Astra Linux Special Edition (очередное обновление 4.7)#
Описание применения#
СОДЕРЖАНИЕ
1. Назначение программы
1.1. Назначение
1.2. Основные характеристики
1.3. Возможности
1.4. Функции безопасности
2. Условия применения
2.1. Требования к техническим средствам
2.2. Совместимость с оборудованием
2.3. Порядок эксплуатации
2.4. Правовой аспект использования функций безопасности
3. Порядок обновления ОС
3.1. Очередное (плановое) обновление
3.2. Оперативное (внеочередное) обновление
4. Описание задачи
4.1. Классы решаемых задач
4.1.1. Обеспечение пользовательского интерфейса
4.1.2. Идентификация и аутентификация
4.1.3. Организация единого пространства пользователей
4.1.4. Дискреционное управление доступом
4.1.5. Мандатное управление доступом и мандатный контроль целостности
4.1.6. Изоляция процессов
4.1.7. Регистрация событий безопасности
4.1.8. Очистка оперативной и внешней памяти
4.1.9. Контроль целостности
4.1.10. Ограничение программной среды
4.1.10.1. Замкнутая программная среда
4.1.10.2. Системные ограничения и блокировки
4.1.11. Фильтрация сетевого потока
4.1.12. Обеспечение работы в среде виртуализации
4.1.13. Сервис электронной подписи
4.1.14. Маркировка документов
4.1.15. Обеспечение работы в отказоустойчивом режиме
4.1.16. Обеспечение надежного функционирования
4.1.17. Обеспечение доступа к БД
4.1.17.1. Идентификация и аутентификация
4.1.17.2. Управление доступом
4.1.17.3. Регистрация событий безопасности
4.1.17.4. Обеспечение надежного функционирования
4.1.18. Гипертекстовая обработка данных
4.1.19. Обмен сообщениями электронной почты
5. Входные и выходные данные
Руководство администратора. Часть 1#
СОДЕРЖАНИЕ
1. Администрирование ОС
1.1. Получение прав суперпользователя
1.1.1. su
1.1.2. sudo
1.2. Механизмы разделения полномочий
1.2.1. Механизм привилегий
1.2.2. Механизм повышения полномочий
1.2.3. Механизм установки ACL на файлы
2. Установка и настройка ОС
2.1. Установка ОС
2.2. Режимы работы ОС
2.3. Первичная настройка ОС
2.3.1. Уровень защищенности «Базовый»
2.3.2. Уровень защищенности «Усиленный»
2.3.3. Уровень защищенности «Максимальный»
2.4. Обновление ОС
3. Системные компоненты
3.1. Управление устройствами
3.1.1. Типы устройств
3.1.2. Жесткие диски
3.1.3. Разделы жесткого диска
3.1.3.1. Расширенные и логические разделы
3.1.3.2. Разбиение жесткого диска
3.1.3.3. Файлы устройств и разделы
3.1.4. Форматирование
3.1.5. Программная организация дисковых разделов в RAID и тома LVM
3.2. Управление ФС
3.2.1. Установка
3.2.2. Монтирование
3.2.2.1. mount
3.2.2.2. fstab
3.2.3. Размонтирование
3.3. Управление пользователями
3.3.1. Работа с пользователями
3.3.1.1. Добавление
3.3.1.2. Установка пароля
3.3.1.3. Удаление
3.3.1.4. Неудачный вход в систему
3.3.2. Работа с группами
3.3.2.1. Добавление
3.3.2.2. Удаление
3.3.3. Рабочие каталоги пользователей
3.4. Перезагрузка и останов
3.4.1. shutdown
3.4.2. halt и reboot
4. Системные службы, состояния и команды
4.1. Системные службы
4.1.1. Общие сведения
4.1.2. Конфигурационные файлы systemd
4.2. Системные (целевые) состояния
4.3. Системные команды
4.3.1. Планирование запуска команд
4.3.1.1. at
4.3.1.2. cron
4.3.2. Администрирование многопользовательской и многозадачной среды
4.3.2.1. who
4.3.2.3. nohup
4.3.2.4. nice
4.3.2.5. renice
4.3.2.6. kill
5. Управление программными пакетами
5.1. Набор команд dpkg
5.2. Комплекс программ apt
4.3.2.2. ps
5.2.1. Настройка доступа к архивам пакетов
5.2.2. Установка и удаление пакетов
6. Базовые сетевые службы
6.1. Сеть TCP/IP
6.1.1. Пакеты и сегментация
6.1.2. Адресация пакетов
6.1.3. Маршрутизация
6.1.3.1. Таблица
6.1.3.2. Организация подсетей
6.1.4. Создание сети TCP/IP
6.1.4.1. Планирование сети
6.1.4.2. Назначение lP-адресов
6.1.4.3. Настройка сетевых интерфейсов
6.1.4.4. Настройка статических маршрутов
