Секрет нет астра линукс

Июнь 2018 г.

• CentOS 7.3 (версия ядра 3.10.0-514.el7.x86_64);
• CentOS 7.3.1611 (версия ядра 4.4.80.el7.elrepo.x86_64);
• ContinentOS 4.2 (версия ядра 4.4.84);
• Oracle Linux 7.2 (версия ядра 3.10.0-327.el7.x86_64);
• Oracle Linux 7.3 (версия ядра 3.10.0-514.el7.x86_64);
• Red Hat Enterprise Linux 7.3 (версия ядра 2.6.32-696.18.7.el6.x86_64);
• Red Hat Enterprise Linux 7.3 (версия ядра 3.10.0-514.el7.x86_64);
• RHEL Server 6.8 (версия ядра 2.6.32-642.13.1.el6x86_64);
• RHEL 6.9 (версия ядра 2.6.32-696.18.7.el6.x86_64).

Другие изменения

• Возможность установки на системы с UEFI;
• Блокировка АС при изъятии электронного идентификатора;
• Генерация случайных паролей с использованием физического датчика случайных чисел ПАК «Соболь»;
• Функция ротации журналов безопасности.

Август 2017 г.

• Astra Linux Special Edition 1.5 (версия ядра — 4.2.0);
• Astra Linux Special Edition 1.4 (версия ядра — 3.16.0);
• МСВС 5.0 (версия ядра — 2.6.32);
• CentOS 7.2.1511 (3.10.0-327);
• ROSA Enterprise Linux Server 6.5 (2.6.32-431.el6.x86_64);
• CentOS 7.1 (3.14.51-kd);
• ContinentOS (4.4.32).

Поддержка электронных идентификаторов
Реализована поддержка персональных идентификаторов JaCarta PKI и JaCarta ГОСТ

Источник

База знаний

Secret Net LSP

25238 — Настройка pam после установки SN LSP на компьютерах, использующих sssd

19 декабря 2020

20059 — Отключается удаленное управление lsp 1.9 сервером безопасности Secret Net Studio

13133 — Полное отключение чтения информации для аутентификации и идентификации с токена

28 сентября 2020

12504 — Альт 8sp после установки SN LSP 1.9, нет возможности выбора пользователя

28 сентября 2020

12355 — Не отображаются идентификаторы Rutoken

28 сентября 2020

12354 — Блокировка рабочей станции после удаления SN LSP

28 сентября 2020

12353 — Как вывести компьютер из домена

28 сентября 2020

12352 — SN LSP — отключены сервисы smb и winbind

28 сентября 2020

12339 — Управление правилами контроля устройств для шины через командную строку

28 сентября 2020

10883 — Мягкий режим ЗПС в Secret Net LSP

28 сентября 2020

115230, Россия, Москва,
1-й Нагатинский проезд, д. 10, стр. 1.

2008-2021 © «Код Безопасности». Российский разработчик программных и аппаратных средств защиты информации. Наша продукция охватывает все уровни инфраструктурной безопасности.

Источник

RutokenS+AstraLinuxSE1.6+SecretNet(Studio)

Сообщений 7

#1 Тема от oko 2019-07-16 20:58:32

• oko
• Посетитель
• Неактивен

RutokenS+AstraLinuxSE1.6+SecretNet(Studio)

Здравствуйте!
Давно не обращался с вопросами подобного характера (с последней темы прошло, ужас, почти 6 лет: https://forum.rutoken.ru/topic/1947/), но время, видимо, пришло 🙂
Имеется связка:
— сервер под управлением Windows Server 2008/2012 R2 с поднятой службой терминалов;
— СЗИ НСД для сервера Secret Net 7 / Secret Net Studio 8.4;
— клиентский идентификатор Rutoken S с комплектом драйверов под Win и Lin из соответствующего раздела сайта;
— клиентская машина под управлением Linux Mint 19 x64, ядро 4.15;
— клиентская машина под управлением Astra Linux Special Edition 1.6, ядро 4.15;
— программный пакет freerdp-x11 для создания терминальной сессии.

