Ты и без нас прек­расно зна­ешь, для чего нуж­ны защищен­ные опе­раци­онные сис­темы и где они исполь­зуют­ся. Наибо­лее надеж­ными счи­тают­ся ОС семей­ства Linux, но и сре­ди них есть дис­три­бути­вы, отве­чающие повышен­ным тре­бова­ниям безопас­ности, в час­тнос­ти Astra Linux. Сегод­ня мы раз­берем­ся, какие новов­ведения в сфе­ре ИБ и защиты дан­ных появи­лись в новой вер­сии Astra Linux — 1.8.

Для изу­чения мы взя­ли дес­ктоп­ную вер­сию Astra Linux Special Edition для x86-64. Ее исполь­зуют рос­сий­ские пред­при­ятия, которым тре­бует­ся сер­тифици­рован­ная ОС для орга­низа­ции защищен­ных рабочих мест. Еще на эта­пе уста­нов­ки Astra Linux пред­лага­ет выб­рать уро­вень безопас­ности из трех вари­антов, наз­ванных в честь рос­сий­ских городов: базовый («Орел»), уси­лен­ный («Воронеж») или мак­сималь­ный («Смо­ленск»). Пер­вый обес­печива­ет дис­кре­цион­ные пра­ва дос­тупа, вто­рой — повышен­ную целос­тность ОС (МКЦ) и защищен­ную прог­рам­мную сре­ду (ЗПС), что соот­ветс­тву­ет тре­бова­ниям к уров­ню защищен­ности для работы с кон­фиден­циаль­ной информа­цией и пер­сональ­ными дан­ными, тре­тий — допол­нитель­ную защиту от угроз наруше­ния кон­фиден­циаль­нос­ти средс­тва­ми ман­датно­го управле­ния дос­тупом (МРД) и все средс­тва «Уси­лен­ного» уров­ня.

В процессе установки Astra Linux можно выбрать уровень защищенности
В про­цес­се уста­нов­ки Astra Linux мож­но выб­рать уро­вень защищен­ности

С исполь­зовани­ем это­го спис­ка мож­но уста­новить набор СЗИ (средств защиты информа­ции), соот­ветс­тву­ющий куп­ленной лицен­зии и целевым показа­телям защищен­ности. На треть­ем шаге мас­тера уста­нов­ки вклю­чают­ся нуж­ные СЗИ.

Что­бы обес­печить уро­вень защиты, соот­ветс­тву­ющий тому или ино­му клас­су сог­ласно тре­бова­ниям регуля­торов, нуж­ны соот­ветс­тву­ющие нас­трой­ки. Рань­ше их при­ходи­лось задавать вруч­ную, но на помощь пос­пешили оте­чес­твен­ные раз­работ­чики дис­три­бути­вов. В новой вер­сии Astra Linux сисад­мин или ИБ‑спе­циалист может прос­то вклю­чить нуж­ный про­филь СЗИ: в сис­теме уже есть готовые про­фили, которые поз­воля­ют быс­тро нас­тра­ивать дис­три­бутив под тре­бова­ния регуля­торов (будь то ИСПДн, ГИС, АСУ ТП или КИИ).

При этом пре­дус­мотре­на фун­кция импорта и экспор­та нас­тро­ек СЗИ, а сис­темный адми­нис­тра­тор в любой момент может пос­мотреть раз­личия меж­ду текущи­ми нас­трой­ками ОС и парамет­рами, которые встро­ены в про­филь. Таким обра­зом, мож­но срав­нить текущее сос­тояние сис­темы с рекомен­даци­ями раз­работ­чиков, воп­лощен­ными в про­филе СЗИ.

Профили в Astra Linux
Про­фили в Astra Linux

Итак, какие новые инс­тру­мен­ты безопас­ности появи­лись в вер­сии 1.8, а какие из сущес­тву­ющих были усо­вер­шенс­тво­ваны, что за фун­кции ста­ли дос­тупны поль­зовате­лям и сис­темным адми­нис­тра­торам и какое вли­яние все это ока­зыва­ет на защищен­ность опе­раци­онной сис­темы в целом?

 

Цифровые подписи и замкнутая программная среда

Од­на из важ­ных архи­тек­турных осо­бен­ностей Astra Linux — зам­кну­тая прог­рам­мная сре­да (ЗПС), пред­став­ляющая собой под­систе­му кон­тро­ля целос­тнос­ти фай­лов. Механизм реали­зован в виде невыг­ружа­емо­го ком­понен­та ядра Astra Linux, выпол­няюще­го про­вер­ку элек­трон­ной циф­ровой под­писи исполня­емых фай­лов и раз­деля­емых биб­лиотек в фор­мате ELF. При этом зам­кну­тая прог­рам­мная сре­да име­ет собс­твен­ные средс­тва для внед­рения доверен­ной ЭЦП в такие фай­лы.

В вер­сии 1.8 появил­ся новый вид под­писи — отсо­еди­нен­ная. В этом слу­чае ЭЦП хра­нит­ся в отдель­ном фай­ле. Такой под­ход поз­воля­ет под­писывать фай­лы в отличных от ELF фор­матах, нап­ример исполня­емые скрип­ты, а так­же ELF-фай­лы с изме­нен­ной струк­турой, в час­тнос­ти с помощью patchelf. Кро­ме того, такую под­пись мож­но исполь­зовать в слу­чаях, ког­да анти­вирус вос­при­нима­ет добав­ление ЦП к ELF-фай­лу как наруше­ние его целос­тнос­ти.

Настройки замкнутой программной среды
Нас­трой­ки зам­кну­той прог­рам­мной сре­ды

Так­же в зам­кну­той прог­рам­мной сре­де появи­лась воз­можность про­вер­ки под­писей, сфор­мирован­ных с исполь­зовани­ем сер­тифика­тов клю­чей, которые были выпуще­ны сто­рон­ними доверен­ными удос­товеря­ющи­ми цен­тра­ми. С этой целью в ЗПС добав­лен защищен­ный рабочий спи­сок доверен­ных сер­тифика­тов ЦП, с которым работа­ет механизм зам­кну­той прог­рам­мной сре­ды при про­вер­ке валид­ности циф­ровой под­писи исполня­емо­го фай­ла. Сре­ди про­чих под­держи­вают­ся сер­тифика­ты Крип­тоПро ЦУ с парамет­рами шиф­рования RFC 7836 — это реали­зация алго­рит­мов шиф­рования Крип­тоПро, соот­ветс­тву­ющих ГОСТ Р 34.10—2012 и ГОСТ Р 34.11—2012.

Фор­мировать такой спи­сок име­ет пра­во толь­ко адми­нис­тра­тор, спи­сок всту­пает в силу пос­ле переза­пус­ка ОС и недос­тупен для изме­нения до сле­дующей перезаг­рузки. Таким обра­зом, адми­нис­тра­тор Astra Linux получа­ет воз­можность добав­лять в защищен­ную прог­рам­мную сре­ду доверен­ные при­ложе­ния без необ­ходимос­ти вся­кий раз обра­щать­ся в «Груп­пу Астра» за циф­ровым сер­тифика­том или клю­чом.

Системные параметры
Сис­темные парамет­ры

В Astra Linux 1.8 раз­работ­чики усо­вер­шенс­тво­вали и рас­ширили интерфейс управле­ния защищен­ной прог­рам­мной сре­дой, а имен­но дорабо­тали механизм отзы­ва сер­тифика­тов и клю­чей под­писи: адми­нис­тра­тор ОС может необ­ратимо исклю­чить сер­тификат ЦП из спис­ка доверен­ных, зап­ретив таким обра­зом запуск всех под­писан­ных ском­про­мети­рован­ным клю­чом прог­рамм. Кро­ме того, появи­лась воз­можность авто­мати­чес­кого опре­деле­ния типа фай­ла с пос­леду­ющим выбором вида под­писи для него. Все это зна­читель­но упро­щает адми­нис­три­рова­ние при­ложе­ний, которым раз­решено или, наобо­рот, зап­рещено запус­кать­ся в сре­де ОС Astra Linux.

 

Мандатный контроль целостности (МКЦ)

Ме­ханизм ман­датно­го кон­тро­ля целос­тнос­ти защища­ет фай­лы и пап­ки от записи, в пер­вую оче­редь сис­темные. Иног­да для обес­печения безопас­ности тре­бует­ся еще зап­ретить чте­ние фай­лов в некото­рых сис­темных катало­гах, нап­ример /etc и /dev. В прин­ципе, для этих целей мож­но исполь­зовать дис­кре­цион­ное управле­ние дос­тупом, но оно бес­силь­но про­тив про­цес­сов, запущен­ных с пра­вами root.

