Dallas lock astra linux установка

Операционные системы Astra Linux

Оперативные обновления и методические указания

Операционные системы Astra Linux предназначены для применения в составе информационных (автоматизированных) систем в целях обработки и защиты 1) информации любой категории доступа 2) : общедоступной информации, а также информации, доступ к которой ограничен федеральными законами (информации ограниченного доступа).

1) от несанкционированного доступа;
2) в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (статья 5, пункт 2).

Операционные системы Astra Linux Common Edition и Astra Linux Special Edition разработаны коллективом открытого акционерного общества «Научно-производственное объединение Русские базовые информационные технологии» и основаны на свободном программном обеспечении. С 17 декабря 2019 года правообладателем, разработчиком и производителем операционной системы специального назначения «Astra Linux Special Edition» является ООО «РусБИТех-Астра».

На web-сайтах https://astralinux.ru/ и https://wiki.astralinux.ru представлена подробная информация о разработанных операционных системах семейства Astra Linux, а также техническая документация для пользователей операционных систем и разработчиков программного обеспечения.

Мы будем признательны Вам за вопросы и предложения, которые позволят совершенствовать наши изделия в Ваших интересах и адаптировать их под решаемые Вами задачи!

Репозитория открытого доступа в сети Интернет для операционной системы Astra Linux Special Edition нет. Операционная система распространяется посредством DVD-дисков.

Информацию о сетевых репозиториях операционной системы Astra Linux Common Edition Вы можете получить в статье Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов.

В целях обеспечения соответствия сертифицированных операционных систем Astra Linux Special Edition требованиям, предъявляемым к безопасности информации, ООО «РусБИтех-Астра» осуществляет выпуск очередных и оперативных обновлений.

Очередные обновления (версии) предназначены для:

• реализации и совершенствования функциональных возможностей;
• поддержки современного оборудования;
• обеспечения соответствия актуальным требованиям безопасности информации;
• повышения удобства использования, управления компонентами и другие.

Оперативные обновления предназначены для оперативного устранения уязвимостей в экземплярах, находящихся в эксплуатации, и представляют собой бюллетень безопасности, который доступен в виде:

1. инструкций и методических указаний по настройке и особенностям эксплуатации ОС, содержащих сведения о компенсирующих мерах или ограничениях по примене- нию ОС при эксплуатации;
2. отдельных программных компонентов из состава ОС, в которые внесены изменения с целью устранения уязвимостей, инструкций по их установке и настройке, а также информации, содержащей сведения о контрольных суммах всех файлов оперативного обновления;
3. обновлений безопасности, представляющих собой файл с совокупностью программных компонентов из состава ОС, в которые внесены изменения с целью устранения уязвимостей, а также информации, содержащей сведения о контрольных суммах всех файлов обновлений безопасности, указания по установке, настройке и особенностям эксплуатации ОС с установленными обновлениями безопасности.

Ввиду совершенствования нормативно-правовых документов в области защиты информации и в целях обеспечения соответствия информационных актуальным требованиям безопасности информации, а также обеспечения их долговременной эксплуатации, в том числе работоспособности на современных средствах вычислительной техники, рекомендуется на регулярной основе планировать проведение мероприятий по применению очередных и оперативных обновлений операционной системы.

Источник

Обзор СЗИ НСД Dallas Lock Linux

Система защиты информации от несанкционированного доступа Dallas Lock Linux обеспечивает защиту рабочих станций и серверов под управлением Linux и сертифицирована на соответствие 5 классу защищенности от НСД и 4 уровню контроля отсутствия НДВ. Среди преимуществ Dallas Lock Linux — механизмы удаленного и централизованного управления, проверки подлинности клиентских частей СЗИ, централизованное управление, собственный механизм дискреционного доступа и аудита доступа и многое другое.

Сертификат AM Test Lab

Номер сертификата: 222

Дата выдачи: 25.04.2018

Срок действия: 25.04.2023

Введение

Одна из важных составляющих работ по обеспечению безопасности информационных систем — защита рабочих станций и серверов от несанкционированного доступа (НСД). Она заключается в контроле входа пользователя в систему, разграничении доступа, контроле целостности и т. д. На нашем рынке не так много сертифицированных продуктов, которые позволяют решать эти задачи.

Одно из таких решений — это система защиты информации от НСД Dallas Lock Linux. Разработкой и созданием продуктов линейки Dallas Lock занимается Центр защиты информации ООО «Конфидент» с 1992 года. СЗИ Dallas Lock прошла эволюционный путь развития от простого замка на включение компьютера, работающего под управлением MS-DOS, до распределенной системы, удовлетворяющей современным требованиям безопасности.

Продукты Центра защиты информации ООО «Конфидент» регулярно проходят сертификацию в системе сертификации ФСТЭК России, а также в отраслевых системах сертификации, а сама компания имеет соответствующие лицензии ФСБ России, ФСТЭК России, Роскомнадзора и Министерства обороны России.

СЗИ НСД Dallas Lock прошла сертификационные испытания на соответствие 5 классу защищенности от НСД и 4 уровню контроля отсутствия НДВ (сертификат соответствия ФСТЭК России № 3594 от 4 июля 2016).

СЗИ НСД Dallas Lock Linux — система защиты информации от несанкционированного доступа накладного типа, предназначенная для защиты конфиденциальной информации, в том числе содержащейся в автоматизированных системах до класса защищенности 1Г включительно, в государственных информационных системах до 1 класса защищенности включительно, в информационных системах персональных данных для обеспечения 1 уровня защищенности ПДн, в автоматизированных системах управления производственными и технологическими процессами до 1 класса защищенности включительно.

СЗИ НСД Dallas Lock Linux обеспечивает защиту рабочих станций и серверов под управлением ОС семейства Linux. При использовании совместно с СЗИ Dallas Lock 8.0 предназначенной для защиты Windows-платформ СЗИ Dallas Lock 8.0, возможно построение комплексной системы защиты информации в гетерогенной среде с централизованным управлением СЗИ Dallas Lock 8.0 и Dallas Lock Linux через Сервер безопасности Dallas Lock.

Архитектура и системные требования СЗИ НСД Dallas Lock Linux

Архитектура Dallas Lock Linux состоит из следующих подсистем:

• Подсистема идентификации и аутентификации
• Подсистема управления доступом
• Подсистема гарантированной зачистки информации
• Подсистема контроля устройств (аппаратной среды)
• Подсистема контроля целостности
• Подсистема регистрации и учета

Рисунок 1. Архитектура СЗИ НСД Dallas Lock Linux

СЗИ НСД Dallas Lock Linux работает на компьютерах под управлением следующих операционных систем семейства Linux:

• Debian 7.11 х64 (systemd, версия ядра 3.18).
• CentOS 7 x64 (версия ядра 3.18, 4.4). Поддерживаются все минорные версии дистрибутива в рамках указанного мажорного релиза.
• Red Hat Enterprise Linux Server 7 x64 (версия ядра 3.18, 4.4). Поддерживаются все минорные версии дистрибутива в рамках указанного мажорного релиза.
• Fedora 24 х64 (версия ядра 4.4, 3.18).
• OpenSUSE 42 x64 (версия ядра 4.4). Поддерживаются все минорные версии дистрибутива в рамках указанного мажорного релиза.
• Ubuntu 16.04 x64 (версия ядра 4.4). Поддерживаются все минорные версии дистрибутива в рамках указанного мажорного релиза.
• ЛотОС2 2.1 x64 (версия ядра 3.18).
• Alt Linux 8 (будет доступно в рамках планового обновления).

Изделие предназначено для использования на технических средствах (ТС), таких как: персональные компьютеры, портативные компьютеры (ноутбуки), сервера и ТС с поддержкой виртуальных сред (например, KVM).

Изделие поставляется в виде установочных пакетов для каждой из заявленных поддерживаемых операционных систем. В состав пакетов входит локальный клиент СЗИ НСД. Настройка и управление СЗИ НСД Dallas Lock Linux осуществляется через графическую (реализовано для Linux и Windows) или консольную оболочки администрирования.

Работа с СЗИ НСД Dallas Lock Linux

Установка продукта

Установка продукта осуществляется из стандартного для Linux пакета. При установке СЗИ НСД требуется скачивание дополнительных пакетов из глобальной сети. Если производится установка на автономный компьютер, необходимо, чтобы в локальной сети был расположен официальный репозиторий соответствующего дистрибутива операционной системы и были выполнены соответствующие настройки инфраструктуры.

Следует обратить внимание, что все сервисы, которые требуют создания пользователей в системе, рекомендуется устанавливать до установки СЗИ НСД. В противном случае, если после установки СЗИ НСД возникла необходимость установить какой-либо сервис, который требует создания в системе специального пользователя, можно создать его средствами СЗИ НСД (с флагом «системный») до установки сервиса. Необходимо учитывать, что этот способ может не привести к тому, что сервис установится корректно.

После установки системы защиты необходимо следить за сроком действия корневого и пользовательского сертификатов и при необходимости вовремя их обновлять. Данный сертификат используется для взаимодействия между системой защиты и консолью управления. Для проверки срока действия сертификата необходимо выполнить команду openssl x509 -noout -text -in . В результате выполнения команды будут предоставлены данные по сертификату, в том числе и срок действия.

Кроме установки самого СЗИ необходимо определить, каким образом будет осуществляться управление. Существует три возможных варианта управления:

• локально установить оболочку администрирования (консольную и/или графическую);
• установить графическую оболочку администрирования на АРМ под управлением Windows;
• централизованным управлением через сервер безопасности Dallas Lock 8.0.

В нашем обзоре мы будем использовать локальную консольную и графическую оболочку администрирования.

Подсистема контроля целостности

Подсистема реализует контроль целостности аппаратной среды, целостность объектов файловой системы и целостность программных компонентов СЗИ, а также восстановление целостности для программных компонентов средства защиты информации.

