распределенная файловая система Ceph
7.3.1. Развертывание Ceph с помощью средства ceph-deploy
7.3.2. Использование кластера Ceph
7.4. Средство эффективного масштабирования HAProxy
7.4.1. Установка
7.4.2. Настройка
8. Средства организации ЕПП
8.1. Архитектура ЕПП
8.1.1. Механизм NSS
8.1.2. Механизм PAM
8.1.3. Служба каталогов LDAP
8.1.4. Доверенная аутентификация Kerberos
8.1.5. Централизация хранения атрибутов СЗИ в распределенной сетевой среде
8.2. Служба Astra Linux Directory
8.2.1. Состав
8.2.2. Установка
8.2.3. Настройка
8.2.4. Шаблоны конфигурационных файлов
8.2.4.1. Конфигурационные файлы LDAP
8.2.4.2. Конфигурационные файлы Kerberos
8.2.4.3. Конфигурационные файлы Samba
8.2.4.4. Распространение конфигурационных файлов в домене
8.2.5. Сценарии сессии пользователя
8.2.6. Администрирование домена
8.2.6.1. Управление конфигурацией домена
8.2.6.2. Использование RPC интерфейса
8.2.6.3. Управление учетными записями
8.2.6.4. Ограничения по выборке данных из LDAP
8.2.6.5. Регистрация действий администратора и протоколирование
8.2.6.6. Домашние каталоги и особенности монтирования сетевых ФС
8.2.6.7. Создание резервных копий и восстановление
8.2.6.8. Доверительные отношения между доменами
8.2.6.9. Создание резервного сервера ALD
8.2.6.10. Замена основного сервера резервным
8.2.7. Проверка целостности конфигурации и устранение ошибок
8.3. Служба FreeIPA
8.3.1. Структура
8.3.2. Состав
8.3.3. Установка и удаление
8.3.4. Настройка контроллера домена
8.3.5. Запуск службы FreeIPA
8.3.5.1. Запуск с использованием графической утилиты
8.3.5.2. Запуск с использованием инструмента командной строки
8.3.5.3. Управление службами FreeIPA
8.3.6. Ввод компьютера в домен
8.3.6.1. Настройка клиентского компьютера
8.3.6.2. Ввод компьютера в домен с использованием инструмента командной строки
8.3.6.3. Ввод компьютера в домен с использованием графической утилиты
8.3.6.4. Отображение списка доменных учетных записей в окне входа в ОС
8.3.7. Шаблоны конфигурационных файлов
8.3.8. Администрирование домена
8.3.8.1. Создание резервной копии и восстановление
8.3.8.2. Создание резервного сервера FreeIPA
8.3.9. Доверительные отношения между доменами
8.3.9.1. Общие сведения
8.3.9.2. Предварительная настройка
8.3.9.3. Настройка синхронизация времени
8.3.9.4. Инициализация доверительных отношений
8.3.9.5. Проверка установки доверительных отношений
8.3.10. Создание самоподписанного сертификата
8.3.10.1. Создание сертификата с помощью инструмента XCA
8.3.10.2. Создание сертификата с помощью инструмента командной строки
8.3.11. Настройка web-сервера Apache2 для работы в домене FreeIPA
8.3.11.1. Настройка авторизации Kerberos
8.3.11.2. Настройка защищенных соединений SSL с использованием сертификатов
8.3.11.3. Настройка каталогов для работы с конфиденциальными данными
8.3.12. Сквозная аутентификация в СУБД
8.3.13. Web-интерфейс FreeIPA
8.3.13.1. Установка мандатных атрибутов (user mac)
8.3.13.2. Установка привилегий PARSEC (parsec cap)
8.4. Samba
8.4.1. Настройка контроллера домена
8.4.2. Настройка участников домена
8.5. Настройка сетевых служб
9. Виртуализация среды исполнения
9.1. Cредства виртуализации
9.1.1. Сервер виртуализации libvirt
9.1.2. Служба сервера виртуализации libvirtd
9.1.3. Конфигурационные файлы сервера виртуализации
9.1.4. Консольный интерфейс virsh
9.1.5. Графическая утилита virt-manager
9.1.6. Средства эмуляции аппаратного обеспечения на основе QEMU
