Ответы с комментариями к итоговым тестам доступны в телеграм боте по ссылке
@MarukhinRuBot
Вопрос 1.
Какие модули не входят в подсистему безопасности PARSEC?
Для ответа на этот вопрос выполним команду:
find / -name "parsec*.ko" 2>/dev/nullТаким образом, ответом будут все модули, кроме двух найденных.
Ответ на этот и другие
вопросы в телеграм боте
@MarukhinRuBot
Вопрос 2.
Какие настройки в зависимости от лицензии можно выбрать при инсталляции ОС Astra Linux 1.7?
Никогда не понимал этот тип вопросов.
Мало того, что ценность этих знаний равно нулю, так как с обновлением инсталлятора правильный ответ спокойно может измениться.
Непонятно, зачем правильный ответ разбит на два ответа: выбор максимального уровня защищённости (релиза «Смоленск») в инсталляторе — это один и тот же вариант, а не два разных.
Ответ на этот и другие
вопросы в телеграм боте
@MarukhinRuBot
Вопрос 3.
Какая версия модуля ядра PARSEC используется в ОС Astra Linux Special Edition 1.7.1?
Ещё один бесполезный вопрос. В настоящее время используется 1.7.5 – зачем заучивать то, что может меняться спустя непродолжительное время – для меня загадка.
Ответ на этот и другие
вопросы в телеграм боте
@MarukhinRuBot
Вопрос 4.
Укажите название модуля PARSEC, поддерживающего мандатный доступ для CIFS?
Череда очень нужных вопросов продолжается.
Ранее в первом вопросе мы нашли два модуля ядра — parsec.ko и parsec-cifs.ko, нетрудно догадаться, какой модуль отвечает за мандатный доступ для CIFS.
Отрадно, что данный курс позволяет выпускнику получить столь глубинные тайные знания, не доступные остальным :).
Ответ на этот и другие
вопросы в телеграм боте
@MarukhinRuBot
Вопрос 5.
Какой уровень целостности задействован для графического сервера (введите числовое значение)?
Любопытный вопрос. Правильный ответ можно посмотреть командой:
pdpl-ps –n $(pidof Xorg)
На моей системе вывод был следующим:
804 0:8:0x0:0x0!
Кроме того, информация об уровнях целостности доступна в документации к операционной системе.
Ответ на этот и другие
вопросы в телеграм боте
@MarukhinRuBot
Вопрос 6.
На каком уровне мандатной целостности должен работать системный администратор?
Фактически администратор должен работать под учётной записью пользователя с ограниченными правами и низким мандатным уровнем целостности. Сам так работаю, выполняя повседневные задачи.
А вот административные действия, связанные с изменением конфигурации системы, администратор должен выполнять под высоким уровнем целостности.
Ответ на этот и другие
вопросы в телеграм боте
@MarukhinRuBot
Вопрос 7.
Напишите команду, после ввода которой МКЦ будет включен (параметры командной строки разделяйте одним пробелом).
Запустить МКЦ можно командой:
astra-mic-control enableДля детальной настройки МКЦ конкретной файловой системы используется команда set-fs-ilev.
На самом деле astra-mic-control также использует эту команду и ряд других для настройки МКЦ.
Отключить МКЦ на уровне загрузчика GRUB можно с помощью параметра «parsec.max_ilev=0».
Для этого необходимо отредактировать конфигурационный файл /etc/default/grub и обновить загрузчик командой
update-grubЛибо передать параметр непосредственно загрузчику на этапе загрузки.
Недавно писал статью по восстановлению уровня целостности у администратора – на самом деле там можно было решить проблему намного проще — через GRUB отключить МКЦ, а после выполнить команду создания файла с уровнем целостности. Мы же пошли по пути создания файла через GRUB, что тоже верно, но занимает гораздо больше времени.
Ответ на этот и другие
вопросы в телеграм боте
@MarukhinRuBot
Вопрос 8.
Какие Linux-привилегии из перечисленных доступны в Astra Linux?
Ответ на указанный вопрос можно найти, выполнив команду:
man capabilities
Либо открыв fly-admin-smc и выбрав вкладку «Привилегии» у любого пользователя.
Сами привилегии устанавливаются для каждого пользователя в файле соответствующем его UID в каталоге /etc/parsec/capdb.
Сам привилегии практически не использую и пользователям их не даю. Единственный раз использовал привилегию sumac по рекомендации разработчиков для одного приложения, которое перестало работать после обновления операционной системы.
Ответ на этот и другие
вопросы в телеграм боте
@MarukhinRuBot
Вопрос 9.
Вы включили механизм МРД. Для корректной работы система назначит атрибут ccnr на некоторые каталоги. Выберите из списка каталоги, на которые атрибут не будет установлен.
Ответ на указанный вопрос можно узнать командой либо подумать логически.
Посмотреть установленные мандатные метки можно командой:
pdp-ls -Md /{usr,boot,run,etc,home}Ну а логически, без ccnr будут каталоги, в которых не
хранятся файлы с разными мандатными метками.
В каталоге /run/ расположен каталог users. В нём хранятся служебные файлы пользовательских приложений, работающих на мандатных уровнях выше 0.
Например, именованный программный канал приложения fly-wm расположен в этом каталоге. Если бы он был без мандатной метки, то процессы, запущенные под мандатным уровнем выше 0, не смогли бы осуществлять операции записи в указанный канал, вследствие чего взаимодействие с fly-wm было бы невозможно организовать.О
Ответ на этот и другие
вопросы в телеграм боте
@MarukhinRuBot
Вопрос 10.
Какие утилиты командной строки используются для управления привилегиями?
Вопрос на знание утилит установки привилегий в Linux.
Механизм привилегий активно применяется в операционной системе, когда процесс требует root прав для определённой задачи, например, простая утилита ping запускается с привилегиями – убедитесь сами командой:
getcap /usr/bin/pingТакой подход повышает уровень безопасности операционной системы. Но бездумно раздавать привилегии всё же не стоит.О
Ответ на этот и другие
вопросы в телеграм боте
@MarukhinRuBot
Вопрос 11.
Напишите команду, позволяющую считать мандатный контекст безопасности процесса.
Периодически (особенно во время неполадок) хочется посмотреть, в каком мандатном контексте работает тот или иной процесс. Для этого необходимо знать данную команду.
Ответ на этот и другие
вопросы в телеграм боте
@MarukhinRuBot
Вопрос 12.
Как называется модуль PAM, который отвечает за протоколирование событий аудита?
Ответ на данный вопрос Вы найдёте в документации.
На практике дополнительно настраивать использование указанного модуля мне не приходилось.
Ответ на этот и другие
вопросы в телеграм боте
@MarukhinRuBot
Вопрос 13.
С помощью какой утилиты добавляются временные собственные правила аудита?
Данная команда используется для настройки параметров ядра, связанных с аудитом, получения состояния и добавления/удаления правил аудита.
Лично у меня настроен аудит на разделяемом ресурсе средствами Samba, он покрывает мои запросы, поэтому опыт использования данной команды у меня небольшой.О
Ответ на этот и другие
вопросы в телеграм боте
@MarukhinRuBot
Вопрос 14.
Как называется утилита, отвечающая за конфигурацию аудита через графический интерфейс?
Утилита разработанная RedHat для настройки аудита. Программа разработана специально для любителей графики и упрощает порог вхождения новых пользователей.
Ответ на этот и другие
вопросы в телеграм боте
@MarukhinRuBot
Вопрос 15.
Правила заданные в файле /etc/audit/rules.d/parsec.rules:
Если мы хотим, чтобы после перезагрузки системы конфигурация аудита сохранилась, необходимо сохранить их в каталог /etc/audit/rules.d.
Кстати говоря, в 1.7.5 файл parsec.rules в данном каталоге отсутствует, а конфигурация сохранена в 10-parsec.rules.
Ответ на этот и другие
вопросы в телеграм боте
@MarukhinRuBot
Вопрос 16.
Какой параметр команды bsign используется для проверки правильности ЭЦП файла формата ELS?
Ответ на этот и другие
вопросы в телеграм боте
@MarukhinRuBot
Вопрос 17.
С помощью какого инструмента командной строки выполняется включение и выключение режима ЗПС после установки ОС?
Включить ЗПС в операционной системе можно как минимум тремя способами.О
Ответ на этот и другие
вопросы в телеграм боте
@MarukhinRuBot
Вопрос 18.
Укажите название конфигурационного файла для настройки модуля digsig_verif.
Как было сказано ранее – для настройки ЗПС (модуль ядра digsig_verif) используется конфигурационный файл digsig_initramfs.conf. В ответе на вопрос нужно указать абсолютный путь к указанному файлу (без указания абсолютного пути дадут только 0,5 балла – почему так, мне непонятно).О
Ответ на этот и другие
вопросы в телеграм боте
@MarukhinRuBot
Вопрос 19.
Каким образом метки безопасности добавляются в IPv4 пакет?
Интересный теоретический вопрос, ответ на который можно узнать, перехватив трафик операционной системы. Рекомендую сделать это лично, проведя соответствующее практическое занятие.
Ответ на этот и другие
вопросы в телеграм боте
@MarukhinRuBot
Вопрос 20.
С помощью какой команды можно запустить монитор безопасности из командной строки?
Неплохая идея, которая позволит оценить настройку операционной системы удалённо (с использованием ssh). К тому же с помощью указанной утилиты можно автоматизировать контроль настройки системы защиты с использованием того же Zabbix.О
Ответ на этот и другие
вопросы в телеграм боте
@MarukhinRuBot
Александр, а вторая часть будет?
Да, думаю на днях опубликую.