6.1.5. Проверка и отладка сети
6.1.5.1. ping
6.1.5.2. netstat
6.1.5.3. arp
6.2. Cлужба FTP
6.2.1. Клиентская часть
6.2.2. Сервер vsftpd
6.2.2.1. Конфигурационный файл
6.3. Служба DHCP
6.4. Служба NFS
6.4.1. Установка и настройка сервера
6.4.2. Установка и настройка клиента
6.5. Служба DNS
6.5.1. Установка DNS-сервера
6.5.2. Настройка сервера службы доменных имен named
6.5.3. Настройка клиентов для работы со службой доменных имен
6.6. Настройка SSH
6.6.1. Служба ssh
6.6.2. Клиент ssh
6.7. Службы точного времени
6.7.1. Служба сетевого времени ntp
6.7.1.1. Режимы работы
6.7.1.2. Установка и базовая настройка сервера времени
6.7.1.3. Конфигурационный файл ntp.conf
6.7.1.4. Настройка аутентификации
6.7.1.5. ntpd
6.7.1.6. ntpq
6.7.1.7. ntpdate
6.7.1.8. ntptrace
6.7.1.9. Методы синхронизации системных часов
6.7.1.10. Синхронизация времени в виртуальной среде1)
6.7.2. Служба timesyncd
6.7.2.1. Настройка
6.7.2.2. Выбор серверов времени
6.7.3. Служба chronyd
6.7.3.1. Установка
6.7.3.2. Настройка
6.7.4. Служба времени высокой точности PTP
6.7.4.1. Проверка оборудования
6.7.4.2. Установка
6.7.4.3. Настройка службы
6.7.4.4. Настройка режима интерпретации показаний аппаратных часов
6.8. Программный коммутатор Open vSwitch
6.8.1. Установка
6.8.2. Особенности конфигурирования
6.9. Сетевая защищенная файловая система
6.9.1. Назначение и возможности
6.9.2. Состав
6.9.3. Настройка
6.9.4. Графическая утилита настройки СЗФС
6.9.5. Запуск сервера
6.9.6. Правила конвертации меток целостности
6.10. Средство создания защищенных каналов
6.10.1. Установка
6.10.2. Управление с помощью инструмента командной строки
6.10.2.1. Параметры инструмента командной строки
6.10.2.2. Запуск службы
6.10.2.3. Генерация сертификатов и ключей
6.10.2.4. Отзыв сертификатов
6.10.2.5. Замена сертификатов
6.10.2.6. Настройка клиента
6.10.3. Управление службой с помощью графической утилиты
6.10.3.1. Управление службой
6.10.3.2. Настройка службы
6.10.3.3. Управление сертификатами
6.10.3.4. Настройка клиента
6.10.4. Диагностика работы службы и клиента
6.10.5. Использование инструмента XCA для создания собственного удостоверяющего центра
6.10.5.1. Установка инструмента XCA
6.10.5.2. Подготовка шаблонов
6.10.5.3. Типовая схема применения инструмента XCA
6.10.5.4. Создание корневого сертификата удостоверяющего центра
6.10.5.5. Создание сертификата сервера
6.10.5.6. Создание сертификата клиента
6.10.5.7. Экспорт корневого сертификата удостоверяющего центра
6.10.5.8. Экспорт файлов сертификатов и ключей сервера
6.10.5.9. Экспорт файлов сертификатов и ключей клиента
6.10.5.10. Отзыв сертификатов
6.11. Средство удаленного администрирования Ansible
6.11.1. Состав
6.11.2. Установка и настройка Ansible
6.11.3. Сценарии Ansible
7. Средства обеспечения отказоустойчивости и высокой доступности
7.1. Pacemaker и Corosync
7.1.1. Установка
7.1.2. Пример настройки кластера
7.2. Keepalived
7.2.1. Установка
7.2.2. Пример настройки
7.3. Распределенная файловая система Ceph
7.3.1. Развертывание Ceph с помощью средства ceph-deploy
7.3.2. Использование кластера Ceph
7.4. Средство эффективного масштабирования HAProxy
7.4.1. Установка
7.4.2. Настройка
8. Средства организации ЕПП
8.1. Архитектура ЕПП
8.1.1. Механизм NSS
8.1.2. Механизм PAM
8.1.3. Служба каталогов LDAP
8.1.4. Доверенная аутентификация Kerberos
8.1.5. Централизация хранения атрибутов СЗИ в распределенной сетевой среде
8.2. Служба Astra Linux Directory
8.2.1. Состав
8.2.2. Установка
8.2.3. Настройка
8.2.4. Шаблоны конфигурационных файлов
8.2.4.1. Конфигурационные файлы LDAP
8.2.4.2. Конфигурационные файлы Kerberos
8.2.4.3. Конфигурационные файлы Samba
8.2.4.4. Распространение конфигурационных файлов в домене
8.2.5. Сценарии сессии пользователя
8.2.6. Администрирование домена
8.2.6.1. Управление конфигурацией домена
