1.3 Замкнутая программная среда

Еще один метод управления ограничениями на запуск программного обеспечения основан на проверках электронной подписи у исполняемых файлов. Настройка данной системы представлена на рисунке 1.20.

Рисунок 1.20 – Окно настройки замкнутой программной среды

Для включения замкнутой программной среды необходимо на панели управления перевести переключатель в положение «Включить» в обоих режимах панели управления. Первая настройка активирует штатный режим механизма для исполняемых файлов, а вторая – для всех файлов в системе.

После выполнения указанных действий выше будет выведено окно с уведомлением (рисунок 1.21).

Рисунок 1.21 – Уведомление о невозможности запуска неподписанных файлов

Следующее окно уведомит о рекомендации проверить корректность настроек в отладочном режиме (рисунок 1.22).

Рисунок 1.22 – Рекомендация проверить корректность подписи

На рисунке 1.23 представлено уведомление о необходимости перезагрузки для активации изменения.

Рисунок 1.23 – Уведомление о необходимости перезагрузки

После перезагрузки системы был снова открыт раздел «Замкнутая программная среда» и совершен переход во вкладку «Ключи» (рисунок 1.24).

Рисунок 1.24 – Содержание раздела «Ключи»

На рисунке 1.25 представлено создание ключа.

Рисунок 1.25 – Создание нового ключа

После нажатия «Да» откроется окно с необходимость вести пароль для защиты ключа (рисунок 1.26).

Рисунок 1.26 – Ввод пароля для защиты ключа

После того, как система получила согласие на создание ключа, будет выведено сообщение, представленное на рисунке 1.27.

Рисунок 1.27 – Информация о созданном ключе

Можно заметить, что в данном разделе появился созданный ключ и добавился в папку «xattr_keys».

Чтобы подписать файл, необходимо на боковой панели навигации выбрать вкладку «Подпись» и установить флаг «Подпись в бинарные файлы» (рисунок 1.28).

Рисунок 1.28 – Раздел «Подпись» в замкнутой программной среде

Если исполняемый файл уже был подписан, то в столбце «Подпись» соответствующей строки будет установлен символ «1», если в расширенные атрибуты файла уже была внедрена подпись, то в столбце «Расширенная подпись» будет установлен символ «1» (рисунок 1.29).

Рисунок 1.29 – Информация о наличии подписей файлов

Далее был рассмотрен процесс подписи файла, для этого выбран файл для подписи в таблице и нажата кнопка «Подписать».

Чтобы не повредить работе системы был выбран более безопасный каталог и протестирована работа подписи на нем, как вариант был подписан /usr/bin/apt. Система попросит предоставить информацию о ключе, который будет использоваться для подписи (рисунок 1.30).

Рисунок 1.30 – Выбор ключа для проставления подписи на файле

На следующем шаге было потребовано ввести фразу-пароль для доступа к ключу (рисунок 1.31).

Рисунок 1.31 – Запрос пароля на доступ к ключу

После окончания подписи будет выведено сообщение с полной характеристикой проделанных действий (рисунок 1.32).

Рисунок 1.32 – Информация о проделанной операции подписи

Далее было проверено влияние на систему подписей на файлах, которые система рекомендует не подписывать. Для этого в качестве примера был подписан ярлык запуска «Рисунок LibreOffice», для этого необходимо включить параметр «Подпись в расширенные атрибуты» и выбрать файл для подписи /home/bls_7122/.fly/startmenu /office/libreoffice-draw.desktop.

Если выбранный файл или папка влияют на функционирование системы, то высвечивается следующее окно (рисунок 1.33).

Рисунок 1.33 – Предупреждение о возможных проблемах загрузки системы

Проигнорировав предупреждение, был введен пароль для доступа к ключу, и операция подписи успешна выполнена (рисунок 1.34).

Рисунок 1.34 – Информация о проделанной операции подписи

Далее было проверено, что в таблице подписанных файлов данный элемент теперь подписан – в столбце «Расширенная подпись» значение изменилось с «0» на «1» (рисунок 1.35).

Рисунок 1.35 – Метка о наличии подписи у файла

Перезагрузив систему, был совершен вход в учетную запись «bls_7122» и проверен раздел «Офис» в меню «Пуск», можно заметить, что у пользователя перестал отображаться подписанный ярлык (рисунок 1.36).

Рисунок 1.36 – Отсутствие «Рисунок LibreOffice»

Однако, это не отключает само приложение, оно пропало лишь в разделе «Офис» (рисунок 1.37).

Рисунок 1.37 – Проверка доступности приложения в системе