9.1.7. Идентификация и аутентификация при доступе к серверу виртуализации libvirt
9.1.8. Идентификация и аутентификация при доступе к рабочему столу виртуальных машин
9.2. Контейнеризация
9.2.1. Установка Docker
9.2.2. Работа с Docker
9.2.2.1. Создание образа Docker
9.2.2.2. Копирование образа
9.2.2.3. Создание и работа с контейнерами
9.2.2.4. Запуск контейнеров на выделенном уровне МКЦ
9.2.2.5. Монтирование файловых ресурсов хостовой машины в контейнер
9.2.3. Работа с Docker в непривилегированном режиме
10. Защищенный комплекс программ гипертекстовой обработки данных
10.1. Настройка сервера
10.2. Режим работы AstraMode
10.3. Настройка авторизации
10.4. Настройка для работы в ЕПП
10.4.1. Настройка для работы со службой FreeIPA
10.4.2. Настройка для работы со службой ALD
11. Защищенная графическая подсистема
11.1. Конфигурирование менеджера окон и рабочего стола в зависимости от типа сессии
11.2. Рабочий стол как часть экрана
11.3. Удаленный вход по протоколу XDMCP
11.4. Решение возможных проблем с видеодрайвером Intel
11.5. Автоматизация входа в систему
11.6. Рабочий стол Fly
11.7. Блокировка экрана при бездействии
11.8. Мандатное управление доступом
12. Графическая подсистема режима «Мобильный»
12.1. Типы сессий
12.2. Автоматизация входа в систему
12.3. Рабочий стол
13. Защищенный комплекс программ печати и маркировки документов
13.1. Устройство системы печати
13.2. Установка
13.3. Настройка
13.3.1. Настройка для работы с локальной базой безопасности
13.3.2. Настройка для работы в ЕПП
13.3.2.1. Настройка сервера печати
13.3.2.2. Настройка клиента системы печати
13.3.3. Регистрация событий
13.4. Настройка принтера и управление печатью
13.4.1. Общие положения
13.4.2. Команды управления печатью
13.4.2.1. lp
13.4.2.2. lpq
13.4.2.3. lprm
13.4.2.4. lpadmin
13.4.3. Графическая утилита настройки сервера печати
13.5. Маркировка документа
13.6. Маркировка документа в командной строке
13.7. Графическая утилита управления печатью
13.8. Маркировка нескольких экземпляров документа
13.9. Журнал маркировки
14. Защищенная система управления базами данных
15. Защищенный комплекс программ электронной почты
15.1. Состав
15.2. Настройка серверной части
15.2.1. Настройка агента доставки сообщений
15.2.2. Настройка агента передачи сообщений
15.3. Настройка клиентской части
15.4. Настройка для работы в ЕПП
15.4.1. Настройка для работы со службой FreeIPA
15.4.1.1. Настройка почтового сервера
15.4.1.2. Регистрация почтовых служб на контроллере домена
15.4.1.3. Получение таблицы ключей на почтовом сервере
15.4.1.4. Настройка авторизации через Kerberos
15.4.2. Настройка для работы со службой ALD
15.4.2.1. Сервер
15.4.2.2. Клиент
16. Средства аудита и централизованного протоколирования
16.1. Аудит
16.2. Подсистема регистрации событий
16.3. Средства централизованного протоколирования
16.3.1. Архитектура
16.3.2. Сервер
16.3.3. Агенты
16.3.4. Прокси
16.3.5. Web-интерфейс
17. Резервное копирование и восстановление данных
17.1. Виды резервного копирования
17.2. Планирование резервного копирования
17.2.1. Составление расписания резервного копирования
17.2.2. Планирование восстановления системы
17.3. Комплекс программ Bacula
17.3.1. Подготовка инфраструктуры
17.3.2. Настройка Bacula
17.3.2.1. Настройка Bacula Director
17.3.2.2. Настройка Bacula Storage
17.3.2.3. Настройка Bacula File
17.3.2.4. Проверка Bacula
17.4. Утилита копирования rsync
17.5. Утилиты архивирования
17.5.1. tar
17.5.2. cpio
18. Средства разграничения доступа к подключаемым устройствам
18.1. Монтирование съемных накопителей
18.2. Перехват события менеджером устройств udev
18.3. Разграничение доступа к устройствам на основе генерации правил udev
18.4. Вызов сценария обработки события как системной службы
18.5. Сценарий обработки события
18.6. Порядок генерации правил udev для учета съемных накопителей
18.7. Отладка правил
18.8. Регистрация устройств
18.9. Блокировка USB-устройств в режиме «Мобильный»
19. Поддержка средств двухфакторной аутентификации
19.1. Аутентификация с открытым ключом (инфраструктура открытых ключей)
19.2. Средства поддержки двухфакторной аутентификации
19.2.1. Общие сведения
19.2.2. Настройка клиентской машины
19.2.3. Инициализация токена
19.2.4. Использование токена
19.2.5. Разблокировка сессии с ненулевой меткой конфиденциальности с помощью PIN-кода
19.3. Управление сертификатами
19.4. Настройка доменного входа (ЕПП)
20. Сообщения администратору и выявление ошибок
20.1. Диагностические сообщения
20.2. Выявление ошибок
20.3. Циклическая перезагрузка компьютера по причине неверной установки времени

Руководство администратора. Часть 2#

СОДЕРЖАНИЕ

1. Защищенная система управления базами данных
1.1. Назначение
1.2. Состав
1.3. Настройка
1.4. Настройки аутентификации
1.4.1. Использование PAM аутентификации
1.4.2. Использование сквозной аутентификации в ЕПП
1.4.2.1. Cервер
1.4.2.2. Клиент
1.5. Управление кластерами СУБД
1.5.1. Создание кластера - pg_createcluster
1.5.2. Управление кластером - pg_ctlcluster
1.5.3. Удаление кластера - pg_dropcluster
1.5.4. Просмотр состояние кластеров - pg_lsclusters
1.5.5. Обновление кластера - pg_upgradecluster
1.6. Особенности управления разграничением доступа
1.6.1. Мандатное управление доступом
1.6.2. Ограничения при использовании ролевого управления доступом
1.6.3. Особенности обновления кластера при использовании pg_upgrade
1.7. Средства администрирования и обеспечения надежности
1.7.1. Настройка репликации
1.7.1.1. Настройка пофайловой (Log Shipping) репликации
1.7.1.2. Настройка потоковой (Streaming) репликации
1.7.1.3. Настройка репликации с помощью слотов репликации
1.7.1.4. Настройка репликации с помощью Slony-I
1.7.2. Pgpool-II
1.7.2.1. Настройка аутентификации
1.7.2.2. Настройка протоколирования
1.7.2.3. Настройка Pgpool-II в режиме Ведущий-ведомый

Руководство по КСЗ. Часть 1#

СОДЕРЖАНИЕ

1. Общие сведения
1.1. Состав КСЗ
1.2. Контролируемые функции
1.3. Средства организации ЕПП
2. Идентификация и аутентификация
3. Дискреционное управление доступом
3.1. Общие сведения
3.2. Linux-привилегии
3.3. Средства управления дискреционными ПРД
3.3.1. chown
3.3.2. chgrp
3.3.3. chmod
3.3.4. umask
3.3.5. getfacl
3.3.6. setfacl
3.3.6.1. Элементы ACL
3.3.6.2. Автоматически созданные права доступа
3.4. Дискреционное управление доступом в СУБД PostgreSQL
3.5. Средства управления дискреционными ПРД к объектам БД СУБД PostgreSQL
4. Мандатное управление доступом и мандатный контроль целостности
4.1. Общие сведения
4.2. Мандатное управление доступом
4.2.1. Уровень конфиденциальности
4.2.2. Категория конфиденциальности
4.2.3. Дополнительные атрибуты сущностей для мандатного управления доступом
4.3. Мандатный контроль целостности
4.3.1. Метка целостности
4.3.2. Дополнительные атрибуты сущностей для мандатного контроля целостности .
4.4. Мандатный контекст безопасности
4.5. Расширенный режим мандатного контроля целостности
4.6. Применение правил мандатного управления доступом и мандатного контроля
4.7. PARSEC-привилегии
4.8. Включение и выключение мандатного управления доступом
4.8.1. Включение мандатного управления доступом
4.8.2. Выключение мандатного управления доступом
4.9. Включение и выключение мандатного контроля целостности
4.10. Мандатный контроль целостности на файловой системе
4.11. Администрирование ОС при включенном МКЦ
4.12. Запуск служб systemd с уровнем целостности и конфиденциальности
4.13. Сетевое взаимодействие
4.14. Шина межпроцессного взаимодействия D-Bus
4.14.1. Виды сообщений
4.14.2. Процесс взаимодействия с шиной
4.14.3. Процесс соединения с системной шиной
4.14.4. Объекты и субъекты системы
4.14.5. Алгоритм проверки меток для различных сообщений и режимов работы
4.14.6. Привилегии процесса dbus-daemon
4.14.7. Расширенное управление политиками
4.14.7.1. Конфигурационный файл
4.14.7.2. Формирование клиентских политик из политик шины
4.15. Средства управления мандатными ПРД
4.15.1. pdpl-file
4.15.2. pdp-id
4.15.3. pdp-init-fs
4.15.4. pdp-ls
4.15.5. pdpl-ps
4.15.6. pdpl-user
4.15.7. pdp-exec
4.15.8. sumac
4.15.9. sumic
4.15.10. userlev
4.15.11. usercat
4.15.12. Устаревшие утилиты управления мандатными ПРД
4.15.12.1. chmac
4.15.12.2. macid
4.15.12.3. lsm
4.15.12.4. psmac
4.15.12.5. usermac
4.15.12.6. getfmac
4.15.12.7. setfmac
4.16. Средства управления привилегиями пользователей и процессов
4.16.1. usercaps
4.16.2. execaps
4.16.3. pscaps
4.17. Мандатное управление доступом в СУБД PostgreSQL
4.17.1. Порядок применения мандатных правил управления доступом
4.17.2. Средства управления мандатными ПРД к объектам БД
4.17.3. Целостность мандатных атрибутов кластера баз данных
4.17.4. Ссылочная целостность мандатных атрибутов
4.17.5. Особенности создания правил, системы фильтрации и триггеров
4.17.6. Особенности использования представлений и материализованных представлений
4.17.7. Функции сравнения для типа maclabel
4.17.8. Система привилегий СУБД
4.18. Мандатное управление доступом в комплексах программ гипертекстовой обработки данных и электронной почты
4.19. Настройка загрузчика GRUB 2
5. Защита среды виртуализации
5.1. Дискреционное управление доступом в среде виртуализации
5.2. Ролевое управление доступом в среде виртуализации
5.2.1. Настройка ролей
5.2.2. Настройка ролевого управления доступом c использованием драйвера доступа polkit
5.2.3. Настройка ролевого управления доступом c использованием драйвера доступа parsec
5.3. Мандатное управление доступом к виртуальной машине
5.4. Режим «только чтение»: запрет модификации образа виртуальной машины
5.5. Идентификация и аутентификация пользователей в среде виртуализации
5.6. Доверенная загрузка виртуальных машин
5.6.1. Применение режима контроля целостности файлов при их открытии на основе ЭЦП
5.6.1.1. Контроль файлов конфигурации виртуального оборудования виртуальных машин
5.6.1.2. Контроль файлов виртуальной базовой системы ввода-вывода (первичного загрузчика виртуальной машины)
5.6.2. Применение механизма контроля целостности с использованием алгоритма работы с контрольными суммами («отпечатка конфигурации»)
5.6.3. Применение механизма контроля целостности файлов гостевой операционной системы
5.7. Контроль целостности в среде виртуализации
5.7.1. Применение динамического контроля целостности в режиме ЗПС
5.7.1.1. Режим контроля неизменности и подлинности загружаемых исполняемых файлов формата ELF
5.7.1.2. Режим контроля целостности файлов при их открытии на основе ЭЦП
5.7.2. Применение регламентного контроля целостности AFICK
5.8. Регистрация событий безопасности в среде виртуализации
5.8.1. Настройка регистрации событий безопасности, связанных с функционированием средства виртуализации
5.8.2. Механизм централизованного сбора журналов с удаленных хостов виртуализации
5.9. Резервное копирование в среде виртуализации
