Failed to mount parsec file system astra linux

Failed to mount parsec file system astra linux

Настройка разрешений PARSEC (Astra Linux)

В системах, оснащенных подсистемой безопасности PARSEC (система управления мандатным доступом) из-за разности уровней привилегий, необходимых для доступа к файлам, монитор SpIDer Guard в режиме работы по умолчанию ( Mode = AUTO ) не может перехватывать события о доступе к файлам с более высокими уровнями привилегий, нежели уровень привилегий, на котором запущен SpIDer Guard. Кроме того, в случае если пользователь работает на отличном от нуля уровне привилегий, утилита управления Dr.Web для файловых серверов UNIX из командной строки Dr.Web Ctl не может взаимодействовать с монитором SpIDer Guard и демоном управления конфигурацией Dr.Web ConfigD , работающими на других уровнях привилегий, в том числе может отсутствовать доступ к консолидированному карантину .

Для настройки разрешений необходимы права суперпользователя (пользователя root ). Для получения прав суперпользователя воспользуйтесь командой смены пользователя su или командой выполнения от имени другого пользователя sudo .

Настройка SpIDer Guard для перехвата событий доступа к файлам с любым уровнем привилегий

Для предоставления файловому монитору SpIDer Guard возможности обнаруживать доступ к файлам, имеющим любой уровень привилегий доступа, необходимо перевести SpIDer Guard в режим работы LKM (будет использован специальный загружаемый модуль ядра Linux , поставляемый совместно с Dr.Web для файловых серверов UNIX ).

Чтобы перевести SpIDer Guard в режим работы LKM , выполните следующую команду :

# drweb-ctl cfset LinuxSpider.Mode LKM

Для получения дополнительной информации используйте команду:

Настройка корректного запуска Dr.Web для файловых серверов UNIX на любом уровне привилегий

Чтобы все компоненты Dr.Web для файловых серверов UNIX корректно взаимодействовали между собой при их запуске на разных уровнях привилегий, внесите изменения в сценарий запуска демона управления конфигурацией Dr.Web ConfigD ( drweb-configd ):

1. Совершите вход в систему с использованием нулевого уровня привилегий.

2. В любом текстовом редакторе откройте файл сценария /etc/init.d/drweb-configd (необходимы права суперпользователя).

3. Найдите в этом файле определение функции start_daemon , в которой замените строку

«$DAEMON» -d -p «$PIDFILE» >/dev/null 2>&1

execaps -c 0x100 — «$DAEMON» -d -p «$PIDFILE» >/dev/null 2>&1

4. В некоторых ОС (например, Astra Linux SE 1.3) может потребоваться указать дополнительно зависимость запуска компонента от подсистемы PARSEC . В этом случае также необходимо модифицировать в этом файле строку:

# Required-Start: $local_fs $network

Измените данную строку следующим образом:

# Required-Start: $local_fs $network parsec

Источник

Запуск процессов с привилегиями PARSEC

Запуск процессов с привилегиями PARSEC

Выложена в открытый доступ утилита start-stop-parsec-daemon, пропатченная версия обычного start-stop-daemon для Astra Linux Special Edition. В отличии от стандартной версии умеет запускать процессы с привилегиями PARSEC под любым пользователем.

Зачем нужна?

Штатные возможности Astra Linux Special Edition не позволяют запускать процессы (демоны) со сменой UID/GID и при этом ставить привилегии PARSEC. Невозможно, например, запускать немодифицированные программы с привилегией PRIVSOCK (возможность подключения пользователей с ненулевой мандатной меткой) с UID/GID отличными от 0 (root).

Столь плачевное положение возможно имеет причиной: а) забывчивость Русбитеха; б) вера в то, что все привилегированные процессы должны запускаться от рута. Как бы то ни было, вся обвязка связанная с запуском процессов с привилегиями PARSEC, полна тлена и баш-скриптов и порой приводит к потере работоспособности скриптов запуска.

Посему мы это все решили прекратить и сделать свой start-stop-daemon с PARSEC привилегиями, но без скриптов.

Как это работает

Пакет устанавливает команду start-stop-parsec-daemon , полностью совместимую со штатным start-stop-daemon , но позволяющую указывать привилегии PARSEC с помощью параметра —capability . Для совместимости со штатным механизмом Астры privsock, если указана привилегия 0x100 (PRIVSOCK), то команда дополнительно сверяется с файлом /etc/parsec/privsock.conf на предмет наличия запускаемого бинарника в оном списке.

В остальном, все как обычно.

Как это всё прикрутить к собственному проекту?

1. Добавьте в зависимости вашего пакета с init. d скриптом наш пакет (parsec-daemon).
2. В скрипте используйте start-stop-parsec-daemon вместо start-stop-daemon .
3. Укажите привилегии с помощью параметра —capability .

Пакеты можно собрать самостоятельно из исходников, а можно взять готовые для Astra Linux Special Edition 1.3/1.4 из нашего репозитория.

