Astra Linux Special Edition (очередное обновление 1.8)#
Описание применения#
СОДЕРЖАНИЕ
1. Назначение программы
1.1. Назначение
1.2. Основные характеристики
1.3. Возможности
2. Условия применения
2.1. Требования к техническим средствам
2.2. Совместимость с оборудованием
2.3. Порядок эксплуатации
2.4. Правовой аспект использования функций безопасности
3. Порядок обновления ОС
3.1. Очередное обновление
3.2. Оперативное обновление
3.2.1. Общая информация о выпуске оперативного обновления
3.2.2. Порядок доведения оперативного обновления
3.2.3. Порядок применения оперативного обновления
4. Описание задачи
4.1. Обеспечение пользовательского интерфейса
4.2. Идентификация и аутентификация
4.3. Организация единого пространства пользователей
4.4. Дискреционное управление доступом
4.5. Мандатное управление доступом и мандатный контроль целостности
4.6. Изоляция процессов
4.7. Регистрация событий безопасности
4.8. Очистка оперативной и внешней памяти
4.9. Контроль целостности
4.10. Ограничение программной среды
4.10.1. Замкнутая программная среда
4.10.2. Системные ограничения и блокировки
4.11. Фильтрация сетевого потока
4.12. Создание и защита среды виртуализации
4.13. Создание и защита изолированных программных сред (контейнеров)
4.14. Сервис электронной подписи
4.15. Маркировка документов
4.16. Обеспечение работы в отказоустойчивом режиме
4.17. Обеспечение надежного функционирования
4.18. Создание и защита баз данных
4.19. Гипертекстовая обработка данных
4.20. Обмен сообщениями электронной почты
5. Входные и выходные данные
Руководство администратора. Часть 1#
СОДЕРЖАНИЕ
1. Администрирование ОС
1.1. Получение прав суперпользователя
1.1.1. su
1.1.2. sudo
1.2. Механизмы разделения полномочий
1.2.1. Механизм привилегий
1.2.2. Механизм повышения полномочий
1.2.3. Механизм установки ACL на файлы
2. Установка, настройка и обновление ОС
2.1. Установка ОС
2.2. Первичная настройка ОС
2.2.1. Базовый уровень защищенности («Орел»)
2.2.2. Усиленный уровень защищенности («Воронеж»)
2.2.3. Максимальный уровень защищенности («Смоленск»)
2.3. Смена локали в ОС
2.4. Создание LiveCD
2.4.1. Общие сведения
2.4.2. Сборка Live-образа
2.4.3. Изменение набора пакетов в создаваемой LiveCD
2.4.4. Запись Live-образа
2.5. Обновление ОС
2.5.1. Ручное обновление
2.5.2. Автоматическое обновление
2.6. Установка и обновление ОС в режиме «Мобильный»
2.6.1. Подготовка к установке
2.6.2. Установка
2.6.2.1. Настройка BIOS/UEFI
2.6.2.2. Установка в графическом режиме
2.6.2.3. Установка в терминальном режиме
2.6.3. Настройка установленной ОС
2.6.3.1. Начальная настройка ОС
2.6.3.2. Настройка виртуальной клавиатуры
2.6.4. Обновление ОС
2.6.4.1. Обновление ОС из обновленного образа
2.6.4.2. Обновление ОС с USB-носителя
2.6.4.3. Обновление ОС из источников
3. Системные компоненты
3.1. Управление устройствами
3.1.1. Типы устройств
3.1.2. Жесткие диски
3.1.3. Разделы жесткого диска
3.1.3.1. Разбиение жесткого диска
3.1.3.2. Файлы устройств и разделы
3.1.4. Форматирование
3.1.5. Программная организация дисковых разделов в RAID и тома LVM
3.1.6. Разделы диска в режиме «Мобильный»
3.2. Управление ФС
3.2.1. Общие сведения
3.2.2. Создание
3.2.3. Монтирование
3.2.3.1. mount
3.2.3.2. fstab
3.2.4. Размонтирование
3.3. Управление пользователями
3.3.1. Работа с пользователями
3.3.1.1. Добавление пользователя
3.3.1.2. Установка пароля пользователя
3.3.1.3. Удаление пользователя
3.3.1.4. Неудачный вход в систему
3.3.2. Работа с группами
3.3.2.1. Добавление
3.3.2.2. Удаление
3.3.3. Рабочие каталоги пользователей
3.4. Перезагрузка и выключение
3.4.1. shutdown
3.4.2. halt и reboot
4. Системные службы, состояния и команды
4.1. Системные службы
4.1.1. Управление службами
4.1.2. Конфигурационные файлы systemd
4.2. Системные (целевые) состояния
4.3. Системные команды
4.3.1. Планирование запуска команд
4.3.1.1. at
4.3.1.2. cron
4.3.2. Администрирование многопользовательской и многозадачной среды
4.3.2.1. who
4.3.2.3. nohup
4.3.2.4. nice
4.3.2.5. renice
4.3.2.6. kill
5. Управление программными пакетами
5.1. dpkg
5.2. apt
5.2.1. Настройка доступа к репозиториям
5.2.2. Установка и удаление пакетов
6. Базовые сетевые службы
6.1. Протокол TCP/IP
6.1.1. Пакеты и сегментация
6.1.2. Адресация пакетов
6.1.3. Маршрутизация
6.1.3.1. Таблица
6.1.3.2. Организация подсетей
6.1.4. Создание сети TCP/IP
6.1.4.1. Планирование сети
6.1.4.2. Назначение IP-адресов
6.1.4.3. Настройка сетевых интерфейсов
6.1.4.4. Настройка статических маршрутов
6.1.5. Проверка и отладка сети
6.1.5.1. ping
4.3.2.2. ps
6.1.5.2. netstat
6.1.5.3. arp
6.2. Протокол FTP
6.2.1. Клиентская часть
6.2.2. Служба vsftpd сервера FTP
