Описание
На курсе рассматриваются отличия от стандартных для ОС Astra Linux систем мандатного управления доступом SELinux и AppArmor. В процессе обучения слушатели научатся работать с мандатной системой управления доступа Parsec, настраивать основные сервисы для работы в корпоративной среде и настраивать домен с использованием инструментов, входящих в состав AL SE Astra Linux Special Edition. В том числе, вопросы интеграции и настройки мандатной системы Parsec для баз данных на базе PostgreSQL и подсистемы виртуализации, которая реализована в Astra Linux. Будут рассмотрены вопросы настройки ОC с учетом требований безопасности, в соответствии с Приказом ФСТЭК № 17 и РД АС.
Целевая аудитория

Системные администраторы и администраторы безопасности

Программа
  • День I: Файловая система Astra Linux. Символические и жесткие ссылки; Разделы и файловые системы. Понятие индексного дескриптора. Ссылки. Использование сменных накопителей; Файловая система Astra Linux. LVM; Управление программными пакетами; Процесс запус

    • Модуль 1. Файловая система Astra Linux. Символические и жесткие ссылки.

      • Поддерживаемые файловые системы. Типы файлов.
      • Символические и жесткие ссылки.
      • Лабораторная работа. Символические и жесткие ссылки.
    • Модуль 2. Разделы и файловые системы. Понятие индексного дескриптора. Ссылки. Использование сменных накопителей.

      • Различные файловые системы, поддерживаемые в Linux. Их характеристики и отличия.
      • Принцип именования и нумерации устройств хранения.
      • Создание файловой системы.
      • Лабораторная работа. Файловая система Astra Linux. Добавление и форматирование нового диска.
    • Модуль 3. Файловая система Astra Linux. LVM.

        Менеджер управления логическими томами LVM:

      • Физические тома
      • Группа томов
      • Логические тома
      • Изменение размеров дискового пространства
      • Лабораторная работа. Файловая система Astra Linux. LVM.
    • Модуль 4. Управление программными пакетами.

        Утилиты управления программными пакетами:

      • Dpkg
      • Apt
      • Aptitude
      • Synaptic
      • Настройка репозитариев
      • Лабораторная работа. Набор команд dpkg, apt-get
    • Модуль 5. Процесс запуска и инициализации системы. Загрузчик GRUB.

      • Начальная загрузка операционной системы
      • Загрузчик Grand Unified Boot Loader
      • Лабораторная работа. Загрузка ОС Astra Linux. Установка пароля на GRUB.
    • Модуль 6. Ядро ОС. Управление модулями ядра.

      • Ядро операционной системы
      • Значения параметров ядра ОС. Загружаемые и невыгружаемые модули ядра.
      • Модули ядра – драйверы устройств
      • Лабораторная работа. Управление функциями ядра. Добавление модулей ядра.
    • Модуль 7. Конфигурирование сетевых подключений.

      • Сетевые интерфейсы
      • Конфигурационные файлы сетевых интерфейсов
      • Netfilters и iptables
      • Лабораторная работа. Конфигурирование сетевых подключений.
    • Модуль 8. Базовая диагностика системы, файлы журналов. Решение проблем.

      • Log файлы системы. Система ведения журналов rsyslog.
      • Лабораторная работа. Базовая диагностика системы, файлы журналов.
    • Модуль 9. Настройка механизма подкачки страниц памяти.

      • Подкачка страниц памяти.
      • Swap раздел и файл.
      • Лабораторная работа. Настройка swap.
  • День II: Списки управления доступом (ACL); Шифрование дисков LUKS; Введение в RPC. Основной инструментарий для управления уровнями доступа; Подключение, настройка и использование сетевых ресурсов в ЛВС; Организация единого пространства пользователей (ЕПП)

    • Модуль 10. Списки управления доступом (ACL).

      • Стандартные и расширенные права на файловую систему.
      • Утилиты getfacl и setfacl.
      • Лабораторная работа. Списки управления доступом.
    • Модуль 11. Шифрование дисков LUKS.

      • Система шифрования дисков Linux Unified Key Setup.
      • Лабораторная работа. Шифрование дисков в Linux.
    • Модуль 12. Введение в RPC. Основной инструментарий для управления уровнями доступа.

      • Реализации RPC. Сетевые протоколы и язык сериализации.
      • RPC и IPC. Межпроцессное и сетевое взаимодействие. Сетевые файловые системы CIFS, NFS.
      • Мандатное разграничение доступа. Мандатная метка. Категории целостности.
      • Уровни и категории доступа.
      • ГОСТ Р 58256—2018 «Защита информации. Управление потоками информации в информационной̆ системе. Формат классификационных меток».
      • Основные графические и консольные утилиты управления.
      • Лабораторная работа. Средства управления мандатным доступом.
    • Модуль 13 Подключение, настройка и использование сетевых ресурсов в ЛВС.

      • Создание разделяемых файловых ресурсов.
      • Доступ к разделяемым файловым ресурсам.
      • Монтирование и автоматическое монтирование разделяемых файловых ресурсов.
      • Лабораторная работа. Создание разделяемых файловых ресурсов.
    • Модуль 14.  Организация единого пространства пользователей (ЕПП) в сетевой среде с помощью Astra Linux Directory.

      • Архитектура ЕПП.
      • Механизмы NSS и PAM. Модули PAM.
      • Сервисы LDAP, Kerberos, Samba/CIFS.
      • Назначение службы ALD, состав, установка.
      • Домены, доверительные отношения. управление учетными записями.
    • Модуль 15. Основные службы и сервисы в рамках предприятия. Подготовка серверов для дальнейшей настройки (развертывание локальной сети в рамках предприятия, конфигурирование сетевой инфраструктуры).

      • развертывание локальной сети в рамках предприятия.
      • конфигурирование сетевой инфраструктуры. Домены.
      • централизованная печать (CUPS);
      • резервное копирование и восстановление;
      • централизованное протоколирование
      • работа с общими файловыми системами (разграничение доступа);
      • Лабораторная работа. Настройка сервера для практических работ.
  • День III: Служба DNS; Настройка прокси сервера (Squid); Настройка сервиса точного времени (NTP); Настройка веб-сервера; Настройка сервера электронной почты; Протокол передачи файлов FTP; Файловые сервисы NFS, CIFS; Понятия, используемые в теории компьютер

    • Модуль 16. Служба DNS.

      • Принципы работы протокола DNS.
      • Сервис BIND.
      • Настройка DNS в различных конфигурациях (первичный, вторичный, кэширующий сервер).
      • Дополнительные настройки безопасности DNS серверов.
      • Лабораторная работа. Установка и настройка DNS-сервера.
    • Модуль 17. Настройка прокси сервера (Squid).

      • Базовая настройка прокси сервера.
      • Настройка различных списков доступа.
      • Создание отчетов.
      • Лабораторная работа. Настройка прокси-сервера.
    • Модуль 18. Настройка сервиса точного времени (NTP).

      • Протокол NTP.
      • Режимы работы сервера времени.
      • Настройка и конфигурация.
      • Методы синхронизации системных часов.
      • Лабораторная работа. Настройка NTP-сервера.
    • Модуль 19. Настройка веб-сервера

      • Установка веб-сервера Apache2.
      • Настройка веб-сервера.
      • Модули сервера Apache2. Установленные и загруженные модули. Статические и динамические модули.
      • Лабораторная работа. Установка и настройка веб-сервера.
    • Модуль 20. Настройка сервера электронной почты.

      • Почтовые протоколы -  SMTP, POP3, IMAP4.
      • Настройка MTA (Exim).
      • Настройка IMAP (Dovecot).
      • Дополнительные настройки почтовой службы (виртуальные домены, псевдонимы)
      • Технология защиты почтовой службы от спама и вирусов
      • Лабораторная работа. Установка и настройка почтового сервера.
    • Модуль 21. Протокол передачи файлов FTP.

      • Протокол FTP.
      • Настройка сервера VSFTPD.
      • Лабораторная работа. Установка и настройка сервиса FTP.
    • Модуль 22. Файловые сервисы NFS, CIFS.

      • протоколы SMB/CIFS, NFS
      • установка и конфигурация сервиса CIFS/Samba
      • Создание разделяемых файловых ресурсов.
      • Лабораторная работа. Установка и настройка NFS, SAMBA-сервера.
    • Модуль 23. Понятия, используемые в теории компьютерной безопасности. Формальные модели и моделирование безопасности современных ОС.

      • Доступ к информации. Объект доступа. Субъект доступа. Правила разграничения доступа.
      • Формальные модели информационной безопасности. Дискреционная (матричная) модель. Многоуровневая (мандатная) модель. Ролевая модель контроля доступа.
      • ГОСТ Р ИСО/МЭК 15408-2013. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Требования функциональной̆ компоненты ADV_SPM.1 «Формальная модель политики безопасности».
      • ГОСТ Р ИСО/МЭК 18045-2013. Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий.
  • День IV: Нормативные документы ФСТЭК России, регламентирующие требования безопасности информации к ОС общего назначения; Порядок установки и начальные настройки ОССН; Параметры настройки локальной политики безопасности ОССН. Работа с учётными записями пол

    • Модуль 24. Нормативные документы ФСТЭК России, регламентирующие требования безопасности информации к ОС общего назначения.

      • Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г.№ 17 (зарегистрирован Минюстом России 31мая 2013 г., регистрационный № 28608).
    • Модуль 25. Порядок установки и начальные настройки ОССН.