Рекомендация: если вы хотите таким образом адаптировать сторонние пакеты, то наилучшим способом будет создание пакета -parsec , в котором будет правильный LSB скрипт запуска. А postints/postrm скрипты будут отключать стандартный демон и работать с /etc/parsec/privsock.conf .

Пример

Конкретного примера не будет, смотрите нашу обвязку для RabbitMQ.

Наша версия start-stop-daemon войдет в версию 1.5 Astra Linux Special Edition.

Похожие статьи

Сборка Mono для Debian и Astra Linux

Команда Лаборатории 50 подготовила сборку Mono для Debian Buster и Astra Linux Special Edition 1.6. Состав В сборку входит: Mono 6.12; LibGdiPlus 6.0.6; Entity Framework 6; драйвер Npgsql Entity Framework.

ГосJava 2020.3

Изменения по сравнению с версией 2020.2 Java Runtime Environment Импортированы исправления из OpenJDK 8u262. Закрыты уязвимости: CVE-2020-14583: incomplete interface type checks in Graal compiler (Hotspot, 8236867). CVE-2020-14664: out-of-bounds write in.

Запуск нескольких экземпляров Tomcat

Запуск нескольких экземпляров Apache Tomcat Если есть необходимость запуска нескольких экземпляров сервера Apache Tomcat, то стандартные настройки и скрипты запуска не подходят. Ниже приведена инструкция и примеры скриптов для решения.

2 Comments

Спасибо большое за Ваш пакет!

Господа, а вот скажите мне как художник художнику.

Нужно мне использовать астровский apache (1.5 Смоленск) как frontend (или reverse proxy) к сервису, работающему на другом хосте.
Причем, apache работает в среде ALD с набором мандатных меток, а сервис — вообще вне мандатного контекста.

При этом web-юзеры работают в ALD и заходят с различными мандатными метками.
Если метка ненулевая, имеем Service unavailable. То есть apache не может достучаться до backend.
С нулевой меткой все работает.

Прописывал apache в privsock, запускал его через execaps -c 0×100.
Проверял эффективные capabilities через pscaps — все выставляется правильно.

Но с ненулевыми мандатными метками — не работает.

Предполагаю багу. Но все же есть еще надежда на мою криворукость.
Need help.

Источник

[Решено]Crash системы после обновления

# 2 года, 10 месяцев назад (отредактировано 2 года, 10 месяцев назад) Уважаемые форумчане! Помогите восстановить систему после обновлений!
Так случилось, что у меня не было возможности обновляться 2,5 недели (лежал в больнице), накопилось порядка 430 новых обновлений.
Перед обновлением системы сделал контрольный снимок в TimeShift, обновлялся через pamac.
Во время обновления система вылетала на DM (Display manager) просила логин и пароль на вход, но после ввода логина пароля так и не могла загрузить иксы (KDE Plasma5)
Я заметил, что данная ситуация произошла при обновлении пакета kauth (могу ошибаться) добавил данный пакет в игнор.
В итоге при повторном обновлении (после отката до контрольной снимка Timeshift), система обновилась в два этапа. Сначала был вылет в DM, но в этот раз залогиниться удалось, и до установил остальные обновы.
Все было в порядке до перезагрузки. После перезагрузки система сообщает следующее:

Решил восстановиться до контрольного снимка в TimeShift, но не тут то было. ((

В итоге! Система не грузится и не восстанавливается до контрольной точки!
Что мне делать в данной ситуации не представляю.
Очень прошу ВАШЕЙ помощи!

[Решение] Решение оказалось довольно простым. Установил openSUSE Leap 15 (надо было это сделать много раньше, знал же, что этим все закончится). Сыт по горло Arch’ем, и сообществом! Всем спасибо за участие!

Источник

Операционные системы Astra Linux

Оперативные обновления и методические указания

Операционные системы Astra Linux предназначены для применения в составе информационных (автоматизированных) систем в целях обработки и защиты 1) информации любой категории доступа 2) : общедоступной информации, а также информации, доступ к которой ограничен федеральными законами (информации ограниченного доступа).

1) от несанкционированного доступа;
2) в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (статья 5, пункт 2).

Операционные системы Astra Linux Common Edition и Astra Linux Special Edition разработаны коллективом открытого акционерного общества «Научно-производственное объединение Русские базовые информационные технологии» и основаны на свободном программном обеспечении. С 17 декабря 2019 года правообладателем, разработчиком и производителем операционной системы специального назначения «Astra Linux Special Edition» является ООО «РусБИТех-Астра».

На web-сайтах https://astralinux.ru/ и https://wiki.astralinux.ru представлена подробная информация о разработанных операционных системах семейства Astra Linux, а также техническая документация для пользователей операционных систем и разработчиков программного обеспечения.

Мы будем признательны Вам за вопросы и предложения, которые позволят совершенствовать наши изделия в Ваших интересах и адаптировать их под решаемые Вами задачи!

Репозитория открытого доступа в сети Интернет для операционной системы Astra Linux Special Edition нет. Операционная система распространяется посредством DVD-дисков.

