Режим замкнутой программной среды astra linux что это
Перейти к содержимому

Режим замкнутой программной среды astra linux что это

  • автор:

Режим замкнутой программной среды astra linux что это

В этом разделе описаны действия, которые требуется выполнить, чтобы запустить приложение в операционной системе Astra Linux Special Edition.

Для Astra Linux Special Edition (очередное обновление 1.7) и Astra Linux Special Edition (очередное обновление 1.6)

Чтобы запустить приложение в операционной системе Astra Linux Special Edition (очередное обновление 1.7) или Astra Linux Special Edition (очередное обновление 1.6):

  1. Укажите следующие параметры в файле /etc/digsig/digsig_initramfs.conf: DIGSIG_ELF_MODE=1
  2. Установите пакет совместимости: apt install astra-digsig-oldkeys
  3. Создайте директорию для ключа приложения: mkdir -p /etc/digsig/keys/legacy/kaspersky/
  4. Разместите ключ приложения (/opt/kaspersky/kesl/shared/kaspersky_astra_pub_key.gpg) в директории, созданной на предыдущем шаге: cp kaspersky_astra_pub_key.gpg /etc/digsig/keys/legacy/kaspersky/
  5. Обновите образ initramfs: update-initramfs -u -k all

Для Astra Linux Special Edition (очередное обновление 1.5)

Чтобы запустить приложение в операционной системе Astra Linux Special Edition (очередное обновление 1.5):

  1. Укажите следующие параметры в файле /etc/digsig/digsig_initramfs.conf: DIGSIG_LOAD_KEYS=1 DIGSIG_ENFORCE=1
  2. Создайте директорию для ключа приложения: mkdir -p /etc/digsig/keys/legacy/kaspersky/
  3. Разместите ключ приложения (/opt/kaspersky/kesl/shared/kaspersky_astra_pub_key.gpg) в директории, созданной на предыдущем шаге: cp kaspersky_astra_pub_key.gpg /etc/digsig/keys/legacy/kaspersky/
  4. Обновите образ initramfs: sudo update-initramfs -u -k all

Работа с графическим пользовательским интерфейсом приложения поддерживается для сессий с мандатным разграничением доступа.

Режим замкнутой программной среды astra linux что это

Средства создания замкнутой программной среды предоставляют возможность внедрения цифровой подписи в исполняемые файлы формата ELF, входящие в состав устанавливаемого СПО.

Механизм контроля целостности исполняемых файлов и разделяемых библиотек формата ELF при запуске программы на выполнение реализован в модуле ядра ОС digsig_verif, который является не выгружаемым модулем ядра Linux, и может функционировать в одном из следующих режимов:
— исполняемым файлам и разделяемым библиотекам с неверной ЭЦП, а также без ЭЦП загрузка на исполнение запрещается (штатный режим функционирования);
— исполняемым файлам и разделяемым библиотекам с неверной ЭЦП, а также без ЭЦП загрузка на исполнение разрешается, при этом выдается сообщение об ошибке проверки ЭЦП (режим для проверки ЭЦП в СПО);
ЭЦП при загрузке исполняемых файлов и разделяемых библиотек не проверяется (отладочный режим для тестирования СПО).

Отредактировано: Raijin 2022.06.21 11:38:13
#2 2022.06.21 11:47:24
Raijin Сообщений: 2908
Администратор

Включение замкнутой программной среды

В каталог /etc/digsig/keys необходимо поместить(при наличии) переданный открытый (публичный) ключ (например, ключ в файле компания_pub_key.gpg)

В файле /etc/digsig/digsig_initramfs.conf установить параметры:

/etc/digsig/digsig_initramfs.conf писал(а)

DIGSIG_ENFORCE=1
DIGSIG_LOAD_KEYS=1

Двнные параметры в файле и во все могут отсуствовать. Необходимо ввести с нуля.

update-initramfs -u -k all

Перезагрузить компьютер.
Без открытого ключа (*_pub_key.gpg) Вашей компании, возможна работа только пакетов из состава дистрибутива операционной системы специального назначения «Astra Linux Special Edition«.

Для подписи Ваших пакетов воспользуйтесь этим сценарием скачать Для доступа к ссылке необходимо авторизоваться (потребуется заменить идентификатор ключа).

Перед подписыванием пакетов необходимо импортировать закрытый и открытый ключи переданные Вашей организации Для доступа к ссылке необходимо авторизоваться (gpg —import ***.gpg, gpg —import ***.key).

Посмотреть идентификатор импортированного ключа можно командой gpg —list-keys.

Отдельные файлы ELF можно подписать командой bsign -s, закрытый и открытый ключи переданные Вашей организации Для доступа к ссылке необходимо авторизоваться перед выполнением команды должны быть импортированы.

Подписание ПО для работы в замкнутой программной среде (ЗПС)

Для работы ПО необходимо установить дополнительные компоненты, которые не имеют подписи и, соответственно, не будут работать при включенном режиме замкнутой программной среды (ЗПС).

Каким образом решить данный вопрос?

Ответ

  1. Получить ключи для подписи ПО. Процесс описан на нашем сайте в разделе Стать технологическим партнером.
  2. Подписать исполняемые файлы согласно инструкции, представленной в статье Справочного центра Создание встроенной подписи в ELF файлах для режима ЗПС.

Режим замкнутой программной среды astra linux что это

Настройка запуска в режиме ЗПС (Astra Linux SE, версия 1.6 и 1.7)

В ОС Astra Linux SE поддерживается особый режим замкнутой программной среды (ЗПС), в котором запускаются только приложения, исполняемые файлы которых подписаны цифровой подписью разработчика, чей открытый ключ добавлен в перечень ключей, которым доверяет ОС.

По умолчанию компоненты Dr.Web для файловых серверов UNIX, поставляемые для исполнения в среде Astra Linux SE, подписаны цифровой подписью компании «Доктор Веб», а открытый ключ для этой цифровой подписи автоматически добавляется в перечень доверенных при установке программы, в связи с чем Dr.Web для файловых серверов UNIX должен корректно запускаться при активизации режима ЗПС в ОС Astra Linux SE версии 1.5 и более старой.

Начиная с версии 1.6, в ОС Astra Linux SE механизм подписи был изменен. Для обеспечения запуска Dr.Web для файловых серверов UNIX в режиме ЗПС в ОС версий 1.6 и 1.7 необходимо выполнить предварительные настройки системы.

Чтобы настроить Astra Linux SE версий 1.6 и 1.7 для запуска Dr.Web для файловых серверов UNIX в режиме ЗПС

1. Установите пакет astra-digsig-oldkeys с установочного диска ОС, если он еще не установлен.

2. Поместите открытый ключ компании «Доктор Веб» в каталог /etc/digsig/keys/legacy/keys (в случае отсутствия каталога его необходимо создать):

# cp /opt/drweb.com/share/doc/digsig.gost.gpg /etc/digsig/keys/legacy/keys

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *