Astra Linux Special Edition - Форум по вопросам информационной безопасности

На объектах с КИ используем Сканер-ВС (считали контрольные суммы, проверку затирания, аудит паролей и сети), на объектах с ГТ ситуация более прозаичная...

Для Иван, ЗАО "Связь-Союз" | 69104
"Хотелось бы расспросить того кто аттестовал ОИ(АС) на базе ПЭВМ с ОС AstraLinux, есть такие?"
Как-то звучит двусмысленно....
Это же форум. Поэтому вы пишите свой вопрос. И если кому-то будет чем ответить, то это, скорее всего, произойдет.

to Иван
Ничем от АС, в которых Windows+СЗИ НСД, не отличается... Сложности, скорее, у эксплуатантов с непривычки...

1. Можно ли провести ЛСИ ПЭВМ с ОС Windows(запуск тестов, разрешение экрана и т.п.), затем переставить ОС Windows на ОС AstraLinux?
2. Либо использовать виртуальную машину Windows на ПЭВМ с ОС AstraLinux и запустить тесты под виртуальной машиной.
3. Для ПЭВМ с ОС Windows используем СЗИ SN7 c Соболем/SNTMC, а с AstraLinux (3/1В) - ни чего этого не надо? Соболь/SNTMC - обязательно только для 1А(из сообщений форума).
4. Аттестация: снятие КС(нюансы с: ~(тильда), .(точкой); ФИКС(ОС Windows)) - что использовать?
Пока все.

to Иван
1. Про СИ ПЭМИН лучше погуглите (пояндексите, ага) соответствующую ветку форума. Там вопросы разницы результатов СИ под Win и под Lin на одной и той же машине обсуждались. Мое мнение: если совпадает драйверная база (что, в части тестов, в принципе, возможно) - измеряйте под той ОС, для которой имеются тесты.
2. Аналогично 1. Только для накопителей будете некоторую задержку отклика получать, что не есть гуд... и с клавиатурами могут быть проблемы... и с периферийным оборудованием, ага :)
3. Де юре пока не надо. Новый СТР не читал, что там про доверенную загрузку для ГТ сказано - не знаю. Но сам уже давно придерживаюсь правила: для "публичных" АС (рассчитанных на несколько отделов) нужна СДЗ (тот же Соболь, если разъемы имеются и UEFI не шалит), а для АС в рсп, где, фактически, только "доверенные" сотрудники работают, хватит и "мобильного шасси" с доп. орг.мерами.
4. Fix-Unix. Но его придется собирать под конкретную версию Астры (сталкивался с проблемой запуска уже скомпилированного Fix из Астры 1.0 в Астре 1.4). Зато можно подготовить заранее, если на руках имеется установочный дистрибутив Астры. В ином случае... хмм... копайте в сторону Live-CD самоличной сборки на базе Linux. И драйверы почти под все оборудование "вшить" можно, и через Wine запустить ФИКС-Windows, Терьер (от него пользы мало), Агент инвентаризации (пользы никакой, ибо будет данные эмулятора-неэмулятора Wine списывать) + тесты ПЭМИН для *nix и набор скриптов сбора информации по установленному ПО и настройкам основных файлов конфигураций. Увы, такие скрипты придется под конкретную ОС писать (т.е. для Астры и, к примеру, Росы будут отличаться, пусть и не сильно).

ЗЫ Можно ФИКС-Windows и из-под Live-Windows запускать. Но тогда придется иметь хорошую поддержку ext3/ext4 файловых систем. Что, по-моему, еще нормально для Win не реализовано.
ЗЗЫ Проверено, из-под Wine все прекрасно запускается и работает. Главное для Live-CD Linux - точку монтирования корня установленной Астры (например, /mnt/Astra) потом в отчетах того же ФИКС заменить на "/" :)

Интересно, ФИКС-Unix 1.0 реализует алгоритм ГОСТ 34.11-2012 ? Начиная с Астры 1.5 контрольные суммы снимаются этим алгоритмом. К тому же стоит учесть, что если на объекте будет включен режим ЗПС, то неподписанные модули не запустятся.

to Мимо
Имея права root (а иначе как?), снять ЗПС не проблема.
Что касается ГОСТ 2012... если так хочется - снимайте aide.check из состава Астры...
И, кстати, вопрос: разве в формуляре Астры теперь приводятся КС на конкретные файлы, а не на полный дистрибутив (ядро, initrd, фс в squash)? Если нет, то какая вам разница с этим fix-unix? Используйте любое другое средство - благо, снятие КС с целью подтверждения верного дистрибутива можно проводить на любой другой машине.
*в сторону* только чек дистрибутива смысла не имеет особого... imho, снимать КС нужно для последующих проверок, что не менялась целостность критически важных файлов в процессе эксплуатации программной среды АС...

А даёт ли сейчас астра что-нибудь в плане централизированного контроля состояния среды Арм для сетей?

Например раскрутили astra linux directory (кстати большой вопрос можно ли использовать это для иод и гт) а что в плане центральной консоли непрерывного контроля защищенности?

На ПК пытаются подобрать пароль - админ получил алерт.
На ПК вырубили зпс - админ получил алерт.
На ПК завёлся неизвестный исполняемый файл, админ получил алерт.

to Dfg
В Астре (начиная с 1.4) имеется написанная на php графическая среда для мониторинга логов на базе ossec
http://astra-linux.com/wiki/index.php/Ossec
не все то, что Вы описали, работает из коробки - нужно мааалость поработать напильником, настраивая политики сбора событий

>> astra linux directory (кстати большой вопрос можно ли использовать это для иод и гт)
нигде (пока что!) прямого запрета нет, выбирайте исходя из начальных условий. Военные, например, питают страсть к ALD

Тут дело не в запрете, а в том какие компоненты они сертифицировали в составе своей ОС.
Ald и Ossec у них как сертифицирован?
Oseec это например вполне самостоятельный продукт, который должен сертифицирован осы как система обнаружения вторжений.
А Ald это тоже считай внешняя система аутентификации и разграничения доступа, это немножно не то что и встроенный login.

Что касается напильника и написания скриптов, это уже по идее разработка, и те "велосипеды" которые будут ваять на каждом объекте линуксоиды, должны сами по себе проходить оценку соответствия заявленным функциям. Кто знает качество кода написанных на коленке скриптов костыльной обвязки.