Основу механизмов контроля целостности представляет проверка соответствия контролируемого объекта эталонному образцу. Для этого используются контрольные суммы.

Рисунок 2. Контроль целостности устройств СЗИ НСД Dallas Lock Linux

В консольной оболочке администрирования ishl аналогичная настройка будет выглядеть следующим образом:

При использовании консольной оболочки администрирования необходимые команды можно записать в файл и вызвать их, выполнив следующую команду: ishl –f

Подсистема идентификации и аутентификации

Подсистема идентификации и аутентификации реализует механизмы проверки пользователей при каждом входе в операционную систему и в консольное приложение управления СЗИ НСД. Проверяется имя пользователя и пароль.

Подсистема содержит механизмы проверки качества (надежности) задаваемого пароля при его изменении пользователем.

Рисунок 3. Настройка пароля в СЗИ НСД Dallas Lock Linux

В СЗИ НСД для усиления процедур идентификации и аутентификации возможно применение аппаратных идентификаторов. В идентификаторе может храниться ключ (сертификат) для усиленной аутентификации пользователя.

Подсистема управления доступом

Подсистема управления доступом реализует механизмы, направленные на разграничение доступа пользователей к защищаемым объектам — к объектам файловой системы и к накопителям информации.

СЗИ НСД Dallas Lock Linux позволяет гибко задавать пользователям права на доступ к защищаемым объектам. После задания прав пользователи могут работать только с теми объектами, доступ к которым им разрешен, и совершать над ними только санкционированные операции.

При настройке доступа к файлам и каталогам предусмотрено управление как классическими правами UNIX, так и списками расширенного контроля доступа через POSIX ACL.

Рисунок 4. Настройка прав доступа на файл в СЗИ НСД Dallas Lock Linux

Подсистема гарантированной зачистки информации

Подсистема контроля гарантированной зачистки информации реализует очистку освобождаемых областей оперативной памяти, гарантированную зачистку объектов ФС и внешних подключаемых накопителей.

Гарантированная очистка памяти функционирует с момента установки СЗИ НСД и не требует ввода дополнительных команд в консольном приложении управления средством защиты информации.

Для очистки остаточной информации на съемных накопителях и объектов ФС необходимо использовать дополнительную утилиту, поставляемую совместно с СЗИ НСД.

Рисунок 5. Гарантированное удаление объекта файловой системы в СЗИ НСД Dallas Lock Linux

Подсистема контроля устройств

Подсистема контроля устройств реализует разграничение доступа пользователей и групп пользователей к блочным устройствам (сменным накопителям информации), ограничения доступа к беспроводным устройствам передачи информации, устройствам вывода на печать в целях предотвращения несанкционированной утечки информации.

Подсистема регистрации и учета

Подсистема регистрации и учета (подсистема анализа) реализует возможность аудита событий, производимых пользователями над защищаемыми объектами, аудита событий входов (выходов) в информационную систему, в т. ч. сетевых, аудита системных событий, отчуждения информации на накопители или твердую копию, а также фиксацию таких событий в журналах информационной безопасности.

Рисунок 6. Настройка аудита файлов в СЗИ НСД Dallas Lock Linux

Выводы

На сегодняшний день для обработки информации в государственных информационных системах, информационных системах персональных данных или в автоматизированных системах управления производственными и технологическими процессами организациям требуется выполнять требования регулятора — Приказы №17, №21 и №31 ФСТЭК России. Так и СЗИ НСД Dallas Lock Linux предназначена для использования в информационных системах персональных данных 1 уровня защищенности, в государственных информационных системах 1 класса защищенности и автоматизированных систем управления производственными и технологическими процессами до 1 класса защищенности включительно, создания защищенных многопользовательских автоматизированных систем до класса защищенности 1Г включительно.

Процесс установки прост и интуитивно понятен. Администратору безопасности предоставляется возможность управления паролями, доступом к объектам файловой системы, подсистемой контроля целостности.

Достоинства

• Наличие механизмов удаленного и централизованного управления (в т. ч. оболочка администрирования для Windows).
• Наличие механизмов проверки подлинности клиентских частей СЗИ, сервера безопасности (OpenSSL).
• Поддержка работы на большом наборе наиболее популярных дистрибутивов Linux.
• Механизмы централизованного управления для клиентских частей СЗИ НСД Dallas Lock Linux и сервера безопасности СЗИ Dallas Lock 8.0.
• Защита от подмены ядра и процедур инициализации.
• Собственный механизм дискреционного доступа и аудита доступа.
• Для консольной оболочки администрирования есть возможность выполнять команды из файла.

Недостатки

• До развертывания системы защиты рекомендуется установить все сервисы, которые создают учетные записи.
• Необходимо следить за сроком действия корневого и пользовательского сертификатов и при необходимости вовремя их обновлять.
• На несколько объектов файловой системы нельзя установить права доступа и политику аудита.

Источник