20 вопросов тестирования по Astra Linux (AL-1705) с комментариями. Часть 2.

Здравствуйте, уважаемые читатели моего блога!

Продолжаем разбор тестирования по курсу AL-1705.

Напомню, что свои вопросы с вариантами ответов Вы можете отправить мне на почту – sandro331k@yandex.ru. При наличии времени я обязательно проведу разбор и опубликую его в блоге.

Вопрос 1.
Какие функции безопасности отображает монитор безопасности?

Монитор безопасности — неплохое приложение операционной системы Astra Linux, которое позволяет оценить, какие из защитных механизмов функционируют, а какие нет.

Ознакомьтесь с работой приложения и убедитесь, что из всех предложенных вариантов ответов авторами теста, верный только один – «режим запрета установки бита исполнения».

«Блокировка клавиш SysRq» присутствует в мониторе безопасности, в то время как в варианте ответа фигурирует «Блокировка клавиши», что неверно. Но если не выбрать данный вариант, то правильный ответ будет только один (а вариантов несколько). Возможно, ошибка.

Ответ: Режим запрета установки бита исполнения, блокировка клавиши (что верно только отчасти)

Вопрос 2.
При использовании монитора безопасности, какие состояния доступны для каждой выводимой функции безопасности

Ещё один вопрос по монитору безопасности, не самый полезный (на мой взгляд), но и не самый сложный. Откройте монитор безопасности, чтобы ответить на данный вопрос.

Ответ: включено, выключено, выключается

Вопрос 3.
Блокировка каких интерпретаторов реализована в ОС Astra Linux Special Edition?

В операционной системе реализован довольно интересный механизм блокировки интерпретаторов, суть которого в том, что система блокирует работу с файлами, в именах которых присутствуют названия самых распространенных интерпретаторов. Должен заметить, что если в системе установлены сторонние интерпретаторы с именами, отличными от стандартных, то механизм их не заблокирует.

Ответ: python, raby, zsh, php, bash

Вопрос 4.
Что необходимо настроить, чтобы все пользователи (даже те, у которых есть привилегия PARSEC_CAP_SUMAC) не могли использовать команду sumac?

Для блокировки возможности работы пользователей с разными уровнями конфиденциальности в пределах одной сессии необходимо активировать одноименный механизм защиты операционной системы.

Ответ: Включить блокировку одновременной работы с разными уровнями конфиденциальности в пределах одной сессии.

Вопрос 5.
Напишите команду, включающую межсетевой экран. (Для ввода командной строки используйте одинарные пробелы)

В операционной системе Astra Linux предустановлена утилита UFW. Как говорится в википедии:

UFW (с англ. — «незамысловатый межсетевой экран») — это утилита для конфигурирования межсетевого экрана Netfilter. Она использует интерфейс командной строки, состоящий из небольшого числа простых команд.

В отличии от iptables утилита достаточно дружелюбна для конечного пользователя.

В комментариях один из посетителей блога указал, что правильным ответом является «sudo astra-ufw-control enable«. Возможен и такой вариант включения данного механизма — в Linux часто одну и ту же задачу можно выполнить разными способами и невозможно сказать, какой ответ предусмотрел автор вопросов тестирования.

Ответ: ufw enable

Вопрос 6.
При настройке системы в соответствии с Red Book, какие из разделов рекомендуется создавать с защитным преобразованием.

Для ответа на данный вопрос необходимо ознакомится с Red Book операционной системы, расположенной на wiki.astralinux.ru.

Рекомендуется использовать защитное преобразование на:

корневом разделе (при учёте, что каталог boot вынесен на отдельный раздел) (/);

разделе с каталогами пользователей (/home);

разделах с временными и изменяемыми файлами операционной системы (/var и /tmp).

Ответ: /home, /var, /tmp

Вопрос 7.
В каком файле задаются параметры системных ограничений на использование системных ресурсов?

limits.conf — файл, в котором можно задавать ограничения для системных пользователей.

Чаще всего на практике оказывается полезным ограничивать количество выделенных ресурсов центрального процессора или оперативной памяти.

В операционной системе файл находится в каталоге /etc/security/.

Ответ: limits.conf

Вопрос 8.
Какую топологию нужно указать для того, чтобы сервер и клиенты OpenVPN находились в одной сети?

Вопрос на знание параметров конфигурационного файла OpenVPN. Ответ на него можно посмотреть в официальной документации.

Данный параметр наиболее часто используется в конфигурациях openvpn.

Ответ: subnet

Вопрос 9.
Какую топологию нужно указать для выделения клиентам OpenVPN маски /30?

Вопрос на знание параметров конфигурационного файла OpenVPN. Ответ на него можно посмотреть в официальной документации.

На практике указанный параметр мне использовать не приходилось.

Ответ: net30

Вопрос 10.
Укажите полный путь к профилю пользователя графического киоска, если имя пользователя user2.

А далее пойдёт череда вопросов на звание «знатока расположения директорий с конфигурационными файлами киска и киоска-2». Говорят, даже отдельный сертификат выдадут, позволяющий работать в киоске (но это не точно).