Мандатный контроль целостности
Ман­датный кон­троль целос­тнос­ти

В Astra Linux 1.8 появи­лась спе­циаль­ная мет­ка безопас­ности фай­лов и катало­гов — SSI (System Secret Integrity). При наличии у объ­екта такой мет­ки дос­туп к нему на чте­ние или выпол­нение раз­реша­ется толь­ко про­цес­сам, обла­дающим уров­нем целос­тнос­ти не ниже уров­ня целос­тнос­ти самого это­го объ­екта. А изме­нять мет­ку SSI раз­реша­ется толь­ко про­цес­су, обла­дающе­му уров­нем целос­тнос­ти не ниже, чем у соот­ветс­тву­ющих сущ­ностей. Эта новая фун­кция защища­ет сис­темные сек­реты и кон­тро­лиру­ет запуск сис­темных ути­лит, которые могут вно­сить изме­нения в сис­темные фай­лы с высоким уров­нем целос­тнос­ти.

От­дель­ный воп­рос каса­ется нас­ледова­ния свой­ств безопас­ности дочер­ними и зависи­мыми объ­екта­ми в опе­раци­онной сис­теме. По умол­чанию линей­ный уро­вень целос­тнос­ти соз­дава­емо­го объ­екта выс­тавля­ется в минималь­ное из зна­чений уров­ней целос­тнос­ти родитель­ско­го катало­га или про­цес­са. Если они пред­став­ляют собой высоко­целос­тный объ­ект, линей­ный уро­вень целос­тнос­ти при­мет зна­чение 0.

Для повыше­ния гиб­кости управле­ния дос­тупом, свя­зан­ного с нас­ледова­нием меток целос­тнос­ти при соз­дании катало­гов и фай­лов, в рас­ширен­ном режиме МКЦ раз­работ­чики добави­ли новый атри­бут безопас­ности iinh. При его уста­нов­ке на катало­ге соз­дава­емым в нем объ­ектам прис­ваивает­ся уро­вень целос­тнос­ти родитель­ско­го катало­га, что раз­реша­ет про­цес­сам соз­давать в катало­гах высоко­целос­тные объ­екты сра­зу без перехо­да через нулевой уро­вень целос­тнос­ти.

Кро­ме того, появи­лась воз­можность наз­начать мет­ки целос­тнос­ти отдель­ным груп­пам поль­зовате­лей. Теперь для того, что­бы на компь­юте­ре сра­зу же вклю­чал­ся механизм ман­датно­го кон­тро­ля целос­тнос­ти с тре­буемы­ми нас­трой­ками, сис­темно­му адми­нис­тра­тору дос­таточ­но добавить это­го поль­зовате­ля в соот­ветс­тву­ющую груп­пу. Для уста­нов­ки меток целос­тнос­ти для групп поль­зовате­лей исполь­зует­ся ути­лита коман­дной стро­ки pdpl-group.

Настройка групп пользователей
Нас­трой­ка групп поль­зовате­лей
 

Защищенная СУБД

В сер­верную вер­сию Astra Linux 1.8 вклю­чена реляци­онная СУБД, соз­данная на осно­ве PostgreSQL 15 и пол­ностью сов­мести­мая с ней. Она прош­ла сущес­твен­ную доработ­ку: реали­зован кон­троль целос­тнос­ти кон­фигура­ции СУБД, кон­фигура­ции баз дан­ных и про­цедур, а на записи таб­лиц рас­простра­няет­ся механизм ман­датно­го управле­ния дос­тупом (МРД). Бла­года­ря этим усо­вер­шенс­тво­вани­ям защищен­ная СУБД пол­ностью соот­ветс­тву­ет тре­бова­ниям безопас­ности информа­ции, утвер­жден­ным при­казом ФСТЭК Рос­сии от 14 апре­ля 2023 года № 64.

