Разрешить запуск только подписанных файлов
Подскажите, какие есть инструменты для реализации следующей задачи.
Необходимо запретить запуск любых исполняемых файлов, которые не подписаны ЭЦП (x509 сертификат).
О системе: Linux Debian, под руктом не сидим, у пользователя права ограничены. Но в теории допускаем, что в систему может попасть вредоносный исполняемых файл. Поэтому хотим запретить все, разрешить только то, что подписано нашей ЭЦП. Тоесть будем подписывать все исполняемые системные файлы нашей ЭЦП.
Какие есть идеи?
Как быть со скриптами, которые как-бы напрямую не выполняются, но вредоносные действия выполнить могут ?
http://g.zeos.in/?q=linux run only signed executable files
Спасибо, нашел несколько решений, буду разбираться.
А со скриптами, наверное запретим выполнение bash скриптов из папки пользователя совсем. Тоесть только системные скрипты пусть выполняются, и по идеи пользователь их не может модифицировать.
Думаю почитать про selinux будет нелишним.
И придётся позапрещать питон,перл. Js вообще из браузера можно будет выполнить. Всякие проги имеют интерактивный режим и через них можно выполнять что хочешь.
Корень в ro и запрет на исполнение из всех мест кроме корня уже чем то не торт?
скрипты тоже подписать! дописать в конец текстом цифровую подпись в ascii-armored виде
Какие пакеты есть реализующие проверку этой подписи?
запрет на исполнение из всех мест кроме корня уже чем то не торт?
Как? Как? Наверное монтированием всех остальных мест с соответствующей опцией?
От ручного вызова интерпретатора с корня не поможет.
И да у этих ублюдков в GrSecurity в их заплатке ядра был флажок который запрещает исполнение любого кода не созданного в тулчейне с их же заплатками. И вот если включить эту паранойю то да perl, python, bash, sh… всё вообще шло лесом. И помоему эту фичу оттуда пока что так и не портировали.
От ручного вызова интерпретатора с корня не поможет.
Товарищь Сталин не может ошибатся — нет интерпретатора нет проблем.
ld-linux.so тоже интерпретатор.
Питон и перл и так запрещен, всмысле нечем их обрабатывать. Доустановить нельзя.
JS в браузере не считаем, там своя песочница у браузера.
Даже в пользовательский каталог?
Ну ты понил да? А то до тех пор пока он есть проблем не оберешься.
Из пользовательского каталога нужно вообще запретить выполнять файлы
Бегло ознакомился с вариантами, на сколько понял, это:
Буду еще глубже копать и сравнивать, но может быть есть люди которые успешно применяли эти системы и уже изучили их?
Можно через seccomp переопределить вызовы execv, execp, . На свой который читает значение extended атрибута security.myattribute и соответственно проверяет хэш, выполняет или нет.
DigSig давно заброшен. IMA/EVM включены в ядро и развиваются, очень функциональны, но пользоваться ими на обычном дистрибутиве ими будет, вероятно, довольно проблематично. Для оффлайн-дистрибутивов для встраиваемых систем подходят.
snort, selinux такое умеют?
По идее достаточно noexec в качестве опции монтирования для хомяка. Нечаянно запустить вредоносный исполняемый файл уже никак не получится. Специально, прописав нужные команды в командную строку — получится. Но не пофиг ли (как верно заметили выше, один фиг остаются интерпретаторы)? Если юзер осознанно хочет запустить что-то плохое, то он может вообще ручками выполнить то, что должен был выполнить скрипт (удалить какие-нибудь файлы, скопировать что-нибудь на флешку или отправить по сети с помощью браузера и т. д.). И от этого никак не уйти. Только доверять юзерам + ограничивать максимально их в правах (чтобы они не могли получить доступ к тому, к чему в принципе не должны).
Придумал, как обойдись селинухом
Достаточно объявить, что его метки есть кеш результата проверки подписей. Грубо говоря, наваять кастомный restorecon, который выставляет метки согласно 2х разных политик для проверенных и непроверенных файлов(очевидно, вторая — без исполнимых меток), отобрать права менять их всему, кроме него, у всего отобрать права писать в исполнимые типы, добавить принудительный relabel всего при перезагрузке и обновлениях.
