Безопасность операционной системы специального назначения Astra Linux Special Edition
Рассмотрены основные элементы архитектуры, приёмы пользовательской работы и администрирования отечественной сертифицированной защищённой операционной системы специального назначения (ОССН) Astra Linux Special Edition. Анализируются механизмы мандатного контроля целостности и мандатного управления доступом ОССН, управления доступом к объектам графической подсистемы, особенности аутентификации и аудита, реализации сетевого взаимодействия и доменной инфраструктуры. При этом в первую очередь акцентируется внимание на существенных изменениях в механизмах защиты ОССН версии 1.6. Приведены основные элементы иерархического представления мандатной сущностно-ролевой ДП-модели безопасности управления доступом и информационными потоками в операционных системах семейства Linux (МРОСЛ ДП-модели), на основе которой построены механизмы защиты ОССН. В её рамках сформулированы условия безопасности в смыслах мандатного контроля целостности, Белла–ЛаПадулы и контроля информационных потоков (скрытых каналов) по времени. Для практического закрепления знаний и навыков, полученных при изучении пособия, приведен лабораторный практикум из девяти лабораторных работ по настройке и администрированию механизмов защиты ОССН.
Для студентов, обучающихся по направлениям подготовки и специальностям УГНПС «Информационная безопасность», преподавателей, аспирантов и специалистов в области защиты информации.
1. Обеспечение безопасности операционных систем семейства Linux
1.1. Понятие защищённой (доверенной) операционной системы
1.2. Обзор защищённых операционных систем семейства Linux
1.3. Архитектура, назначение и области применения ОССН
1.3.1. Назначение ОССН
1.3.2. Архитектура ОССН
1.3.3. Области применения ОССН
1.4. Основы пользовательской работы и администрирования в ОССН
1.4.1. Варианты загрузки, экраны входа и выхода из ОССН
1.4.2. Основные приёмы работы с защищённой графической подсистемой Fly
1.4.3. Основные задачи администрирования ОССН
Контрольные вопросы
2. Мандатная сущностно-ролевая ДП-модель управления доступом и информационными потоками в операционных системах семейства Linux
2.1. Подход к формированию модели в её иерархическом представлении
2.2. Уровень ролевого управления доступом
2.2.1. Элементы состояния системы
2.2.2. Условия корректности состояний и переходов между ними
2.2.3. Де-юре правила преобразования состояний
2.2.4. Подходы к моделированию ролевого управления доступом в СУБД PostgreSQL
2.3. Уровень мандатного контроля целостности
2.3.1. Элементы состояния системы
2.3.2. Функционально или параметрически ассоциированные сущности
2.3.3. Условия корректности мандатного контроля целостности для состояний системы
2.3.4. Фактическое владение и де-факто правила преобразования состояний
2.3.5. Нарушение безопасности системы в смысле мандатного контроля целостности
2.4. Уровни мандатного управления доступом
2.4.1. Элементы состояния системы
2.4.2. Условия корректности мандатного управления доступом и правила преобразования состояний
2.4.3. Достаточные условия безопасности системы в смысле Белла-ЛаПадулы
2.4.4. Достаточные условия безопасности системы в смысле информационных потоков по времени
Контрольные вопросы
3. Управление безопасностью ОССН
3.1. Мандатное управление доступом
3.1.1. Проблемы реализации мандатного управления доступом в операционных системах
3.1.2. Реализация мандатного управления доступом в ОССН
3.1.3. Администрирование мандатного управления доступом в ОССН
3.2. Мандатный контроль целостности
3.3. Управление доступом к объектам графической подсистемы
3.4. Особенности аутентификации
3.5. Особенности аудита
3.6. Сетевое взаимодействие в ОССН. Организация доменной инфраструктуры
3.6.1. Логические уровни сетевой инфраструктуры
3.6.2. Формирование базового уровня сетевой инфраструктуры ОССН
3.6.3. Формирование корпоративного уровня сетевой инфраструктуры ОССН. Единое пространство пользователей
3.6.4. Служба ALD. Администрирование доменной сетевой инфраструктуры ОССН
