54 
#/lib MyRule, отредактированная версия: : /lib MyRule. 
1. Обновите системную базу данных AFICK с помощью команды afick 
–u, чтобы отразить изменения, внесенные в файловый раздел. 
2. Измените содержимое файла /etc/fstab, удалив первые две строки. 
3. Из меню "Система" главного меню пользователя запустить 
графическую утилиту "Контроль целостности файлов" (afick-tk) для 
управления системой AFICK и проверить требуемую целостность, выбрав 
действие - сравнение с базой. 
4. После завершения проверки целостности: 
• указать дату и время последней обязательной проверки целостности 
в утилите afick-tk в меню «Файл - история»; 
• найти лог-файл, соответствующий выполненной обязательной 
проверке, в каталоге /var/lib/afick/archive (значение ГГГГММДДЧЧММСС 
в имени лог-файла должно соответствовать дате и времени проверки, 
указанным в предыдущем абзаце); 
• просмотреть найденный лог-файл с помощью команды less и найти в 
его секции #detailed changes запись о том, что нарушена целостность файла 
/etc/fstab (секция измененный файл: /etc/fstab); 
• проанализировать обнаруженную запись о нарушении целостности и 
определить параметры, соответствующие поведению нарушения 
целостности, и их текущие значения. 
1. Запустите терминал fly в «привилегированном» режиме командой 
sudo fly-term. 
2. Просмотрите загруженные модули ядра ОС и lsmod | Извлеките 
информацию о выгруженном терминале, используя grep 'digsig_verif' 
3. Просмотрите информацию о модуле digsig_verif с помощью 
команды modinfo digsig_verif. Определите местоположение и информацию 

55 
о разработчике модуля digsig_verif. 
4. Импортировать открытые ключи, используемые для проверки 
электронных подписей файлов. Для этого выполните следующие действия: 
• запустить каталог /root/.gnupg для просмотра текущих ключей с 
помощью команды gpg --list-sigs; 
• импортировать публичный ключ «RPA RusBITech AJ (PRIMARY 
RBT 
ROOT 
KEY 
2018)» 
командой 
gpg 
--import 
/etc/digsig/primary_key_2018.gpg; 
• импортировать открытые ключи partner_rbt_root_key_2018.gpg и 
build_system_rbt_root_key_2018.gpg (эти ключи используются для подписи 
файлов ОС) с помощью команды gpg --import /etc/digsig/key_file_name. 
1. Выведите список текущих ключей с помощью команды gpg --list-sigs. 
Определяем идентификатор первичного ключа «АО «НПО РусБИТех» 
(PRIMARY RBT ROOT KEY 2018)». 
2. Проверьте правильность электронной подписи файла /bin/dash с 
помощью команды bsign -w $(what dash). В строке «Signer:» укажите, каким 
идентификатором подписан этот файл. 
3. 
Перепишите 
открытый 
ключ 

56 
/etc/digsig/build_system_rbt_root_key_2018.gpg в каталог /etc/digsig/keys с 
помощью 
команды 
cp 
/etc/digsig/build_system_rbt_root_key_2018.gpg 
/etc/digsig/keys. 
4. Перейдите в каталог /etc/digsig и измените файл digsig_initramfs.conf 
(установите для DIGSIG_ELF_MODE значение 1). 
5. Проверьте правильность этого параметра, открыв настройку 
«Замкнутой программной среды» в «Панели управления». 
6. Проверьте правильность ключа, загрузив его в модуль digsig_verif с 
помощью команды digsig_initramfs (для поиска этой команды можно 
использовать команду find). 
7. Сгенерируйте дополнительный ключ ERI с помощью команды gpg --
full-generate-key. С помощью команды gpg: 
• выбрать пункт 15 «ГОСТ Р 34.10-2012», указать, что срок действия 
дополнительного ключа ЭРИ не ограничен, выбрав значение 0; 
• Укажите Real Name: rooterver, Email: root@server.test и получите ID 
пользователя: «Rootserver ». 
1. Выведите список текущих ключей с помощью команды gpg --list-sigs 
и укажите идентификатор ключа «rooterver ». 
2. Переместите файл /bin/dash в каталог /root, назовите новый файл 1.elf. 
3. Подпишите файл 1.elf новым ключом «rooterver » с 
помощью команды bsign-sign /root/1.elf. 
4. Покажите новую подпись файла с помощью команды bsign -w 
/root/1.elf и убедитесь, что идентификатор ключа ERI в строке «signer:» 
соответствует ключу «rooterver ». 
5. Включить простой режим проверки электронной подписи с помощью 
модуля 
digsig_verif, 
установив 
значение 
переключателя 
DIGSIG_ELF_MODE=1 
в 
конфигурационном 
файле 
/etc/digsig/digsig_initramfs.conf. 
6. Активируйте настройки командой sudo update -initramfs -u -k all, затем 
перезагрузите ОС и снова введите. 

57 
7. Запустите терминал Fly в режиме «привилегированное имя» с 
помощью команды sudo fly-term. 
8. Проверить включен ли нормальный режим работы модуля digsig_verif 
командой cat /sys/digsig/elf_mode (в файле /sys/digsig/elf_mode должно быть 
установлено значение «1»). 
9. Попробуйте запустить файл /root/1.elf, подписанный ключом 
"rooterver " (данный ключ не подписан мастер-ключом RPA 
"АО "НПО РусБИТех" (PRIMARY RBT ROOT KEY 2018" RBT ROOT KEY 
2018) )") и проанализируйте отображаемые ошибки. 
10. Установите значение переключателя DIGSIG_ELF_MODE=0 в 
конфигурационном файле /etc/digsig/digsig_initramfs.conf, активируйте 
настройки командой update -initramfs -u -k all, затем перезагрузите ОС и снова 
войдите. 
11. Выполнить команду /root/1.elf в «привилегированном» режиме 
терминала Fly и проанализировать отображаемые ошибки. 
12. Выйдите из работающего интерпретатора "dash" (файл 1.elf) с 
помощью команды exit. Активируйте настройки командой Update -initramfs -
u -k all, затем перезагрузите ОС и снова войдите. 
13. При наличии дополнительных ключей ERI (ключи необходимо 
получить у производителя и подписать подписью мастер-ключа «РПА 
РусБИТех») выполнить следующие действия (после этого имена файлов 
ключей sign_public.gpg - открытый ключ ), sign_secret.gpg — приватный 
ключ): 
• Очистить ключи в папке /root/.gnupg с помощью команды rm -r 
/root/.gnupg в «привилегированном» режиме терминала Fly; 
• импортировать ключи с помощью команд gpg --import sign_public.gpg; 
gpg - импортировать sign_secret.gpg; 
• импортировать публичный ключ с помощью команды gpg - import 
/etc/digsig/primary_key_2018.gpg; 
• Проверьте импорт ключей с помощью команды gpg --list-sigs и два 

58 
ключа должны отображаться; 
• добавить действительный ключ ERI в модуль digsig_verif с помощью 
команды cat /etc/digsig/build_system_rbt_root_key_2018.gpg>/sys/digsig/keys; 
• добавить новый ключ ERI в модуль digsig_verif с помощью команды cat 
sign_public.gpg>/sys/digsig/keys; 
• выполнить команду echo "1"> /sys/digsig/elf_mode для активации 
режима проверки электронной подписи файлов; 
• 
скопировать 
/root/1.elf 
в 
новый 
файл 
командой 
cp 
/root/1.elf/root/1signed.elf; 
• Запустите команду /root/1.elf и проанализируйте отображаемые ошибки 
(этот файл не должен запускаться, так как используется ERI-ключ 
«rooterver»); 
• Подпишите файл 1signed.elf командой bsign --sign/root/1signed.elf, 
затем проверьте электронную подпись командой bsign -w/root/1signed.elf; 
• запустить подписанный файл командой /root/1signed.elf и проверить на 
наличие ошибок; 
• Перезагрузите ОС и повторно войдите в нее, запустите терминал Fly в 
«привилегированном» режиме командой sudo fly-term; 
• проверить текущий режим модуля digsig_verif командой cat 
/sys/digsig/elf_mode (режим должен быть равен 0); 
• Перейдите в каталог /root, запустите файлы 1signed.elf и 1.elf, затем 
проанализируйте полученные результаты и появившиеся ошибки; 
• добавить ключи ERI в модуль digsig_verif командой cat 
/etc/digsig/build_system_rbt_root_key_2018.gpg> 
/sys/digsig/ 
keys 
и cat 
sign_public.gpg >/sys/digsig/keys, перезапустить файлы 1signed.elf, 1 .elf; а 
затем анализировать результаты. 
1. Сгенерируйте ключи и подпишите файл конфигурации. 
• запустить терминал Fly под учетной записью пользователя с помощью 
команды quick account; 
• Переместите файлы /etc/passwd и /bin/dash в каталог ~ и измените 

59 
владельца на user.user; 
• Выполните команду для генерации мастер-ключа доступа xattr-key-sign 
с помощью команды gpg--full-generate-key, выберите алгоритм (15) и задайте 
имя: xattr-key; 
• выполнить команду генерации ключа для доступа к xattr с помощью 
команды gpg --full-generate-key, выбрать алгоритм (15) и задать имя: xattr-key-
sign; 
• подписать ключ "xattr-key-sign" командой gpg --sign-key "xattr-key-
sign"> xattr-key-sign.gpg; 
• экспортировать ключ "xattr-key" командой gpg --export "xattr-key" xattr-
key.gpg; 
• проверить наличие подписанного ключа "xattr-key-sign" командой gpg 
--list-sigs (ключ "xattr-key-sign" должен быть подписан ключом "xattr-key"); 
• запомнить идентификаторы ключей "xattr-key" и "xattr-key-sign" (8 
байт-16 символов в шестнадцатеричном формате); 
• Создать хэш файла ~/passwd и записать в расширенные атрибуты с 
помощью команды bsign --hash ~/passwd (обратите внимание, что у 
пользователя не запрашивается ключ для разблокировки закрытого ключа); 
• создайте файл ~/.gnupg/gpg.conf со следующим содержимым: default-
key id_key_xattr-key-sign; 
• подпишите файл passwd командой bsign --sign ~/passwd; 
• проверить подпись файла passwd командой bsign -w ~/passwd; 
• скопировать ключи для работы с файловыми подписями (xattr-key-
sign.gpg и xattr-key.gpg) в каталог /etc/digsig/xattr_keys; 
• в графическом файловом менеджере перейти в директорию fly-fm 
"Домашний" и открыть в контекстном меню "Свойства", "Подпись" файла 
passwd; 
• Нажмите на кнопки «Загрузить ключ» и «Информация», чтобы 
убедиться в правильности созданного хэша и наличии подписи. 

Download 1.89 Mb.

Do'stlaringiz bilan baham: