Содержание статьи
Для изучения мы взяли десктопную версию Astra Linux Special Edition для x86-64. Ее используют российские предприятия, которым требуется сертифицированная ОС для организации защищенных рабочих мест. Еще на этапе установки Astra Linux предлагает выбрать уровень безопасности из трех вариантов, названных в честь российских городов: базовый («Орел»), усиленный («Воронеж») или максимальный («Смоленск»). Первый обеспечивает дискреционные права доступа, второй — повышенную целостность ОС (МКЦ) и защищенную программную среду (ЗПС), что соответствует требованиям к уровню защищенности для работы с конфиденциальной информацией и персональными данными, третий — дополнительную защиту от угроз нарушения конфиденциальности средствами мандатного управления доступом (МРД) и все средства «Усиленного» уровня.
С использованием этого списка можно установить набор СЗИ (средств защиты информации), соответствующий купленной лицензии и целевым показателям защищенности. На третьем шаге мастера установки включаются нужные СЗИ.
Чтобы обеспечить уровень защиты, соответствующий тому или иному классу согласно требованиям регуляторов, нужны соответствующие настройки. Раньше их приходилось задавать вручную, но на помощь поспешили отечественные разработчики дистрибутивов. В новой версии Astra Linux сисадмин или ИБ‑специалист может просто включить нужный профиль СЗИ: в системе уже есть готовые профили, которые позволяют быстро настраивать дистрибутив под требования регуляторов (будь то ИСПДн, ГИС, АСУ ТП или КИИ).
При этом предусмотрена функция импорта и экспорта настроек СЗИ, а системный администратор в любой момент может посмотреть различия между текущими настройками ОС и параметрами, которые встроены в профиль. Таким образом, можно сравнить текущее состояние системы с рекомендациями разработчиков, воплощенными в профиле СЗИ.
Итак, какие новые инструменты безопасности появились в версии 1.8, а какие из существующих были усовершенствованы, что за функции стали доступны пользователям и системным администраторам и какое влияние все это оказывает на защищенность операционной системы в целом?
Цифровые подписи и замкнутая программная среда
Одна из важных архитектурных особенностей Astra Linux — замкнутая программная среда (ЗПС), представляющая собой подсистему контроля целостности файлов. Механизм реализован в виде невыгружаемого компонента ядра Astra Linux, выполняющего проверку электронной цифровой подписи исполняемых файлов и разделяемых библиотек в формате ELF. При этом замкнутая программная среда имеет собственные средства для внедрения доверенной ЭЦП в такие файлы.
В версии 1.8 появился новый вид подписи — отсоединенная. В этом случае ЭЦП хранится в отдельном файле. Такой подход позволяет подписывать файлы в отличных от ELF форматах, например исполняемые скрипты, а также ELF-файлы с измененной структурой, в частности с помощью patchelf. Кроме того, такую подпись можно использовать в случаях, когда антивирус воспринимает добавление ЦП к ELF-файлу как нарушение его целостности.
Также в замкнутой программной среде появилась возможность проверки подписей, сформированных с использованием сертификатов ключей, которые были выпущены сторонними доверенными удостоверяющими центрами. С этой целью в ЗПС добавлен защищенный рабочий список доверенных сертификатов ЦП, с которым работает механизм замкнутой программной среды при проверке валидности цифровой подписи исполняемого файла. Среди прочих поддерживаются сертификаты КриптоПро ЦУ с параметрами шифрования RFC 7836 — это реализация алгоритмов шифрования КриптоПро, соответствующих ГОСТ Р 34.10—2012 и ГОСТ Р 34.11—2012.
Формировать такой список имеет право только администратор, список вступает в силу после перезапуска ОС и недоступен для изменения до следующей перезагрузки. Таким образом, администратор Astra Linux получает возможность добавлять в защищенную программную среду доверенные приложения без необходимости всякий раз обращаться в «Группу Астра» за цифровым сертификатом или ключом.
В Astra Linux 1.8 разработчики усовершенствовали и расширили интерфейс управления защищенной программной средой, а именно доработали механизм отзыва сертификатов и ключей подписи: администратор ОС может необратимо исключить сертификат ЦП из списка доверенных, запретив таким образом запуск всех подписанных скомпрометированным ключом программ. Кроме того, появилась возможность автоматического определения типа файла с последующим выбором вида подписи для него. Все это значительно упрощает администрирование приложений, которым разрешено или, наоборот, запрещено запускаться в среде ОС Astra Linux.
Мандатный контроль целостности (МКЦ)
Механизм мандатного контроля целостности защищает файлы и папки от записи, в первую очередь системные. Иногда для обеспечения безопасности требуется еще запретить чтение файлов в некоторых системных каталогах, например /etc и /dev. В принципе, для этих целей можно использовать дискреционное управление доступом, но оно бессильно против процессов, запущенных с правами root.
В Astra Linux 1.8 появилась специальная метка безопасности файлов и каталогов — SSI (System Secret Integrity). При наличии у объекта такой метки доступ к нему на чтение или выполнение разрешается только процессам, обладающим уровнем целостности не ниже уровня целостности самого этого объекта. А изменять метку SSI разрешается только процессу, обладающему уровнем целостности не ниже, чем у соответствующих сущностей. Эта новая функция защищает системные секреты и контролирует запуск системных утилит, которые могут вносить изменения в системные файлы с высоким уровнем целостности.
Отдельный вопрос касается наследования свойств безопасности дочерними и зависимыми объектами в операционной системе. По умолчанию линейный уровень целостности создаваемого объекта выставляется в минимальное из значений уровней целостности родительского каталога или процесса. Если они представляют собой высокоцелостный объект, линейный уровень целостности примет значение 0.
Для повышения гибкости управления доступом, связанного с наследованием меток целостности при создании каталогов и файлов, в расширенном режиме МКЦ разработчики добавили новый атрибут безопасности iinh. При его установке на каталоге создаваемым в нем объектам присваивается уровень целостности родительского каталога, что разрешает процессам создавать в каталогах высокоцелостные объекты сразу без перехода через нулевой уровень целостности.
Кроме того, появилась возможность назначать метки целостности отдельным группам пользователей. Теперь для того, чтобы на компьютере сразу же включался механизм мандатного контроля целостности с требуемыми настройками, системному администратору достаточно добавить этого пользователя в соответствующую группу. Для установки меток целостности для групп пользователей используется утилита командной строки pdpl-group.
Защищенная СУБД
В серверную версию Astra Linux 1.8 включена реляционная СУБД, созданная на основе PostgreSQL 15 и полностью совместимая с ней. Она прошла существенную доработку: реализован контроль целостности конфигурации СУБД, конфигурации баз данных и процедур, а на записи таблиц распространяется механизм мандатного управления доступом (МРД). Благодаря этим усовершенствованиям защищенная СУБД полностью соответствует требованиям безопасности информации, утвержденным приказом ФСТЭК России от 14 апреля 2023 года № 64.
Кроме того, к СУБД в составе Astra Linux 1.8 добавлен ряд функциональных улучшений от команды «Тантор Лабс», соответствующих уровню СУБД Tantor Basic и обеспечивающих более стабильную работу системы.
Средство контейнеризации Podman
В Astra Linux уже давно интегрирована система контейнеризации Docker, а в версии 1.8 появилась альтернатива — инструмент управления контейнерами с открытым исходным кодом Podman. Этот инструмент позволяет создавать, запускать и администрировать контейнеры, управлять их образами, а также поддерживает поды, с которыми можно взаимодействовать примерно так же, как в Kubernetes. Podman работает без демона, который часто становится единой точкой отказа (когда падает демон Docker, падают все контейнеры), и не требует повышенных привилегий для настройки. Podman в Astra Linux 1.8 также доработан в соответствии с требованиями по безопасности информации к средствам виртуализации и контейнеризации ФСТЭК и может использоваться приложениями, которым нужна высокая производительность и масштабируемость.
Другие нововведения в области безопасности
Кроме перечисленных изменений, в Astra Linux 1.8 доработан механизм контроля над подключением внешних устройств и съемных носителей информации. В частности, все не учтенные системным администратором устройства монтируются в ОС с флагом noexec, а для учтенных реализован единый механизм контроля доступа на чтение, запись и исполнение, какую бы файловую систему они ни содержали: Ext4, NTFS или VFAT.
Дополнительные возможности по защите информации, которые производитель счел полезными и нужными и которые ранее обеспечивались ядром hardened, теперь реализуются штатными средствами операционной системы. Наконец, основу дистрибутива составляет значительно более «свежая» кодовая база, то есть версии пакетов Astra Linux SE 1.8 соответствуют версиям одноименных пакетов, вошедших в выпуск Debian 12.5 в феврале 2024 года, или выше них. С точки зрения безопасности это означает отсутствие большинства известных уязвимостей, для которых уже выпущены исправления, а для разработчиков прикладного ПО это гарантирует наличие в системных библиотеках наиболее актуальных функций и оптимизаций.
Выводы
В Astra Linux 1.8 появилась автоматизация настроек под конкретные профили безопасности. Эта версия — планомерный шаг вперед в развитии ОС, способствующий повышению уровня защищенности на всех уровнях. Большое значение имеет не только соответствие дистрибутива требованиям регуляторов, но и поддержка Astra Linux со стороны производителя. Систему можно адаптировать под нужды разных пользователей, от государственных учреждений до коммерческих структур. Это позволяет применять Astra Linux 1.8 в различных сферах, а не только на предприятиях «оборонки» или в крупных госкорпорациях.
Реклама. Рекламодатель: ООО «РусБИТех-Астра». ИНН 7726388700
