Астра линукс почтовый сервер

Операционные системы Astra Linux

Оперативные обновления и методические указания

Операционные системы Astra Linux предназначены для применения в составе информационных (автоматизированных) систем в целях обработки и защиты 1) информации любой категории доступа 2) : общедоступной информации, а также информации, доступ к которой ограничен федеральными законами (информации ограниченного доступа).

1) от несанкционированного доступа;
2) в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (статья 5, пункт 2).

Операционные системы Astra Linux Common Edition и Astra Linux Special Edition разработаны коллективом открытого акционерного общества «Научно-производственное объединение Русские базовые информационные технологии» и основаны на свободном программном обеспечении. С 17 декабря 2019 года правообладателем, разработчиком и производителем операционной системы специального назначения «Astra Linux Special Edition» является ООО «РусБИТех-Астра».

На web-сайтах https://astralinux.ru/ и https://wiki.astralinux.ru представлена подробная информация о разработанных операционных системах семейства Astra Linux, а также техническая документация для пользователей операционных систем и разработчиков программного обеспечения.

Мы будем признательны Вам за вопросы и предложения, которые позволят совершенствовать наши изделия в Ваших интересах и адаптировать их под решаемые Вами задачи!

Репозитория открытого доступа в сети Интернет для операционной системы Astra Linux Special Edition нет. Операционная система распространяется посредством DVD-дисков.

Информацию о сетевых репозиториях операционной системы Astra Linux Common Edition Вы можете получить в статье Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов.

В целях обеспечения соответствия сертифицированных операционных систем Astra Linux Special Edition требованиям, предъявляемым к безопасности информации, ООО «РусБИтех-Астра» осуществляет выпуск очередных и оперативных обновлений.

Очередные обновления (версии) предназначены для:

• реализации и совершенствования функциональных возможностей;
• поддержки современного оборудования;
• обеспечения соответствия актуальным требованиям безопасности информации;
• повышения удобства использования, управления компонентами и другие.

Оперативные обновления предназначены для оперативного устранения уязвимостей в экземплярах, находящихся в эксплуатации, и представляют собой бюллетень безопасности, который доступен в виде:

1. инструкций и методических указаний по настройке и особенностям эксплуатации ОС, содержащих сведения о компенсирующих мерах или ограничениях по примене- нию ОС при эксплуатации;
2. отдельных программных компонентов из состава ОС, в которые внесены изменения с целью устранения уязвимостей, инструкций по их установке и настройке, а также информации, содержащей сведения о контрольных суммах всех файлов оперативного обновления;
3. обновлений безопасности, представляющих собой файл с совокупностью программных компонентов из состава ОС, в которые внесены изменения с целью устранения уязвимостей, а также информации, содержащей сведения о контрольных суммах всех файлов обновлений безопасности, указания по установке, настройке и особенностям эксплуатации ОС с установленными обновлениями безопасности.

Ввиду совершенствования нормативно-правовых документов в области защиты информации и в целях обеспечения соответствия информационных актуальным требованиям безопасности информации, а также обеспечения их долговременной эксплуатации, в том числе работоспособности на современных средствах вычислительной техники, рекомендуется на регулярной основе планировать проведение мероприятий по применению очередных и оперативных обновлений операционной системы.

Источник

Настройка Exim4 / Dovecot в Astra Linux SE 1.5

Исходные данные и задачи

Необходимо настроить сервер электронной почты, работающий в рамках домена Astra Linux 1.5 SE. Исходные данные:

Параметр	Значение
Имя домена	local.net
FQDN сервера	server.local.net
IP-адрес сервера	192.168.0.1
Маска сети:	255.255.255.0

Настройка сети

Отключаем графический менеджер управления сетевыми подключениями wicd .

Прописываем настройки сети в файле /etc/network/interfaces

После этого нужно выполнить перезапуск демона сети:

В документации к демону networking написано, что команда restart является устаревшей и работает не так, как ожидается.

Необходимо в файле /etc/hosts прописать соответствие FQDN сервера и его IP-адреса, а также задать hostname

В файле /etc/hostname меняем краткое имя компьютера server на полное server.local.net , а также изменяем текущее значение системной переменной:

Инициализация домена

Действуем согласно официальной инструкции от РусБиТех:

Появится уведомление о том, что команда init уничтожит всю базу данных LDAP и Kerberos, будут остановлены и перезапущены службы, и упадет с неба большая звезда, горящая подобно светильнику, и падет на третью часть рек и на источники вод. Отвечаем утвердительно

Попросят ввести пароли для доступа к базе данных Kerberos и пароль администратора Astra Linux Directory. Лучше записать куда-нибудь, потому что понадобится ещё не раз.

Спустя какое-то время на экране появится сообщение:

Установка и настройка почтовых сервисов.

