Министерство науки и высшего образования Российской Федерации

Федеральное государственное автономное образовательное учреждение высшего образования

ТОМСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ СИСТЕМ УПРАВЛЕНИЯ И РАДИОЭЛЕКТРОННИКИ (ТУСУР)

Кафедра комплексной информационной безопасности электронно-вычислительных систем (КИБЭВС)

УПРАВЛЕНИЕ ДОСТУПОМ К ПРОГРАММНОЙ СРЕДЕ В ОС ASTRA LINUX

Отчет по лабораторной работе №7

по дисциплине «Безопасность операционных систем»

Вариант №3

Студент гр. 712-2 ___________ Л.С. Болтушкин __________

Руководитель Преподаватель кафедры КИБЭВС

_______ __________ С.А. Пашкевич

__________

Томск 2024

Введение

Целью данной лабораторной работы является изучение механизмов ограничения доступа к программному обеспечению в операционной системе Astra Linux.

1 Ход работы

1.1 Управление графическим киоском

Первым делом необходимо было создать пользователя с инициалами, затем среди вкладок настроек для данного пользователя выбрать «Графический киоск Fly» и запущен режим графического киоска (рисунок 1.1).

Рисунок 1.1 – Включение графического киоска

Под данной настройкой в выпадающем меню доступны варианты использования графического киоска (рисунок 1.2).

Рисунок 1.2 – Режимы работы графического киоска

Для добавления приложения необходимо нажать на соответствующую кнопку в виде плюса под списком программ. В результате будет запущено окно, в котором можно задать все необходимые параметры запуска (рисунок 1.3).

Рисунок 1.3 – Окно добавления приложения

Добавить приложения можно по пути или через список доступных приложений по нажатию кнопки «Из меню», для примера был выбран режим графического киоска «Приложения на рабочем столе» и в киоск добавлены офисные приложения для работы с текстовыми и табличными данными (рисунок 1.4).

Рисунок 1.4 – Добавление необходимых приложений в киоск

Далее был совершен вход в учетную запись «bls_7122» и проверен успех настроенных параметров (рисунок 1.5).

Рисунок 1.5 – Пользователю доступны только заданные приложения

Также была совершена проверка на возможность создания файла на рабочем столе через диалоговое окно, система выдаст соответствующее уведомление (рисунок 1.6).

Рисунок 1.6 – Сообщение о невозможности создания файла на рабочем столе

Если попробовать запустить доступные пользователю программы и сохранить данные, внесенные в файл, то будет также ошибка (рисунок 1.7 и 1.8).

Рисунок 1.7 – Сообщение о невозможности сохранения файла

Рисунок 1.8 – Ошибка сохранения

Для того, чтобы профиль с настройками графического киоска можно было использовать для другого пользователя необходимо выбрать пользователя с настроенным киоском в категории «Пользователи» окна управления политиками безопасности и в меню «Графический киоск Fly». Под настройками разрешений будет доступно поле для ввода имени пользователя, которому необходимо скопировать заданные параметры (рисунок 1.9).

Рисунок 1.8 – Сохранение шаблона настроек киоска для пользователя

1.2 Управление системным киоском

Перед началом работы в данном разделе были отключены настройки графического киоска Fly.

Для доступа к оснастке «Системный киоск» необходимо нажать соответствующую кнопку внизу раздела (рисунок 1.9).

Рисунок 1.9 – Главное окно оснастки «Системный киоск»

На рисунке 1.10 представлено добавлено пользователя в системный киоск.

Рисунок 1.10 – Добавление пользователя

Для работы системного киоска, пользователю необходимо выбрать профили, представленные справа в главном окне программы. Каждый профиль отвечает за корректную работу определенного ПО (рисунок 1.11).

Рисунок 1.11 – Перечень доступных для настройки пользователю профилей

Любой из представленных профилей можно редактировать, для этого нужно выделить нужный профиль и нажать кнопку «Редактировать профиль» (рисунок 1.12).

Рисунок 1.12 – Окно редактирования профиля

Далее был рассмотрен пример некорректной настройки и результат работы системного киоска при заданных параметрах, для этого необходимо выбрать профили firefox и fly-desktop, которые необходимы для работы рабочего стола и браузера.

После выставления выбора и сохранения данных параметров высветится системное уведомление о необходимости сохранения (рисунок 1.13).

Рисунок 1.13 – Предупреждение о необходимости сохранения профиля

Далее была запущена сессия пользователя «bls_7122» и совершена попытка запустить приложения – рабочий стол не запускался, поскольку авторизация сбрасывалась.

Неправильность конфигурации системного киоска заключается в том, что были выбраны не все профили, которые задействуются при работе рабочего стола и firefox. Чтобы избежать данную проблему, существует режим глобальной записи. В режиме глобальной записи правил киоска для каждого пользователя киоска будет создан новый профиль, который будет содержать все действия пользователя, выполненные за период активности этого режима. Чтобы включить данный режим, нажмите на оранжевую кнопку «Record» (рисунок 1.14).

Рисунок 1.14 – Включение режима глобальной записи

Далее появится еще одно предупреждение о старте режима записи (рисунок 1.15), которое пока не следует трогать.

Рисунок 1.15 – Включенный режим глобальной записи

Не выходя из администратора, необходимо открыть вложенную сессию для настраиваемого пользователя. Для этого необходимо нажать «Пуск» - «Завершение работы» - «Новый вход» - «В окне» (рисунок 1.16).

Рисунок 1.16 – Открытие вложенной сессии

Далее от лица пользователя необходимо поработать с теми программами, к которым ему будет разрешен доступ. Были запущены такие программы, как Firefox, Libre Office Writer.

После выхода из сессии пользователя был совершен возврат к уведомлению из рисунка 1.15 и завершена настройка. Система уведомит об успешном создании профиля по сессии пользователя (рисунок 1.17).

Рисунок 1.17 – Уведомление об успешном создании профиля по сессии пользователя

После завершения, созданный профиль появится в списке доступных, где можно посмотреть какие права доступа установлены для тех или иных файлов (рисунок 1.18).

Рисунок 1.18 – Выбор созданного профиля в списке

Для того, чтобы добавить какое-либо дополнительное правило, необходимо нажать на «+», профили типа «fly…» должны быть включены даже после создания профиля в режиме записи, чтобы отдельно не включать данные профили в списке можно их включить в список используемых в созданном профиле на основе сессии (рисунок 1.19).

Рисунок 1.19 – Добавление используемых профилей