Пытаюсь реализовать схему проброса аппаратного идентификатора (Rutoken S) в терминальную среду (Windows Server) с клиентской nix-машины (Mint / Astra).
На обеих машинах установлены свежие драйверы ifd-rutokens-1.0.4.deb для x64 архитектуры, а также необходимые зависимости: libccid, pcscd и libpcsclite1. С той лишь разницей, что под Linux Mint имеется пакет pcsc-tools для проверки работы Rutoken S, а под Astra Linux он отсутствует.
В Astra Linux специально отключена поддержка мандатного контроля целостности (МКЦ) через astra-mic-control disable и пользователю (user) превентивно выставлены права работы исключительно в 0 мандатной сессии.

Проблематика

Если не устанавливать Secret Net (Secret Net Studio) в терминальную среду Windows Server, то и под Linux Mint, и под Astra Linux проброс Rutoken S через xfreerdp выполняется корректно. Панель управления Рутокен (Windows) «видит» проброшенный токен, позволяет к нему обратиться, отформатировать и т.д.

Если установить Secret Net (Secret Net Studio), то из-под Astra Linux проброс «отваливается»: при создании терминальной сессии токен несколько раз мигает, но затем обращение к нему полностью прекращается. В результате, токен не видится ни средствами Secret Net (Secret Net Studio), ни средствами Панели управления (Windows) — выводится работы ошибка службы смарт-карт с предложением посетить страницу настройки Рутокена для RDP-сессии. Демон pcscd в свою очередь периодически уходит в inactive режим — приходится его рестартовать через systemctl.

Из-под Linux Mint аналогичная связка полностью отрабатывает: токен «виден» и средствами Панели управления, и средствами Secret Net (Secret Net Studio).

Очевидно, что корень зла в компонентах Astra Linux Special Edition, однако никак не могу сообразить, в каких конкретно. Такое ощущение, что обращение к токену средствами Secret Net (Secret Net Studio) в RDP-сессии приводит к переполнению буфера или иной схожей проблеме демона pcscd или самого драйвера Rutoken S.

Собственно, хотел узнать:
— возможно, существует свежий драйвер, разработанный именно под Astra Linux Special Edition и новее 2014 г.в.?
— возможно, что проблема в демоне pcscd или зависимостях (libccid, libpcsclite1) из комплекта Astra Linux Special Edition?
— возможно, имеется определенная схема специальной настройки Astra Linux Special Edition для полной поддержки Rutoken S?

К сожалению, перейти на Рутокен ЭЦП 2.0 не получается — приходится использовать Rutoken S в связи с его сертификатом под «особые» АС.

#2 Ответ от oko 2019-07-17 11:44:25

• oko
• Посетитель
• Неактивен

Re: RutokenS+AstraLinuxSE1.6+SecretNet(Studio)

UPDATE
Обнаружился любопытный факт утром на трезвую голову: при замене СЗИ НСД на Dallas Lock 8.0-C связка заработала без проблем и из-под Astra Linux Special Edition 1.6.
Вывод: Secret Net 7 и Secret Net Studio 8.4-C имеют одинаковую подсистему поддержки Rutoken S, которая некорректно работает в терминальной сессии в некоторых случаях. Точно не могу определить корни зла, но склоняюсь к мысли, что здесь ошибка таймингов обращения к Rutoken S по схеме «подсистема SN (SNS) -> драйвер Рутокен Windows -> подсистема pcscd в Astra Linux -> драйвер ifd-rutokens в Astra Linux». На каком этапе идет сбой самостоятельно пока выяснить не могу.

#3 Ответ от Ксения Шаврова 2019-07-30 10:12:55

• Ксения Шаврова
• Администратор
• Неактивен

Re: RutokenS+AstraLinuxSE1.6+SecretNet(Studio)

Здравствуйте, oko.

Приносим извинения за длительное ожидание.
На почту, указанную при регистрации на форуме, мы направили письмо с необходимой нам дополнительной информацией для анализа проблемы.

#4 Ответ от Алексей Лазарев 2019-07-30 17:58:54 (2019-07-30 19:47:55 отредактировано Алексей Лазарев)

• Алексей Лазарев
• Техническая поддержка
• Неактивен

Re: RutokenS+AstraLinuxSE1.6+SecretNet(Studio)

Здравствуйте, oko.

Скажите пожалуйста, а вы не пробовали провести следующий эксперимент: На терминальном сервере установить комплект драйверов с дистрибутивного диска Secret Net Studio 8.4, после чего проверить будет ли возникать проблема описанная в обращении. Суть проблемы в том, что SNS чувствителен к версии драйвера.

И еще момент, можете уточнить, какие защитные компоненты включены в Astra Linux SE 1.6?

UPD. Имеются ввиду драйверы Рутокен для Windows, которые шли на диске. Там должна быть версия 4.3.0.0

#5 Ответ от oko 2019-08-01 00:56:02 (2019-08-01 01:04:15 отредактировано oko)

• oko
• Посетитель
• Неактивен

Re: RutokenS+AstraLinuxSE1.6+SecretNet(Studio)

to Ксения Шаврова
Благодарю! И сразу извиняюсь — не доглядел, что почтовый адрес в Профиле устарел и доступа к нему уже нет (давненько регистрировался, да). Просьба выслать инструкции повторно — e-mail в Профиле обновил на актуальный.

to Алексей Лазарев
Пробовал разные комбинации: брал драйвер для Win из дистрибутива SNS 8.4 (при использовании с SNS 8.4), из дистрибутива SN7 (при использовании с ним), последнюю версию с оф.сайта; также брал последнюю версию драйвера для Linux с оф.сайта и самую первую версию, которая заработала с Астрой 1.3 при прошлом обращении 6 лет назад (ifd. -1.0.1.deb). Результат всегда один (хотя со старым драйвером для Linux наблюдалось еще и постоянное мигание светодиода Рутокен S, но, думаю, это не критично):

при подключении из-под Win 8.1 к Win Server 2008R2/2012R2 или из-под Linux Mint (не принципиально, как мне кажется) к Win Server 2008R2/2012R2 Rutoken S корректно пробрасывается RDP-клиентом, «виден» в Панели управления Рутокеном, а также «виден» всеми механизмами SNS (SN7);

при подключении из-под Astra Linux SE 1.6 к Win Server 2008R2/2012R2 Rutoken S пару раз мигает (с последним драйвером для Linux), будто бы идет опрос, но в терминальной сессии ни Панель управления Рутокеном, ни SNS (SN7) его уже «не видят» (Панель выдает стандартную ошибку, будто бы не включена служба поддержки смарт-карт)

Проброс Rutoken S в терминальную среду делаю через:

Правила udev для Rutoken S:

Systemd-сервис для Rutoken S:

Впрочем, systemd-сервис и правила udev модифицированы под нужную задачу (скрипт RutokenS.sh выполняет доп.действия при подключении токена, но также выполняет chgrp для /dev/usb. как и в оригинале после установки драйвера). Если их оставить по умолчанию (после установки драйвера), все равно ничего принципиально не меняется.
В ходе ковыряния проблемы на стенде дошел до того, что отключил почти все защитные механизмы Astra Linux, до которых смог добраться: мандатный контроль целостности, модули Parsec для PAM, киоск, затирание, мандатные метки уровня файловой системы. Но проблема осталась.

К сожалению, в «репозитории» (диск установки) Astra Linux SE 1.6 отсутствует пакет pcsc-tools, поэтому непосредственную отладку через консоль не проводил. Если необходимо, могу встроить аналогичный пакет от Debian 9 и проверить вывод.
Любопытный факт: после пары-тройки подключений к терминальному серверу с подключенным Rutoken S, сервис pcscd переходит в состояние inactive и требует перезапуска. Почему и грешу на переполнение буфера.

ЗЫ Складывается ощущение (особенно после заработавшей связи с Dallas Lock 8.0-C), что SNS (SN7) производит слишком много «лишних» обращений к Rutoken S, в результате чего служба в Astra Linux не выдерживает и «отбивает».

#6 Ответ от Алексей Лазарев 2019-08-12 13:14:36

• Алексей Лазарев
• Техническая поддержка
• Неактивен

Re: RutokenS+AstraLinuxSE1.6+SecretNet(Studio)

Добрый день, разработчики SN провели исследование. Вот их вердикт:

«Описанная проблема заключается в используемом терминальном клиенте. В нём не в полной мере реализован стандартный интерфейс WinsCard. В частности, функция ScardLocateCardsByATR().
Можем рекомендовать сменить терминальный клиент или его версию. Мы учтем этот момент а будущих версиях и вероятно поддержим клиентов даже без этой функции. Но это не ошибка нашего продукта. Это недоработка используемого терминального клиента.»

Источник

Новости

Компания «Код безопасности» объявляет о выходе новой версии продукта Secret Net LSP, предназначенного для защиты от несанкционированного доступа на рабочих станциях и серверах под управлением ОС Linux. В Secret Net LSP 1.9 появился функционал контроля приложений, реализована интеграция со средствами доверенной загрузки, а также расширен список поддерживаемых ОС.

Одно из ключевых нововведений Secret Net LSP версии 1.9 – модуль «Замкнутая программная среда», предназначенный для контроля запуска приложений и скриптов в защищаемой системе: разрешается запуск только указанных администратором исполняемых объектов. С данным функционалом у пользователей появилась возможность организовать на рабочих местах и серверах статическую контролируемую программную среду и предотвращать несанкционированные внедрения в существующие рабочие процессы на конечных точках.

В новой версии продукта также была произведена интеграция с ПАК «Соболь» версий 3.0 и 4.2.

В рамках поддержки новых операционных систем была обеспечена работа Secret Net LSP 1.9 на следующих дистрибутивах:

• Альт Рабочая станция 8;
• Альт 8 СП;
• Лотос;
• РЕД ОС 7.1 Муром;
• Astra Linux Common Edition 2.12;
• Astra Linux Special Edition 1.6;
• CentOS 7.6;
• Debian 9.5;
• Oracle Linux 7.6;
• Red Hat Enterprise Linux 7.6.

Помимо вышеуказанных новшеств, в версии 1.9 реализована поддержка работы с персональными идентификаторами JaCarta-2 ГОСТ и JaCarta-2 PKI/ГОСТ, предназначенными для двухфакторной аутентификации пользователей.

«В новой версии мы уделили особое внимание взаимной интеграции наших продуктов: появилась возможность автоматического входа в защищенную Secret Net LSP операционную систему после авторизации в ПАК «Соболь», а также передача записей журнала аудита из ПАК «Соболь» в журнал Secret Net LSP. Дополнительно на сервере безопасности Secret Net Studio 8.5 появилась возможность централизованного управления и сбора журналов ПАК «Соболь», установленных на компьютеры под защитой Secret Net LSP 1.9.», — рассказал Павел Петров,
ведущий менеджер по продуктам компании «Код безопасности».

СЗИ Secret Net LSP 1.9 будет направлено для произведения оценки соответствия требованиям ФСТЭК России (инспекционный контроль). О результатах прохождения испытаний будет объявлено дополнительно. Продукт поступит в продажу после прохождения инспекционного контроля.

С демоверсией Secret Net LSP 1.9 можно ознакомиться в разделе «Демоверсии».

По вопросам приобретения средств защиты информации, обновления и технической поддержки продуктов можно обращаться в коммерческую дирекцию компании «Код безопасности»: buy@securitycode.ru, +7 (495) 982-30-20.

Secret Net LSP – обеспечивает защиту от несанкционированного доступа на рабочих станциях и серверах под управлением ОС Linux, а также позволяет контролировать доступ пользователей к защищаемым файлам и устройствам. Продукт позволяет привести автоматизированную систему в соответствие законодательным требованиям по защите персональных данных и конфиденциальной информации.

Источник

Вам также может понравиться

Windows или Linux: Что лучше выбрать?

Есть много причин выбирать между Windows и Linux, но

Файл владелец изменить linux

Команда Chown в Linux Chown Command in Linux (File

Установка шлюза по умолчанию linux

Настройка сети вручную Содержание Краткое описание

Чем разбить диск для linux

ИТ База знаний Курс по Asterisk Полезно — Узнать IP —