46 
Рисунок 3. Криптографические алгоритмы 
Проверяются следующие действия: 
• контрольные суммы, полученные с использованием заданного 
криптографического алгоритма (md5, sha1); 
• индекс объекта каталога или файла (i), его размер (size) и метки 
времени (mtime, ctime, atime); 
• UID и GID (пользователя, группы) каталога или файлового объекта, а 
также его права доступа (разрешения). 
Относительно 
организации 
подсистемы 
безопасности 
ОС 
дополнительно определены три действия: 
• e:parsec mac - контроль целостности обязательных символов 
безопасности файловых объектов; 
• t:parsec aud - контроль целостности данных системы аудита 
безопасности ОС; 
• gost: gost - контроль целостности файловых объектов с 
использованием криптографического алгоритма ГОСТ Р 34.11. 
В результате этих действий в разделе псевдонимов формируются 
обычные правила для каталогов (DIR), файлов конфигурации ОС (ETC) и 
файлов журналов аудита системы (логов). 
Например, правило для просмотра каталогов: 
DIR = p+i+n+u+g 

47 
указывает, следует ли выполнять проверки разрешений, метаданных, 
количества ссылок и других стандартных атрибутов. 
Кроме того, раздел действий содержит правила, специфичные для 
подсистемы безопасности PARSEC — PARSEConly, PARCEC и ГОСТ. 
Например, правило вида PARSEC: 
PARSEC = p+d+i+n+u+g+s+b+md5+m+e+t 
Проверка 
стандартных 
атрибутов 
файловых 
объектов 
с 
использованием криптографического алгоритма MD5 указывает на 
необходимость проверки расширенных атрибутов (меток безопасности и 
флагов аудита) и ACL этих файловых объектов. 
Внешний вид правила ГОСТ: 
GOST = p+d+i+n+u+g+s+b+gost+m+e+t 
Параметр gost указывает на необходимость проверки стандартных 
атрибутов файловых объектов с использованием криптографического 
алгоритма ГОСТ Р 34.11. 
files to scan В разделе сканирования файлов указаны полные пути и 
правила, применяемые к каталогам и файловым объектам, целостность 
которых регулярно проверяется. files to scan, формат записей в разделе 
сканирования файлов следующий: 
file action — проверяет каталоги, подкаталоги и файловые объекты с 
параметром «действие»; 
!file - file файл объектного файла сканируемых каталогов и 
подкаталогов; 
=directory action - с параметром "action" сканируется только каталог, а 
подкаталоги исключаются из проверки. 
Например: 
/boot GOST - GOST - проверить все подкаталоги и файлы в каталоге 
/boot по правилу ГОСТ; 
=/ DIR - DIR Проверять корневой каталог по правилу DIR, исключая 
только подкаталоги; 

48 
!/root/.bash_history - исключить проверку в корневом каталоге 
файлового объекта .bash_historys 
Суммарные и эталонные значения атрибутов файловых объектов и 
каталогов хранятся в базе данных AFICK в файле с расширением ndbm. Эта 
база данных создается в соответствии с параметрами раздела «файлы для 
сканирования» файла /etc/afick.conf. 
Результаты проверки целостности сохраняются в виде лог-файлов: 
• в случае обязательного (инициируемого администратором) 
мониторинга - в каталоге /var/lib/afick/archive в лог-файлах. Результаты 
обновления (обновления) базы данных системы AFICK сохраняются в лог-
файлах вида YYYYMMDDHHMMSS; 
• в случае планового (периодического, запускаемого службой cron) 
управления - в каталоге /var/log/afick.log в лог-файлах в формате имени 
afick.log.N (где N принимает значения от 1 до 7) . 
Инструмент для создания закрытой программной среды в ОС - 
незагружаемый модуль ядра ОС digsig_verif работает в трех режимах (методы 
проверки подписи в расширенных атрибутах используются так же, то есть с 
использованием параметра DIGSIG_XATTR_MODE, не только для ELF 
файлы): 
• Обычный режим — выполнение запрещено для исполняемых файлов в 
формате ELF и разделяемых библиотек с не-ES или некорректным ES 
(DIGSIG_ELF_MODE = 1); 
• режим проверки ЭП в системном программном обеспечении - 
разрешается запуск исполняемых файлов и общих библиотек формата ELF без 
ЭП или некорректной ЭП, но отображается сообщение об ошибке проверки 
ЭП (DIGSIG_ELF_MODE = 2); 
• Режим отладки для тестирования пакета системного программного 
обеспечения (устанавливается по заказу) - Исполняемые файлы и общие 
библиотеки в формате ES ELF не проверяются (DIGSIG_ELF_MODE = 0). 
Для выбора одного из вышеперечисленных режимов работы модуля 

49 
digsig_verif 
необходимо 
отредактировать 
конфигурационный 
файл 
/etc/digsig/digsig_initramfs.conf. 
Модуль digsig_verif управляется через графический интерфейс fly-admin-
smc или интерфейс файловой системы sysfs с помощью следующих файлов: 
• /sys/digsig/enforce - в этом файле указаны вышеперечисленные режимы 
работы; 
• /sys/digsig/key - файл для загрузки мастер-ключа ЭП; 
• /sys/digsig/additional - файл для загрузки дополнительных ключей ЭП. 
Каждый дополнительный ключ для подписи системного ПО должен 
находиться в каталоге /etc/digsig/keys. 
Дополнительные ключи создаются с помощью модифицированной 
команды gpg (GNU Privacy Guard) для использования криптографических 
алгоритмов ГОСТ Р 34.11-94 и ГОСТ Р 34.11-2012. 
Следующие команды используются при управлении средствами контроля 
целостности данных и управления их распространением, а также при работе 
со средствами создания замкнутой программной среды: 
• afick – команда управления параметрами системы контроля целостности 
файловых объектов; 
• bsign — команда для создания и проверки электронной подписи в ELF-
файлах; 
• digsig_initramfs - команда для загрузки ключей ERI и включения режима 
Enforce модуля digsig_verif; 
• fly-admin-int-check — графическая утилита для проверки целостности 
файловых объектов; 
• gpg - команда для работы с пользовательскими сертификатами; 
• lsmod — команда для получения списка загруженных модулей ядра; 
• modinfo — команда для получения информации об указанном модуле 
ядра; 
• md5sum, gossum, shasum - Контр. приказ о расчете суммы; 
• update -initramfs - команда запуска образа начальной загрузки ОС (initrd). 

50 

Download 1.89 Mb.

Do'stlaringiz bilan baham: