Web-сервер#

В состав ОС СН Astra Linux Special Edition включен web-сервер apache2, доработанный по требованиям защиты информации для функционирования в режиме мандатного управления доступом.

Для управления авторизацией пользователей в сервере Apache2 используется параметр AstraMode, который указывается в конфигурационном файле /etc/apache2/apache2.conf.

Для включения обязательной авторизации следует задать значение AstraMode on и по умолчанию режим обязательной авторизации включен.

Для отключения обязательной авторизации задать для параметра значение AstraMode off. Отключение обязательной авторизации снижает защищенность ресурсов, но может быть необходимо для обеспечения совместимости с программами, не поддерживающими работу с классифицированными метками и не использующими авторизацию.

Web-сервер apache2 может быть настроен для выполнения аутентификации в домене FreeIPA с использованием Kerberos, а также для для обеспечения сквозной аутентификации приложений.

Если не настроена аутентификация через Kerberos, то должна применяться аутентификация и авторизация через PAM, при этом для аутентификации будут использоваться данные из настроек ОС.

Функционирование защищенного web-сервера apache2 из состава ОС СН Astra Linux Special Edition показано на рисунке 1.

../../../_images/apache2.png

Рисунок 1 - функционирование защищенного web-сервера apache2 в режиме Astramode on#

Основной процесс web-сервера apache2 функционирует от имени суперпользователя root, а процессы-обработчики запросов в режиме AstraMode off функционируют от имени пользователя www-data.

В режиме AstraMode on основной процесс проводит аутентификацию пользователя, приславшего запрос и определяет его контекст безопасности (метки конфиденциальности и целостности), а затем выполняет перезапуск процесса-обработчика запроса, чтобы он выполнялся от имени пользователя, приславшего запрос и в его контексте безопасности. Этим достигается разграничение дискреционного и мандатного доступа к данным и процессам, в том числе и при дальнейших запросах к базам данных.

Схема функционирования приложения в трехзвенной клент-серверной архитектуре с применением защищенных WEB-сервера и СУБД приведена на рисунке 2.

../../../_images/link3.jpg

Рисунок 2 - функционирование защищенного web-сервера apache2 в режиме Astramode on в трехзвенном клиент-серверном приложении#

Совет

Подробнее о настройках и функционировании защищенного web-сервера apache2 из состава ОС СН Astra Linux Special Edition можно узнать в Эксплуатационной документации в Руководстве администратора и в Руководстве по КСЗ.