Настройка сервера Astra Linux

Обновлено: 21.11.2024

Операционная система класса Linux обеспечивает защиту данных, содержащих сведения, составляющие государственную тайну, с грифом секретности до «совершенно секретно» включительно.

Специальные программные компоненты разрабатываются и включаются в состав операционной системы с целью увеличения функциональности системы, повышения уровня ее безопасности и работоспособности.

Обязательный контроль доступа

Операционная система имеет обязательное приложение контроля доступа. В таком случае принятие решения о запрете доступа или разрешении от субъекта к объекту основывается на типе операции (чтение/запись/выполнение), обязательном контексте безопасности, связанном с каждым субъектом, и обязательной галочке, связанной с объектом.

Изоляция модулей

Ядро операционной системы предоставляет индивидуальное изолированное адресное пространство для каждого системного процесса.

Очистка ОЗУ и внешней памяти, гарантированное удаление файлов

Операционная система выполняет очистку непригодных для использования блоков файловой системы непосредственно при их удалении.

Данная подсистема снижает скорость выполнения операций по удалению и отсечению размера файла, но в то же время можно настроить данную подсистему так, чтобы файловые системы работали с различными показателями производительности.

Маркировка документа

Сервер печати (CUPS) вставляет необходимые учетные данные в распечатываемые документы, используя разработанную процедуру маркировки. Обязательные атрибуты автоматически связываются с назначением распечатки на основе обязательного контекста полученного сетевого соединения.

Журнал событий

Разработана оригинальная подсистема логирования. Он интегрирован во все компоненты операционной системы и обеспечивает надежную запись событий с использованием специального сервиса.

Процедуры защиты информации в графической подсистеме

Графическая подсистема включает X-сервер Xorg, пользовательский рабочий стол Fly, а также ряд программных инструментов, предназначенных как для пользователей, так и для системных администраторов. Были предприняты определенные усилия по разработке и внедрению в графическую подсистему необходимых средств защиты информации, обеспечивающих обязательный контроль доступа в графических приложениях.

Разработанный рабочий стол пользователя Fly тесно интегрирован с процедурами защиты информации. В нем реализованы следующие возможности:
графическое отображение обязательной отметки для каждого окна;
возможность запускать приложения с разными обязательными отметками.

Ограничение действий пользователей в режиме "КИОСК".

Уровень этих ограничений определяется маской киоска, которая влияет на права доступа к файлу при каждой попытке пользователя получить доступ.

Присутствует система шаблонов для назначения прав доступа – файлы с заданными правами доступа используются для запуска любых программ. Существуют специальные дизайнерские инструменты для разработки шаблонов под любые задачи пользователя.

Защита адресного пространства процессов

Операционная система использует специальный формат для исполняемых файлов. Позволяет установить режим доступа к сегментам в адресном пространстве процесса.

Централизованная система компиляции программного обеспечения обеспечивает установку облегченного режима, необходимого для работы программного обеспечения. Также имеется возможность использования технологии NOT EXECUTE BIT, поддерживаемой современными процессорами.

Контроль закрытия программной среды

Есть некоторые меры по проверке загрузки исполняемых файлов на неизменность и идентичность в формате ELF cialis online. Проверка выполняется на основе векторов подлинности, рассчитанных в соответствии со стандартом ГОСТ34.10-2001 и встроенных в исполняемые файлы в процессе компиляции.

Возможно предоставить сторонним разработчикам программного обеспечения инструменты реализации векторов подлинности.

Контроль непрерывности

Служба хеширования применяется в соответствии со стандартом ГОСТ 34.11-94 для контроля целостности. Базовой утилитой для контроля целостности является программа с открытым исходным кодом «Другая проверка целостности файлов».

Инструменты настройки домена

сквозная сетевая аутентификация

централизованное хранение данных пользовательской среды;

централизованное хранение на сервере данных о настройках подсистемы защиты информации;

централизованное управление серверами DNS и DHCP;

интеграция в домен защищенных серверов, таких как серверы СУБД, серверы печати, почтовые и веб-серверы и т. д.;

централизованная проверка событий безопасности в рамках домена.

Защищенная реляционная СУБД

В состав операционной системы входит объектно-реляционная СУБД PostgreSQL, в которой реализованы дискреционные и обязательные процедуры контроля доступа к защищенным ресурсам БД.

Основой обязательного контроля доступа является разделение доступа к защищенным ресурсам БД с точки зрения иерархических и неиерархических меток доступа. Это позволяет реализовать многоуровневую защиту с разделением доступа пользователей к защищенным ресурсам БД и контролем информационных потоков.

Защищенный программный комплекс обработки гипертекстовых данных

В состав защищенного программного комплекса обработки гипертекстовых данных входят браузер Mozilla Firefox и веб-сервер Apache, интегрированные со встроенными средствами защиты информации для обязательного контроля доступа пользователей при настройке удаленного доступа к информационным ресурсам.

Защищенный программный пакет электронной почты

В состав защищенного программного комплекса входит сервер электронной почты, состоящий из агента передачи электронной почты Exim и агента доставки электронной почты Dovecot, а также почтовый клиент Mozilla Thunderbird, обеспечивающий следующие функциональные возможности:

  • Интеграция с ядром операционной системы и базовыми библиотеками для обеспечения обязательного контроля доступа к сообщениям электронной почты, хранящимся в формате Maildir;
  • автоматическая маркировка пользовательских сообщений с использованием текущего обязательного контекста.

Агент передачи электронной почты использует протокол SMTP и обеспечивает решение следующих задач:

Сегодня утром встал рано и еще раз заглянул в Astra Linux.

Прежде всего я выполнил еще одну установку без графического интерфейса, чтобы посмотреть, как все будет работать с сервером, сравнимым с минимальной установкой CentOS.
Установка прошла очень гладко и прямо даже из командной строки.
Единственной частью, которую мне пришлось настраивать вручную, была конфигурация сети, и я должен был установить сервер SSH (apt install openssh-server). Это было основой для моей установки.

Установка Domino

Затем я еще раз взглянул на установку Domino Native, чтобы узнать, какие пакеты необходимо установить для Domino.

Помимо стандартной установки мне понадобились только следующие пакеты: gdb, bc и policykit-1

apt update
apt install gdb bc policykit-1

Потом это была прямая установка.
Мне просто нужно было создать отсутствующий каталог /etc/sysconfig для сценария запуска (mkdir /etc/sysconfig).
Упомянутая служба astra-ptrace-lock (см. последний пост) не была установлена ​​по умолчанию. Так что никаких изменений здесь не требуется.

Поэтому сервер заработал за считанные минуты, включая установку ОС.

Domino при установке Docker

Мне стало любопытно посмотреть, как Docker будет работать на этой машине и что мне нужно сделать, чтобы запустить его.
Оказывается, Docker CE входит в состав дистрибутива и может быть установлен из коробки.

Прежде всего я установил Docker за один шаг:

подходящая установка docker.io

Установка пакета установила и запустила Docker 17.12.1-ce !! Все настройки выглядят хорошо и соответствуют требованиям (драйвер overlay2 настроен, ext4 - поддерживаемая файловая система)!

Тогда я только что скачал наш проект IBM Domino on Docker

Я указал каталог загрузки на свой локальный сервер, на котором размещено программное обеспечение Domino, изменив конфигурацию:

И, наконец, построил образ Domino CE

./build.sh домино-се

Чтобы проверить, работает ли образ, я создал новый сервер, используя наш сценарий управления, и заглянул в контейнер.

управление cd
./docker_domino-ce run
./docker_domino-ce bash root
консоль домино

Это дало мне готовый и работающий сервер Domino 10.0.1 FP2 за 5 минут :-)

Заключение

Установка прошла без каких-либо настроек. Я не упомянул шаги по оптимизации и установку для нативного Domino (который работает точно так же, как и на любом другом Linux).
Таким образом, Domino на Astra Linux не является поддерживаемой конфигурацией, но выглядит технически хорошо, также работает с «минимальной установкой» без графического интерфейса.

