Если у вас возникли вопросы, или появилось предложение, напишите нам
Разграничение доступа пользователей в ОС Linux. ПАК СЗИ НСД «Аккорд-X» (2/3)
Обзор и настройка комплекса
Здравствуйте!
В данной лекции мы поговорим об администрировании программно-аппаратного комплекса защиты информации от НСД «Аккорд-X» производства компании ОКБ САПР, предназначенного для разграничения доступа пользователей в ОС Linux. Рассмотрим перечень пакетов комплекса, а также минимальный набор пакетов, необходимых для функционирования комплекса; просмотрим состав установленного комплекса, файл конфигурации и файл БД пользователей. Поговорим о точке встраивания комплекса в ядро ОС, настройке загрузчика GRUB и настройке PAM модулей идентификации и аутентификации.
При этом хотелось бы обратить внимание, что мы опустим вопрос установки и настройки комплекса, они подробно описаны в методических материалах к лекции – «Руководстве администратора» на комплекс. При необходимости можно ознакомиться с этим документом.
Итак, в состав комплекса входят следующие пакеты (частично мы касались этого вопроса на прошлой лекции, сейчас рассмотрим подробнее):
- acx-admin - консольные утилиты администрирования
- acx-amdz - драйверы и библиотеки для поддержки «Аккорд-АМДЗ»
- acx-core/acx-core-remote - монитор разграничения доступа (МРД) + PAM-модули идентификации и аутентификации в локальном или варианте с возможным удаленным подключением (ssh/telnet)
- acx-gui/acx-wui – бета-версии GUI и webUI приложений для администрирования комплекса
- acx-print - подсистема контроля печати
- acx-remote - клиентская часть для удаленного подключения к ПК с «Аккорд-X» и удаленного проброса идентификатора (ssh/telnet)
- acx-tmid-amdz - библиотеки и драйверы TM-идентификаторов для Аккорд-5.5, имеющих внутренний интерфейс Аккорд, не USB
- acx-tmid-cards - библиотеки по поддержке карт в качестве идентификаторов (acos, mifare)
- acx-tmid-shipka - библиотеки и драйверы для поддержки USB-устройств ШИПКА в качестве идентификаторов
- acx-tmid-tokens - библиотеки по поддержке токенов в качестве идентификаторов (etoken)
- acx-tmid-usb - библиотеки и драйверы TM-USB идентификаторов
Минимальный набор пакетов, необходимый для работы «Аккорд-X»:
- acx-admin
- acx-amdz
- acx-core или acx-core-remote
- один из пакетов по поддержке идентификаторов, например, acx-tmid-usb, если в качестве идентификатора используются TM-идентификаторы, подключаемые через USB-считыватель TM-идентификаторов.
Для начала работы с комплексом необходимо войти пользователем root. Нужно предъявить назначенный ему идентификатор и ввести его пароль.
Затем необходимо открыть приложение Terminal.
Для того, чтобы просмотреть состав СПО «Аккорд-X», нужно выполнить следующую команду:
ls -la ~/accordx-centos7.2-x86_64
Можно набрать первые символы каталога и двойным нажатием Tab дозавершать ввод существующего каталога.
Введем следующую команду:
rpm -qa | grep acx.
Видим, что у нас установлены следующие пакеты: acx-core, acx-gui, acx-tmid-usb, acx-admin.
Так как первоначальная настройка «Аккорд-X» уже выполнена, то у нас уже создан файл конфигурации и БД пользователей.
Для просмотра возможных консольных команд по администрированию комплекса можно выполнить "acx-admin".
Просмотрим сначала файл конфигурации, набрав следующую команду:
acx-admin config show
В файле конфигурации обратим внимание на следующие поля:
# данные сверху – служебные поля (какой хэш используется в ОС и т.п.)
Далее идут acx-core flags - флаги acx-core (МРД):
permissive-acl - использовать или нет разрешительные правила разграничения доступа (ПРД) вместо запретительных (когда то, что не указано в ПРД «Аккорд-X», разрешено)
discr-acl - включать или нет дискреционную политику управления доступом
mand-acl - включать или нет мандатную политику безопасности
star-property - включить или нет *-свойство в мандатной политике (невозможность писать "вниз")
soft-mode - включить или выключить мягкий режим (обычно включен при создании нового файла конфигурации)
mpl - использовать или нет списки контроля монтирования
icl - включить или нет динамический контроль целостности
print-control - включить или нет контроль печати
memory-cleaning - включить или нет очистку оперативной памяти
default-log-level - уровень детальности журнала (по умолчанию err - регистрация login/logout, setuid и всех попыток НСД)
clearance-transcipt - расшифровка уровней доступа в штампах при контроле печати
authentication settings:
authentication-type – тип аутентификации (локально, удаленно и т.п.)
pam-retries - максимальное количество неверных попыток сделать логин в ОС
block-multilogin - блокировка множества сессий одного и того же пользователя (несовместимо с блокировкой СВТ при "заставке")
password-length - минимальная длина пароля пользователей.
Далее просмотрим файл БД пользователей, для этого используем следующую команду:
acx-admin db show -vv
По умолчанию при создании БД создается 1 пользователь типа shadow (с именем root, псевдо-пользователь от имени которого функционируют все системные сущности, кроме сервисов ОС) и 1 пользователь типа user (с именем root - реальный администратор ОС). У нас еще создан пользователь toor (непривилегированный пользователь).
Далее давайте посмотрим, как осуществляется встраивание комплекса в ядро ОС (продемонстрируем точку встраивания).
МРД «Аккорд-X» встраивается в образ начальной загрузки ОС Linux -- initrd (initramfs), то есть осуществляется в момент ранней загрузки ОС. Откроем раздел boot, на котором располагается ядро и initrd, выполнив следующую команду:
ls –la /boot
Если контролировать целостность initrd (например, с помощью аппаратного модуля доверенной загрузки), то комплекс будет нельзя отключить несанкционированным образом (само собой для этого требуются организационно-технические мероприятия по физической охране СВТ и помещения, а также настройка загрузчика ОС Linux).
Важно, что комплекс встраивается в ОС до монтирования корневой файловой системы (и всех других файловых систем) на запись - перед, так называемой, операцией switchroot! Конкретную точку встраивания в нашей ОС можно посмотреть в распакованном образе начальной загрузки. Для этого введем команды:
/boot/initrd_unpack.sh
cat /boot/.initrd-tmp/fs/usr/lib/systemd/system/initrd-switch-root.service
Видим, что здесь просто осуществляется вызов на выполнения скрипта /bin/startacx перед монтированием файловых систем на запись. Откроем скрипт bin/startacx при помощи следующей команды:
cat /boot/.initrd-tmp/fs/bin/startacx
В самом скрипте bin/startacx происходит загрузка МРД в ядро ОС, проверка лицензии, загрузка файла конфигурации и БД пользователей в пространство ядра.
Теперь давайте посмотрим настройки загрузчика GRUB. Для этого введем следующую команду:
cat /boot/grub2/grub.cfg
В первом сценарии загрузки (с дописанными символами "accordx") прописывается initrd, который рассмотрен на предыдущем шаге.
Дополнительно для доверенной загрузки ОС (кроме использования аппаратных модулей доверенной загрузки) необходимо ограничивать сценарии загрузки и удалять лишние модули загрузчика GRUB (для поддержки неиспользуемых файловых систем и т.п.), а также задавать grub-password, чтобы сценарии нельзя было изменить в динамике при загрузке GRUB (в загрузчиках Windows это невозможно принципиально). Только при выполнении этих условий можно обеспечить доверенную загрузку ОС Linux.
Далее рассмотрим настройку PAM модулей идентификации и аутентификации. Для этого введем следующие команды:
cat /etc/pam.d/system-auth
cat /etc/pam.d/password-auth
Модуль идентификации и аутентификации «Аккорд-X» pam_acx_local.so встраивается перед штатным модулем pam_unix.so (который запрашивает пароль Linux).
В дальнейшем при демонстрации входа мы увидим, что кроме запроса пароля pam_acx_local.so может запрашивать аппаратные идентификаторы и, если аутентификация пройдена, передает необходимые данные в стандартный модуль pam_unix.so.
Важно, чтобы пароли в ОС и в БД у пользователей «Аккорд-X» были одинаковыми! UID у пользователей в /etc/passwd и в БД у пользователей «Аккорд-X» также должны быть одинаковыми! Этого можно достичь с использованием соответствующих опций утилит командной строки acx-admin.
Итак, в данной лекции мы рассмотрели полный и минимальный перечень пакетов комплекса «Аккорд-Х», просмотрели состав установленного комплекса, файл конфигурации и файл БД пользователей. Поговорили о точке встраивания комплекса в ядро ОС, настройке загрузчика GRUB и настройке PAM модулей идентификации и аутентификации. На следующей лекции мы рассмотрим, как происходит регистрация аппаратных идентификаторов для пользователей, включение дискреционной политики управления доступом и динамического контроля целостности, а также научимся просматривать события в журнале работы комплекса и выполнять настройку разграничения доступа сервисов ОС.
Спасибо за внимание, до встречи на следующей лекции!