Необходимо установить три пакета:

Пакет	Описание
exim4-daemon-heavy	Передает сообщения и умеет работать с мандатными метками.
dovecot-imapd	Умеет отдавать почту клиентам.
dovecot-gssapi	Умеет принимать авторизацию на сервере через Kerberos (ALD).

Отдельно отмечу, что сразу же после установки нужно будет запустить конфигурирование exim4 .

Процесс настройки exim4 не очень сложный, но нужно правильно ответить на несколько вопросов.

Вопрос	Ответ
Общий тип почтовой конфигурации	интернет-сайт; приём и отправка почты напрямую, используя SMTP
Почтовое имя системы:	local.net
IP-адреса, с которых следует ожидать входящие соединения SMTP:	192.168.0.1
Другие места назначения, для которых должна приниматься почта:	local.net
Домены, для которых доступна релейная передача почты:	Оставляем пустым
Машины, для которых доступна релейная передача почты:	Оставляем пустым
Сокращать количество DNS-запросов до минимума (дозвон по требованию)?	Нет
Метод доставки локальной почты:	Maildir формат в домашнем каталоге
Разделить конфигурацию на маленькие файлы?	Да

Теперь нужно удалить из каталога /var/mail файл с именем пользователя, созданного при установке системы (у меня обычно administrator ).

Создадим сервисы ALD для работы с почтой:

Указывая имя сервиса, важно помнить, что после слеша указывается то же самое имя сервера, что и в файле /etc/hostname . Если даже в настройках Bind вы потом укажете, что mail.local.net и smtp.local.net являются всего лишь псевдонимами для server.local.net , почта работать не будет, потому что Kerberos очень строго проверяет этот параметр.

После создания файла ключей нужно предоставить доступ к нему для dovecot :

Dovecot

Выполняем настройку dovecot . Если убрать все комментарии из файлов, то получится примерно следующее (в тех файлах, где меняли):

Источник

Астра линукс почтовый сервер

Операционная система специального назначения

Операционная система класса Linux, обеспечивающая защиту информации, содержащей сведения, составляющие государственную тайну с грифом не выше «совершенно секретно».

Разработаны и включены в состав операционной системы программные компоненты, расширяющие ее функциональность и повышающие уровень защищенности и удобства ее использования.

Мандатное разграничение доступа

В операционной системе реализован механизм мандатного разграничения доступа. При этом, принятие решения о запрете или разрешении доступа субъекта к объекту принимается на основе типа операции (чтение / запись / исполнение), мандатного контекста безопасности, связанного с каждым субъектом, и мандатной метки, связанной с объектом.

Изоляция модулей

Ядро операционной системы обеспечивает для каждого процесса в системе собственное изолированное адресное пространство.

Очистка оперативной и внешней памяти, гарантированное удаление файлов

Операционная система выполняет очистку неиспользуемых блоков файловой системы непосредственно при их освобождении.

Работа этой подсистемы снижает скорость выполнения операций удаления и усечения размера файла, однако возможна различная настройка данной подсистемы для обеспечения работы файловых систем с различными показателями производительности.

Маркировка документов

Разработанный механизм маркировки позволяет серверу печати (CUPS) проставлять необходимые учетные данные в выводимых на печать документах. Мандатные атрибуты автоматически связываются с заданием для печати на основе мандатного контекста получаемого сетевого соединения.

Регистрация событий

Реализована оригинальная подсистема протоколирования, интегрированная во все компоненты операционной системы и осуществляющая надёжную регистрацию событий с использованием специального сервиса.

Механизмы защиты информации в графической подсистеме

Графическая подсистема включает в себя Х-сервер Xorg, пользовательский рабочий стол Fly, а также ряд программных средств, предназначенных как для пользователей, так и для администраторов системы. Проведена работа по созданию и встраиванию в графическую подсистему необходимых механизмов защиты информации, обеспечивающих выполнение мандатного разграничения доступа в графических приложениях.

Разработанный рабочий стол пользователя Fly тесным образом интегрирован с механизмами защиты информации. В нем реализованы следующие возможности:
графическое отображение мандатной метки каждого окна;
возможность запускать приложенияс разными мандатными метками.

Режим «КИОСК».
ограничение действий пользователя

Степень этих ограничений задается маской киоска, которая накладывается на права доступа к файлу при любой попытке пользователя получить доступ.

Для установки прав доступа существует система профилей — файлы с готовыми наборами прав доступа для запуска каких-либо программ. Также есть средства создания таких профилей под любые пользовательские задачи.

Защита адресного
пространства процессов

В операционной системе для исполняемых файлов используется формат, позволяющий установить режим доступа к сегментам в адресном пространстве процесса.

Централизованная система сборки программного обеспечения гарантирует установку минимального режима, необходимого для функционирования программного обеспечения. Также существует возможность использования технологии NOT EXECUTE BIT, поддерживаемой современными процессорами.

Механизм контроля замкнутости программной среды

Реализован механизм, обеспечивающий проверку неизменности и подлинности загружаемых исполняемых файлов в формате ELF cialis online. Проверка производится на основе проверки векторов аутентичности, рассчитанных в соответствии с ГОСТ Р 34.10-2001 и внедряемых в исполняемые файлы в процессе сборки.

Предусмотрена возможность предоставления сторонним разработчикам программного средства для внедрения векторов аутентичности в разрабатываемое ими программное обеспечение.

Контроль целостности

Для решения задач контроля целостности применяется функция хэширования в соответствии с ГОСТ Р 34.11-94. Базовой утилитой контроля целостности является программное средство на основе открытого проекта «Another File Integrity Checker».

Средства организации домена

Для организации доменной структуры разработана подсистема Astra Linux Directory (ALD) на базе открытых стандартов LDAP. Эта подсистема предоставляет средства для организации домена и единого пространства пользователей, которые обеспечивают:

сквозную аутентификацию в сети;

централизацию хранения информации об окружении пользователей;

централизацию хранения настроек системы защиты информации на сервере;

централизацию управления серверами DNS и DHCP;

интеграцию в домен защищенных серверов СУБД, серверов печати, электронной почты, web-сервисов и др.;

централизованный аудит событий безопасности в рамках домена.

Защищенная реляционная СУБД

В состав операционной системы входит объектно-реляционная СУБД PostgreSQL, в которой реализованы дискреционный и мандатный механизмы контроля доступа к защищаемым ресурсам БД.

В основе мандатного механизма разграничения доступа лежит управление доступом к защищаемым ресурсам БД на основе иерархических и неиерархических меток доступа. Это позволяет реализовать многоуровневую защиту с обеспечением разграничения доступа пользователей к защищаемым ресурсам БД и управление потоками информации.

Защищенный комплекс программ гипертекстовой обработки данных

В состав защищенного комплекса программ гипертекстовой обработки данных входят браузер Mozilla Firefox и web-сервер Apache, интегрированный со встроенными средствами защиты информации для обеспечения мандатного разграничения доступа при организации удаленного доступа к информационным ресурсам.

Защищенный комплекс программ электронной почты

В состав комплекса входят сервер электронной почты, состоящий из агента передачи электронной почты Exim и агента доставки электронной почты Dovecot, а также клиент электронной почты Mozilla Thunderbird, обеспечивающие следующие функциональные возможности:

• интеграции с ядром операционной системы и с базовыми библиотеками для обеспечения мандатного разграничения доступа к почтовым сообщениям, хранящимся с использованием формата Maildir;
• автоматической маркировки создаваемых пользователем почтовых сообщений с использованием его текущего мандатного контекста.

Агент передачи электронной почты использует протокол SMTP и обеспечивает решение следующих задач:

• доставку исходящей почты от авторизованных клиентов до сервера, который является целевым для обработки почтового домена получателя;
• прием и обработку почтовых сообщений доменов, для которых он является целевым;
• передачу входящих почтовых сообщений для обработки агентом доставки электронной почты.

Подробная программа курса

Курс будет интересен администраторам сети и тем, кто планирует перевод серверов на Astra Linux.

В курсе рассматривается Astra Linux Common Edition и Astra Linux Special Edition.

Предварительная подготовка:

Успешное окончание курса «Astra Linux Special Edition. Расширенное администрирование ALSE-1603» или эквивалентная подготовка

Формат курса: очно или вебинар

Продолжительность курса: 4 дня / 32 ак.ч.

Результат обучения: по завершению курса слушатель будет уметь:

• разворачивать сеть и службы предприятия c учетом топологии безопасности;
• разворачивать и настраивать сетевые сервисы DHCP, DNS, DDNS,NTP
• разворачивать файловые сервисы NFS, VSFTP, CIFS
• настраивать сеть предприятия;
• настраивать Proxy сервер SQUID;
• устанавливать и настраивать web-сервер предприятия для использования МРД;
• создавать бэкап системы и восстанавливать систему из ранее созданного бэкапа;
• организовывать единое пространство для пользователей с помощью ALD;
• реализовать автоматическую установки ОС Astra Linux по сети.
• создавать внутрикорпоративный почтовый сервер
• настраивать OpenVPN для объединения несвязанных между собой сетей путем созданиям защищенных каналов с шифрованием по ГОСТ
• с помощью инструмента ansible централизованно управлять конфигурациями компьютеров в сетях любого размера

Курс, получил изменения как по срокам, так и по содержанию. В нем более подробно рассматриваются расширенные построения безопасной сетевой инфраструктуры Astra Linux SE . Темы, рассматривавшиеся ранее обзорно, теперь изучаются системно, с практическими работами и примерами из существующих проектов, также добавлены новые материалы.

Источник