8.2.6.2. Использование RPC интерфейса
8.2.6.3. Управление учетными записями
8.2.6.4. Ограничения по выборке данных из LDAP
8.2.6.5. Регистрация действий администратора и протоколирование
8.2.6.6. Домашние каталоги и особенности монтирования сетевых ФС
8.2.6.7. Создание резервных копий и восстановление
8.2.6.8. Доверительные отношения между доменами
8.2.6.9. Создание резервного сервера ALD
8.2.6.10. Замена основного сервера резервным
8.2.7. Проверка целостности конфигурации и устранение ошибок
8.3. Служба FreeIPA
8.3.1. Структура
8.3.2. Состав
8.3.3. Установка и удаление
8.3.4. Настройка контроллера домена
8.3.5. Запуск службы FreeIPA
8.3.5.1. Запуск с использованием графической утилиты
8.3.5.2. Запуск с использованием инструмента командной строки
8.3.5.3. Управление службами FreeIPA
8.3.6. Ввод компьютера в домен
8.3.6.1. Настройка клиентского компьютера
8.3.6.2. Ввод компьютера в домен с использованием инструмента командной строки
8.3.6.3. Ввод компьютера в домен с использованием графической утилиты
8.3.6.4. Отображение списка доменных учетных записей в окне входа в ОС
8.3.7. Шаблоны конфигурационных файлов
8.3.8. Администрирование домена
8.3.8.1. Создание резервной копии и восстановление
8.3.8.2. Создание резервного сервера FreeIPA
8.3.9. Доверительные отношения между доменами
8.3.9.1. Общие сведения
8.3.9.2. Предварительная настройка
8.3.9.3. Настройка синхронизация времени
8.3.9.4. Инициализация доверительных отношений
8.3.9.5. Проверка установки доверительных отношений
8.3.10. Создание самоподписанного сертификата
8.3.10.1. Создание сертификата с помощью инструмента XCA
8.3.10.2. Создание сертификата с помощью инструмента командной строки
8.3.11. Настройка web-сервера Apache2 для работы в домене FreeIPA
8.3.11.1. Настройка авторизации Kerberos
8.3.11.2. Настройка защищенных соединений SSL с использованием сертификатов
8.3.11.3. Настройка каталогов для работы с конфиденциальными данными
8.3.12. Сквозная аутентификация в СУБД
8.3.13. Web-интерфейс FreeIPA
8.3.13.1. Установка мандатных атрибутов (user mac)
8.3.13.2. Установка привилегий PARSEC (parsec cap)
8.4. Samba
8.4.1. Настройка контроллера домена
8.4.2. Настройка участников домена
8.5. Настройка сетевых служб
9. Виртуализация среды исполнения
9.1. Cредства виртуализации
9.1.1. Сервер виртуализации libvirt
9.1.2. Служба сервера виртуализации libvirtd
9.1.3. Конфигурационные файлы сервера виртуализации
9.1.4. Консольный интерфейс virsh
9.1.5. Графическая утилита virt-manager
9.1.6. Средства эмуляции аппаратного обеспечения на основе QEMU
9.1.7. Идентификация и аутентификация при доступе к серверу виртуализации libvirt
9.1.8. Идентификация и аутентификация при доступе к рабочему столу виртуальных машин
9.2. Контейнеризация
9.2.1. Установка Docker
9.2.2. Работа с Docker
9.2.2.1. Создание образа Docker
9.2.2.2. Копирование образа
9.2.2.3. Создание и работа с контейнерами
9.2.2.4. Запуск контейнеров на выделенном уровне МКЦ
9.2.2.5. Монтирование файловых ресурсов хостовой машины в контейнер
9.2.2.6. Работа с Docker в непривилегированном режиме
10. Защищенный комплекс программ гипертекстовой обработки данных
10.1. Настройка сервера
10.2. Режим работы AstraMode
10.3. Настройка авторизации
10.4. Настройка для работы в ЕПП
10.4.1. Настройка для работы со службой FreeIPA
10.4.2. Настройка для работы со службой ALD
11. Защищенная графическая подсистема
11.1. Конфигурирование менеджера окон и рабочего стола в зависимости от типа сессии
11.2. Рабочий стол как часть экрана
11.3. Удаленный вход по протоколу XDMCP
11.4. Автоматизация входа в систему
11.5. Рабочий стол Fly
11.6. Мандатное управление доступом
12. Защищенный комплекс программ печати и маркировки документов
12.1. Устройство системы печати
12.2. Установка
12.3. Настройка
