Здравствуйте, уважаемые читатели моего блога!

Вот мы и подошли к сдаче итогового тестирования по курсу AL-1705.

Курс достаточно сложный, потому что в ходе его прохождения получаются специфические знания по средствам защиты информации операционной системы Astra Linux.

Да, все эти разработки основаны на традиционных инструментах Linux, но лично я открыл для себя несколько ранее не изученных направлений.

Что касается самого теста, то он получился не очень удачным. На мой взгляд, спрашивают много энциклопедических знаний, которые могу меняться от версии к версии операционной системы.

Напомню, что свои вопросы с вариантами ответов Вы можете отправить мне на почту – sandro331k@yandex.ru. При наличии времени, я обязательно проведу разбор и опубликую его в блоге.

Вопрос 1.
Какие модули не входят в подсистему безопасности PARSEC?

Для ответа на этот вопрос выполним команду:

find / -name "parsec*.ko" 2>/dev/null

Выводом будет:

/usr/lib/modules/6.1.50-1-generic/misc/parsec-cifs.ko
/usr/lib/modules/6.1.50-1-generic/misc/parsec.ko

Таким образом, ответом будут все модули, кроме двух найденных.

Ответ: parsec-1.7.ko, parsec-network.ko, parsec-mac.ko

Вопрос 2.
Какие настройки в зависимости от лицензии можно выбрать при инсталляции ОС Astra Linux 1.7?

Никогда не понимал этот тип вопросов.

Мало того, что ценность этих знаний равно нулю, так как с обновлением инсталлятора правильный ответ спокойно может измениться.

Непонятно, зачем правильный ответ разбит на два ответа: выбор максимального уровня защищённости (релиза «Смоленск») в инсталляторе — это один и тот же вариант, а не два разных.

Ответ: максимальный, усиленный или базовый уровень защищённости, уровни защищённости «Смоленск», «Воронеж» и «Орёл».

Вопрос 3.
Какая версия модуля ядра PARSEC используется в ОС Astra Linux Special Edition 1.7.1?

Ещё один бесполезный вопрос. В настоящее время используется 1.7.5 – зачем заучивать то, что может меняться спустя непродолжительное время – для меня загадка.

Ответ: 4

Вопрос 4.
Укажите название модуля PARSEC, поддерживающего мандатный доступ для CIFS?

Череда очень нужных вопросов продолжается.

Ранее в первом вопросе мы нашли два модуля ядра — parsec.ko и parsec-cifs.ko, нетрудно догадаться, что за мандатный доступ для CIFS отвечает parsec-cifs.ko.

Отрадно, что данный курс позволяет выпускнику получить столь глубинные тайные знания, не доступные остальным :).

Вопрос 5.
Какой уровень целостности задействован для графического сервера (введите числовое значение)?

Любопытный вопрос. Правильный ответ можно посмотреть командой:

pdpl-ps –n $(pidof Xorg)

На моей системе вывод был следующим:

804 0:8:0x0:0x0!

Кроме того, информация об уровнях целостности доступна в документации к операционной системе.

Ответ: 8

Вопрос 6.
На каком уровне мандатной целостности должен работать системный администратор?

Фактически администратор должен работать под учётной записью пользователя с ограниченными правами и низким мандатным уровнем целостности. Сам так работаю, выполняя повседневные задачи.

А вот административные действия, связанные с изменением конфигурации системы, администратор должен выполнять под высоким уровнем целостности.

Ответ: 63

Вопрос 7.
Напишите команду, после ввода которой МКЦ будет включен (параметры командной строки разделяйте одним пробелом).

Запустить МКЦ можно командой:

astra-mic-control enable

Для детальной настройки МКЦ конкретной файловой системы используется команда set-fs-ilev.

На самом деле astra-mic-control также использует эту команду и ряд других для настройки МКЦ.

Отключить МКЦ на уровне загрузчика GRUB  можно с помощью параметра «parsec.max_ilev=0».

Для этого необходимо отредактировать конфигурационный файл /etc/default/grub и обновить загрузчик командой

update-grub

Либо передать параметр непосредственно загрузчику на этапе загрузки.

Недавно писал статью по восстановлению уровня целостности у администратора – на самом деле там можно было решить проблему намного проще — через GRUB отключить МКЦ, а после выполнить команду создания файла с уровнем целостности. Мы же пошли по пути создания файла через GRUB, что тоже верно, но занимает гораздо больше времени.

Ответ: astra-mic-control enable

Вопрос 8.
Какие Linux-привилегии из перечисленных доступны в Astra Linux?

Ответ на указанный вопрос можно найти, выполнив команду:

man capabilities

Либо открыв fly-admin-smc и выбрав вкладку «Привилегии» у любого пользователя.

Сами привилегии устанавливаются для каждого пользователя в файле соответствующем его UID в каталоге /etc/parsec/capdb.

Сам привилегии практически не использую и пользователям их не даю. Единственный раз использовал привилегию sumac по рекомендации разработчиков для одного приложения, которое перестало работать после обновления операционной системы.

Ответ: cap_setuid, cap_net_admin, cap_chown, cap_kill, cap_sys_module

Вопрос 9.
Вы включили механизм МРД. Для корректной работы система назначит атрибут ccnr на некоторые каталоги. Выберите из списка каталоги, на которые атрибут не будет установлен.

Ответ на указанный вопрос можно узнать командой либо подумать логически.

Посмотреть установленные мандатные метки можно командой:

pdp-ls -Md /{usr,boot,run,etc,home}

Ну а логически, без ccnr будут каталоги, в которых не хранятся файлы с разными мандатными метками.

В каталоге /home находится каталог .pdp, где размещены домашние директории пользователей с разными мандатными метками (атрибут ccnr позволяет организовать подобное хранение).

В каталоге /run/ расположен каталог users. В нём хранятся служебные файлы пользовательских приложений, работающих на мандатных уровнях выше 0.

Например, именованный программный канал приложения fly-wm расположен в этом каталоге. Если бы он был без мандатной метки, то процессы, запущенные под мандатным уровнем выше 0, не смогли бы осуществлять операции записи в указанный канал, вследствие чего взаимодействие с fly-wm было бы невозможно организовать.

Ответ: /boot, /etc, /usr

Вопрос 10.
Какие утилиты командной строки используются для управления привилегиями?

Вопрос на знание утилит установки привилегий в Linux.

Механизм привилегий активно применяется в операционной системе, когда процесс требует root прав для определённой задачи, например, простая утилита ping запускается с привилегиями – убедитесь сами командой:

getcap /usr/bin/ping

Такой подход повышает уровень безопасности операционной системы. Но бездумно раздавать привилегии всё же не стоит.

Ответ: execaps, pscaps, usercaps

Вопрос 11.
Напишите команду, позволяющую считать мандатный контекст безопасности процесса.

Периодически (особенно во время неполадок) хочется посмотреть, в каком мандатном контексте работает тот или иной процесс. Для этого необходимо знать данную команду.

Ответ: pdpl-ps

Вопрос 12.
Как называется модуль PAM, который отвечает за протоколирование событий аудита?

Выдержка из документации:

«Применение настроенных параметров аудита процессов осуществляется PAM-модулем pam_parsec_aud. По умолчанию регистрация настроенных для пользователя событий аудита процессов включена в PAM-сценарии: fly-dm, fly-dm-np, login, su, sshd, sumac.xauth. Для протоколирования событий аудита процессов пользователя, проходящего аутентификацию через другие PAM-сценарии, необходимо включить в соответствующие сценарии строку следующего вида: session required pam_parsec_aud.so»

На практике дополнительно настраивать использование указанного модуля мне не приходилось.

Ответ: pam_parsec_aud

Вопрос 13.
С помощью какой утилиты добавляются временные собственные правила аудита?

Команда auditctl используется для настройки параметров ядра, связанных с аудитом, получения состояния и добавления/удаления правил аудита.

Лично у меня настроен аудит на разделяемом ресурсе средствами Samba, он покрывает мои запросы, поэтому опыт использования auditctl у меня небольшой.

Ответ: auditctl

Вопрос 14.
Как называется утилита, отвечающая за конфигурацию аудита через графический интерфейс?

Утилита разработанная RedHat для настройки аудита. Программа разработана специально для любителей графики и упрощает порог вхождения новых пользователей.

Ответ: system-config-audit

Вопрос 15.
Правила заданные в файле /etc/audit/rules.d/parsec.rules:

Если мы хотим, чтобы после перезагрузки системы конфигурация аудита сохранилась, необходимо сохранить их в каталог /etc/audit/rules.d.

Кстати говоря, в 1.7.5 файл parsec.rules в данном каталоге отсутствует, а конфигурация сохранена в 10-parsec.rules.

Ответ: постоянные – действуют всегда, относятся к собственным правилам аудита, необходимы для работы встроенного аудита

Вопрос 16.
Какой параметр команды bsign используется для проверки правильности ЭЦП файла формата ELS?

Проверить состояние сигнатуры бинарного файла можно с использованием полной формы параметра –V — —verify, либо сокращенной. Какой вариант ответа предусмотрели авторы теста, мне пока неизвестно.

Ответ: -V (либо —verify)

Вопрос 17.
С помощью какого инструмента командной строки выполняется включение и выключение режима ЗПС после установки ОС?

Включить ЗПС в операционной системе можно как минимум тремя способами.

Используя графическую утилиту fly-admin-smc, используя консольную утилиту astra-digsig-control (на мой взгляд, самый удобный способ – к тому же правильный ответ на данный вопрос), и вручную отредактировав файл digsig_initramsfs.conf и пересобрав образ начальной загрузки операционной системы.

Ответ: astra-digsig-control

Вопрос 18.
Укажите название конфигурационного файла для настройки модуля digsig_verif.

Как было сказано ранее – для настройки ЗПС (модуль ядра digsig_verif) используется конфигурационный файл digsig_initramsfs.conf. В ответе на вопрос нужно указать абсолютный путь к указанному файлу (без указания абсолютного пути дадут только 0,5 балла – почему так, мне непонятно).

Ответ: /etc/digsig/digsig_initramsfs.conf

Вопрос 19.
Каким образом метки безопасности добавляются в IPv4 пакет?

Интересный теоретический вопрос, ответ на который можно узнать, перехватив трафик операционной системы. Рекомендую сделать это лично, проведя соответствующее практическое занятие.

Ответ: В поле опции

Вопрос 20.
С помощью какой команды можно запустить монитор безопасности из командной строки?

Для запуска монитора безопасности из командной строки необходимо использовать команду astra-security-monitor. Неплохая идея, которая позволит оценить настройку операционной системы удалённо (с использованием ssh). К тому же с помощью указанной утилиты можно автоматизировать контроль настройки системы защиты с использованием того же Zabbix.

Ответ: astra-security-monitor

2 thoughts on “20 вопросов тестирования по Astra Linux (AL-1705) с комментариями. Часть 1.

Добавить комментарий

Ваш e-mail не будет опубликован.