6.3. Протокол DHCP
6.4. Протокол NFS
6.4.1. Установка и настройка сервера
6.4.2. Установка и настройка клиента
6.5. DNS
6.5.1. Установка DNS-сервера
6.5.2. Настройка сервера службы доменных имен named
6.5.3. Настройка клиентов для работы со службой доменных имен
6.6. Настройка SSH
6.6.1. Служба ssh
6.6.2. Клиент ssh
6.7. Службы точного времени
6.7.1. Служба systemd-timesyncd
6.7.1.1. Установка и настройка
6.7.1.2. Выбор серверов времени
6.7.2. Служба chronyd
6.7.2.1. Установка
6.7.2.2. Настройка
6.7.3. Служба времени высокой точности PTP
6.7.3.1. Проверка оборудования
6.7.3.2. Установка службы PTP
6.7.3.3. Настройка службы ptp4l
6.7.3.4. Настройка службы timemaster
6.7.3.5. Настройка службы phc2sys
6.7.3.6. Запуск службы PTP
6.7.3.7. Настройка режима интерпретации показаний аппаратных часов
6.7.4. Ручная синхронизация времени ntpdate
6.8. Программный коммутатор Open vSwitch
6.8.1. Основные модули
6.8.2. Установка и настройка Open vSwitch
6.8.3. Добавление сетевого моста и портов
6.8.4. Конфигурирование правил обработки пакетов
6.8.5. Регистрация событий
6.8.5.1. Встроенные средства регистрации
6.8.5.2. Регистрация событий безопасности
6.8.5.3. Аудит IP-пакетов
6.9. Сетевая защищенная файловая система
6.9.1. Назначение и возможности
6.9.2. Состав
6.9.3. Настройка
6.9.4. Графическая утилита настройки СЗФС
6.9.5. Запуск сервера
6.9.6. Правила конвертации меток целостности
6.10. Средство создания защищенных каналов
6.10.1. Установка
6.10.2. Управление с помощью инструмента командной строки
6.10.2.1. Параметры инструмента командной строки
6.10.2.2. Запуск службы
6.10.2.3. Генерация сертификатов и ключей
6.10.2.4. Отзыв сертификатов
6.10.2.5. Замена сертификатов
6.10.2.6. Настройка клиента
6.10.3. Управление службой с помощью графической утилиты
6.10.3.1. Управление службой
6.10.3.2. Настройка службы
6.10.3.3. Управление сертификатами
6.10.3.4. Настройка клиента
6.10.4. Диагностика работы службы и клиента
6.10.5. Использование инструмента XCA для создания собственного центра аутентификации
6.10.5.1. Установка инструмента XCA
6.10.5.2. Подготовка шаблонов
6.10.5.3. Типовая схема применения инструмента XCA
6.10.5.4. Создание корневого сертификата центра аутентификации
6.10.5.5. Создание сертификата сервера
6.10.5.6. Создание сертификата клиента
6.10.5.7. Экспорт корневого сертификата центра аутентификации
6.10.5.8. Экспорт файлов сертификатов и ключей сервера
6.10.5.9. Экспорт файлов сертификатов и ключей клиента
6.10.5.10. Отзыв сертификатов
6.11. Средство удаленного администрирования Ansible
6.11.1. Состав
6.11.2. Установка и настройка Ansible
6.11.3. Сценарии Ansible
7. Средства обеспечения отказоустойчивости и высокой доступности
7.1. Pacemaker и Corosync
7.1.1. Установка
7.1.2. Пример настройки кластера
7.2. Keepalived
7.2.1. Установка
7.2.2. Пример настройки
7.3. Распределенная файловая система Ceph
7.3.1. Развертывание Ceph
7.3.1.1. Инициализация первого экземпляра службы MON
7.3.1.2. Добавление нового экземпляра службы MON
7.3.1.3. Добавление экземпляра службы MGR
7.3.1.4. Добавление экземпляра службы OSD
7.3.2. Использование кластера Ceph
7.3.2.1. Инициализация CephFS
7.3.2.2. Добавление экземпляра службы MDS
7.3.2.3. Подготовка разделяемого ресурса
7.3.2.4. Настройка подключения клиента к разделяемому ресурсу
7.4. Средство эффективного масштабирования HAProxy
7.4.1. Установка
7.4.2. Настройка
8. Средства организации ЕПП
8.1. Архитектура ЕПП
8.1.1. Механизм NSS
8.1.2. Механизм PAM
8.1.3. Служба каталогов LDAP
8.1.4. Доверенная аутентификация Kerberos
8.1.5. Централизация хранения атрибутов СЗИ в распределенной сетевой среде
8.2. Служба FreeIPA
8.2.1. Структура
8.2.2. Состав
8.2.3. Предварительная настройка контроллера домена
8.2.4. Установка компонентов FreeIPA
8.2.5. Создание контроллера домена и запуск служб FreeIPA
8.2.5.1. С использованием графической утилиты
8.2.5.2. С использованием инструмента командной строки
8.2.5.3. Конфигурационный файл FreeIPA
8.2.5.4. Управление службами FreeIPA
8.2.6. Ввод компьютера в домен
8.2.6.1. Настройка клиентского компьютера
8.2.6.2. Ввод компьютера в домен с использованием инструмента командной строки
8.2.6.3. Ввод компьютера в домен с использованием графической утилиты
8.2.6.4. Отображение списка доменных учетных записей в окне входа в ОС
8.2.7. Шаблоны конфигурационных файлов
8.2.8. Настройка синхронизация времени
8.2.9. Создание резервной копии и восстановление
8.2.10. Создание резервного сервера FreeIPA (настройка репликации)
8.2.11. Доверительные отношения между доменами
8.2.11.1. Общие сведения
8.2.11.2. Предварительная настройка
8.2.11.3. Инициализация доверительных отношений
8.2.11.4. Проверка установки доверительных отношений
8.2.12. Создание самоподписанного сертификата
8.2.12.1. Создание сертификата с помощью инструмента XCA
8.2.12.2. Создание сертификата с помощью инструмента командной строки
8.2.13. Настройка веб-сервера Apache2 для работы в домене FreeIPA
8.2.13.1. Настройка аутентификации Kerberos
8.2.13.2. Настройка защищенных соединений SSL с использованием сертификатов
8.2.13.3. Настройка каталогов для работы с конфиденциальными данными
8.2.14. Веб-интерфейс FreeIPA
8.2.14.1. Установка мандатных атрибутов (user mac)
8.2.14.2. Установка привилегий PARSEC (parsec cap)
8.2.15. Удаление контроллера домена
8.3. Samba
8.3.1. Настройка контроллера домена
8.3.2. Настройка участников домена
8.4. Настройка сетевых служб
9. Виртуализация среды исполнения
9.1. Сервер виртуализации libvirt
9.2. Служба сервера виртуализации libvirtd
9.3. Конфигурационные файлы сервера виртуализации
9.4. Консольный интерфейс virsh
9.5. Графическая утилита virt-manager
9.6. Средства эмуляции аппаратного обеспечения на основе QEMU
9.7. Идентификация и аутентификация при доступе к серверу виртуализации libvirt
9.8. Идентификация и аутентификация при доступе к рабочему столу виртуальных машин
10. Контейнеризация
10.1. Контейнеризация с использованием Docker
10.1.1. Установка Docker
10.1.2. Работа с Docker
10.1.2.1. Создание образа Docker
10.1.2.2. Копирование образа
10.1.2.3. Создание и работа с контейнерами
10.1.2.4. Запуск контейнеров на выделенном уровне МКЦ
10.1.2.5. Монтирование файловых ресурсов хостовой машины в контейнер
10.1.3. Работа с Docker в непривилегированном режиме
10.2. Контейнеризация с использованием Podman
10.2.1. Установка Podman
10.2.2. Стандартные команды
10.2.3. Работа с Podman
10.2.3.1. Включение отладки
10.2.3.2. Запуск контейнера из образа
10.2.3.3. Вывод списка контейнеров
10.2.3.4. Действия с сохраненными контейнерами
10.2.3.5. Удаление образа
10.2.4. Создание собственного контейнера из существующего образа
10.2.5. Создание собственного образа
10.2.6. Оркестрация контейнеров
10.2.6.1. Создание нового пода
10.2.6.2. Список существующих подов
10.2.6.3. Добавление контейнера в под
11. Защищенный комплекс программ гипертекстовой обработки данных
11.1. Настройка сервера
11.2. Режим работы AstraMode
11.3. Настройка авторизации
11.4. Настройка для работы со службой FreeIPA
12. Защищенная графическая подсистема
12.1. Конфигурирование менеджера окон и рабочего стола в зависимости от типа сессии
12.2. Рабочий стол как часть экрана
12.3. Удаленный вход по протоколу XDMCP
12.4. Решение возможных проблем с видеодрайвером Intel
12.5. Автоматизация входа в систему
12.6. Рабочий стол Fly
12.7. Блокировка экрана при бездействии
12.8. Мандатное управление доступом
13. Графическая подсистема режима «Мобильный»
13.1. Отображение графического интерфейса
13.2. Автоматизация входа в систему
13.3. Рабочий стол
14. Защищенный комплекс программ печати и маркировки документов
14.1. Устройство системы печати
14.2. Установка комплекса программ печати
14.3. Настройка комплекса программ печати
14.3.1. Настройка для работы с локальной базой безопасности
14.3.2. Настройка для работы в ЕПП
14.3.2.1. Настройка сервера печати
14.3.2.2. Настройка клиента системы печати
14.3.3. Регистрация событий
14.4. Настройка принтера и управление печатью
14.4.1. Общие положения
14.4.2. Команды управления печатью
14.4.2.1. lp
14.4.2.2. lpq
14.4.2.3. lprm
14.4.2.4. lpadmin
14.4.3. Графическая утилита настройки сервера печати
14.5. Маркировка документа
14.6. Маркировка документа в командной строке
14.7. Графическая утилита управления печатью
14.8. Маркировка нескольких экземпляров документа
14.9. Журнал маркировки
15. Защищенная система управления базами данных
16. Защищенный комплекс программ электронной почты
16.1. Состав
16.2. Настройка серверной части
16.2.1. Настройка агента доставки сообщений
16.2.2. Настройка агента передачи сообщений
16.3. Настройка клиентской части
16.4. Настройка для работы со службой FreeIPA
16.4.1. Настройка почтового сервера
16.4.2. Регистрация почтовых служб на контроллере домена
16.4.3. Получение таблицы ключей на почтовом сервере
16.4.4. Настройка аутентификации через Kerberos
17. Средства аудита и централизованного протоколирования
17.1. Аудит
17.2. Подсистема регистрации событий
17.3. Средства централизованного протоколирования
17.3.1. Архитектура
17.3.2. Сервер
17.3.3. Агенты
17.3.4. Прокси
17.3.5. Веб-интерфейс
18. Резервное копирование и восстановление данных
18.1. Виды резервного копирования
18.2. Планирование резервного копирования
18.2.1. Составление расписания резервного копирования
18.2.2. Планирование восстановления системы
18.3. Комплекс программ Bacula
18.3.1. Подготовка инфраструктуры
18.3.2. Настройка Bacula
18.3.2.1. Настройка Bacula Director
18.3.2.2. Настройка Bacula Storage
18.3.2.3. Настройка Bacula File
18.3.2.4. Проверка Bacula
18.4. Утилита копирования rsync
18.5. Утилиты архивирования
18.5.1. tar
18.5.2. cpio
19. Контроль подключаемых устройств
19.1. Включение и выключение контроля подключения устройств
19.2. Монтирование съемных накопителей
19.3. Перехват события менеджером устройств udev
19.4. Разграничение доступа к устройствам на основе генерации правил udev
19.5. Вызов сценария обработки события как системной службы
19.6. Сценарий обработки события
19.7. Порядок генерации правил udev для учета съемных накопителей
19.8. Отладка правил
19.9. Регистрация устройств
19.10. Блокировка USB-устройств в режиме «Мобильный»
20. Поддержка средств двухфакторной аутентификации
20.1. Аутентификация с открытым ключом (инфраструктура открытых ключей)
20.2. Средства поддержки двухфакторной аутентификации
20.2.1. Общие сведения
20.2.2. Настройка клиентской машины
20.2.3. Инициализация токена
20.2.4. Использование токена
20.2.5. Разблокировка сессии с ненулевой меткой конфиденциальности с помощью PIN-кода
20.3. Управление сертификатами
20.4. Настройка доменного входа (ЕПП)
21. Сообщения администратору и выявление ошибок
21.1. Диагностические сообщения
21.2. Выявление ошибок
21.3. Циклическая перезагрузка компьютера по причине неверной установки времени
Руководство администратора. Часть 2. Установка и миграция#
СОДЕРЖАНИЕ
1. Системные требования
2. Подготовка к установке
3. Установка ОС
3.1. Установка с DVD-диска
3.2. Установка с USB-носителя
3.3. Загрузка программы установки
3.3.1. Проверка оперативной памяти
3.3.2. Удаленный доступ к установке ОС
3.3.3. Прочие действия
3.3.4. Выполнение программы установки из загрузочного меню
3.4. Установка по сети
3.4.1. Подготовка сервера
3.4.1.1. Установка необходимых пакетов
3.4.1.2. Настройка службы DHCP-сервера
3.4.1.3. Дополнительные настройки сервера
3.4.1.4. Настройка службы HTTP-сервера
3.4.1.5. Подготовка сетевого репозитория
3.4.1.6. Подготовка файла ответов
3.4.1.7. Подготовка загрузочных файлов для клиентов с BIOS
3.4.1.8. Подготовка загрузочных файлов для клиентов с UEFI
3.4.2. Подготовка клиента и установка ОС
4. Графическая установка
4.1. Клавиши для навигации
4.2. Настройка программы установки
4.3. Региональные настройки
4.3.1. Настройка даты и времени
4.3.2. Выбор языка и раскладки
4.4. Компоненты установки
4.4.1. Компоненты операционной системы
4.4.2. Выбор ядра
4.4.3. Выбор дополнительных пакетов для установки
4.4.4. Дополнительные настройки
4.4.5. Разметка диска
4.4.5.1. Профили разметки
4.4.5.2. Редактирование разметки
4.4.5.3. Пример разметки вручную
4.5. Редактор пользователей
4.5.1. Настройка учетной записи администратора
4.5.2. Настройка имени компьютера
4.5.3. Создание учетных записей
4.5.4. Пароль для загрузчика
4.6. Настройка источников
4.7. Настройка доступа к NFS
4.8. Проверка и автоматическая перезагрузка компьютера
4.9. Выполнение установки ОС
5. Консольная установка
6. Восстановление ОС
7. Миграция на очередное обновление
7.1. Условия для выполнения миграции
7.2. Выполнение миграции
7.3. Перенос установленного ПО
7.4. Пользовательские сценарии
7.5. Плагины
7.6. Откат выполненной миграции
7.6.1. Полный откат миграции
7.6.2. «Мягкий» откат миграции
7.6.3. Возврат к новой ОС после «мягкого» отката
Приложение А (обязательное) Пример конфигурационного файла DHCP-сервера
Приложение Б (обязательное) Пример файла ответов на запросы установщика
Приложение В (справочное) Пример отчета о миграции на очередное обновление
Руководство по КСЗ. Часть 1#
СОДЕРЖАНИЕ
1. Общие сведения
1.1. Приемка ОС
1.2. Состав КСЗ
1.3. Контролируемые функции
1.4. Безопасная установка ОС
1.5. Средства организации ЕПП
2. Идентификация и аутентификация
3. Дискреционное управление доступом
3.1. Общие сведения
3.1.1. Права доступа
3.1.2. Списки контроля доступа
3.2. Linux-привилегии
3.3. Средства управления дискреционными ПРД
3.3.1. chown
3.3.2. chgrp
3.3.3. chmod
3.3.4. umask
3.3.5. getfacl
3.3.6. setfacl
4. Мандатное управление доступом и мандатный контроль целостности
4.1. Общие сведения
4.2. Мандатное управление доступом
4.2.1. Уровень конфиденциальности
4.2.2. Категория конфиденциальности
4.2.3. Дополнительные атрибуты сущностей для мандатного управления доступом
4.3. Мандатный контроль целостности
4.3.1. Метка целостности
4.3.2. Дополнительные атрибуты сущностей для мандатного контроля целостности .
4.4. Мандатный контекст безопасности
4.5. Расширенный режим мандатного контроля целостности
4.6. Применение правил мандатного управления доступом и мандатного контроля целостности
4.7. PARSEC-привилегии
4.8. Включение и выключение мандатного управления доступом
4.8.1. Включение мандатного управления доступом
4.8.2. Выключение мандатного управления доступом
4.9. Включение и выключение мандатного контроля целостности
4.10. Мандатный контроль целостности на файловой системе
4.11. Администрирование ОС при включенном МКЦ
4.12. Запуск служб systemd с категорией целостности и уровнем конфиденциальности
4.13. Сетевое взаимодействие
4.14. Шина межпроцессного взаимодействия D-Bus
4.14.1. Виды сообщений
4.14.2. Процесс взаимодействия с шиной
4.14.3. Процесс соединения с системной шиной
4.14.4. Объекты и субъекты системы
4.14.5. Алгоритм проверки меток для различных сообщений и режимов работы
4.14.6. Привилегии процесса dbus-daemon
4.14.7. Расширенное управление политиками
4.14.7.1. Конфигурационный файл
4.14.7.2. Формирование клиентских политик из политик шины
4.15. Средства управления мандатными ПРД
4.15.1. pdpl-file
4.15.2. pdp-id
4.15.3. pdp-init-fs
4.15.4. pdp-ls
4.15.5. pdpl-ps
4.15.6. pdpl-user
4.15.7. pdpl-group
4.15.8. pdp-exec
4.15.9. sumac
4.15.10. sumic
4.15.11. userlev
4.15.12. usercat
4.16. Средства управления привилегиями пользователей и процессов
4.16.1. usercaps
4.16.2. execaps
4.16.3. pscaps
4.17. Мандатное управление доступом в комплексах программ гипертекстовой обработки данных и электронной почты
4.18. Настройка параметров ядра в загрузчике GRUB 2
5. Защита среды виртуализации
5.1. Дискреционное управление доступом в среде виртуализации
5.2. Мандатное управление доступом к виртуальной машине
5.3. Ролевое управление доступом в среде виртуализации
5.3.1. Настройка ролей
5.3.2. Настройка ролевого управления доступом c использованием драйвера доступа polkit
5.3.3. Настройка ролевого управления доступом c использованием драйвера доступа parsec
5.4. Режим «только чтение»
5.5. Идентификация и аутентификация пользователей в среде виртуализации
5.6. Доверенная загрузка виртуальных машин
5.6.1. Применение режима контроля целостности файлов при их открытии
5.6.1.1. Контроль файлов конфигурации виртуального оборудования виртуальных машин108
5.6.1.2. Контроль файлов виртуальной базовой системы ввода-вывода (первичного загрузчика ВМ)
5.6.2. Применение механизма контроля целостности с использованием алгоритма работы с контрольными суммами («отпечатка конфигурации»)
5.6.3. Применение механизма контроля целостности файлов гостевой операционной системы
5.6.4. Контроль целостности образов ВМ
5.7. Контроль целостности в среде виртуализации
5.7.1. Применение динамического контроля целостности в режиме ЗПС
5.7.1.1. Режим контроля неизменности и подлинности загружаемых исполняемых файлов
5.7.1.2. Режим контроля целостности файлов при их открытии
5.7.2. Применение регламентного контроля целостности AFICK
5.8. Регистрация событий безопасности в среде виртуализации
5.8.1. Настройка регистрации событий безопасности, связанных с функционированием средства виртуализации
5.8.2. Механизм централизованного сбора журналов с удаленных хостов виртуализации
5.9. Резервное копирование в среде виртуализации
5.9.1. Резервное копирование образов виртуальных машин
5.9.2. Резервное копирование конфигурации виртуального оборудования виртуальных машин
5.9.3. Резервное копирование параметров настройки средства виртуализации
5.9.4. Создание снимков текущего состояния машины
5.9.5. Резервное копирование и полная очистка журналов
5.9.6. Экспорт и импорт виртуальных машин
5.10. Управление потоками информации в среде виртуализации
5.10.1. Управление сетевыми фильтрами nwfilter
5.10.2. Реализация собственных правил
5.11. Защита памяти в среде виртуализации
5.12. Применение механизма контроля целостности областей памяти по запросу из гостевой операционной системы
5.13. Ограничение программной среды в среде виртуализации
5.14. Централизованное управление
5.14.1. Пример организации распределенного хранилища
5.14.1.1. Создание и подключение сетевого хранилища
5.14.1.2. Подключение на серверах виртуализации сетевого блочного устройства
5.14.1.3. Настройка кластера
5.14.1.4. Автоматическое монтирование
5.14.1.5. Централизованное управление в среде виртуализации
5.14.2. Пример миграции виртуальных машин
6. Регистрация событий безопасности
6.1. Правила регистрации событий
6.2. Регистрация событий на основе меток безопасности
6.3. Журнал аудита
6.4. Средства управления аудитом
6.4.1. Графические утилиты
6.4.2. getfaud
6.4.3. setfaud
6.4.4. useraud
6.4.5. psaud
6.4.6. ausearch
6.4.7. Параметры регистрации событий
6.5. Подсистема регистрации событий
6.5.1. Регистрация событий и уведомление о событиях
6.5.2. Конфигурационный файл службы syslog-ng
6.5.3. Журнал событий
6.5.4. Самодиагностика подсистемы регистрации событий
6.6. Средства централизованного аудита и протоколирования
7. Изоляция процессов
8. Создание и защита изолированных программных сред (контейнеров)
8.1. Изоляция контейнеров и пространств
8.2. Выявление уязвимостей в образах контейнеров
8.2.1. Общие сведения
8.2.2. Настройка класса защиты в контейнерах Docker
8.2.3. Настройка класса защиты в контейнерах Podman
8.3. Обеспечение корректности конфигурации контейнеров
8.3.1. Ограничение прав на использование ресурсов хостовой машины для Docker
8.3.2. Ограничение прав на использование ресурсов хостовой машины для Podman
8.4. Контроль целостности контейнеров и их образов
8.5. Регистрация событий безопасности, связанных с контейнерами
8.6. Идентификация и аутентификация пользователей
8.7. Работа с Docker в непривилегированном режиме с ненулевыми метками безопасности
8.7.1. Принцип функционирования
8.7.2. Управление запуском контейнера с ненулевой меткой безопасности
8.7.3. Копирование образа в репозиторий пользователя
8.7.4. Выполнение команд и запуск контейнеров в непривилегированном режиме от имени пользователя
8.8. Работа с Podman в непривилегированном режиме с ненулевыми метками безопасности
9. Защита памяти
9.1. Очистка памяти
9.2. Средства ограничения прав доступа к страницам памяти
10. Контроль целостности
10.1. Подсчет контрольных сумм файлов и оптических дисков
10.2. Подсчет контрольных сумм файлов в deb-пакетах
10.3. Контроль соответствия дистрибутиву
10.4. Регламентный контроль целостности
10.5. Сервис электронной подписи
10.5.1. Принцип функционирования
10.5.2. Условия применения
10.5.3. Установка
10.5.4. Просмотр электронного документа
10.5.5. Проверка уровня конфиденциальности сессии
11. Надежное функционирование
11.1. Восстановление ОС после сбоев и отказов
11.1.1. Восстановление файловой системы
11.1.2. Режим восстановления ОС
11.1.3. Комплекс программ Bacula
11.1.4. Инструмент командной строки tar
11.2. Восстановление в режиме «Мобильный»
12. Фильтрация сетевого потока
12.1. Включение фильтрации сетевого потока
12.2. Фильтр сетевых пакетов iptables
12.3. Формирование правил
12.4. Порядок прохождения таблиц и цепочек
12.5. Механизм трассировки соединений
12.6. Критерии выделения пакетов
12.7. Действия и переходы
12.8. Поддержка фильтрации на основе классификационных меток
12.8.1. Модули iptables для работы с классификационными метками
12.8.2. Использование ufw для работы с классификационными метками
12.8.3. Использование Open vSwitch для работы с классификационными метками
13. Маркировка документов
13.1. Общие сведения
13.2. Настройка печати документа с ненулевой классификационной меткой
13.3. Настройка маркировки
13.3.1. Шаблон маркера
13.3.2. Переменные маркировки
13.3.3. Файлы описания маркера
13.3.4. Изменение шрифта маркировки
14. Контроль подключения съемных машинных носителей информации
15. Сопоставление пользователя с устройством
16. Ограничение программной среды и функции безопасности
16.1. Замкнутая программная среда
16.1.1. Режимы функционирования
16.1.2. Типы подписей и наборы ключей
16.1.3. Отзыв сертификата ключа
16.1.4. Модуль digsig_verif
16.1.4.1. Архитектура и настройка модуля digsig_verif
16.1.4.2. Проверка подписи в исполняемых файлах и разделяемых библиотеках
16.1.4.3. Проверка подписи в неисполняемых файлах
16.1.5. Добавление дополнительных ключей
16.1.6. Подписывание файлов
16.2. Режим Киоск-2
16.2.1. Профили пакета parsec-kiosk2
16.2.2. Синтаксис профилей parsec-kiosk2
16.2.3. Синтаксис, совместимый с parsec-kiosk
16.2.4. Работа с Киоск-2 через консоль
16.2.4.1. Включение и выключение Киоск-2
16.2.4.2. Протоколирование процессов
16.2.4.3. Создание профиля
16.2.5. Графическая утилита управления профилями
16.3. Графический киоск
16.4. Графический киоск в режиме «Мобильный»
16.5. Изоляция приложений
16.6. Функции безопасности системы
16.6.1. Общие параметры вызова переключателей
16.6.2. Монитор безопасности
16.6.3. Установка квот на использование системных ресурсов
16.6.4. Запрет установки бита исполнения
16.6.5. Блокировка консоли для пользователей
16.6.6. Блокировка консоли в режиме «Мобильный»
16.6.7. Блокировка интерпретаторов
16.6.8. Блокировка макросов
16.6.9. Блокировка трассировки ptrace
16.6.10. Блокировка клавиши <SysRq>
16.6.11. Управление автоматическим входом
16.6.12. Блокировка запуска программ пользователями
16.6.13. Запуск контейнеров Docker на пониженном уровне МКЦ
16.6.14. Управление сетевыми службами
16.6.15. Управление загрузкой модуля ядра lkrg
16.6.16. Блокировка автоматического конфигурирования сетевых подключений
16.6.17. Отключение отображения меню загрузчика
16.6.18. Ограничение на форматирование съемных носителей
16.6.19. Запрет монтирования съемных носителей
16.6.20. Включение на файловой системе режима работы «только чтение»
16.6.21. Запрет выключения компьютера пользователями
16.6.22. Управление вводом пароля для sudo
16.6.23. Блокировка использования утилиты sumac
16.6.24. Управление межсетевым экраном ufw
16.6.25. Блокировка доступа по протоколу SSH для root
16.6.26. Переключение уровней защищенности
16.6.27. Управление мандатным контролем целостности
16.6.28. Управление замкнутой программной средой
16.6.29. Управление безопасным удалением файлов
16.6.30. Управление очисткой разделов подкачки
16.6.31. Включение и выключение мандатного управления доступом
16.6.32. Управление AstraMode и MacEnable
16.6.33. Выключение и включение аудита файлов и процессов
16.6.34. Выключение и включение сетевого аудита
16.7. Модуль безопасности Yama
16.8. Модуль безопасности lockdown
17. Генерация КСЗ
17.1. Настройка КСЗ
17.2. Безопасная настройка ОС
17.3. Профили настройки КСЗ
17.4. Импорт и экспорт настроек КСЗ
17.5. Возможности по защите от угроз безопасности информации средствами защиты ОС
17.5.1. Угрозы, связанные с внедрением вредоносного кода и повышением привилегий
17.5.2. Угрозы виртуальной инфраструктуры
17.5.3. Угрозы несанкционированного изменения конфигурации системы и средств защиты информации
17.5.4. Угрозы несанкционированного доступа к информации
17.5.5. Угрозы несанкционированного использования ресурсов системы
17.5.6. Угрозы процедур идентификации/аутентификации
17.5.7. Угрозы сетевой инфраструктуры и веб-технологий
17.5.8. Угрозы раскрытия информации
17.5.9. Угрозы целостности данных
17.5.10. Угрозы некорректного использования функционала системы и ПО
17.5.11. Угрозы несанкционированного восстановления информации
17.5.12. Угрозы несанкционированного доступа к низкоуровневым данным
17.5.13. Угрозы «отказ в обслуживании»
18. Условия эксплуатации ОС
18.1. Обеспечение безопасности среды функционирования
18.2. Указания по эксплуатации ОС
18.3. Условия применения ПО
18.4. Условия исключения скрытых каналов
Руководство по КСЗ. Часть 2#
СОДЕРЖАНИЕ
1. Порядок проведения тестирования
2. Структура тестов
2.1. Порядок проведения тестирования
2.2. Подсистема безопасности PARSEC
2.2.1. Модуль тестирования механизма дискреционного управления доступом к объектам ФС
2.2.2. Модуль тестирования механизма мандатного управления доступом к объектам ФС
2.2.3. Модуль тестирования механизма дискреционного управления доступом к объектам IPC
2.2.4. Модуль тестирования механизма мандатного управления доступом к объектам IPC
2.2.5. Модуль тестирования механизма мандатного управления доступом при сетевых взаимодействиях
2.2.6. Модуль тестирования механизмов работы с памятью и изоляции процессов
2.2.7. Модуль тестирования механизма очистки памяти внешних носителей
2.2.8. Модуль тестирования механизма привилегий процесса
2.2.9. Модуль тестирования подсистемы регистрации событий
2.2.10. Модуль тестирования механизма мандатного контроля целостности
2.2.11. Модуль тестирования механизма управления метками безопасности
2.2.12. Модуль тестирования механизма фильтрации списка содержимого каталогов .
