Web-сервер#
В состав ОС СН Astra Linux Special Edition включен web-сервер apache2, доработанный по требованиям защиты информации для функционирования в режиме мандатного управления доступом.
Для управления авторизацией пользователей в сервере Apache2 используется параметр AstraMode, который указывается в конфигурационном файле
/etc/apache2/apache2.conf
.
Для включения обязательной авторизации следует задать значение AstraMode on и по умолчанию режим обязательной авторизации включен.
Для отключения обязательной авторизации задать для параметра значение AstraMode off. Отключение обязательной авторизации снижает защищенность ресурсов, но может быть необходимо для обеспечения совместимости с программами, не поддерживающими работу с классифицированными метками и не использующими авторизацию.
Web-сервер apache2 может быть настроен для выполнения аутентификации в домене FreeIPA с использованием Kerberos, а также для для обеспечения сквозной аутентификации приложений.
Если не настроена аутентификация через Kerberos, то должна применяться аутентификация и авторизация через PAM, при этом для аутентификации будут использоваться данные из настроек ОС.
Функционирование защищенного web-сервера apache2 из состава ОС СН Astra Linux Special Edition показано на рисунке 1.
Основной процесс web-сервера apache2 функционирует от имени суперпользователя root, а процессы-обработчики запросов в режиме AstraMode off функционируют от имени пользователя www-data.
В режиме AstraMode on основной процесс проводит аутентификацию пользователя, приславшего запрос и определяет его контекст безопасности (метки конфиденциальности и целостности), а затем выполняет перезапуск процесса-обработчика запроса, чтобы он выполнялся от имени пользователя, приславшего запрос и в его контексте безопасности. Этим достигается разграничение дискреционного и мандатного доступа к данным и процессам, в том числе и при дальнейших запросах к базам данных.
Схема функционирования приложения в трехзвенной клент-серверной архитектуре с применением защищенных WEB-сервера и СУБД приведена на рисунке 2.
Совет
Подробнее о настройках и функционировании защищенного web-сервера apache2 из состава ОС СН Astra Linux Special Edition можно узнать в Эксплуатационной документации в Руководстве администратора и в Руководстве по КСЗ.