Графический киоск — полезный механизм, позволяющий ограничить возможности пользователя с помощью графических, но не функциональных ограничений.

В своей организации я использую графические киоски на трёх компьютерах:

Компьютер, на котором организовано дежурство специалистов связи — используется Zabbix.

На данном компьютере графический киоск функционирует в режиме одного приложения Firefox. Сделано это не для безопасности информации, а просто чтобы не делали лишних движений (специалист заходит в сессию и сразу открывается Zabbix).

Так называемая «Доска объявлений».  Китайский rdp клиент на базе ARM в коридоре подключается к сессии с активированным графическим киоском. В данной сессии с помощью скрипта запускаются презентации в режиме полного экрана (разрешён LIbreOffice).

Мониторинг состояния серверов, выполненный также в виде китайского rdp клиента, подключаемый к сессии с киоском и запускающий Firefox, в котором открывается Grafana.

Также в моей практике есть случай, когда из-за плохо настроенного киоска на базе Windows я компрометировал систему одного крупного медицинского центра Воронежа :-).

Я сразу сообщил их администратору, когда понял масштабы бедствия, ожидая супругу находящуюся на приёме у врача. Возможно, однажды расскажу подробнее в блоге об этом случае.

Ответ: /etc/fly-kiosk/user2

Вопрос 11.
В каком каталоге хранятся профили пользователей parsec-kiosk2?

В системном киоске (parsec-kiosk2) каталог с профилями пользователей был переименован и переехал в директорию parsec.

К слову системный киоск является более гибким в настройке, а его защита усилена по сравнению с киоском графическим.

Ответ: /etc/parsec/kiosk2

Вопрос 12.
Укажите полный путь к каталогу, в котором хранятся системные профили, для parsec-kiosk2.

Системные профили хранятся в каталоге kiosk2-profiles. Сам ещё не пробовал использовать системный киоск, поэтому каких-то практических замечаний дать не могу.

Ответ: /etc/parsec/kiosk2-profiles

Вопрос 13.
С помощью какого параметра можно включить один профиль в другой в настройках системного киоска Киоск-2?

Изучая конфигурационный файл bash-ssh в каталоге /etc/parsec/kiosk2-profiles, вы можете обнаружить параметр @include owner_home, который, вероятно, добавляет ряд разрешающих правил для владельца домашнего каталога из профиля owner_home. Данный профиль также расположен в каталоге kiosk2-profiles.

Ответ: @include

Вопрос 14.
По умолчанию PostgreSQL прослушивает порт …

Вопрос на знания работы базы данных PostgreSQL.

Задать номер соответствующего порта можно в конфигурационном файле

/etc/postgresql/11/main/postgresql.conf.

Посмотреть, какие порты слушает база данных можно с помощью команды:

ss -tlpn | grep postgres

Ответ: 5432

Вопрос 15.
Для назначения привилегии всем ролям в системе можно использовать специальное имя роли …

Ответ можно получить из документации postgresql:

The special “role” name PUBLIC can be used to grant a privilege to every role on the system. Also, “group” roles can be set up to help manage privileges when there are many users of a database — for details see Chapter 22.

Ответ: PUBLIC

Вопрос 16.
Укажите атрибут, при значении true которого пользователь (роль) в СУБД PostgreSQL может изменять классификационные метки объектов БД.

Ответ на вопрос можно найти в документации к операционной системе. Рекомендую использовать привилегии в исключительных случаях, которые на самом деле возникают достаточно редко.

Ответ: ac_capable_chmac

Вопрос 17.
Укажите атрибут, при значении true которого пользователь (роль) в СУБД PostgreSQL может изменять текущую классификационную метку своего сеанса в пределах, заданных её минимальным и максимальным значением.

Ответ на вопрос можно найти в документации к операционной системе. Рекомендую использовать привилегии в исключительных случаях, которые на самом деле возникают достаточно редко.

Ответ: ac_capable_setmac

Вопрос 18.
Как называется комплекс средств защиты в Astra Linux Special Edition, разработанный специалистами компании Astra Linux?

Данный вопрос был в тестировании AL-1702.

Где найти ответ на этот вопрос? Разумеется, в руководстве по КСЗ часть 1, страница 8: КСЗ (подсистема безопасности PARSEC) предназначен….

Ответ: PARSEC

Вопрос 19.
На базе какого дистрибутива разработан релиз Astra Linux Special Edition 1.7?

Данный вопрос был в тестировании AL-1702.

Ответ расположен как в каталоге /etc самой операционной системы, так и на сайте производителя.

Ответ: Debian 10 (buster)

Вопрос 20.
Как с помощью ufw разрешить доступ по ssh?

Как говорилось ранее, ufw призван упростить настройку межсетевого экрана для пользователей операционной системы. Поэтому неудивительно, что разрешить ssh можно столь простым способом. Единственный нюанс — выполнить эту команду нужно пользователем root либо с помощью sudo.

Ответ: ufw allow ssh