Разграничение доступа пользователей в ОС Linux. ПАК СЗИ НСД «Аккорд-X» (2/3)

Обзор и настройка комплекса

Здравствуйте!

В данной лекции мы поговорим об администрировании программно-аппаратного комплекса защиты информации от НСД «Аккорд-X» производства компании ОКБ САПР, предназначенного для разграничения доступа пользователей в ОС Linux. Рассмотрим перечень пакетов комплекса, а также минимальный набор пакетов, необходимых для функционирования комплекса; просмотрим состав установленного комплекса, файл конфигурации и файл БД пользователей. Поговорим о точке встраивания комплекса в ядро ОС, настройке загрузчика GRUB и настройке PAM модулей идентификации и аутентификации.

При этом хотелось бы обратить внимание, что мы опустим вопрос установки и настройки комплекса, они подробно описаны в методических материалах к лекции – «Руководстве администратора» на комплекс. При необходимости можно ознакомиться с этим документом.

 Итак, в состав комплекса входят следующие пакеты (частично мы касались этого вопроса на прошлой лекции, сейчас рассмотрим подробнее):

  • acx-admin - консольные утилиты администрирования
  • acx-amdz - драйверы и библиотеки для поддержки «Аккорд-АМДЗ»
  • acx-core/acx-core-remote - монитор разграничения доступа (МРД) + PAM-модули идентификации и аутентификации в локальном или варианте с возможным удаленным подключением (ssh/telnet)
  • acx-gui/acx-wui – бета-версии GUI и webUI приложений для администрирования комплекса
  • acx-print - подсистема контроля печати
  • acx-remote - клиентская часть для удаленного подключения к ПК с «Аккорд-X» и удаленного проброса идентификатора (ssh/telnet)
  • acx-tmid-amdz - библиотеки и драйверы TM-идентификаторов для Аккорд-5.5, имеющих внутренний интерфейс Аккорд, не USB
  • acx-tmid-cards - библиотеки по поддержке карт в качестве идентификаторов (acos, mifare)
  • acx-tmid-shipka - библиотеки и драйверы для поддержки USB-устройств ШИПКА в качестве идентификаторов
  • acx-tmid-tokens - библиотеки по поддержке токенов в качестве идентификаторов (etoken)
  • acx-tmid-usb - библиотеки и драйверы TM-USB идентификаторов

Минимальный набор пакетов, необходимый для работы «Аккорд-X»:

  • acx-admin
  • acx-amdz
  • acx-core или acx-core-remote
  • один из пакетов по поддержке идентификаторов, например, acx-tmid-usb, если в качестве идентификатора используются TM-идентификаторы, подключаемые через USB-считыватель TM-идентификаторов.

Для начала работы с комплексом необходимо войти пользователем root. Нужно предъявить назначенный ему идентификатор и ввести его пароль.

Затем необходимо открыть приложение Terminal.

Для того, чтобы просмотреть состав СПО «Аккорд-X», нужно выполнить следующую команду:

ls -la ~/accordx-centos7.2-x86_64

Можно набрать первые символы каталога и двойным нажатием Tab дозавершать ввод существующего каталога.

Введем следующую команду:

rpm -qa | grep acx.

Видим, что у нас установлены следующие пакеты: acx-core, acx-gui, acx-tmid-usb, acx-admin.

Так как первоначальная настройка «Аккорд-X» уже выполнена, то у нас уже создан файл конфигурации и БД пользователей.    

Для просмотра возможных консольных команд по администрированию комплекса можно выполнить "acx-admin".

Просмотрим сначала файл конфигурации, набрав следующую команду:

acx-admin config show

В файле конфигурации обратим внимание на следующие поля:

# данные сверху – служебные поля (какой хэш используется в ОС и т.п.)

Далее идут acx-core flags - флаги acx-core (МРД):

permissive-acl - использовать или нет разрешительные правила разграничения доступа (ПРД) вместо запретительных (когда то, что не указано в ПРД «Аккорд-X», разрешено)

discr-acl - включать или нет дискреционную политику управления доступом

mand-acl - включать или нет мандатную политику безопасности

star-property - включить или нет *-свойство в мандатной политике (невозможность писать "вниз")

soft-mode - включить или выключить мягкий режим (обычно включен при создании нового файла конфигурации)

mpl - использовать или нет списки контроля монтирования

icl - включить или нет динамический контроль целостности

print-control - включить или нет контроль печати

memory-cleaning - включить или нет очистку оперативной памяти

default-log-level - уровень детальности журнала (по умолчанию err - регистрация login/logout, setuid и всех попыток НСД)

clearance-transcipt - расшифровка уровней доступа в штампах при контроле печати

authentication settings:

authentication-type – тип аутентификации (локально, удаленно и т.п.)

pam-retries - максимальное количество неверных попыток сделать логин в ОС

block-multilogin - блокировка множества сессий одного и того же пользователя (несовместимо с блокировкой СВТ при "заставке")

password-length - минимальная длина пароля пользователей.

Далее просмотрим файл БД пользователей, для этого используем следующую команду:

acx-admin db show -vv

По умолчанию при создании БД создается 1 пользователь типа shadow (с именем root, псевдо-пользователь от имени которого функционируют все системные сущности, кроме сервисов ОС) и 1 пользователь типа user (с именем root - реальный администратор ОС). У нас еще создан пользователь toor (непривилегированный пользователь).

Далее давайте посмотрим, как осуществляется встраивание комплекса в ядро ОС (продемонстрируем точку встраивания).

МРД «Аккорд-X» встраивается в образ начальной загрузки ОС Linux -- initrd (initramfs), то есть осуществляется в момент ранней загрузки ОС. Откроем раздел boot, на котором располагается ядро и initrd, выполнив следующую команду:

ls –la /boot

Если контролировать целостность initrd (например, с помощью аппаратного модуля доверенной загрузки), то комплекс будет нельзя отключить несанкционированным образом (само собой для этого требуются организационно-технические мероприятия по физической охране СВТ и помещения, а также настройка загрузчика ОС Linux).

Важно, что комплекс встраивается в ОС до монтирования корневой файловой системы (и всех других файловых систем) на запись - перед, так называемой, операцией switchroot! Конкретную точку встраивания в нашей ОС можно посмотреть в распакованном образе начальной загрузки. Для этого введем команды:

/boot/initrd_unpack.sh

cat /boot/.initrd-tmp/fs/usr/lib/systemd/system/initrd-switch-root.service

Видим, что здесь просто осуществляется вызов на выполнения скрипта /bin/startacx перед монтированием файловых систем на запись. Откроем скрипт bin/startacx при помощи следующей команды:

cat /boot/.initrd-tmp/fs/bin/startacx

В самом скрипте bin/startacx происходит загрузка МРД в ядро ОС, проверка лицензии, загрузка файла конфигурации и БД пользователей в пространство ядра.

Теперь давайте посмотрим настройки загрузчика GRUB. Для этого введем следующую команду:

cat /boot/grub2/grub.cfg

В первом сценарии загрузки (с дописанными символами "accordx") прописывается initrd, который рассмотрен на предыдущем шаге.

Дополнительно для доверенной загрузки ОС (кроме использования аппаратных модулей доверенной загрузки) необходимо ограничивать сценарии загрузки и удалять лишние модули загрузчика GRUB (для поддержки неиспользуемых файловых систем и т.п.), а также задавать grub-password, чтобы сценарии нельзя было изменить в динамике при загрузке GRUB (в загрузчиках Windows это невозможно принципиально). Только при выполнении этих условий можно обеспечить доверенную загрузку ОС Linux.

Далее рассмотрим настройку PAM модулей идентификации и аутентификации. Для этого введем следующие команды:

cat /etc/pam.d/system-auth

cat /etc/pam.d/password-auth

Модуль идентификации и аутентификации «Аккорд-X» pam_acx_local.so встраивается перед штатным модулем pam_unix.so (который запрашивает пароль Linux).

 В дальнейшем при демонстрации входа мы увидим, что кроме запроса пароля pam_acx_local.so может запрашивать аппаратные идентификаторы и, если аутентификация пройдена, передает необходимые данные в стандартный модуль pam_unix.so.

Важно, чтобы пароли в ОС и в БД у пользователей «Аккорд-X» были одинаковыми! UID у пользователей в /etc/passwd и в БД у пользователей «Аккорд-X» также должны быть одинаковыми! Этого можно достичь с использованием соответствующих опций утилит командной строки acx-admin.

Итак, в данной лекции мы рассмотрели полный и минимальный перечень пакетов комплекса «Аккорд-Х», просмотрели состав установленного комплекса, файл конфигурации и файл БД пользователей. Поговорили о точке встраивания комплекса в ядро ОС, настройке загрузчика GRUB и настройке PAM модулей идентификации и аутентификации. На следующей лекции мы рассмотрим, как происходит регистрация аппаратных идентификаторов для пользователей, включение дискреционной политики управления доступом и динамического контроля целостности, а также научимся просматривать события в журнале работы комплекса и выполнять настройку разграничения доступа сервисов ОС.

Спасибо за внимание, до встречи на следующей лекции!

Кнопка связи