      • Варианты установки ОС Astra Linux.
      • Настройка безопасной конфигурации компьютера для работы с ОС Astra Linux.
      • перед установкой ОС.
      • при установке ОС.
      • после установки ОС.
      • Лабораторная работа. Установка и настройка безопасной конфигурации ОС Astra Linux.
    • Модуль 26. Параметры настройки локальной политики безопасности ОССН. Работа с учётными записями пользователей и группами.

      • Локальная политика безопасности. Специальные разрешения. UID и GID. Переключение контекста пользователя. Umask и права доступа. Права доступа к файлам.
      • Параметры настроек:
      • - дискреционного управления доступом к объектам ФС;
        - работы с памятью и изоляции модулей̆;
        - очистки памяти внешних носителей̆;
        - привилегий процесса;
        - подсистемы регистрации событий.
        Учетные записи пользователей и группы. Создание, модификация, удаление.
      • Лабораторная работа. Работа с учётными записями пользователей и группами c помощью графической утилиты fly-admin-smc
    • Модуль 27. Мандатный контроль целостности в ОССН. Реализация мандатного контроля целостности в файловой системе.

      • Подсистема Мандатного Контроля Целостности. Параметр ядра parsec.max_ilev, уровни целостности. Порядок установки/удаления атрибутов мандатного контроля целостности , включение/выключение МЦК. Администрирование ОС при включенном режиме МКЦ
      • Графическая утилита fly-admin-smc, политика безопасности, утилита командной строки set-fs-ilev, unset-fs-ilev.
      • Лабораторная работа. Создание и настройка параметров мандатного контроля целостности в файловой системе.
    • Модуль 28. Мандатное управление доступом в ОССН. Реализация мандатного управления доступом в файловой системе.

      • Проблемы реализации мандатного управления доступом в операционных системах.
      • Реализация мандатного управления доступом к объектам ФС.
      • Параметры мандатного управления доступом (мандатные метки): уровень конфиденциальности; уровень целостности; набор неиерархических категорий; специальные атрибуты (CCNR, CCNRI, Еhоlе)
      • Графическая утилита «Управление политикой безопасности», менеджер файлов fly-fm, а консольные команды мандатного управления доступом.
      • Лабораторная работа. Мандатное управление доступом в файловой системе в ОССН.
  • День V: Настройка подсистемы аудита в ОССН; Реализация замкнутой программной среды. Проверка целостности подсистемы защиты; Мандатное управление доступом в СУБД PostgreSQL; Конфигурирование службы Astra Linux Directory

    • Модуль 29. Настройка подсистемы аудита в ОССН

      • Подсистема аудита PARSEC. Флаги аудита процессов и файлов;
      • Служба parlogd в OCCH;
      • PAM-модуль pam_parsec_aud, PAM сценарии;
      • Графические средства и утилиты командной̆ строки для управления протоколированием
      • Подсистема аудита СУБД PostgreSQL. Настройка файла pg_audit.conf для регистрации событий. Маска регистрации событий сессии. Атрибут сессии ac_session_audit.;
      • Дополнительные параметры системы протоколирования событий:
      • Средства централизованного аудита и протоколирования.
      • Лабораторная работа. Графические средства и утилиты командной̆ строки для управления аудитом в ОССН
    • Модуль 30. Реализация замкнутой программной среды. Проверка целостности подсистемы защиты.

      • Режимы работы модуля ядра digsig_verif
      • Механизм контроля целостности файлов на основе ЭЦП
      • Иерархическая структура открытых ключей̆ каталога /etc/digsig/kyes
      • Организация регламентного контроля целостности.
      • Правила GOST и PARSEC.
      • Объекты подсистемы защиты, подлежащие контролю целостности.
      • Лабораторная работа. Настройка механизмов организации замкнутой программной среды. Контроль целостности КСЗ.
    • Модуль 31. Мандатное управление доступом в СУБД PostgreSQL

      • Понятие объектов БД. Средства управления мандатными ПРД к объектам БД.
      • Целостность мандатных атрибутов кластера баз данных.
      • Ссылочная целостность мандатных атрибутов.
      • Особенности создания правил и триггеров.
      • Особенности использования представлений и материализованных представлений.
      • Функции сравнения для типа maclabel.
      • Система привилегий СУБД и управление ими.
      • Лабораторная работа. Настройка мандатного управления доступа СУБД PostgreSQL.
    • Модуль 32. Конфигурирование службы Astra Linux Directory.

      • ADL клиент и сервер.
      • Консольные и графические утилиты администрирования ALD.
      • Конфигурационные файлы ALD.
      • Установка дополнительных пакетов.
      • Настройка двухфакторной аутентификации с использованием токенов.
      • ALD, Windows AD и SSO.
      • Лабораторная работа. Конфигурирование службы Astra Linux Directory