5.9.1. Резервное копирование образов виртуальных машин
5.9.2. Резервное копирование конфигурации виртуального оборудования виртуальных машин
5.9.3. Резервное копирование параметров настройки средства виртуализации
5.9.4. Создание снимков текущего состояния машины
5.9.5. Резервное копирование и полная очистка журналов
5.10. Управление потоками информации в среде виртуализации
5.10.1. Управление сетевыми фильтрами nwfilter
5.10.2. Реализация собственных правил
5.11. Защита памяти в среде виртуализации
5.12. Применение механизма контроля целостности областей памяти по запросу из гостевой операционной системы
5.13. Ограничение программной среды в среде виртуализации
5.14. Централизованное управление
5.14.1. Пример организации распределенного хранилища
5.14.2. Пример миграции виртуальных машин
6. Регистрация событий безопасности
6.1. Правила регистрации событий
6.2. Регистрация событий на основе меток безопасности
6.3. Журнал аудита
6.4. Средства управления аудитом
6.4.1. Графические утилиты
6.4.2. getfaud
6.4.3. setfaud
6.4.4. useraud
6.4.5. psaud
6.4.6. ausearch
6.4.7. Дополнительные параметры регистрации событий
6.5. Подсистема регистрации событий
6.5.1. Регистрация событий и уведомление о событиях
6.5.2. Журнал событий
6.5.3. Самодиагностика подсистемы регистрации событий
6.6. Регистрация событий в СУБД PostgreSQL
6.6.1. Режимы регистрации событий
6.6.2. Настройка маски регистрации событий
6.6.3. Назначение списков регистрации событий в режиме internal
6.6.4. Назначение списков регистрации событий в режиме external
6.6.5. Назначение списков регистрации событий в режимах external, internal и internal,external
6.6.6. Назначение списков регистрации событий в режиме none
6.7. Средства централизованного аудита и протоколирования
7. Изоляция процессов
7.1. Изоляция процессов ОС
7.2. Создание и защита изолированных программных сред (контейнеров)
7.2.1. Изоляция контейнеров и пространств
7.2.2. Выявление уязвимостей в образах контейнеров
7.2.3. Обеспечение корректности конфигурации контейнеров
7.2.4. Контроль целостности контейнеров и их образов
7.2.5. Регистрация событий безопасности, связанных с контейнерами
7.2.6. Идентификация и аутентификация пользователей
7.2.7. Работа с Docker в непривилегированном режиме с ненулевыми метками безопасности
7.2.7.1. Принцип функционирования
7.2.7.2. Управление запуском контейнера с ненулевой меткой безопасности
7.2.7.3. Копирование образа в репозиторий пользователя
7.2.7.4. Выполнение команд и запуск контейнеров в непривилегированном режиме от имени пользователя
8. Защита памяти
8.1. Очистка памяти
8.2. Средства ограничения прав доступа к страницам памяти
9. Контроль целостности
9.1. Средство подсчета контрольных сумм файлов и оптических дисков
9.2. Средство подсчета контрольных сумм файлов в deb-пакетах
9.3. Средство контроля соответствия дистрибутиву
9.4. Средства регламентного контроля целостности
9.5. Сервис электронной подписи
9.5.1. Принцип функционирования
9.5.2. Условия применения
9.5.3. Установка
9.5.4. Просмотр электронного документа
9.5.5. Проверка уровня конфиденциальности сеанса
10. Надежное функционирование
10.1. Восстановление ОС после сбоев и отказов
10.1.1. Комплекс программ Bacula
10.1.2. Утилита архивирования tar
10.2. Восстановление СУБД PostgreSQL после сбоев и отказов
10.2.1. Создание и восстановление резервных копий баз данных с мандатными атрибутами
10.2.2. pg_dump
10.2.3. pg_dumpall
10.2.4. pg_restore
10.3. Восстановление в режиме «Мобильный»
11. Фильтрация сетевого потока
11.1. Включение фильтрации сетевого потока
11.2. Фильтр сетевых пакетов iptables
11.3. Формирование правил
11.4. Порядок прохождения таблиц и цепочек
11.5. Механизм трассировки соединений
11.6. Критерии выделения пакетов
11.7. Действия и переходы
11.8. Поддержка фильтрации на основе классификационных меток
11.8.1. Модули iptables для работы с классификационными метками
11.8.2. Использование ufw для работы с классификационными метками