Кро­ме того, к СУБД в сос­таве Astra Linux 1.8 добав­лен ряд фун­кци­ональ­ных улуч­шений от коман­ды «Тан­тор Лабс», соот­ветс­тву­ющих уров­ню СУБД Tantor Basic и обес­печива­ющих более ста­биль­ную работу сис­темы.

 

Средство контейнеризации Podman

В Astra Linux уже дав­но интегри­рова­на сис­тема кон­тей­нериза­ции Docker, а в вер­сии 1.8 появи­лась аль­тер­натива — инс­тру­мент управле­ния кон­тей­нерами с откры­тым исходным кодом Podman. Этот инс­тру­мент поз­воля­ет соз­давать, запус­кать и адми­нис­три­ровать кон­тей­неры, управлять их обра­зами, а так­же под­держи­вает поды, с которы­ми мож­но вза­имо­дей­ство­вать при­мер­но так же, как в Kubernetes. Podman работа­ет без демона, который час­то ста­новит­ся еди­ной точ­кой отка­за (ког­да пада­ет демон Docker, пада­ют все кон­тей­неры), и не тре­бует повышен­ных при­виле­гий для нас­трой­ки. Podman в Astra Linux 1.8 так­же дорабо­тан в соот­ветс­твии с тре­бова­ниями по безопас­ности информа­ции к средс­твам вир­туали­зации и кон­тей­нериза­ции ФСТЭК и может исполь­зовать­ся при­ложе­ниями, которым нуж­на высокая про­изво­дитель­ность и мас­шта­биру­емость.

 

Другие нововведения в области безопасности

Кро­ме перечис­ленных изме­нений, в Astra Linux 1.8 дорабо­тан механизм кон­тро­ля над под­клю­чени­ем внеш­них устрой­ств и съем­ных носите­лей информа­ции. В час­тнос­ти, все не учтенные сис­темным адми­нис­тра­тором устрой­ства мон­тиру­ются в ОС с фла­гом noexec, а для учтенных реали­зован еди­ный механизм кон­тро­ля дос­тупа на чте­ние, запись и исполне­ние, какую бы фай­ловую сис­тему они ни содер­жали: Ext4, NTFS или VFAT.

Управление подключаемыми устройствами
Уп­равле­ние под­клю­чаемы­ми устрой­ства­ми

До­пол­нитель­ные воз­можнос­ти по защите информа­ции, которые про­изво­дитель счел полез­ными и нуж­ными и которые ранее обес­печива­лись ядром hardened, теперь реали­зуют­ся штат­ными средс­тва­ми опе­раци­онной сис­темы. Наконец, осно­ву дис­три­бути­ва сос­тавля­ет зна­читель­но более «све­жая» кодовая база, то есть вер­сии пакетов Astra Linux SE 1.8 соот­ветс­тву­ют вер­сиям одно­имен­ных пакетов, вошед­ших в выпуск Debian 12.5 в фев­рале 2024 года, или выше них. С точ­ки зре­ния безопас­ности это озна­чает отсутс­твие боль­шинс­тва извес­тных уяз­вимос­тей, для которых уже выпуще­ны исправ­ления, а для раз­работ­чиков прик­ладно­го ПО это гаран­тиру­ет наличие в сис­темных биб­лиоте­ках наибо­лее акту­аль­ных фун­кций и опти­миза­ций.

 

Выводы

В Astra Linux 1.8 появи­лась авто­мати­зация нас­тро­ек под кон­крет­ные про­фили безопас­ности. Эта вер­сия — пла­номер­ный шаг впе­ред в раз­витии ОС, спо­собс­тву­ющий повыше­нию уров­ня защищен­ности на всех уров­нях. Боль­шое зна­чение име­ет не толь­ко соот­ветс­твие дис­три­бути­ва тре­бова­ниям регуля­торов, но и под­дер­жка Astra Linux со сто­роны про­изво­дите­ля. Сис­тему мож­но адап­тировать под нуж­ды раз­ных поль­зовате­лей, от государс­твен­ных учрежде­ний до ком­мерчес­ких струк­тур. Это поз­воля­ет при­менять Astra Linux 1.8 в раз­личных сфе­рах, а не толь­ко на пред­при­ятиях «обо­рон­ки» или в круп­ных гос­корпо­раци­ях.

Реклама. Рекламодатель: ООО «РусБИТех-Астра». ИНН 7726388700

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    3 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии