20 вопросов тестирования по Astra Linux (AL-1702) с комментариями. Часть 3.

Здравствуйте, уважаемые пользователи!

Сегодня мы проведём разбор ещё 20 вопросов, которые мне прислали читатели блога. Ранее разобранные вопросы — здесь и здесь.

В этом разборе будет больше практики, поэтому я изложил его так, чтобы Вы могли понять сам механизм ответа на подобные вопросы – создателям теста достаточно минимально изменить исходные данные вопроса, чтобы ответы уже не подошли – будьте внимательны и осторожны (как говорят в РЖД). Ну что, приступим?

1.Какой тип терминала используют виртуальные терминалы Astra Linux?

Astra Linux использует xterm, однако в одном из тестирований у обучаемого приняли ответ linux, как правильный – скорее всего, техническая ошибка.

Ответ: xterm

2. Какие типы файлов относятся к типам специальных файлов?

Базовые знания по операционной системе.

Ответ: файл символьного устройства, именованный канал, символическая ссылка, каталог, файл блочного устройства.

3. Вы собираетесь восстановить из tar-архива файлы с установленными метками безопасности. Какое действие нужно сделать первым

В соответствии со справочной документацией, размещённой на astrawiki (ссылка) https://wiki.astralinux.ru/pages/viewpage.action?pageId=41191598 , первым делом необходимо выполнить команду:

 echo 1 | sudo tee /parsecfs/unsecure_setxattr

Указанная команда устанавливает для параметра защиты файловой системы /parsecfs/unsecure_setxattr значение 1, разрешающее применять мандатную привилегию PARSEC_CAP_UNSAFE_SETXATTR.

Ответ: установить политику ядра, разрешающую создавать файлы и каталоги без учёта мандатной метки каталога, куда будут помещаться файлы

4. Выберите верные утверждения в отношении утилиты tar.

Утилита tar – мощная утилита, поддерживающая множество функций.

Так аргументы:

-h — указывают следовать tar по символическим ссылкам;

—acls — включить поддержку POSIX ACL;

—xattrs — включить поддержку расширенных атрибутов (которые по факту и являются мандатными метками).

Касательно относительных имён, я не совсем понимаю, что имел в виду автор теста. Если то, что утилита автоматически помещает в архив файлы с относительными путями к ним, то это неверно. Если то, что в архив можно поместить файл с относительным путём – да, это верно.

Ответ: утилита tar помещает в архив файлы с относительными именами (да, это возможно, если указать относительные пути – если полные, то нет), утилита поддерживает сохранение списков прав доступа к файлам (ACL)

5. Где находится программный код системных вызовов?

Вопрос чисто теоретический, как раз начал читать книгу про разработку ядра Linux.

Ответ: в ядре операционной системы

6. Установщик ОС Astra Linux работает в …

Интерактивном режиме – подразумевающем взаимодействие с пользователем.

Ответ: интерактивном режиме

7. Какие настройки в зависимости от лицензии можно выбрать при инсталляции ОС Astra Linux 1.7?

Странный вопрос, так как по факту на него должен быть один ответ, а тут несколько.

Ответ: уровни защищённости: «Смоленск», «Воронеж», «Орёл», максимальный, усиленный или базовый уровни защищённости

8. Какие функции безопасности доступны для уровня защищённости «Базовый»?

По моему мнению – ещё один спорный вопрос. Ну нет смысла в заучивании того, что может измениться через сутки, по решению менеджеров компании Astra Linux. Это из серии – каким цветом окрашена верхняя часть установщика операционной системы.

Ответ: запрет установки бита исполнения, запрос пароля для команды sudo, запрет трассировки ptrace, запрет вывода меню загрузчика, системные ограничения ulimits

9. Какие виды терминалов вы знаете?

Теоретический вопрос. Кстати, по терминалам есть интересная статья на Хабре (ссылка). https://habr.com/ru/articles/460257/

Ответ: псевдотерминалы, виртуальные терминалы, аппаратные терминалы

10. Какая команда позволяет сделать так, чтобы значение переменной bash было доступно для внешней команды, запущенной из этого же командного интерпретатора?

Полезная команда, с которой Вы будете сталкиваться при администрировании систем – не так часто, но знать её нужно обязательно.

Ответ: export

11. Для вызова справки info по команде echo необходимо ввести…

Интересный вопрос — понятно, что ввести надо info echo. Но интересно другое, в системе существует две команды echo – встроенная в bash и бинарный файл. Убедиться в этом поможет ранее озвученная команда type.

В этот вопрос так и напрашивается внести ещё один правильный ответ — man bash, но, видимо, обучаемых решили пожалеть.

Ответ: info echo

12. Какие команды по умолчанию следуют (follow) за символической ссылкой?

Интересный тип вопросов. Как мы выяснили раньше – tar не следует за символическими ссылками без аргумента –h, ну и удаление символической ссылки командой rm – не приведёт к удалению оригинального файла. Но вы без труда посмотрите содержимое файла командой less или скопируете оригинальный файл командой cp.

Ответ: cp, less

13. Пользовательский терминальный процесс для работы со стандартным потоком ошибок открывает файл с номером дескриптора ____.

Базовые знания по Linux, обязательно будете использовать при системном администрировании, так что даже не думайте, что ответите на данный вопрос и забудете как страшный сон J.

Ответ: 2

14. Создана учётная запись пользователя student с использованием политики приватной первичной группы. Какое имя получила первичная группа пользователя?

При создании пользователя с использованием политики приватной первичной группы пользователь получает индивидуальную группу, которая называется его именем.

Ответ: student

15. Перечислите специальные биты защиты файлов.

И снова базовые знания, которыми вы можете овладеть, прочитав любую техническую литературу по операционной системе Linux. Более того – не только системные администраторы, но и специалисты по безопасности информации должны знать, как использовать каждый из них.

Помню читал статью про малварь на Linux – после заражения системы устанавливался suid на python, что позволяла обычному пользователю выполнять команды с правами root.

К слову сказать, при правильной настройке операционной системы Astra Linux аналогичный вектор атаки воспроизвести не удастся – доступ к интерпретаторам для обычных пользователей будет ограничен механизмами безопасности, а установку бита можно выявить с помощью утилиты afick.

Ответ: suid, sgid, sticky bit

16. На каком уровне мандатной целостности должен работать системный администратор?

Специфические знания работы операционной системы Astra Linux. В литературе по Linux ответа на данный вопрос вы не найдёте.

Ответ: 63

17. Для просмотра и изменения атрибутов дисциплины линии используется команда.

Вот мы и добрались до дисциплины линии. Скажу честно, о таком термине я ранее не знал. Приведённая ссылка на статью Хабра заполнила этот пробел в знаниях – настоятельно рекомендую почитать, интересно.

Ответ: stty

18. Изучите скриншот и выберите правильные ответы.

Под этой формулировкой попадаются разные задания, и конкретно здесь мы разберём тип заданий по модулям pam.

Суть следующая, Вам дают содержимое файла runuser, в котором указаны несколько строк с различными модулями. Чтобы его решить, вы должны понимать, что написано в первом столбце и во втором.

В первом, перечислены типы запросов к PAM. Всего существуют 4 типа:

session — обслуживание сессии в начале и конце сеанса (логгирование и монтирование папок);

account — проверка учётной записи (срок действия пароля, разрешение на вход у пользователя);

password — обновление пароля;

auth — проверка данных входа, например, логин и пароль.

Во втором перечислены управляющие флаги модулей PAM:

required – проверка не останавливается в случае ошибки или в случае успеха модуля с данным флагом, но если результат отрицательный, то общий результат уже не будет положительным;

requisite – проверка не останавливается в случае успешного выполнения модуля с данным флагом, но если результат отрицательный, проверка немедленно завершится отрицательно;

sufficient   — успех модуля с данным флагом сразу прекратит остальные проверки, но вот общий результат может быть и отрицательным, так как модуль не может компенсировать отрицательный результат других модулей с флагом required;

optional – флаг, который имеет значение, если модуль единственный.

И вот теперь, допустим, содержание файла у вас следующее:

Auth sufficient pam_rootok.so
Session optional pam_keyinit.so
session required pam_limits.so
session required pam_unix.so

Так как sufficient у нас первый, то в случае если pam_rootok.so дал положительный ответ, проверка закончится успешно.

Далее идёт optional модуль, который ни на что не влияет.

После идут два модуля required – если pam_limits.so пройдёт успешно, то будет вызван pam_unix.so, если и он пройдёт успешно – проверка закончится успехом.

Понятно, что если дело дошло до pam_limits.so или pam_unix.so, то pam_rootok.so завершился неудачей.

По отдельности успех pam_limits.so или pam_unix.so ни о чём не говорит. Если один из них даст сбой, проверка продолжиться, но результат будет отрицательным.

Аналогия для понимания — это как если бы вы отвечали злому профессору на экзамене. Он настолько суров, что заранее предупредил — если хоть по одному вопросу будет двойка, придётся сдавать в другой раз.

И вот за первый вопрос вы получаете двойку, он продолжает слушать второй и третий вопросы, но всё уже решено – вы не сдали J.

Так и модуль с флагом required, слушает вас дальше, но если он дал вам отрицательный ответ, то хоть всё остальное сдайте на отлично – ничего не выйдет.

Даже добрый sufficient  который сразу готов поставить Вам автомат по всем предстоящим зачётам прислушивается к мнению required. Такова жизнь.

Ответ: если модуль pam_rootok.so дал положительный ответ, то общий ответ PAM положительный (он стоит первый, поэтому так получается), если модель pam_unix.so дал положительный ответ то модуль pam_rootok.so дал отрицательный ответ (да – если до него дошло дело, то pam_rootok.so дал отрицательный ответ).

19. Изучите скриншот. Какие операции с файлом file1.txt может выполнить пользователь?

Данный тип заданий подразумевает, что вы знакомы с правами доступа к файлам и каталогам.

Берём пример – пользователь sasha входит в группу users.

Каталог D2 имеет права rwxrwxr-x  владелец — petya, группа – users.

В каталоге D2 находится файл file1.txt с правами rw-rw-r—, владелец petya, группа petya.

Что мы видим  — права на запись в каталог у нас есть, значит удалить мы сможем file1.txt без проблем. Так как у файла выставлены права на чтение остальным пользователям (куда мы и входим, так как в группу petya входит только petya) – прочитать файл file1.txt тоже не проблема. А вот выполнить file1.txt не получится в виду того, что бит исполнения (x) для файла не установлен. Изменить права доступа тоже не выйдет, так как сделать это может только владелец файла. Изменить файл мы не сможем, так как для остальных пользователей не выставлен бит для записи (w).

Это хорошее задание для практики прав доступа, и вы должны разобраться в нём досконально. Вы можете скачать виртуальную машину, установить Linux и попробовать его воспроизвести на практике – полученные навыки очень важны для системного администратора.

Ответ: удалить файл, прочитать содержимое файла

20. Изучите скриншот. Какие команды может выполнить пользователь?

Данный тип заданий подразумевает, что вы знакомы с мандатной моделью операционной системы. Чистых знаний Linux здесь будет недостаточно, но и без них не обойтись.

Итак, мы имеем пользователя работающего под 1 уровнем конфиденциальности – назовём его sasha. Данный пользователь входит в группу users.

Нам дан каталог /home/docs с указанными дискреционными правами доступа, установленным уровнем конфиденциальности – 2, и флагом ccnr.

 drwxrwxr-xm  root users Уровень_2:Низкий:Нет:ccnr

Сразу проанализируем каталог:

Для группы users установлены права rwx – значит, мы можем просматривать содержимое каталога, записывать в него и удалять имеющиеся файлы. Уровень конфиденциальности выше, чем у нашего пользователя, но флаг ccnr допускает запись в него файлов и каталогов с уровнем конфиденциальности ниже, чем 2.

В каталоге /home/docs имеется файл file1.txt – владельцем файла являемся мы сами, а уровень конфиденциальности файла равен 1.

Что мы можем сделать с файлом и почему:

Мы можем удалить файл – так как каталогу присвоены дискреционные права для группы users (куда мы входим) rwx;

Мы можем создать новый файл в каталоге, так как на каталоге установлен флаг ccnr, допускающий создание файлов с уровнем конфиденциальности 1, дискреционные права позволяют это сделать (rwx);

Мы можем прочитать содержимое файла, так как наш пользователь sasha — владелец файла. А каталог доступен нам для чтения.

И, наконец, мы можем скопировать файл в домашний каталог, так как наш домашний каталог под 1 уровнем конфиденциальности позволяет хранить файлы такого типа.

Ответ: rm /home/docs/file1.txt, touch /home/docs/file.txt, cat /home/docs/file1.txt, cp /home/docs/file1.txt ~/file1.txt

На этом разбор считаю завершённым.

До новых встреч.