Astra Linux.Технические подробности — различия между версиями
Админ (обсуждение | вклад) (Новая страница: « {{Astra Linux.Навигация}} Категория:Астра Линукс {{i}}») |
АО3Т (обсуждение | вклад) |
||
| (не показаны 3 промежуточные версии 1 участника) | |||
| Строка 2: | Строка 2: | ||
{{Astra Linux.Навигация}} | {{Astra Linux.Навигация}} | ||
| + | === Идентификация и аутентификация === | ||
| − | [[Категория: | + | Функция идентификации и аутентификации пользователей в Astra Linux основывается на использовании механизма [[PAM]]. Кроме того, в состав операционной системы включены средства поддержки двухфакторной аутентификации. |
| + | |||
| + | === Дискреционное разграничение доступа === | ||
| + | |||
| + | В Astra Linux реализован механизм [[Избирательное управление доступом|дискреционных правил разграничения доступа]], который заключается в том, что на защищаемые именованные объекты устанавливаются (автоматически при их создании) базовые правила разграничения доступа в виде идентификаторов номинальных субъектов ([[Идентификатор пользователя|UID]] и GID), которые вправе распоряжаться доступом к данному объекту и прав доступа к объекту. Определяются три вида доступа: чтение (read, r), запись (write, w) и исполнение (execution, x). | ||
| + | |||
| + | Кроме общей схемы разграничения доступа, Astra Linux поддерживает также список контроля доступа - [[ACL]], с помощью которого можно для каждого объекта задавать права всех субъектов на доступ к нему. | ||
| + | |||
| + | === Мандатное разграничение доступа === | ||
| + | |||
| + | В операционной системе реализован механизм [[Мандатное управление доступом|мандатного разграничения доступа]]. Принятие решения о запрете или разрешении доступа субъекта к объекту принимается на основе типа операции (чтение/запись/исполнение), мандатного контекста безопасности, связанного с каждым субъектом, и мандатной метки, связанной с объектом. | ||
| + | |||
| + | Механизм мандатного разграничения доступа затрагивает следующие подсистемы: | ||
| + | * механизмы [[Межпроцессное взаимодействие|IPC]]; | ||
| + | * стек [[TCP/IP]] (IPv4); | ||
| + | * файловые системы [[Ext2]]/[[Ext3]]/[[Ext4]]; | ||
| + | * сетевую файловую систему [[Server Message Block|CIFS]]; | ||
| + | * файловые системы [[Procfs|proc]], [[tmpfs]]. | ||
| + | |||
| + | В Astra Linux Special Edition существует 256 мандатных уровней доступа (от 0 до 255) и 64 мандатных категории доступа | ||
| + | |||
| + | При работе на разных мандатных уровнях и категориях операционная система формально рассматривает одного и того же пользователя, но с различными мандатными уровнями, как разных пользователей и создает для них отдельные домашние каталоги, одновременный прямой доступ пользователя к которым не допускается. | ||
| + | |||
| + | === Модель контроля и управления доступом === | ||
| + | Вместо системы принудительного контроля доступа [[SELinux]], в Astra Linux Special Edition используется запатентованная<ref>{{Cite web|accessdate = 2015-09-29|title = Патент на изобретение №2525481|url = http://www1.fips.ru/fips_servl/fips_servlet?DB=RUPAT&rn=528&DocNumber=2525481&TypeFile=html|publisher = www1.fips.ru}}</ref> мандатная сущностно-ролевая ДП-модель управления доступом и информационными потокам (МРОСЛ ДП-модель)<ref>{{Cite web|accessdate = 2015-09-29|title = П. Н. Девянин, “Условия безопасности информационных потоков по памяти в рамках МРОСЛ ДП-модели”, ПДМ. Приложение, 2014, № 7, 82–85|url = http://www.mathnet.ru/links/132a9aee98556b09f333b6bcb2da237d/pdma140.pdf|publisher = www.mathnet.ru}}</ref>, которая лишена недостатков [[Модель Белла — Лападулы|модели Белла — Лападулы]] (деклассификация, нарушение логики доступа к данным при обработке потока информации в распределенной среде ) и содержит дополнительные способы разграничения доступа, например, два уровня целостности системы<ref>[http://www.astra-linux.com/home/pressa-o-nas/236-khaker-russkij-bronirovannyj-debian-kak-ustroena-novaya-model-upravleniya-dostupom-v-astra-linux-se.html «Хакер» - Русский бронированный Debian. Как устроена новая модель управления доступом в Astra Linux SE<!-- Заголовок добавлен ботом -->]</ref>. | ||
| + | |||
| + | В отличие от классической модели [[Мандатное управление доступом|мандатного управления доступом]], в МРОСЛ ДП-модели дополнительно к мандатному управлению доступом реализован мандатный контроль целостности дистрибутива и файловой системы (препятствующий доступу к защищаемой информации скомпрометированными субъектами после перехвата управления и повышения привилегий (получения административных прав), предусмотрено [[ролевое управление доступом]], наличие иерархии сущностей и применено противодействие запрещённым потокам по памяти и по времени<ref>[http://cyberleninka.ru/article/n/obzornye-lektsii-po-modelyam-bezopasnosti-kompyuternyh-sistem ОБЗОРНЫЕ ЛЕКЦИИ ПО МОДЕЛЯМ БЕЗОПАСНОСТИ КОМПЬЮТЕРНЫХ СИСТЕМ - тема научной статьи по общим и комплексным проблемам технических и прикладных наук и отраслей народного хозяйства...<!-- Заголовок добавлен ботом -->]</ref>. | ||
| + | |||
| + | Указанная математическая модель реализована в программном коде специалистами ОАО «НПО „РусБИТех“» и [[Академия Федеральной службы безопасности России|Академии ФСБ Росиии]] и [[Верификация|верифицирована]] [[Институт системного программирования РАН|Институтом Системного программирования Российской Академии Наук]]. В результате дедуктивной верификации<ref>{{Cite web|url = http://linuxtesting.ru/astraver|title = Дедуктивная верификация модулей ядра|author = Центр верификации ОС Linux|work = Linux Deductive Verification}}</ref> модель была полностью формализована и верифицирована.<ref>{{Статья|автор = И. Щепетков|заглавие = Rodin — платформа для разработки и верификации моделей на Event-B|ссылка = http://www.ispras.ru/upload/iblock/5e5/5e5ac36633ead83d10476199d697be85.pdf|язык = русский|издание = |тип = |год = |месяц = |число = |том = |номер = |страницы = |issn = }}</ref> | ||
| + | |||
| + | В настоящее время используемая в Astra Linux Special Edition модель разграничения доступа является единственной практически реализованной моделью, не основанной на [[SELinux|SELinux,]] в российских реализациях операционных систем на базе [[Linux]]. | ||
| + | |||
| + | === Защита от эксплуатации уязвимостей === | ||
| + | |||
| + | В состав ядра операционной системы Astra Linux включен набор изменений [[PaX]], обеспечивающий работу программного обеспечения в режиме наименьших привилегий и защиту от эксплуатации различных уязвимостей в программном обеспечении: | ||
| + | |||
| + | * запрет записи в область памяти, помеченную как исполняемая; | ||
| + | * запрет создания исполняемых областей памяти; | ||
| + | * запрет перемещения сегмента кода; | ||
| + | * запрет создания исполняемого стека; | ||
| + | * случайное распределение [[Адрес (информатика)|адресного пространства процесса]]. | ||
| + | |||
| + | === Другие функции === | ||
| + | |||
| + | * Очистка оперативной и внешней памяти и гарантированное удаление файлов: операционная система выполняет очистку неиспользуемых блоков файловой системы непосредственно при их освобождении, используя маскирующие последовательности. | ||
| + | |||
| + | * Маркировка документов: разработанный механизм маркировки позволяет серверу печати ([[CUPS]]) проставлять необходимые учётные данные в выводимых на печать документах. Мандатные атрибуты автоматически связываются с заданием для печати на основе мандатного контекста получаемого сетевого соединения. Вывод на печать документов без маркировки субъектами доступа, работающими в мандатном контексте с грифом выше «несекретно», невозможен. | ||
| + | |||
| + | * Регистрация событий: расширенная подсистема протоколирования, интегрированная во все компоненты операционной системы и осуществляющая надёжную регистрацию событий с использованием специального сервиса parlogd. | ||
| + | |||
| + | * Механизмы защиты информации в графической подсистеме: графическая подсистема включает в себя [[X Window System|Х-сервер]] [[Xorg]], пользовательский рабочий стол Fly, а также ряд программных средств, предназначенных как для пользователей, так и для администраторов системы. Проведена работа по созданию и встраиванию в графическую подсистему необходимых механизмов защиты информации, обеспечивающих выполнение [[Мандатное управление доступом|мандатного разграничения доступа]] в графических приложениях, запущенных в собственном изолированном окружении. | ||
| + | |||
| + | * Механизм контроля замкнутости программной среды: реализован механизм, обеспечивающий проверку неизменности и подлинности загружаемых исполняемых файлов в формате [[ELF]]. Проверка производится на основе проверки векторов аутентичности, рассчитанных в соответствии с [[ГОСТ]] Р 34.10-2001 и внедряемых в исполняемые файлы в процессе сборки. | ||
| + | |||
| + | * Контроль целостности: для решения задач контроля целостности применяется функция [[хэширование|хэширования]] в соответствии с ГОСТ Р 34.11-94.1<ref>[http://astra-linux.com/klyuchevye-osobennosti.html Ключевые особенности]</ref> | ||
| + | |||
| + | |||
| + | |||
| + | == Примечания == | ||
| + | {{примечания|2}} | ||
| + | |||
| + | |||
| + | [[Категория:Astra Linux]] | ||
{{i}} | {{i}} | ||
Текущая версия на 21:01, 9 февраля 2016
Содержание
Идентификация и аутентификация
Функция идентификации и аутентификации пользователей в Astra Linux основывается на использовании механизма PAM. Кроме того, в состав операционной системы включены средства поддержки двухфакторной аутентификации.
Дискреционное разграничение доступа
В Astra Linux реализован механизм дискреционных правил разграничения доступа, который заключается в том, что на защищаемые именованные объекты устанавливаются (автоматически при их создании) базовые правила разграничения доступа в виде идентификаторов номинальных субъектов (UID и GID), которые вправе распоряжаться доступом к данному объекту и прав доступа к объекту. Определяются три вида доступа: чтение (read, r), запись (write, w) и исполнение (execution, x).
Кроме общей схемы разграничения доступа, Astra Linux поддерживает также список контроля доступа - ACL, с помощью которого можно для каждого объекта задавать права всех субъектов на доступ к нему.
Мандатное разграничение доступа
В операционной системе реализован механизм мандатного разграничения доступа. Принятие решения о запрете или разрешении доступа субъекта к объекту принимается на основе типа операции (чтение/запись/исполнение), мандатного контекста безопасности, связанного с каждым субъектом, и мандатной метки, связанной с объектом.
Механизм мандатного разграничения доступа затрагивает следующие подсистемы:
- механизмы IPC;
- стек TCP/IP (IPv4);
- файловые системы Ext2/Ext3/Ext4;
- сетевую файловую систему CIFS;
- файловые системы proc, tmpfs.
В Astra Linux Special Edition существует 256 мандатных уровней доступа (от 0 до 255) и 64 мандатных категории доступа
При работе на разных мандатных уровнях и категориях операционная система формально рассматривает одного и того же пользователя, но с различными мандатными уровнями, как разных пользователей и создает для них отдельные домашние каталоги, одновременный прямой доступ пользователя к которым не допускается.
Модель контроля и управления доступом
Вместо системы принудительного контроля доступа SELinux, в Astra Linux Special Edition используется запатентованная[1] мандатная сущностно-ролевая ДП-модель управления доступом и информационными потокам (МРОСЛ ДП-модель)[2], которая лишена недостатков модели Белла — Лападулы (деклассификация, нарушение логики доступа к данным при обработке потока информации в распределенной среде ) и содержит дополнительные способы разграничения доступа, например, два уровня целостности системы[3].
В отличие от классической модели мандатного управления доступом, в МРОСЛ ДП-модели дополнительно к мандатному управлению доступом реализован мандатный контроль целостности дистрибутива и файловой системы (препятствующий доступу к защищаемой информации скомпрометированными субъектами после перехвата управления и повышения привилегий (получения административных прав), предусмотрено ролевое управление доступом, наличие иерархии сущностей и применено противодействие запрещённым потокам по памяти и по времени[4].
Указанная математическая модель реализована в программном коде специалистами ОАО «НПО „РусБИТех“» и Академии ФСБ Росиии и верифицирована Институтом Системного программирования Российской Академии Наук. В результате дедуктивной верификации[5] модель была полностью формализована и верифицирована.[6]
В настоящее время используемая в Astra Linux Special Edition модель разграничения доступа является единственной практически реализованной моделью, не основанной на SELinux, в российских реализациях операционных систем на базе Linux.
Защита от эксплуатации уязвимостей
В состав ядра операционной системы Astra Linux включен набор изменений PaX, обеспечивающий работу программного обеспечения в режиме наименьших привилегий и защиту от эксплуатации различных уязвимостей в программном обеспечении:
- запрет записи в область памяти, помеченную как исполняемая;
- запрет создания исполняемых областей памяти;
- запрет перемещения сегмента кода;
- запрет создания исполняемого стека;
- случайное распределение адресного пространства процесса.
Другие функции
- Очистка оперативной и внешней памяти и гарантированное удаление файлов: операционная система выполняет очистку неиспользуемых блоков файловой системы непосредственно при их освобождении, используя маскирующие последовательности.
- Маркировка документов: разработанный механизм маркировки позволяет серверу печати (CUPS) проставлять необходимые учётные данные в выводимых на печать документах. Мандатные атрибуты автоматически связываются с заданием для печати на основе мандатного контекста получаемого сетевого соединения. Вывод на печать документов без маркировки субъектами доступа, работающими в мандатном контексте с грифом выше «несекретно», невозможен.
- Регистрация событий: расширенная подсистема протоколирования, интегрированная во все компоненты операционной системы и осуществляющая надёжную регистрацию событий с использованием специального сервиса parlogd.
- Механизмы защиты информации в графической подсистеме: графическая подсистема включает в себя Х-сервер Xorg, пользовательский рабочий стол Fly, а также ряд программных средств, предназначенных как для пользователей, так и для администраторов системы. Проведена работа по созданию и встраиванию в графическую подсистему необходимых механизмов защиты информации, обеспечивающих выполнение мандатного разграничения доступа в графических приложениях, запущенных в собственном изолированном окружении.
- Механизм контроля замкнутости программной среды: реализован механизм, обеспечивающий проверку неизменности и подлинности загружаемых исполняемых файлов в формате ELF. Проверка производится на основе проверки векторов аутентичности, рассчитанных в соответствии с ГОСТ Р 34.10-2001 и внедряемых в исполняемые файлы в процессе сборки.
- Контроль целостности: для решения задач контроля целостности применяется функция хэширования в соответствии с ГОСТ Р 34.11-94.1[7]
Примечания
Ошибка цитирования Ошибочный тег <references>;
можно использовать только параметр group.
<references /> или <references group="…" />| unknown = | preview = Страница использует Шаблон:Примечания с неизвестным параметром «_VALUE_» | ignoreblank = y | 1 | colwidth | group | liststyle | refs }}
- ↑ Патент на изобретение №2525481. www1.fips.ru. Дата обращения 29 сентября 2015.{{#invoke:check for unknown parameters|check |unknown= |preview=В шаблоне «cite web» обнаружен параметр «_VALUE_», пожалуйста, исправьте его или удалите. |showblankpositional=1 |url|title|author|first|last|authorlink|coauthors|editor|subtitle|quote|description|date|format|website|pages|location|publisher|lang|doi|deadlink|accessdate|archiveurl|archivedate|ref|work|language|datepublished}}
- ↑ П. Н. Девянин, “Условия безопасности информационных потоков по памяти в рамках МРОСЛ ДП-модели”, ПДМ. Приложение, 2014, № 7, 82–85. www.mathnet.ru. Дата обращения 29 сентября 2015.{{#invoke:check for unknown parameters|check |unknown= |preview=В шаблоне «cite web» обнаружен параметр «_VALUE_», пожалуйста, исправьте его или удалите. |showblankpositional=1 |url|title|author|first|last|authorlink|coauthors|editor|subtitle|quote|description|date|format|website|pages|location|publisher|lang|doi|deadlink|accessdate|archiveurl|archivedate|ref|work|language|datepublished}}
- ↑ «Хакер» - Русский бронированный Debian. Как устроена новая модель управления доступом в Astra Linux SE
- ↑ ОБЗОРНЫЕ ЛЕКЦИИ ПО МОДЕЛЯМ БЕЗОПАСНОСТИ КОМПЬЮТЕРНЫХ СИСТЕМ - тема научной статьи по общим и комплексным проблемам технических и прикладных наук и отраслей народного хозяйства...
- ↑ {{#invoke:String|replace|source=Центр верификации ОС Linux|pattern=^(%[*)(.-[^%.%]])(%]*)$|replace=%1%2%3.|plain=false}} Дедуктивная верификация модулей ядра. Linux Deductive Verification.{{#invoke:check for unknown parameters|check |unknown= |preview=В шаблоне «cite web» обнаружен параметр «_VALUE_», пожалуйста, исправьте его или удалите. |showblankpositional=1 |url|title|author|first|last|authorlink|coauthors|editor|subtitle|quote|description|date|format|website|pages|location|publisher|lang|doi|deadlink|accessdate|archiveurl|archivedate|ref|work|language|datepublished}}
- ↑ И. Щепетков Rodin — платформа для разработки и верификации моделей на Event-B (русский).
- ↑ Ключевые особенности