3.6.5. Служба FreeIPA. Формирование гетерогенной доменной сетевой инфраструктуры
3.7. Дополнительные функции безопасности
Контрольные вопросы
4. Лабораторный практикум по администрированию ОССН
4.1. Лабораторная работа № 1. Работа с учётными записями пользователей и группами
Цель работы
Краткие теоретические сведения
Используемое методическое и лабораторное обеспечение
Порядок выполнения работы
Содержание отчёта о выполненной работе
Контрольные вопросы
4.2. Лабораторная работа № 2. Настройка параметров мандатного управления доступом и мандатного контроля целостности
Цель работы
Краткие теоретические сведения
Используемое методическое и лабораторное обеспечение
Порядок выполнения работы
Содержание отчёта о выполненной работе
Контрольные вопросы
4.3. Лабораторная работа № 3. Организация файловой системы ОССН для работы пользователей в рамках мандатного управления доступом и мандатного контроля целостности
Цель работы
Краткие теоретические сведения
Используемое методическое и лабораторное обеспечение
Порядок выполнения работы
Содержание отчёта о выполненной работе
Контрольные вопросы
4.4. Лабораторная работа № 4. Администрирование ОССН в рамках реализации мандатного контроля целостности
Цель работы
Краткие теоретические сведения
Используемое методическое и лабораторное обеспечение
Порядок выполнения работы
Содержание отчёта о выполненной работе
Контрольные вопросы
4.5. Лабораторная работа № 5. Настройка механизмов организации замкнутой программной среды. Контроль целостности КСЗ
Цель работы
Краткие теоретические сведения
Используемое методическое и лабораторное обеспечение
Порядок выполнения работы
Содержание отчёта о выполненной работе
Контрольные вопросы
4.6. Лабораторная работа № 6. Настройка сетевого взаимодействия
Цель работы
Краткие теоретические сведения
Используемое методическое и лабораторное обеспечение
Порядок выполнения работы
Содержание отчёта о выполненной работе
Контрольные вопросы
4.7. Лабораторная работа № 7. Конфигурирование службы Astra Linux Directory
Цель работы
Краткие теоретические сведения
Используемое методическое и лабораторное обеспечение
Порядок выполнения работы
Содержание отчёта о выполненной работе
Контрольные вопросы
4.8. Лабораторная работа № 8. Управление программными пакетами. Настройка системных служб
Цель работы
Краткие теоретические сведения
Используемое методическое и лабораторное обеспечение
Порядок выполнения работы
Содержание отчёта о выполненной работе
Контрольные вопросы
4.9. Лабораторная работа № 9. Настройка защищенного режима работы ОССН в соответствии с Astra Linux Red-Book
Цель работы
Краткие теоретические сведения
Используемое методическое и лабораторное обеспечение
Порядок выполнения работы
Содержание отчёта о выполненной работе
Контрольные вопросы
Список используемых сокращений
Литература
Безопасность операционной системы специального назначения Astra Linux Special Edition
Рассмотрены основные элементы архитектуры, приёмы пользовательской работы и администрирования отечественной защищённой операционной системы специального назначения (ОССН) Astra Linux Special Edition. Анализируются механизмы мандатных управления доступом и контроля целостности, управления доступом к объектам графической подсистемы ОССН, особенности аутентификации и аудита, реализации сетевого взаимодействия и доменной инфраструктуры. Приводятся основные элементы мандатной сущностно-ролевой ДП-модели безопасности управления доступом и информационными потоками в операционных системах семейства Linux (МРОСЛ ДП-модели), на основе которой построены механизмы защиты ОССН. В её рамках формулируются условия безопасности в смыслах мандатного контроля целостности, Белла-ЛаПадулы и контроля информационных потоков по времени. Для практического закрепления знаний и навыков, полученных при изучении пособия, приводится лабораторный практикум из восьми лабораторных работ по настройке и администрированию механизмов защиты ОССН.
Для студентов, обучающихся по направлениям подготовки и специальностям УГНПС «Информационная безопасность», преподавателей, аспирантов и специалистов в области защиты информации.
