Astra Linux.Справка.CSE mode
Режим замкнутой программной среды
Средства создания замкнутой программной среды предоставляют возможность внедрения цифровой подписи в исполняемые файлы формата ELF, входящие в состав устанавливаемого СПО.
Механизм контроля целостности исполняемых файлов и разделяемых библиотек формата ELF при запуске программы на выполнение реализован в модуле ядра ОС digsig_verif, который является не выгружаемым модулем ядра Linux, и может функционировать в одном из следующих режимов:
1) исполняемым файлам и разделяемым библиотекам с неверной ЭЦП, а также без ЭЦП загрузка на исполнение запрещается (штатный режим функционирования);
2) исполняемым файлам и разделяемым библиотекам с неверной ЭЦП, а также без ЭЦП загрузка на исполнение разрешается, при этом выдается сообщение об ошибке проверки ЭЦП (режим для проверки ЭЦП в СПО);
3) ЭЦП при загрузке исполняемых файлов и разделяемых библиотек не проверя ется (отладочный режим для тестирования СПО).
Пример активизации режима замкнутой программной среды
Для запуска замкнутой программной среды выполните:
1) необходимо отредактировать файл /etc/digsig/digsig_initramfs.conf, для проверки режима выставите в нем DIGSIG_LOAD_KEYS=1 и DIGSIG_ENFORCE=0, в дальнейшем можно поменять на 1 1 (потребуется повторное выполнение пунктов 3-5);
2) скопируйте ключи primary_key.gpg и key_for_signing.gpg из /etc/digsig в /etc/digsig/keys/. Скопируйте ключ переданный_Вам_ключ.gpg в /etc/digsig/keys/, если такой имеется;
3) выпоните скрипт /etc/digsig/digsig_initramfs;
4) выпоните команду update-initramfs -u -k all;
5) перезагрузите компьютер.
Этого достаточно для включения режима замкнутой программной среды.
Для подписи Ваших пакетов воспользуйтесь этим скриптом, только замените в нем идентификатор ключа. Перед подписыванием пакетов необходимо импортировать секретный и публичный ключи переданные Вашей организации (gpg --import ***.gpg, gpg --import ***.key). Посмотреть идентификатор импортированного ключа можно командой gpg --list-keys.
Отдельные файлы ELF можно подписать командой bsign -s, секретный и публичный ключи переданные Вашей организации должны быть импортированы.