12.3.1. Настройка для работы с локальной базой безопасности
12.3.2. Настройка для работы в ЕПП
12.3.2.1. Настройка сервера печати
12.3.2.2. Настройка клиента системы печати
12.4. Настройка принтера и управление печатью
12.4.1. Общие положения
12.4.2. Команды управления печатью
12.4.2.1. lp
12.4.2.2. lpq
12.4.2.3. lprm
12.4.2.4. lpadmin
12.4.3. Графическая утилита настройки сервера печати
12.5. Маркировка документа
12.6. Маркировка документа в командной строке
12.7. Графическая утилита управления печатью
12.8. Маркировка нескольких экземпляров документа
12.9. Журнал маркировки
13. Защищенная система управления базами данных
14. Защищенный комплекс программ электронной почты
14.1. Состав
14.2. Настройка серверной части
14.2.1. Настройка агента доставки сообщений
14.2.2. Настройка агента передачи сообщений
14.3. Настройка клиентской части
14.4. Настройка для работы в ЕПП
14.4.1. Настройка для работы со службой FreeIPA
14.4.1.1. Настройка почтового сервера
14.4.1.2. Регистрация почтовых служб на контроллере домена
14.4.1.3. Получение таблицы ключей на почтовом сервере
14.4.1.4. Настройка авторизации через Kerberos
14.4.2. Настройка для работы со службой ALD
14.4.2.1. Сервер
14.4.2.2. Клиент
15. Средства централизованного протоколирования и аудита
15.1. Аудит
15.2. Средства централизованного протоколирования
15.2.1. Архитектура
15.2.2. Сервер
15.2.3. Агенты
15.2.4. Прокси
15.2.5. Web-интерфейс
16. Резервное копирование и восстановление данных
16.1. Виды резервного копирования
16.2. Планирование резервного копирования
16.2.1. Составление расписания резервного копирования
16.2.2. Планирование восстановления системы
16.3. Комплекс программ Bacula
16.3.1. Подготовка инфраструктуры
16.3.2. Настройка Bacula
16.3.2.1. Настройка Bacula Director
16.3.2.2. Настройка Bacula Storage
16.3.2.3. Настройка Bacula File
16.3.2.4. Проверка Bacula
16.4. Утилита копирования rsync
16.5. Утилиты архивирования
16.5.1. tar
16.5.2. cpio
17. Средства разграничения доступа к подключаемым устройствам
17.1. Монтирование съемных накопителей
17.2. Перехват события менеджером устройств udev
17.3. Разграничение доступа к устройствам на основе генерации правил udev
17.4. Вызов сценария обработки события как системной службы
17.5. Сценарий обработки события
17.6. Порядок генерации правил udev для учета съемных накопителей
17.7. Отладка правил
17.8. Регистрация устройств
18. Поддержка средств двухфакторной аутентификации
18.1. Аутентификация с открытым ключом (инфраструктура открытых ключей)
18.2. Средства поддержки двухфакторной аутентификации
18.2.1. Общие сведения
18.2.2. Настройка клиентской машины
18.2.3. Инициализация токена
18.2.4. Использование токена
18.2.5. Разблокировка сессии с ненулевой меткой конфиденциальности с помощью PIN-кода
18.3. Управление сертификатами
18.4. Настройка доменного входа (ЕПП)
19. Сообщения администратору и выявление ошибок
19.1. Диагностические сообщения
19.2. Выявление ошибок
19.3. Циклическая перезагрузка компьютера по причине неверной установки времени
Руководство администратора. Часть 2#
СОДЕРЖАНИЕ
1. Защищенная система управления базами данных
1.1. Назначение
1.2. Состав
1.2.1. Дополнительно поставляемые модули
1.3. Настройка
1.4. Настройки аутентификации
1.4.1. Использование PAM аутентификации
1.4.2. Использование сквозной аутентификации в ЕПП
1.4.2.1. Cервер
1.4.2.2. Клиент
1.5. Управление кластерами СУБД
1.5.1. Создание кластера - pg_createcluster
1.5.2. Управление кластером - pg_ctlcluster
1.5.3. Удаление кластера - pg_dropcluster
1.5.4. Просмотр состояние кластеров - pg_lsclusters
1.5.5. Обновление кластера - pg_upgradecluster
1.6. Особенности управления разграничением доступа
1.6.1. Мандатное управление доступом
1.6.2. Ограничения при использовании ролевого управления доступом
1.6.3. Особенности обновления кластера при использовании pg_upgrade
1.7. Средства администрирования и обеспечения надежности
1.7.1. Настройка репликации
1.7.1.1. Настройка пофайловой (Log Shipping) репликации
1.7.1.2. Настройка потоковой (Streaming) репликации
1.7.1.3. Настройка репликации с помощью слотов репликации
1.7.1.4. Настройка репликации с помощью Slony-I
1.7.2. Pgpool-II
1.7.2.1. Настройка аутентификации
1.7.2.2. Настройка протоколирования
1.7.2.3. Настройка Pgpool-II в режиме Ведущий-ведомый
Руководство по КСЗ. Часть 1#
СОДЕРЖАНИЕ
1. Общие сведения
1.1. Состав КСЗ
1.2. Контролируемые функции
1.3. Средства организации ЕПП
2. Идентификация и аутентификация
3. Дискреционное управление доступом
3.1. Общие сведения
3.2. Linux-привилегии
3.3. Средства управления дискреционными ПРД
3.3.1. chown
3.3.2. chgrp
3.3.3. chmod
3.3.4. umask
3.3.5. getfacl
3.3.6. setfacl
3.3.6.1. Элементы ACL
3.3.6.2. Автоматически созданные права доступа
3.4. Дискреционное управление доступом в СУБД PostgreSQL
3.5. Средства управления дискреционными ПРД к объектам БД СУБД PostgreSQL
4. Мандатное управление доступом и мандатный контроль целостности
4.1. Общие сведения
4.2. Мандатное управление доступом
4.2.1. Уровень конфиденциальности
4.2.2. Категория конфиденциальности
4.2.3. Дополнительные мандатные атрибуты управления доступом
4.3. Мандатный контроль целостности
4.4. Мандатный контекст безопасности
4.5. Применение правил мандатного управления доступом и мандатного контроля
4.6. PARSEC-привилегии
4.7. Включение и выключение мандатного управления доступом
4.7.1. Включение мандатного управления доступом
4.7.2. Выключение мандатного управления доступом
4.8. Включение и выключение мандатного контроля целостности
4.8.1. Включение мандатного контроля целостности на ОС
4.8.2. Включение мандатного контроля целостности на файловой системе
4.8.3. Выключение мандатного контроля целостности
4.8.4. Выключение мандатного контроля целостности на файловой системе
4.8.5. Администрирование ОС при включенном режиме МКЦ
4.9. Запуск служб systemd с уровнем целостности и конфиденциальности
4.10. Сетевое взаимодействие
4.10.1. Механизм privsock
4.11. Шина межпроцессного взаимодействия D-Bus
4.11.1. Виды сообщений
4.11.2. Процесс взаимодействия с шиной
4.11.3. Процесс соединения с системной шиной
4.11.4. Объекты и субъекты системы
4.11.5. Алгоритм проверки меток для различных сообщений и режимов работы
4.11.6. Привилегии процесса dbus-daemon
4.11.7. Расширенное управление политиками
4.11.7.1. Конфигурационный файл
4.11.7.2. Формирование клиентских политик из политик шины
4.12. Средства управления мандатными ПРД
4.12.1. pdpl-file
4.12.2. pdp-id
4.12.3. pdp-init-fs
4.12.4. pdp-ls
4.12.5. pdpl-ps
4.12.6. pdpl-user
4.12.7. sumac
4.12.8. userlev
4.12.9. usercat
4.12.10. Устаревшие утилиты управления мандатными ПРД
4.12.10.1. chmac
4.12.10.2. macid
4.12.10.3. lsm
4.12.10.4. psmac
4.12.10.5. usermac
4.12.10.6. getfmac
4.12.10.7. setfmac
4.13. Средства управления привилегиями пользователей и процессов
4.13.1. usercaps
4.13.2. execaps
4.13.3. pscaps
4.14. Мандатное управление доступом в СУБД PostgreSQL
4.14.1. Порядок применения мандатных правил управления доступом
4.14.2. Средства управления мандатными ПРД к объектам БД
4.14.3. Целостность мандатных атрибутов кластера баз данных
4.14.4. Ссылочная целостность мандатных атрибутов
4.14.5. Особенности создания правил, системы фильтрации и триггеров
4.14.5.1. Особенности использования представлений и материализованных представлений
4.14.6. Функции сравнения для типа maclabel
4.14.7. Система привилегий СУБД
4.15. Мандатное управление доступом в комплексах программ гипертекстовой обработки данных и электронной почты
4.16. Настройка загрузчика GRUB 2
5. Защита среды виртуализации
5.1. Дискреционное управление доступом к виртуальной машине
5.2. Мандатное управление доступом к виртуальной машине
5.3. Режим «только чтение»: запрет модификации образа виртуальной машины
6. Регистрация событий безопасности
6.1. Правила протоколирования
6.2. Протоколирование на основе меток безопасности
6.3. Средства управления протоколированием
6.3.1. setfaud
6.3.2. getfaud
6.3.3. useraud
6.3.4. psaud
6.3.5. ausearch
6.3.6. Дополнительные параметры системы протоколирования событий
6.4. Средства централизованного аудита и протоколирования
6.5. Регистрация событий в СУБД PostgreSQL
6.5.1. Настройка файла pg_audit.conf для регистрации событий
6.5.2. Настройка маски регистрации событий
6.5.2.1. Назначение списков регистрации событий в режиме internal
6.5.2.2. Назначение списков регистрации событий в режиме external
6.5.2.3. Назначение списков регистрации событий в режимах external, internal и internal,external
6.5.2.4. Назначение списков регистрации событий в режиме none
7. Изоляция процессов
7.1. Изоляция процессов ОС
7.2. Изоляция среды исполнения контейнеров
8. Защита памяти
8.1. Очистка памяти
8.2. Средства ограничения прав доступа к страницам памяти
9. Контроль целостности
9.1. Средство подсчета контрольных сумм файлов и оптических дисков
9.2. Средство подсчета контрольных сумм файлов в deb-пакетах
9.3. Средство контроля соответствия дистрибутиву
9.4. Средства регламентного контроля целостности
9.5. Сервис электронной подписи
9.5.1. Принцип функционирования
9.5.2. Условия применения
9.5.3. Установка
9.5.4. Использование на ненулевом уровне конфиденциальности
9.5.5. Просмотр электронного документа
9.5.6. Проверка уровня конфиденциальности сеанса
9.5.7. Условия применения СКЗИ
10. Надежное функционирование
10.1. Восстановление ОС после сбоев и отказов
10.2. Средства резервного копирования и восстановления ОС
10.2.1. Комплекс программ Bacula
10.2.2. Утилита архивирования tar
10.3. Восстановление СУБД PostgreSQL после сбоев и отказов
10.3.1. Создание и восстановление резервных копий баз данных с мандатными атрибутами
10.3.2. pg_dump
10.3.3. pg_dumpall
10.3.4. pg_restore
11. Фильтрация сетевого потока
11.1. Включение фильтрации сетевого потока
11.2. Фильтр сетевых пакетов iptables
11.3. Формирование правил
11.4. Порядок прохождения таблиц и цепочек
11.5. Механизм трассировки соединений
11.6. Критерии выделения пакетов
11.7. Действия и переходы
11.8. Поддержка фильтрации на основе классификационных меток
11.8.1. Модули iptables для работы с классификационными метками
11.8.2. Использование ufw для работы с классификационными метками
12. Маркировка документов
12.1. Общие сведения
12.2. Настройка печати документа с ненулевой классификационной меткой
12.3. Настройка маркера печати
12.3.1. Файл описания переменных маркировки
12.3.2. Шаблон маркера
12.3.3. Файлы описания маркера
12.3.4. Изменение шрифта маркировки
13. Контроль подключения съемных машинных носителей информации
14. Сопоставление пользователя с устройством
15. Генерация КСЗ
16. Ограничение программной среды и функции безопасности
16.1. Замкнутая программная среда
16.1.1. Режимы функционирования
16.1.2. Настройка модуля digsig_verif
16.1.3. Подписывание файлов
16.2. Режим Киоск-2
16.2.1. Профили пакета parsec-kiosk2
16.2.2. Синтаксис профилей parsec-kiosk2
16.2.3. Синтаксис, совместимый с parsec-kiosk
16.2.4. Работа с Киоск-2 через консоль
16.2.4.1. Включение и выключение Киоск-2
16.2.4.2. Протоколирование процессов
16.2.4.3. Создание профиля
16.2.5. Графическая утилита управления профилями
16.2.6. Киоск Fly
16.3. Изоляция приложений
16.4. Функции безопасности системы
16.4.1. Общие параметры вызова переключателей
16.4.2. Монитор безопасности
16.4.3. Установка квот на использование системных ресурсов
16.4.4. Режим запрета установки бита исполнения
16.4.5. Блокировка консоли для пользователей
16.4.6. Блокировка интерпретаторов
16.4.7. Блокировка макросов
16.4.8. Блокировка трассировки ptrace
16.4.9. Блокировка клавиши <SysRq>
16.4.10. Управление автоматическим входом
16.4.11. Блокировка запуска программ пользователями
16.4.12. Запуск контейнеров Docker на пониженном уровне МКЦ
16.4.13. Управление сетевыми службами
16.4.14. Управление загрузкой модуля ядра lkrg
16.4.15. Блокировка неиспользуемых модулей ядра
16.4.16. Блокировка автоматического конфигурирования сетевых подключений
16.4.16.1. Отключение отображения меню загрузчика
16.4.17. Ограничение на форматирование съемных носителей
16.4.18. Запрет монтирования съемных носителей
16.4.19. Включение на файловой системе режима работы «только чтение»
16.4.20. Блокировка выключения компьютера пользователями
16.4.21. Управление вводом пароля для sudo
16.4.22. Блокировка использования утилиты sumac
16.4.23. Управление межсетевым экраном ufw
16.4.24. Переключение режимов защищенности
16.4.25. Управление режимом мандатного контроля целостности
16.4.26. Управление режимом замкнутой программной среды
16.4.27. Управление безопасным удалением файлов
16.4.28. Управление очисткой разделов подкачки
16.4.29. Управление режимом мандатного управления доступом
16.5. Модуль безопасности yama
16.6. Модуль безопасности lockdown
17. Условия эксплуатации ОС
17.1. Обеспечение безопасности среды функционирования
17.2. Указания по эксплуатации ОС
17.3. Условия применения ПО
17.4. Условия исключения скрытых каналов
Руководство по КСЗ. Часть 2#
СОДЕРЖАНИЕ
1. Структура тестов
1.1. Подсистема безопасности PARSEC
1.1.1. Модуль тестирования механизма дискреционного управления доступом к объектам ФС
1.1.2. Модуль тестирования механизма мандатного управления доступом к объектам ФС
1.1.3. Модуль тестирования механизма дискреционного управления доступом к объектам IPC
1.1.4. Модуль тестирования механизма мандатного управления доступом к объектам IPC
1.1.5. Модуль тестирования механизма мандатного управления доступом при сетевых
1.1.6. Модуль тестирования механизмов работы с памятью и изоляции процессов
1.1.7. Модуль тестирования механизма очистки памяти внешних носителей
1.1.8. Модуль тестирования механизма привилегий процесса
1.1.9. Модуль тестирования подсистемы регистрации событий
1.2. СУБД PostgreSQL
1.2.1. acl-column
1.2.2. acl-database
1.2.3. acl-dblink
1.2.4. acl-foreign
1.2.5. acl-function
1.2.6. acl-language
1.2.7. acl-largeobject
1.2.8. acl-role
1.2.9. acl-schema
1.2.10. acl-sequence
1.2.11. acl-table
1.2.12. acl-type
1.2.13. acl-tablespace
1.2.14. acl-view
1.2.15. mac-alter-meta
1.2.16. mac-altermac
1.2.17. mac-chmac-constraints
1.2.18. mac-chmac
1.2.19. mac-copy-file-deny
1.2.20. mac-copy-file
1.2.21. mac-copy-std
1.2.22. mac-create
1.2.23. mac-createtableas
1.2.24. mac-dblink
1.2.25. mac-dp
1.2.26. mac-delete
1.2.27. mac-foreign
1.2.28. mac-indexes
1.2.29. mac-inherit
1.2.30. mac-insert
1.2.31. mac-joins
1.2.32. mac-largeobject
1.2.33. mac-materializedview
1.2.34. mac-plperl, mac-plperlu, mac-plpgsql, mac-plpythonu, mac-pltcl, mac-pltclu
1.2.35. mac-select
1.2.36. mac-sequence
1.2.37. mac-tableview
1.2.38. mac-triggers-plperl, mac-triggers-plperlu, mac-triggers-plpgsql, mac-triggers-plpythonu, mac-triggers-pltcl, mac-triggers-pltclu
1.2.39. mac-update
1.2.40. misc-audit
1.2.41. misc-altertable
1.2.42. misc-cluster
1.2.43. misc-config
1.2.44. misc-dump-restore
1.2.45. misc-dynamic-queries
1.2.46. misc-maclabel
1.2.47. misc-policy
1.2.48. misc-psql-d
1.2.49. misc-role-control
1.2.50. misc-roles
1.2.51. misc-rules
1.2.52. misc-sql-types
1.2.53. misc-vacuum
1.2.54. misc-VAL
2. Проведение тестирования
2.1. Подсистема безопасности PARSEC
2.2. СУБД PostgreSQL
3. Проверка идентификации и аутентификации
3.1. Идентификация и аутентификация
3.2. Запрет на доступ несанкционированного пользователя
3.3. Идентификация и аутентификация при работе с БД
4. Проверка дискреционного управления доступом
4.1. Механизм дискреционного управления доступом к объектам ФС
4.2. Механизм дискреционного управления доступом к объектам БД
5. Проверка мандатного управления доступом
5.1. Механизм мандатного управления доступом к объектам ФС
5.2. Механизм мандатного управления доступом к объектам IPC
5.3. Механизм мандатного управления доступом для сетевых взаимодействий
5.4. Механизм мандатного управления доступом к объектам БД
6. Проверка очистки памяти и изоляции процессов
6.1. Механизмы работы с ОП
6.2. Механизм очистки памяти внешних носителей
7. Проверка маркировки документов
8. Проверка контроля подключения съемных машинных носителей информации и сопоставления пользователя с устройством
9. Проверка регистрации событий безопасности
9.1. Система регистрации событий безопасности
9.2. Регистрация событий при работе с БД
10. Проверка надежного функционирования
10.1. Механизм надежного восстановления ФС
10.2. Механизм надежного восстановления БД
11. Проверка работы механизма контроля целостности
12. Дополнительные проверки СЗИ
12.1. Библиотечные функции libpdac++
12.2. Библиотечные функции libparsec-aud
12.3. Разрешения на изменение меток безопасности
12.4. Подсистема мандатного контроля целостности
12.5. Библиотечные функции libparsec-aux
12.6. Работа утилиты rsync
Руководство пользователя#
СОДЕРЖАНИЕ
1. Назначение
2. Общие положения
3. Начало и завершение работы
3.1. Запуск ОС
3.2. Графический вход в систему
3.3. Завершение работы в графическом режиме
3.4. Консольный вход и выход из системы
4. Рабочий стол Fly
4.1. Назначение и основные возможности
4.2. Режимы рабочего стола
4.2.1. Режим рабочего стола для ЭВМ
4.2.2. Планшетный режим рабочего стола
4.2.3. Режим для мобильных устройств
4.3. Настройка рабочего стола пользователя
5. Графические программы и утилиты
5.1. Панель управления
5.2. Программа «Менеджер файлов»
5.3. Раздел «Системные»
5.4. Раздел «Утилиты»
5.5. Раздел «Мобильные»
5.6. Раздел «Научные»
5.7. Раздел «Мультимедиа»
5.7.1. Камера GUVCView
5.7.2. Медиаплеер VLC
5.8. Раздел «Графика»
5.8.1. Векторный редактор Inkscape
5.8.2. Просмотр документов Okular
5.8.3. Графический редактор GIMP
5.8.4. Простой редактор изображений KolourPaint
5.8.5. Программа для 3D-моделирования Blender
5.9. Раздел «Сеть»
5.10. Раздел «Офис»
5.10.1. Офисный пакет Libreoffice
5.10.3. Редактор Kate
6. Печать документов
7. Средства организации работы в сети
7.1. Веб-браузер Firefox
7.2. Веб-браузер сhromuim-gost
7.3. Мессенджер Psi+
7.4. Клиент комплекса программ электронной почты Thunderbird
7.5. Служба передачи файлов FTP
7.6. Защищенный интерпретатор команд SSH
7.7. Flу-утилиты
7.8. Сервис электронной подписи
7.8.1. Предоставление СЭП из основного меню
7.8.2. Предоставление СЭП из файлового менеджера Fly
7.8.3. Предоставление СЭП пакетом офисных программ LibreOffice
7.8.4. Просмотр электронного документа
7.8.5. Проверка присоединенной ЭП
7.8.6. Проверка отсоединенной ЭП
7.8.7. Создание отсоединенной ЭП
7.8.8. Использование контейнера электронного документа
8. Взаимодействие пользователя с СЗИ
8.1. Возможности, предоставляемые пользователю
8.2. Мандатное управление доступом
8.3. Команда who
9. Защищенная система управления базами данных
9.1. Управление базами данных
9.1.1. Создание и удаление баз данных
9.1.2. Управление пользователями
9.1.3. Использование процедурных языков
9.2. Выполнение запросов
9.2.1. Интерактивный терминал
5.10.2. Cловарь Goldendict
9.2.2. Утилита администрирования с визуальным пользовательским интерфейсом
9.3. Системные операции
9.3.1. Оптимизация баз данных
9.3.2. Резервное копирование и восстановление