2.2.13. Модуль тестирования механизма преобразования меток безопасности
2.3. СУБД
2.3.1. acl-column
2.3.2. acl-database
2.3.3. acl-dblink
2.3.4. acl-foreign
2.3.5. acl-function
2.3.6. acl-language
2.3.7. acl-largeobject
2.3.8. acl-role
2.3.9. acl-schema
2.3.10. acl-sequence
2.3.11. acl-table
2.3.12. acl-type
2.3.13. acl-tablespace
2.3.14. acl-view
2.3.15. mac-alter-meta
2.3.16. mac-altermac
2.3.17. mac-chmac-constraints
2.3.18. mac-chmac
2.3.19. mac-copy-file-deny
2.3.20. mac-copy-file
2.3.21. mac-copy-std
2.3.22. mac-create
2.3.23. mac-createtableas
2.3.24. mac-dblink
2.3.25. mac-dp
2.3.26. mac-delete
2.3.27. mac-foreign
2.3.28. mac-indexes
2.3.29. mac-inherit
2.3.30. mac-insert
2.3.31. mac-joins
2.3.32. mac-largeobject
2.3.33. mac-materializedview
2.3.34. mac-plperl, mac-plperlu, mac-plpgsql, mac-plpythonu, mac-pltcl, mac-pltclu
2.3.35. mac-select
2.3.36. mac-sequence
2.3.37. mac-tableview
2.3.38. mac-triggers-perl, mac-triggers-perlu, mac-triggers-pgsql, mac-triggers-pythonu, mactriggers-tcl, mac-triggers-tclu
2.3.39. mac-update
2.3.40. misc-audit
2.3.41. misc-altertable
2.3.42. misc-cluster
2.3.43. misc-config
2.3.44. misc-dump-restore
2.3.45. misc-dynamic-queries
2.3.46. misc-maclabel
2.3.47. misc-memory-check
2.3.48. misc-policy
2.3.49. misc-psql-d
2.3.50. misc-role-control
2.3.51. misc-roles
2.3.52. misc-rules
2.3.53. misc-sql-types
2.3.54. misc-vacuum
2.3.55. misc-VAL
2.3.56. mac-declarative-part
2.3.57. mac-files
2.3.58. mac-replication-logical
2.3.59. misc-memory-wiping
2.3.60. misc-notify
3. Проведение тестирования
3.1. Подсистема безопасности PARSEC
3.2. СУБД
4. Проверка идентификации и аутентификации
4.1. Идентификация и аутентификация
4.2. Запрет на доступ несанкционированного пользователя
4.3. Идентификация и аутентификация при работе с БД
5. Проверка дискреционного управления доступом
5.1. Механизм дискреционного управления доступом к объектам ФС
5.2. Механизм дискреционного управления доступом к объектам БД
6. Проверка мандатного управления доступом
6.1. Механизм мандатного управления доступом к объектам ФС
6.2. Механизм мандатного управления доступом к объектам IPC
6.3. Механизм мандатного управления доступом для сетевых взаимодействий
6.4. Механизм мандатного управления доступом к объектам БД
7. Проверка очистки памяти и изоляции процессов
7.1. Механизмы работы с ОП
7.2. Механизм очистки памяти внешних носителей
8. Проверка маркировки документов
9. Проверка контроля подключения съемных машинных носителей информации и сопоставления пользователя с устройством
10. Проверка регистрации событий безопасности
10.1. Система регистрации событий безопасности
10.2. Регистрация событий при работе с БД
11. Проверка надежного функционирования
11.1. Механизм надежного восстановления ФС
11.2. Механизм надежного восстановления БД
12. Проверка работы механизма контроля целостности
13. Дополнительные проверки СЗИ
13.1. Библиотечные функции libpdac++
13.2. Библиотечные функции libparsec-aud
13.3. Разрешения на изменение меток безопасности
13.4. Подсистема мандатного контроля целостности
13.5. Библиотечные функции libparsec-aux
13.6. Работа утилиты rsync
Руководство по КСЗ. Часть 3. Защищенная СУБД#
СОДЕРЖАНИЕ
1. Общие сведения
1.1. Назначение
1.2. Состав
2. Настройка сервера СУБД
3. Идентификация и аутентификация пользователей в СУБД
3.1. Настройки аутентификации
3.2. Использование PAM аутентификации
3.3. Использование сквозной аутентификации в ЕПП
3.3.1. Общие условия
3.3.2. Настройка серверной части FreeIPA
3.3.3. Клиент
3.3.4. Блокировка после установленного количества неуспешных попыток аутентификации
4. Дискреционное управление доступом в СУБД
4.1. Порядок применения правил дискреционного управления доступом
4.2. Средства управления дискреционными ПРД к объектам БД СУБД
5. Мандатное управление доступом в СУБД
5.1. Порядок применения мандатных правил управления доступом
5.2. Средства управления мандатными ПРД к объектам БД
5.3. Целостность мандатных атрибутов кластера баз данных
5.4. Ссылочная целостность мандатных атрибутов
5.5. Особенности создания правил, системы фильтрации и триггеров
5.6. Особенности использования представлений и материализованных представлений 36
5.7. Функции сравнения для типа maclabel
5.8. Система привилегий СУБД
6. Ролевое управление доступом в СУБД
7. Контроль целостности в СУБД
7.1. Контроль целостности объектов
7.2. Регламентный контроль целостности AFICK
8. Управление кластерами СУБД
8.1. Создание кластера pg_createcluster
8.2. Управление кластером pg_ctlcluster
8.3. Удаление кластера pg_dropcluster
8.4. Просмотр состояние кластеров pg_lsclusters
8.5. Обновление кластера pg_upgradecluster
8.6. Особенности обновления кластера при использовании pg_upgrade
9. Управление базами данных