11.8.3. Использование Open vSwitch для работы с классификационными метками
12. Маркировка документов
12.1. Общие сведения
12.2. Настройка печати документа с ненулевой классификационной меткой
12.3. Настройка маркера печати
12.3.1. Файл описания переменных маркировки
12.3.2. Шаблон маркера
12.3.3. Файлы описания маркера
12.3.4. Изменение шрифта маркировки
13. Контроль подключения съемных машинных носителей информации
14. Сопоставление пользователя с устройством
15. Генерация КСЗ
16. Ограничение программной среды и функции безопасности
16.1. Замкнутая программная среда
16.1.1. Режимы функционирования
16.1.2. Настройка модуля digsig_verif
16.1.3. Подписывание файлов
16.2. Режим Киоск-2
16.2.1. Профили пакета parsec-kiosk2
16.2.2. Синтаксис профилей parsec-kiosk2
16.2.3. Синтаксис, совместимый с parsec-kiosk
16.2.4. Работа с Киоск-2 через консоль
16.2.4.1. Включение и выключение Киоск-2
16.2.4.2. Протоколирование процессов
16.2.4.3. Создание профиля
16.2.5. Графическая утилита управления профилями
16.2.6. Киоск Fly
16.3. Изоляция приложений
16.4. Графический киоск в режиме «Мобильный»
16.5. Функции безопасности системы
16.5.1. Общие параметры вызова переключателей
16.5.2. Монитор безопасности
16.5.3. Установка квот на использование системных ресурсов
16.5.4. Режим запрета установки бита исполнения
16.5.5. Блокировка консоли для пользователей
16.5.6. Блокировка консоли в режиме «Мобильный»
16.5.7. Блокировка интерпретаторов
16.5.8. Блокировка макросов
16.5.9. Блокировка трассировки ptrace
16.5.10. Блокировка клавиши <SysRq>
16.5.11. Управление автоматическим входом
16.5.12. Блокировка запуска программ пользователями
16.5.13. Управление загрузкой ядра hardened
16.5.14. Запуск контейнеров Docker на пониженном уровне МКЦ
16.5.15. Управление сетевыми службами
16.5.16. Управление загрузкой модуля ядра lkrg
16.5.17. Блокировка неиспользуемых модулей ядра
16.5.18. Блокировка автоматического конфигурирования сетевых подключений
16.5.19. Отключение отображения меню загрузчика
16.5.20. Ограничение на форматирование съемных носителей
16.5.21. Запрет монтирования съемных носителей
16.5.22. Включение на файловой системе режима работы «только чтение»
16.5.23. Блокировка выключения компьютера пользователями
16.5.24. Управление вводом пароля для sudo
16.5.25. Блокировка использования утилиты sumac
16.5.26. Управление межсетевым экраном ufw
16.5.27. Переключение уровней защищенности
16.5.28. Управление мандатным контролем целостности
16.5.29. Управление замкнутой программной среды
16.5.30. Управление безопасным удалением файлов
16.5.31. Управление очисткой разделов подкачки
16.5.32. Включение и выключение мандатного управления доступом
16.5.33. Управление AstraMode и MacEnable
16.6. Модуль безопасности yama
16.7. Модуль безопасности lockdown
17. Условия эксплуатации ОС
17.1. Обеспечение безопасности среды функционирования
17.2. Указания по эксплуатации ОС
17.3. Условия применения ПО
17.4. Условия исключения скрытых каналов

Руководство по КСЗ. Часть 2#

СОДЕРЖАНИЕ

1. Структура тестов
1.1. Подсистема безопасности PARSEC
1.1.1. Модуль тестирования механизма дискреционного управления доступом к объектам ФС
1.1.2. Модуль тестирования механизма мандатного управления доступом к объектам ФС
1.1.3. Модуль тестирования механизма дискреционного управления доступом к объектам IPC
1.1.4. Модуль тестирования механизма мандатного управления доступом к объектам IPC
1.1.5. Модуль тестирования механизма мандатного управления доступом при сетевых
1.1.6. Модуль тестирования механизмов работы с памятью и изоляции процессов
1.1.7. Модуль тестирования механизма очистки памяти внешних носителей
1.1.8. Модуль тестирования механизма привилегий процесса
1.1.9. Модуль тестирования подсистемы регистрации событий
1.1.10. Модуль тестирования механизма мандатного контроля целостности
1.1.11. Модуль тестирования механизма управления метками безопасности
1.1.12. Модуль тестирования механизма фильтрации списка содержимого каталогов .
1.1.13. Модуль тестирования механизма преобразования меток безопасности
1.2. СУБД PostgreSQL
1.2.1. acl-column
1.2.2. acl-database
1.2.3. acl-dblink
1.2.4. acl-foreign
1.2.5. acl-function
1.2.6. acl-language
1.2.7. acl-largeobject
1.2.8. acl-role
1.2.9. acl-schema
1.2.10. acl-sequence
1.2.11. acl-table
1.2.12. acl-type
1.2.13. acl-tablespace
1.2.14. acl-view
1.2.15. mac-alter-meta
1.2.16. mac-altermac
1.2.17. mac-chmac-constraints
1.2.18. mac-chmac
1.2.19. mac-copy-file-deny
1.2.20. mac-copy-file
1.2.21. mac-copy-std
1.2.22. mac-create
1.2.23. mac-createtableas
1.2.24. mac-dblink
1.2.25. mac-dp
1.2.26. mac-delete
1.2.27. mac-foreign
1.2.28. mac-indexes
1.2.29. mac-inherit
1.2.30. mac-insert
1.2.31. mac-joins
1.2.32. mac-largeobject
1.2.33. mac-materializedview
1.2.34. mac-plperl, mac-plperlu, mac-plpgsql, mac-plpythonu, mac-pltcl, mac-pltclu
1.2.35. mac-select
1.2.36. mac-sequence
1.2.37. mac-tableview
1.2.38. mac-triggers-perl, mac-triggers-perlu, mac-triggers-pgsql, mac-triggers-pythonu, mactriggers-tcl, mac-triggers-tclu
1.2.39. mac-update
1.2.40. misc-audit
1.2.41. misc-altertable
1.2.42. misc-cluster
1.2.43. misc-config
1.2.44. misc-dump-restore
1.2.45. misc-dynamic-queries
1.2.46. misc-maclabel
1.2.47. misc-policy
1.2.48. misc-psql-d
1.2.49. misc-role-control
1.2.50. misc-roles
1.2.51. misc-rules
1.2.52. misc-sql-types
1.2.53. misc-vacuum
1.2.54. misc-VAL
1.2.55. mac-declarative-part
1.2.56. mac-files
1.2.57. mac-replication-logical
1.2.58. misc-memory-wiping
1.2.59. misc-notify
2. Проведение тестирования
2.1. Подсистема безопасности PARSEC
2.2. СУБД PostgreSQL
3. Проверка идентификации и аутентификации
3.1. Идентификация и аутентификация
3.2. Запрет на доступ несанкционированного пользователя
3.3. Идентификация и аутентификация при работе с БД
4. Проверка дискреционного управления доступом
4.1. Механизм дискреционного управления доступом к объектам ФС
4.2. Механизм дискреционного управления доступом к объектам БД
5. Проверка мандатного управления доступом
5.1. Механизм мандатного управления доступом к объектам ФС
5.2. Механизм мандатного управления доступом к объектам IPC
5.3. Механизм мандатного управления доступом для сетевых взаимодействий
5.4. Механизм мандатного управления доступом к объектам БД
6. Проверка очистки памяти и изоляции процессов
6.1. Механизмы работы с ОП
6.2. Механизм очистки памяти внешних носителей
7. Проверка маркировки документов
8. Проверка контроля подключения съемных машинных носителей информации и сопоставления пользователя с устройством
9. Проверка регистрации событий безопасности
9.1. Система регистрации событий безопасности
9.2. Регистрация событий при работе с БД
10. Проверка надежного функционирования
10.1. Механизм надежного восстановления ФС
10.2. Механизм надежного восстановления БД
11. Проверка работы механизма контроля целостности
12. Дополнительные проверки СЗИ
12.1. Библиотечные функции libpdac++
12.2. Библиотечные функции libparsec-aud
12.3. Разрешения на изменение меток безопасности
12.4. Подсистема мандатного контроля целостности