Источник
Установка программы в Astra Linux в режиме закрытой программной среды
В этом разделе описаны действия, которые необходимо выполнить, чтобы запустить программу в операционной системе Astra Linux в режиме закрытой программной среды.
Для Astra Linux Special Edition версии 1.6
- Укажите следующие параметры в файле /etc/digsig/digsig_initramfs.conf:
Установите пакет совместимости:
apt install astra-digsig-oldkeys
Создайте директорию для ключа программы:
mkdir -p /etc/digsig/keys/legacy/kaspersky/
Разместите ключ программы (/opt/kaspersky/kesl/shared/kaspersky_astra_pub_key.gpg) в директории, созданной на предыдущем шаге:
cp kaspersky_astra_pub_key.gpg /etc/digsig/keys/legacy/kaspersky/
Обновите диски оперативной памяти:
update-initramfs -u -k all
Для Astra Linux Special Edition версии 1.5
- Укажите следующие параметры в файле /etc/digsig/digsig_initramfs.conf:
Создайте директорию для ключа программы:
mkdir -p /etc/digsig/keys/legacy/kaspersky/
Разместите ключ программы (/opt/kaspersky/kesl/shared/kaspersky_astra_pub_key.gpg) в директории, созданной на предыдущем шаге:
cp kaspersky_astra_pub_key.gpg /etc/digsig/keys/legacy/kaspersky/
Обновите диски оперативной памяти:
sudo update-initramfs -u -k all
Работа с графическим пользовательским интерфейсом программы поддерживается для сессий с мандатным разграничением доступа.
Источник
Операционные системы Astra Linux
Оперативные обновления и методические указания
Операционные системы Astra Linux предназначены для применения в составе информационных (автоматизированных) систем в целях обработки и защиты 1) информации любой категории доступа 2) : общедоступной информации, а также информации, доступ к которой ограничен федеральными законами (информации ограниченного доступа).
1) от несанкционированного доступа;
2) в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (статья 5, пункт 2).
Операционные системы Astra Linux Common Edition и Astra Linux Special Edition разработаны коллективом открытого акционерного общества «Научно-производственное объединение Русские базовые информационные технологии» и основаны на свободном программном обеспечении. С 17 декабря 2019 года правообладателем, разработчиком и производителем операционной системы специального назначения «Astra Linux Special Edition» является ООО «РусБИТех-Астра».
На web-сайтах https://astralinux.ru/ и https://wiki.astralinux.ru представлена подробная информация о разработанных операционных системах семейства Astra Linux, а также техническая документация для пользователей операционных систем и разработчиков программного обеспечения.
Мы будем признательны Вам за вопросы и предложения, которые позволят совершенствовать наши изделия в Ваших интересах и адаптировать их под решаемые Вами задачи!
Репозитория открытого доступа в сети Интернет для операционной системы Astra Linux Special Edition нет. Операционная система распространяется посредством DVD-дисков.
Информацию о сетевых репозиториях операционной системы Astra Linux Common Edition Вы можете получить в статье Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов.
В целях обеспечения соответствия сертифицированных операционных систем Astra Linux Special Edition требованиям, предъявляемым к безопасности информации, ООО «РусБИтех-Астра» осуществляет выпуск очередных и оперативных обновлений.
Очередные обновления (версии) предназначены для:
- реализации и совершенствования функциональных возможностей;
- поддержки современного оборудования;
- обеспечения соответствия актуальным требованиям безопасности информации;
- повышения удобства использования, управления компонентами и другие.
Оперативные обновления предназначены для оперативного устранения уязвимостей в экземплярах, находящихся в эксплуатации, и представляют собой бюллетень безопасности, который доступен в виде:
- инструкций и методических указаний по настройке и особенностям эксплуатации ОС, содержащих сведения о компенсирующих мерах или ограничениях по примене- нию ОС при эксплуатации;
- отдельных программных компонентов из состава ОС, в которые внесены изменения с целью устранения уязвимостей, инструкций по их установке и настройке, а также информации, содержащей сведения о контрольных суммах всех файлов оперативного обновления;
- обновлений безопасности, представляющих собой файл с совокупностью программных компонентов из состава ОС, в которые внесены изменения с целью устранения уязвимостей, а также информации, содержащей сведения о контрольных суммах всех файлов обновлений безопасности, указания по установке, настройке и особенностям эксплуатации ОС с установленными обновлениями безопасности.
Ввиду совершенствования нормативно-правовых документов в области защиты информации и в целях обеспечения соответствия информационных актуальным требованиям безопасности информации, а также обеспечения их долговременной эксплуатации, в том числе работоспособности на современных средствах вычислительной техники, рекомендуется на регулярной основе планировать проведение мероприятий по применению очередных и оперативных обновлений операционной системы.
Источник
Операционные системы Astra Linux
Оперативные обновления и методические указания
Операционные системы Astra Linux предназначены для применения в составе информационных (автоматизированных) систем в целях обработки и защиты 1) информации любой категории доступа 2) : общедоступной информации, а также информации, доступ к которой ограничен федеральными законами (информации ограниченного доступа).
1) от несанкционированного доступа;
2) в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (статья 5, пункт 2).
Операционные системы Astra Linux Common Edition и Astra Linux Special Edition разработаны коллективом открытого акционерного общества «Научно-производственное объединение Русские базовые информационные технологии» и основаны на свободном программном обеспечении. С 17 декабря 2019 года правообладателем, разработчиком и производителем операционной системы специального назначения «Astra Linux Special Edition» является ООО «РусБИТех-Астра».
На web-сайтах https://astralinux.ru/ и https://wiki.astralinux.ru представлена подробная информация о разработанных операционных системах семейства Astra Linux, а также техническая документация для пользователей операционных систем и разработчиков программного обеспечения.
Мы будем признательны Вам за вопросы и предложения, которые позволят совершенствовать наши изделия в Ваших интересах и адаптировать их под решаемые Вами задачи!
Репозитория открытого доступа в сети Интернет для операционной системы Astra Linux Special Edition нет. Операционная система распространяется посредством DVD-дисков.
Информацию о сетевых репозиториях операционной системы Astra Linux Common Edition Вы можете получить в статье Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов.
В целях обеспечения соответствия сертифицированных операционных систем Astra Linux Special Edition требованиям, предъявляемым к безопасности информации, ООО «РусБИтех-Астра» осуществляет выпуск очередных и оперативных обновлений.
Очередные обновления (версии) предназначены для:
- реализации и совершенствования функциональных возможностей;
- поддержки современного оборудования;
- обеспечения соответствия актуальным требованиям безопасности информации;
- повышения удобства использования, управления компонентами и другие.
Оперативные обновления предназначены для оперативного устранения уязвимостей в экземплярах, находящихся в эксплуатации, и представляют собой бюллетень безопасности, который доступен в виде:
- инструкций и методических указаний по настройке и особенностям эксплуатации ОС, содержащих сведения о компенсирующих мерах или ограничениях по примене- нию ОС при эксплуатации;
- отдельных программных компонентов из состава ОС, в которые внесены изменения с целью устранения уязвимостей, инструкций по их установке и настройке, а также информации, содержащей сведения о контрольных суммах всех файлов оперативного обновления;
- обновлений безопасности, представляющих собой файл с совокупностью программных компонентов из состава ОС, в которые внесены изменения с целью устранения уязвимостей, а также информации, содержащей сведения о контрольных суммах всех файлов обновлений безопасности, указания по установке, настройке и особенностям эксплуатации ОС с установленными обновлениями безопасности.
Ввиду совершенствования нормативно-правовых документов в области защиты информации и в целях обеспечения соответствия информационных актуальным требованиям безопасности информации, а также обеспечения их долговременной эксплуатации, в том числе работоспособности на современных средствах вычислительной техники, рекомендуется на регулярной основе планировать проведение мероприятий по применению очередных и оперативных обновлений операционной системы.
Источник