9.1. Соединение с сервером БД
9.2. Создание и удаление баз данных
9.3. Управление пользователями
9.4. Использование процедурных языков
9.5. Оптимизация баз данных
10. Средства обеспечения надежности
10.1. Настройка репликации
10.1.1. Настройка пофайловой репликации
10.1.2. Настройка потоковой репликации
10.1.3. Настройка репликации с помощью слотов репликации
10.2. Pgpool-II
10.2.1. Настройка аутентификации
10.2.2. Настройка регистрации событий
11. Ограничение программной среды в СУБД
11.1. Блокировка загрузки в адресное пространство СУБД неразрешенного программного обеспечения
11.2. Запрет создания и модификации исполняемого кода при эксплуатации СУБД
11.3. Блокировка загрузки в адресное пространство СУБД программного обеспечения, целостность которого нарушена
11.4. Защита ядра и процессов пользователей при эксплуатации СУБД
12. Очистка памяти в СУБД
13. Регистрация событий в СУБД
13.1. Регистрация событий средствами ОС
13.2. Встроенные средства регистрации событий в СУБД
13.2.1. Режимы регистрации событий
13.2.2. Настройка маски регистрации событий
13.2.3. Назначение списков регистрации событий в режиме internal
13.2.4. Назначение списков регистрации событий в режиме external
13.2.5. Назначение списков регистрации событий в режимах external, internal и internal,external
13.2.6. Назначение списков регистрации событий в режиме none
14. Восстановление СУБД после сбоев и отказов
14.1. Создание и восстановление резервных копий баз данных с мандатными атрибутами
14.2. pg_dump
14.3. pg_dumpall
14.4. pg_restore
15. Обновление СУБД при сохранении ее доступности
16. Средства обеспечения отказоустойчивости и высокой доступности СУБД
16.1. Доступность и отказоустойчивость в кластере pacemaker
16.1.1. Установка СУБД
16.1.2. Настройка СУБД
16.1.3. Синхронизация узлов кластерной службы СУБД
16.1.4. Создание кластерного ресурса
16.1.5. Восстановление неработоспособного узла
16.2. Настройка кластерной службы СУБД и балансировка нагрузки под управлением Pgpool-II
Руководство пользователя#
СОДЕРЖАНИЕ
1. Назначение
2. Общие положения
3. Режимы работы: «Десктоп», «Планшетный», «Мобильный»
3.1. Режимы «Десктоп» и «Планшетный»
3.1.1. Основные возможности
3.1.2. Начало и завершение работы
3.1.2.1. Запуск ОС
3.1.2.2. Графический вход в систему
3.1.2.3. Завершение работы в графическом режиме
3.1.2.4. Консольный вход и выход из системы
3.1.3. Рабочий стол в режиме «Десктоп»
3.1.4. Рабочий стол в режиме «Планшетный»
3.1.5. Настройка рабочего стола пользователя
3.2. Режим «Мобильный»
3.2.1. Основные возможности
3.2.2. Начало и завершение работы
3.2.2.1. Запуск ОС
3.2.2.2. Графический вход в систему
3.2.2.3. Завершение работы в графическом режиме
3.2.2.4. Консольный вход и выход из системы
3.2.3. Отображение графического интерфейса
3.2.3.1. Мобильный вид
3.2.3.2. Десктопный вид
4. Графические программы
4.1. Параметры системы
4.2. Программа «Менеджер файлов»
4.3. Раздел «Офис»
4.3.1. Офисный пакет Libreoffice
4.3.2. Калькулятор Kcalc
4.3.3. Редактор Kate
4.3.4. Просмотр документов Okular
4.3.5. Сканирование
4.4. Раздел «Интернет»
4.5. Раздел «Графика»
4.5.1. Просмотр изображений Gwenview
4.5.2. Inkscape
4.5.3. Редактор изображений GIMP
4.5.4. Простой редактор изображений KolourPaint
4.5.5. Редактор 3D-моделей Blender
4.6. Раздел «Мультимедиа»
4.6.1. Камера GUVCView
4.6.2. Медиаплеер VLC
4.6.3. Регулятор громкости PulseAudio
4.7. Раздел «Научные»
4.8. Раздел «Инструменты»
4.9. Сервис электронной подписи
4.9.1. Предоставление СЭП из основного меню
4.9.2. Предоставление СЭП из файлового менеджера Fly
4.9.3. Предоставление СЭП пакетом офисных программ LibreOffice
4.9.4. Предоставление СЭП из командной строки
4.9.5. Просмотр электронного документа
4.9.6. Проверка присоединенной ЭП
4.9.7. Проверка отсоединенной ЭП
4.9.8. Создание отсоединенной ЭП
4.9.9. Использование контейнера электронного документа
4.9.10. Проставление штампа электронной подписи
4.9.11. Управление шаблонами штампа электронной подписи
5. Графические приложения в режиме «Мобильный»
6. Печать документов
7. Средства организации работы в сети
7.1. Веб-браузер Firefox
7.2. Веб-браузер Chromium
7.3. Веб-браузер chromium-gost
7.4. Мессенджер Psi+
7.5. Клиент комплекса программ электронной почты Thunderbird
7.6. Служба передачи файлов FTP
7.7. Защищенный интерпретатор команд SSH
8. Взаимодействие пользователя с СЗИ
8.1. Возможности, предоставляемые пользователю
8.2. Мандатное управление доступом
8.3. Мандатное управление доступом в режиме «Мобильный»
8.4. Команда who
9. Защищенная система управления базами данных
9.1. Соединение с сервером БД
9.2. Выполнение запросов
10. Типы регистрируемых событий, связанных с действиями пользователей
11. Порядок действий при ошибках и сбоях в работе ОС