12.5. Библиотечные функции libparsec-aux
12.6. Работа утилиты rsync

Руководство пользователя#

СОДЕРЖАНИЕ

1. Назначение
2. Общие положения
3. Режимы работы: «Десктоп», «Планшетный», «Мобильный»
3.1. Режимы «Десктоп» и «Планшетный»
3.1.1. Основные возможности
3.1.2. Начало и завершение работы
3.1.2.1. Запуск ОС
3.1.2.2. Графический вход в систему
3.1.2.3. Завершение работы в графическом режиме
3.1.2.4. Консольный вход и выход из системы
3.1.3. Рабочий стол в режиме «Десктоп»
3.1.4. Рабочий стол в режиме «Планшетный»
3.1.5. Настройка рабочего стола пользователя
3.2. Режим «Мобильный»
3.2.1. Основные возможности
3.2.2. Начало и завершение работы
3.2.2.1. Запуск ОС
3.2.2.2. Графический вход в систему
3.2.2.3. Завершение работы в графическом режиме
3.2.2.4. Консольный вход и выход из системы
3.2.3. Типы сессий
3.2.3.1. Мобильная сессия
3.2.3.2. Десктопная сессия
4. Графические программы
4.1. Панель управления
4.2. Программа «Менеджер файлов»
4.3. Раздел «Системные»
4.4. Раздел «Утилиты»
4.5. Раздел «Мобильные»
4.6. Раздел «Научные»
4.7. Раздел «Мультимедиа»
4.7.1. Камера GUVCView
4.7.2. Медиаплеер VLC
4.8. Раздел «Графика»
4.8.1. Векторный редактор Inkscape
4.8.2. Просмотр документов Okular
4.8.3. Графический редактор GIMP
4.8.4. Простой редактор изображений KolourPaint
4.8.5. Программа для 3D-моделирования Blender
4.9. Раздел «Сеть»
4.10. Раздел «Офис»
4.10.1. Офисный пакет Libreoffice
4.10.3. Редактор Kate
5. Графические приложения в режиме «Мобильный»
6. Печать документов
7. Средства организации работы в сети
7.1. Веб-браузер Firefox
7.2. Веб-браузер Chromium
7.3. Веб-браузер chromium-gost
7.4. Мессенджер Psi+
7.5. Клиент комплекса программ электронной почты Thunderbird
7.6. Служба передачи файлов FTP
7.7. Защищенный интерпретатор команд SSH
7.8. Сервис электронной подписи
7.8.1. Предоставление СЭП из основного меню
7.8.2. Предоставление СЭП из файлового менеджера Fly
7.8.3. Предоставление СЭП пакетом офисных программ LibreOffice
7.8.4. Предоставление СЭП из командной строки
7.8.5. Просмотр электронного документа
7.8.6. Проверка присоединенной ЭП
7.8.7. Проверка отсоединенной ЭП
7.8.8. Создание отсоединенной ЭП
7.8.9. Использование контейнера электронного документа
4.10.2. Cловарь Goldendict
7.8.10. Проставление штампа электронной подписи
7.8.11. Управление шаблонами штампа электронной подписи
8. Взаимодействие пользователя с СЗИ
8.1. Возможности, предоставляемые пользователю
8.2. Мандатное управление доступом
8.3. Мандатное управление доступом в режиме «Мобильный»
8.4. Команда who
9. Защищенная система управления базами данных
9.1. Управление базами данных
9.1.1. Создание и удаление баз данных
9.1.2. Управление пользователями
9.1.3. Использование процедурных языков
9.2. Выполнение запросов
9.2.1. Интерактивный терминал
9.2.2. Утилита администрирования с визуальным пользовательским интерфейсом
9.3. Системные операции
9.3.1. Оптимизация баз данных
9.3.2. Резервное копирование и восстановление
10. Порядок действий при ошибках и сбоях в работе ОС