Смоленск 1.4 Соответствие требованиям 1Б

kostia

New member
Сообщения
186
#21
Дополню. После проведения регламентного тестировани КСЗ
Не описано в документации, что после проведения тестов в корне ФС остается пайп testfifo (а может и еще где-то? где?).
еще в корне остается каталог parsec_testdir с правами
drwxrwxrwxm 2 777 777 255:Низкий:0xfffffffffffffffe:ccnr,ccnri,ehole parsec_testdir
Ребяты, ну так нельзя! В него же все кто угодно с любого уровня секретности с любой категорией писать могут.
Получается что проверка КСЗ сама же и нарушает комплекс средств защиты. По крайней мере документ с названием "Матрица доступа".
 

kostia

New member
Сообщения
186
#22
Так что делать то? Как правильно проводить регламентное тестирование КСЗ?
 

kostia

New member
Сообщения
186
#25
Продублирую сюда.

Добрый день!
ОС Astra-Linux SE 1.4. В соответствии с "Руководство по КСЗ. Часть 2" проводим тестирование КСЗ.
Тест не проходит. В лог файле:
mac set-get test: INFO: Начинаем тест: mac set-get test...
mac set-get test: INFO: Итерация 0.
PARSEC FMAC TEST: ERROR: test2: Отказано в доступе: ошибка вызова mac_set_file()
mac set-get test: INFO: mac set-get test провалился
mac access test: INFO: Начинаем тест: mac access test...
mac access test: INFO: Итерация 0.
mac access test: INFO: mac access test провалился
PARSEC FMAC TEST: INFO: ТЕСТ ПРОВАЛИЛСЯ!ОБЩИЙ СТАТУС = 2
[!] Test FAIL with code: 2

устанавливаем мандатную метку на корень ФС
pdp-flbl 255:0:-1:CCNRALL /
После этого тест заврешается успешно, но в корне файловой системы остается каталог parsec_testdir с правами
drwxrwxrwxm 2 777 777 255:Низкий:0xfffffffffffffffe:ccnr,ccnri,ehole parsec_testdir

Прошу официальный ответ, как правильно проводить регламентное тестирование КСЗ, для включения в документацию по разрабатываемой АС.
 

kostia

New member
Сообщения
186
#27
Проверям код возврата при выполнении афиска. Если не равен нулю то запускаем скриптик который останавливает сервисы nscd и nslcd, после чего на АРМ можно залогиниться только локальным пользователем (у нас кроме одного все пользователи доменные). Этим-же скриптом подменяем картинку бекграунда на картинку с надписью "Компьютер заблокирован" и рестартуем fly-dm.
 

kostia

New member
Сообщения
186
#28
Да собственно вот
Bash:
#!/bin/bash
## Скрипт блокировки и разблокировки компьютера.
case $1 in
    "-l" | "--lock" )
    sudo /usr/sbin/service nscd stop
    sudo /usr/sbin/service nslcd stop
    sudo cp -f /usr/share/fly-dm/themes/fly/background-lock.jpg /usr/share/fly-dm/themes/fly/background.jpg
    sudo /etc/init.d/samba stop
    logger -t OBIEVENT  -p local0.alert "Компьютер $HOSTNAME заблокирован пользователем $USER"
    nohup sudo /usr/sbin/service fly-dm restart > /dev/null &
    ;;
    "-u" | "--unlock" )
    sudo /usr/sbin/service nscd restart
    sudo /usr/sbin/service nslcd restart
    sudo cp -f /usr/share/fly-dm/themes/fly/background-ulock.jpg /usr/share/fly-dm/themes/fly/background.jpg
    sudo /etc/init.d/samba start
    logger -t OBIEVENT  -p local0.alert "Компьютер $HOSTNAME разблокирован пользователем $USER"
    nohup sudo /usr/sbin/service fly-dm restart > /dev/null &
    ;;
    * )
    echo "Утилита должна запускаться с указанием параметра:"
    echo "-l | --lock заблокировать компьютер"
    echo "-u | --unlock разблокировать компьютер"
    ;;
esac
 
Сообщения
4
#29
Да собственно вот
Bash:
#!/bin/bash
## Скрипт блокировки и разблокировки компьютера.
case $1 in
    "-l" | "--lock" )
    sudo /usr/sbin/service nscd stop
    sudo /usr/sbin/service nslcd stop
    sudo cp -f /usr/share/fly-dm/themes/fly/background-lock.jpg /usr/share/fly-dm/themes/fly/background.jpg
    sudo /etc/init.d/samba stop
    logger -t OBIEVENT  -p local0.alert "Компьютер $HOSTNAME заблокирован пользователем $USER"
    nohup sudo /usr/sbin/service fly-dm restart > /dev/null &
    ;;
    "-u" | "--unlock" )
    sudo /usr/sbin/service nscd restart
    sudo /usr/sbin/service nslcd restart
    sudo cp -f /usr/share/fly-dm/themes/fly/background-ulock.jpg /usr/share/fly-dm/themes/fly/background.jpg
    sudo /etc/init.d/samba start
    logger -t OBIEVENT  -p local0.alert "Компьютер $HOSTNAME разблокирован пользователем $USER"
    nohup sudo /usr/sbin/service fly-dm restart > /dev/null &
    ;;
    * )
    echo "Утилита должна запускаться с указанием параметра:"
    echo "-l | --lock заблокировать компьютер"
    echo "-u | --unlock разблокировать компьютер"
    ;;
esac
Спасибо!
А вариант блокировки с убиением всех процессов интерактивных пользователей не прорабатывали?
 

kostia

New member
Сообщения
186
#30
А вариант блокировки с убиением всех процессов интерактивных пользователей не прорабатывали?
Специально нет, но когда fly-dm рестартует сессия пользователя в иксах прерывается, соответственно процессы дохнут. Могу конечно остаться пользовательские процессы в фоне и в консольной сессии.
 

kronin

New member
Сообщения
6
#31
А вот меня интересует другое интересное требование на 1Б:
должна осуществляться сигнализация попыток нарушения защиты на терминал администратора и нарушителя.
Сразу поясню что мне предлагали использовать заббикс. только вот проблема если комп под ГТ и нету сети. Тем более имея опыт работы с заббиксом знаю что он может считывать параметры и оповещать по на эл. почту и я настраивал по СМС. на терминал это сделать не возможно.
Как его реализовать на астре 1.5?
 

oko

New member
Сообщения
182
#32
to kronin
РД АС писали в те времена, когда под АС (тем более 1 класса) понимали нечто сетевое с условно-терминальным режимом работы (мейнфрейм, все дела)...
Что до сигнализации, то идеалогия СЗИ в том, чтобы осуществлять блокировку рабочего процесса в момент обнаружения попыток локального НСД. Межсетевой НСД уходит в логи. Иные подозрительные события - аналогично...
Как это все реализовать наглядно? Никто никогда особо не заморачивался для АС = 1 автономное АРМ. В сетевом же случае разрабатываются целые комплексы быстрого информирования администратора безопасности. В особенности, по линии МО РФ. В особенности, под Astra Linux, ага...
 

kronin

New member
Сообщения
6
#33
to kronin
РД АС писали в те времена, когда под АС (тем более 1 класса) понимали нечто сетевое с условно-терминальным режимом работы (мейнфрейм, все дела)...
Что до сигнализации, то идеалогия СЗИ в том, чтобы осуществлять блокировку рабочего процесса в момент обнаружения попыток локального НСД. Межсетевой НСД уходит в логи. Иные подозрительные события - аналогично...
Как это все реализовать наглядно? Никто никогда особо не заморачивался для АС = 1 автономное АРМ. В сетевом же случае разрабатываются целые комплексы быстрого информирования администратора безопасности. В особенности, по линии МО РФ. В особенности, под Astra Linux, ага...
Собственно есть требования по РД АС. 1Б это ГТ. В большинстве своем это один автономный АРМ. Требования выполнять надо а как сделать на Астре непонятно.
 

oko

New member
Сообщения
182
#34
to kronin
Так и действуйте: "п. такой-то Подсистемы регистрации и учета не требуется к исполнению, поскольку АС развернута на базе 1 автономного АРМ и не содержит в своем составе выделенного терминала Администратора безопасности"...
Если понадобится-таки реализовать оповещение чисто технически, то набросайте скрипт, который периодически (через cron) парсит /var/log/syslog и прочие логи (те же afick.log, parsec.log) безопасности на предмет наличия явных нарушений + выдает уведомление в графике "Зафиксировано событие НСД: ....". Пример выдачи в графику через соответствующую утилиту тут на форуме уже обсуждался. Бессмысленный костыль, зато эксплуатантам с большими погонами точно понравится, ага...
 

oko

New member
Сообщения
182
#36
to kronin
В 1.4 точно нет, в 1.6 навскидку тоже...
Хотя именно для 1.4 коллеги из соседней конторы пилили АРМ АБИ. Но опять-таки для сетевых АС. И под МО РФ...