Basic elements of architecture, methods of user interaction and administration of secure operating system (OS) Astra Linux Special Edition are considered. Mandatory access control, mandatory integrity control, access control to objects of graphic subsystem, special features of authentication and audit, implementation of network interaction and domain infrastructure are analyzed. Basic elements of mandatory entity-role DP-model security of access control and information flows in OS of Linux set (MROSL DP-model) are given. On the basis of this model OS security features are constructed. Security conditions in the context of mandatory control of integrity, Bella-LaPadula and control of information flows on time are formulated within the model. For practical fixing of achieved knowledge and skills eight laboratory work scenarios on OS security features management are given.
Dedicated for students studying specialties related to information security, teachers, graduate students and experts in information security.
Глава 1. Обеспечение безопасности операционных систем семейства Linux
1.1. Понятие защищённой (доверенной) операционной системы
1.2. Обзор защищённых операционных систем семейства Linux
1.3. Архитектура, назначение и области применения ОССН
1.3.1. Назначение ОССН
1.3.2. Архитектура ОССН
1.3.3. Области применения ОССН
1.4. Основы пользовательской работы и администрирования в ОССН
1.4.1. Варианты загрузки и экран регистрации в ОССН
1.4.2. Администрирование параметров графического входа в систему
1.4.3. Основные приёмы работы с защищённой графической подсистемой Fly
1.4.4. Завершение пользовательского сеанса и завершение работы
1.4.5. Основные задачи администрирования ОССН
Контрольные вопросы
Глава 2. Мандатная сущностно-ролевая ДП-модель управления доступом и информационными потоками в операционных системах семейства Linux
2.1. Подход к формированию модели
2.2. Состояние системы. Функционально или параметрически ассоциированные сущности
2.2.1. Элементы состояния системы
2.2.2. Функционально или параметрически ассоциированные сущности
2.2.3. Фактическое владение. Корректность относительно информационных потоков по времени
2.3. Управление доступом.
2.3.1. Доступы и права доступа
2.3.2. Задание мандатного управления доступом для состояний системы
2.3.3. Задание мандатного контроля целостности для состояний системы
2.4. Правила преобразования состояний
2.4.1. Де-юре правила преобразования состояний
2.4.2. Де-факто правила преобразования состояний
2.5. Условия безопасности системы
2.6. Реализация модели
2.6.1. Анализ способов обоснования корректности реализации модели в программном коде
2.6.2. Адаптация и внедрение МРОСЛ ДП-модели в ОССН
Контрольные вопросы
Глава 3. Управление безопасностью ОССН
3.1. Мандатное управление доступом
3.1.1. Проблемы реализации мандатного управления доступом в операционных системах
3.1.2. Реализация мандатного управления доступом в ОССН
3.1.3. Администрирование мандатного управления доступом в ОССН
3.2. Мандатный контроль целостности
3.3. Управление доступом к объектам графической подсистемы
3.4. Особенности аутентификации
3.5. Особенности аудита
3.6. Сетевое взаимодействие в ОССН. Организация доменной инфраструктуры
3.6.1. Логические уровни сетевой инфраструктуры
3.6.2. Формирование базового уровня сетевой инфраструктуры ОССН
3.6.3. Формирование корпоративного уровня сетевой инфраструктуры ОССН
3.6.4. Служба ALD. Администрирование доменной сетевой инфраструктуры ОССН
Контрольные вопросы
Глава 4. Лабораторный практикум по администрированию ОССН
4.1. Лабораторная работа № 1. Работа с учётными записями пользователей и группами
4.2. Лабораторная работа № 2. Создание и настройка параметров мандатного управления доступом и мандатного контроля целостности
4.3. Лабораторная работа № 3. Мандатное управление доступом в файловой системе
4.4. Лабораторная работа № 4. Аутентификация пользователей в системе. Работа с модулями PAM
4.5. Лабораторная работа № 5. Настройка механизмов организации замкнутой программной среды. Контроль целостности КСЗ
4.6. Лабораторная работа № 6. Настройка сетевого взаимодействия
4.7. Лабораторная работа № 7. Конфигурирование службы Astra Linux Directory
4.8. Лабораторная работа № 8 Управление программными пакетами. Настройка системных служб