С другой стороны, запуск Domino на Docker в Astra Linux с Docker CE является полностью поддерживаемой конфигурацией.
Образ работает на centos.latest внутри контейнера Docker. Так что технически базовой ОС для запуска Domino является CentOS.
Как и в случае с CentOS, для меня это отличный вариант бесплатного развертывания Domino на Docker!

Кто-нибудь уже пробовал? Каков ваш опыт?

1 Стивен 29.07.2019 9:28:18 Domino Docker на Astra Linux

Выглядит очень просто! Попробую. У меня Убунту и Минт. Хотел бы попробовать Domino в Linux.

2 Даниэль Нэшед 29.07.2019 10:17:00 Domino Docker на Astra Linux

@Steven, этот пост не предназначался для распространения в других дистрибутивах!!

На российском рынке существуют особые требования, и я внимательно изучил эту платформу.

Это не означает, что в настоящее время он поддерживается или что я рекомендую попробовать другие платформы.

Каждая платформа отличается в деталях, и HCL не может поддерживать все разновидности Linux.

Если вам нужен бесплатный дистрибутив, я могу порекомендовать только поддерживаемую CentOS.

HCL не может поддерживать все различные платформы. И я не могу поддерживать их с помощью моего стартового сценария.

Поэтому идея заключалась в том, чтобы получить обратную связь от рынка, чтобы понять, насколько важны дела для российского рынка и Astra Linux.

Astra Linux действительно хорошо выглядит и является отличной платформой из того, что я видел до сих пор.

3 Стивен 29.07.2019 11:48:31 Domino Docker на Astra Linux

Я понимаю. Я скачаю Астру, а потом попробую на ней Домино. Дело в том, что я плохо разбираюсь в настройке Linux с брандмауэрами и прочим.

Поэтому, если бы это был сервер с выходом в Интернет, я бы очень нервничал из-за безопасности.

Кстати, мне нравятся ваши сообщения.

4 Иван Кузьменков 25.05.2020 22:00:33 Domino Docker на Astra Linux

Спасибо за статью! по словам поставщика, CE (Орел) поддерживает Docker, поэтому его можно использовать в непроизводственных средах. но Special Edition (Смоленск) официально не поддерживает Docker. так что для продакшн серверов это дело будущего (говорят 1 квартал 2021)

а также я заметил опечатку в названии тега статьи. это "asta linux", поскольку (я думаю) должно быть "astra linux"

Влад объяснил мне, что Astra Linux широко используется на российском рынке. Это производный от Debian дистрибутив, который используется российским правительством!
В правительственных организациях происходит стратегический отказ от Microsoft. Так что Astra Linux, вероятно, будет иметь большее значение в будущем.

Итак, сегодня утром я изучил его и установил Domino, включая мой стартовый скрипт.

Это не поддерживаемый дистрибутив! Но мне было бы интересно узнать ваше мнение.
Кто пользуется? Хотели бы вы использовать его? Поможет ли это предоставлять более качественные услуги на российском рынке?
С какими проблемами/особыми случаями вы столкнулись?

Я могу поддерживать свой сценарий запуска только в Astra Linux. Поддержка Domino была бы чем-то для HCL.
Поэтому мне очень интересно узнать, кто его использует, и получить отзывы с мест.

Для поддержки CentOS было довольно легко получить поддержку от HCL. Исходный код CentOS совместим с RHEL, а HCL изменили свою среду сборки на CentOS 7.4.
Для Astra Linux было бы намного сложнее получить официальную поддержку.
Поэтому мне очень интересны ваши отзывы (в комментариях или по электронной почте).

Ниже вы найдете мои первые впечатления и результаты самостоятельной установки.

Я установил графическую версию, которая была проще для первых тестов.
Установка довольно проста и сопровождается несколькими дополнительными контрольными вопросами.
Я не включал дополнительную безопасность, такую ​​как усиленное ядро ​​и более строгие настройки безопасности.
Но большая часть этого по-прежнему включена по умолчанию. Поэтому мне пришлось снова включить ptrace, чтобы разрешить NSD и memcheck доступ к процессам.
Дополнительно усиленное ядро, казалось, не имело никакого значения. Загрузчик grub выбрал ядро ​​по умолчанию.

Некоторые незначительные отличия

При добавлении нового пользователя с помощью adduser я заметил, что опция -U для создания подходящей группы недоступна, но создание группы ранее с помощью addgroup и использование этого идентификатора группы при создании пользователя с помощью --gid работали должным образом. .

Установка Domino прошла успешно, хотя установщик сказал, что среда не поддерживается.
Также только что сработала конфигурация через удаленную настройку.

Нет никаких пакетов, которые вам нужно установить, чтобы запустить его (bc, perl уже установлен в выбранных мной вариантах).
Я установил sysstat и gdb (отладчик GNU, необходимый NSD) с помощью графического менеджера пакетов.

Мой стартовый сценарий не удалось полностью установить автоматически, поскольку не было каталога /etc/sysconfig.
Поэтому я просто создал пустой каталог, потому что скрипт запуска всегда ищет данные конфигурации в своем файле конфигурации, расположенном в этом каталоге.

С этой незначительной поправкой стартовый скрипт также работает из коробки.

Для отладки NSD требуется ptrace, который по умолчанию отключен.
Для меня это не ново. У нас были такие же ограничения при наших первых установках Docker. Для Docker вы должны разрешить контейнеру использовать ptrace в запущенных процессах.

Даже я не включил его, ptrace не был разрешен, а NSD и memcheck не могли подключиться к процессам.
Оказалось, что ptrace был отключен, даже графическая установка и настройка сказали, что он отключен.

Поэтому я использовал следующие настройки:

Проверьте, включена ли блокировка ptrace

systemctl включена astra-ptrace-lock
включена

Отключить блокировку ptrace

Еще раз проверьте, что он отключен:

systemctl is-enabled astra-ptrace-lock
disabled

Вы должны загрузить свой сервер, чтобы это изменение вступило в силу,
Но после этого NSD и memcheck запустятся как положено.

В большинстве других дистрибутивов планировщик ввода-вывода уже изменен с «cfg» как минимум на «deadline».
Но Astra Linux по-прежнему использует "cfg" по умолчанию. Поэтому вам нужно добавить «elevator=noop» в строку загрузки ядра grub.
Было удивительно легко изменить конфигурацию grub. Я просто зашел в графическую конфигурацию grub и внес изменения.
Инструмент автоматически записал правильную конфигурацию grub. После перезагрузки диск использовал «noop» в качестве планировщика ввода-вывода.

Вы можете проверить настройки с помощью:

cat /sys/block/sda/queue/scheduler
[noop] крайний срок cfq

1 Алексей Лавов 28.07.2019 0:07:03 Domino на Astra Linux Обратная связь

Спасибо за ваш опыт, Даниэль. Ваш блог является источником ценной технической информации о мире домино. Вас читают довольно много профи домино в России.

2 Александр 06.08.2019 9:39:19 Domino на Astra Linux Отзыв

Здравствуйте, Даниил! Большое спасибо за ваши рекомендации по установке Domino на Astra Linux. Ваш стартовый скрипт тоже смог запуститься. Столкнулся с проблемой запуска скрипта net-snmpd.sh, так как он предназначен для работы только на RHEL, CentOS или SUSE. При работе в Astra Linux отображается сообщение типа "не знаю, как запустить/остановить net-snmpd в этой версии Linux". Не могли бы вы сказать мне, как его запустить?

3 Даниэль Нэшед 08.08.2019 18:21:09 Отзыв о Domino об Astra Linux

Обновление SNMP для Astra Linux:

Я отправил электронное письмо Александру и изучил сценарий bash, который запускает демон Linux для SNMP.

Сценарий специфичен для RHEL и SLES и нуждается в подпрограммах init.d.

Проверка не работает с Astra Linux, и нам потребуется обновить скрипт.

Но скрипт не полностью совместим с RHEL 7 и SLES 12. Сценарий по-прежнему предполагает init.d.

И у него нет поддержки systemd. Было бы разумно перенести его из init.d в systemd, даже скрипты init.d можно использовать на systemd хотя бы для запуска.

Systemd имеет функцию совместимости. Но полезно только автоматически запускать службы, а не останавливать их.

Поэтому правильным будет перейти на systemd.

4 Иван Кузьменков 25.06.2020 11:28:49 Domino на Astra Linux Отзыв

> Оказалось, что ptrace был отключен, даже графическая установка и настройка сказали, что он отключен.

Дэниел, объясните, пожалуйста. Нам кажется, что это опечатка. как правильно:

"Оказалось, что ptrace был включен"

"графическая установка и настройка показали, что она включена"

5 Дэниел Нэшед 04.11.2020 8:35:28 Отзыв о Domino об Astra Linux

Здравствуйте, Иван, извините, я пропустил ваш комментарий.

Я только что еще раз перечитал свой блог и тоже нашел его. Графический интерфейс сказал, что он включен, но нижний код говорит, что нет. т

Новый российский дистрибутив Linux составит конкуренцию серверной Windows.

Доступен новый российский дистрибутив Linux. Astra Linux предназначена для предоставления услуг, необходимых офису. Доступны службы сервера каталогов и рабочий стол в стиле Windows.

Экран загрузки установщика Astra Linux.

Установщик Astra Linux по сути является установщиком Debian, поэтому им очень легко пользоваться. При установке есть опция для английского языка, но доступны только русские часовые пояса. Но это можно исправить после установки, если вы живете не в Советской России.

В Astra Linux есть опция сервера Active Directory.

Рабочий стол Astra Linux называется «Fly» и выглядит так же, как KDE 3.4. Это здорово на самом деле. Он выглядит устаревшим, но он быстрый и очень удобный. Больше, чем я могу сказать о рабочем столе Ubuntu Unity.

Файловый менеджер для Astra Linux выглядит точно так же, как файловый менеджер в Windows 7. Это часть специального подхода к замене рабочего стола Windows, это может быть настольная или серверная операционная система.

Файловый менеджер Astra Linux.

В дистрибутиве есть расширенные параметры безопасности, которые можно выбрать во время установки, а также клиенты каталогов и вышеупомянутые параметры сервера каталогов. Это означало бы, что сеть может быть создана с машинами в лесу каталогов, которые общаются друг с другом. Это означает, что Россия хочет обрести независимость от программного обеспечения Microsoft и иметь собственную безопасную операционную систему. Firefox является основным веб-браузером и программой обработки изображений GNU для редактирования фотографий.Этот дистрибутив даже поставляется с Audacity и VLC для редактирования и воспроизведения мультимедиа соответственно. Очень хорошая настольная ОС.

Экран-заставка Astra Linux GRUB.

Установите это в VMWare или Virtualbox и попробуйте. Это, безусловно, отличается от Ubuntu. Я не уверен, есть ли версия Ubuntu, которая может установить сервер каталогов.

Экран блокировки Astra Linux.

Даже экран блокировки Astra Linux симпатичный. LibreOffice включен для редактирования документов, а также словаря и текстового редактора. Экран блокировки очень прост в использовании. Когда вы нажимаете для ввода пароля, появляется экранная клавиатура. Очень приятное прикосновение. Но почему Google говорит, что сайт может быть взломан? Что Google имеет против России?

Почему Google так говорит?

Но мне нравится этот дистрибутив Linux. Я мог бы установить это на свой ноутбук, чтобы заменить Windows 10. Это именно то, что я искал, и это отличная альтернатива Windows. Если этого достаточно для советских военных, то этого достаточно и для меня.

Читайте также: