NGINX

ingener

New member
Сообщения
166
#1
Имеется задача запустить систему документооборота. Решение может быть найдено с использованием сервера NGINX, Однако его в репозитории нет. поставить из исходников тоже нельзя. развитием задачи может стать развертывание NGINX на другой ОС (что и сделано).
аутентификацию доменных пользователей на NGINX в нулевом уровне настроил, в нулевом уровне настроил А как быть в ненулевых уровнях? ведь для них все и делается. можно ли настроить сетевое взаимодействие Astra Linux SE в ненулевом уровне с другой ОС не поддерживающей мандатное разграничение доступа?
начнутся вопросы про безопасность, но, думаю, в данном случае угрозы на другой ОС можно нейтрализовать стандартными средствами
 

Fd1501h

Moderator
Сообщения
666
#2
Имеется задача запустить систему документооборота. Решение может быть найдено с использованием сервера NGINX, Однако его в репозитории нет. поставить из исходников тоже нельзя. развитием задачи может стать развертывание NGINX на другой ОС (что и сделано).
аутентификацию доменных пользователей на NGINX в нулевом уровне настроил, в нулевом уровне настроил А как быть в ненулевых уровнях? ведь для них все и делается. можно ли настроить сетевое взаимодействие Astra Linux SE в ненулевом уровне с другой ОС не поддерживающей мандатное разграничение доступа?
начнутся вопросы про безопасность, но, думаю, в данном случае угрозы на другой ОС можно нейтрализовать стандартными средствами
Вы не в той ветки тему создали.
NGINX вы можете взять из репозитория debian или с оф.репозитория разработчика.
По NGINX вроде как РБТ будет его "допиливать" для мандатного разграничения доступа.
 

ingener

New member
Сообщения
166
#3
возможно не в той ветке. и хорошо что
РБТ будет его "допиливать" для мандатного разграничения доступа.
поставить NGINX на Astra Linux не проблема. проблема в том, что NGINX устанавливается без модуля аутентификации kerberos. чтобы модуль установить NGINX необходимо пересобрать из исходников. в Astra Linux компилятора в принципе нет.
можно NGINX установить на другой ОС, но эта ОС не поддерживает мандатное разграничение. а даже если бы была, то проксируемые приложения мандатное разграничение не поддерживает. в общем, целая цепочка проблем....
вижу решение пока в том, что необходимый сервер запустить отдельно с одним уровнем конфиденциальности, создать замкнутый контур этого сервера.
а дальше настроить компьютер пользователя, чтобы он мог из ненулевого уровня устанавливать связь с этим сервером. вот как это сделать?
 

arttemk

New member
Сообщения
9
#4
Используйте apache входящий в ALSE.

nginx использовать под разными мандатами нельзя, так как по идеологии вы должны авторизовать пользователя по kerberous
взять его мандатный уровень и считывать файлы в соответствии с мандатом пользователя.
в nginx даже если вы и запустите авторизацию по kerberous, так не получится сделать.

Если вы планируете хранить на сервере файлы с разным мандатным уровнем, то использовать другую OS без мандатов, никак не получится.
 

ingener

New member
Сообщения
166
#5
сервер NGINX работает на одном уровне и разворачивать его на платформе с мандатным разграничением доступа не имеет смысла, тем более что на Astra Linux он пока не работает. и выстроить систему защиты информации для одноуровневой системы задача тривиальная.
но у меня рабочая станция с мандатным уровнем. и работая на 1-ом уровне она должна установить соединение с системой, которая о метках безопасности даже не подозревает.
есть механизм privsock, но как его настроить?
 

arttemk

New member
Сообщения
9
#6
privsock вам тут не поможет, он используется для сервисов, которые умеют работать в мультимандате.

если вы хотите обойти защиту мандата, вам тогда нужно ставить какой нибудь firewall который будет перекрашивать траффик

firefox- >firewall(или еще какой нибудь прокси с функцией подкраски мандата) ( (перекрашивает трафик в мандат запроса туда и обратно по разрешенному IP) -> nginx

по другому никак, только это на самом деле приводит к нарушению мандатного доступа.
не уверен, что такая схема может быть одобрена, так как если firefox сможет отправлять туда файлы, то мы получим возможность передавать файлы с мандатом >0 на мандат 0.
 

ingener

New member
Сообщения
166
#7
по другому никак, только это на самом деле приводит к нарушению мандатного доступа.
не уверен, что такая схема может быть одобрена, так как если firefox сможет отправлять туда файлы, то мы получим возможность передавать файлы с мандатом >0 на мандат 0.
отдаю себе отчет в этом. но ведь предусмотрен же механизм обхода меток.
даже если NGINX заработает на Astra Linux Смоленск, то приложения, которые NGINX будет проксировать МРД не разумеют. из-за чего и возникла проблема.
например пакет Only-Office
 

cogniter

Moderator
Team Astra Linux
Сообщения
538
#8
возможно не в той ветке. и хорошо что
поставить NGINX на Astra Linux не проблема. проблема в том, что NGINX устанавливается без модуля аутентификации kerberos. чтобы модуль установить NGINX необходимо пересобрать из исходников. в Astra Linux компилятора в принципе нет.
можно NGINX установить на другой ОС, но эта ОС не поддерживает мандатное разграничение. а даже если бы была, то проксируемые приложения мандатное разграничение не поддерживает. в общем, целая цепочка проблем....
вижу решение пока в том, что необходимый сервер запустить отдельно с одним уровнем конфиденциальности, создать замкнутый контур этого сервера.
а дальше настроить компьютер пользователя, чтобы он мог из ненулевого уровня устанавливать связь с этим сервером. вот как это сделать?
Что значит в Астре нет компилятора в принципе? а куда он делся то?
 

ingener

New member
Сообщения
166
#9
команда ./configure завершается ошибкой на отсутствие компилятора. может я его не установил?