Информацию о сетевых репозиториях операционной системы Astra Linux Common Edition Вы можете получить в статье Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов.

В целях обеспечения соответствия сертифицированных операционных систем Astra Linux Special Edition требованиям, предъявляемым к безопасности информации, ООО «РусБИтех-Астра» осуществляет выпуск очередных и оперативных обновлений.

Очередные обновления (версии) предназначены для:

• реализации и совершенствования функциональных возможностей;
• поддержки современного оборудования;
• обеспечения соответствия актуальным требованиям безопасности информации;
• повышения удобства использования, управления компонентами и другие.

Оперативные обновления предназначены для оперативного устранения уязвимостей в экземплярах, находящихся в эксплуатации, и представляют собой бюллетень безопасности, который доступен в виде:

1. инструкций и методических указаний по настройке и особенностям эксплуатации ОС, содержащих сведения о компенсирующих мерах или ограничениях по примене- нию ОС при эксплуатации;
2. отдельных программных компонентов из состава ОС, в которые внесены изменения с целью устранения уязвимостей, инструкций по их установке и настройке, а также информации, содержащей сведения о контрольных суммах всех файлов оперативного обновления;
3. обновлений безопасности, представляющих собой файл с совокупностью программных компонентов из состава ОС, в которые внесены изменения с целью устранения уязвимостей, а также информации, содержащей сведения о контрольных суммах всех файлов обновлений безопасности, указания по установке, настройке и особенностям эксплуатации ОС с установленными обновлениями безопасности.

Ввиду совершенствования нормативно-правовых документов в области защиты информации и в целях обеспечения соответствия информационных актуальным требованиям безопасности информации, а также обеспечения их долговременной эксплуатации, в том числе работоспособности на современных средствах вычислительной техники, рекомендуется на регулярной основе планировать проведение мероприятий по применению очередных и оперативных обновлений операционной системы.

Источник

Операционные системы Astra Linux

Оперативные обновления и методические указания

Операционные системы Astra Linux предназначены для применения в составе информационных (автоматизированных) систем в целях обработки и защиты 1) информации любой категории доступа 2) : общедоступной информации, а также информации, доступ к которой ограничен федеральными законами (информации ограниченного доступа).

1) от несанкционированного доступа;
2) в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (статья 5, пункт 2).

Операционные системы Astra Linux Common Edition и Astra Linux Special Edition разработаны коллективом открытого акционерного общества «Научно-производственное объединение Русские базовые информационные технологии» и основаны на свободном программном обеспечении. С 17 декабря 2019 года правообладателем, разработчиком и производителем операционной системы специального назначения «Astra Linux Special Edition» является ООО «РусБИТех-Астра».

На web-сайтах https://astralinux.ru/ и https://wiki.astralinux.ru представлена подробная информация о разработанных операционных системах семейства Astra Linux, а также техническая документация для пользователей операционных систем и разработчиков программного обеспечения.

Мы будем признательны Вам за вопросы и предложения, которые позволят совершенствовать наши изделия в Ваших интересах и адаптировать их под решаемые Вами задачи!

Репозитория открытого доступа в сети Интернет для операционной системы Astra Linux Special Edition нет. Операционная система распространяется посредством DVD-дисков.

Информацию о сетевых репозиториях операционной системы Astra Linux Common Edition Вы можете получить в статье Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов.

В целях обеспечения соответствия сертифицированных операционных систем Astra Linux Special Edition требованиям, предъявляемым к безопасности информации, ООО «РусБИтех-Астра» осуществляет выпуск очередных и оперативных обновлений.

Очередные обновления (версии) предназначены для:

• реализации и совершенствования функциональных возможностей;
• поддержки современного оборудования;
• обеспечения соответствия актуальным требованиям безопасности информации;
• повышения удобства использования, управления компонентами и другие.

Оперативные обновления предназначены для оперативного устранения уязвимостей в экземплярах, находящихся в эксплуатации, и представляют собой бюллетень безопасности, который доступен в виде:

1. инструкций и методических указаний по настройке и особенностям эксплуатации ОС, содержащих сведения о компенсирующих мерах или ограничениях по примене- нию ОС при эксплуатации;
2. отдельных программных компонентов из состава ОС, в которые внесены изменения с целью устранения уязвимостей, инструкций по их установке и настройке, а также информации, содержащей сведения о контрольных суммах всех файлов оперативного обновления;
3. обновлений безопасности, представляющих собой файл с совокупностью программных компонентов из состава ОС, в которые внесены изменения с целью устранения уязвимостей, а также информации, содержащей сведения о контрольных суммах всех файлов обновлений безопасности, указания по установке, настройке и особенностям эксплуатации ОС с установленными обновлениями безопасности.

Ввиду совершенствования нормативно-правовых документов в области защиты информации и в целях обеспечения соответствия информационных актуальным требованиям безопасности информации, а также обеспечения их долговременной эксплуатации, в том числе работоспособности на современных средствах вычислительной техники, рекомендуется на регулярной основе планировать проведение мероприятий по применению очередных и оперативных обновлений операционной системы.

Источник