Болтушкин Л.С., группа 712-2, лабораторная 2

Министерство науки и высшего образования Российской Федерации

Федеральное государственное автономное образовательное учреждение высшего образования

ТОМСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ СИСТЕМ УПРАВЛЕНИЯ И РАДИОЭЛЕКТРОНИКИ (ТУСУР)

Кафедра комплексной информационной безопасности электронно-вычислительных систем (КИБЭВС)

ЗАМКНУТАЯ ПРОГРАММНАЯ СРЕДА И КОНТРОЛЬ ЦЕЛОСТНОСТИ В ОПЕРАЦИОННОЙ СИСТЕМЕ ASTRA LINUX

Отчет по лабораторной работе №2

по дисциплине «Программно-аппаратные средства защиты информации»

Выполнил:

Студент гр. 712-2

_______ Л.С. Болтушкин

_______ 2026

Руководитель

Преподаватель кафедры КИБЭВС

_______ С.А. Пашкевич

_______ 2026

Введение

Целью данной лабораторной работы является приобретение навыков обеспечения информационной безопасности автоматизированных систем с помощью механизмов замкнутой программной среды и контроля целостности, реализованных в ОС Astra Linux Special Edition.

1 ХОД РАБОТЫ

1 Замкнутая программная среда в Astra Linux

Была запущена виртуальная машина Astra Linux и после загрузки ОС выполнен вход под высоким уровнем целостности. Далее открыта политика безопасности для «user1» и включен режим графического киоска, установив флаг «Режим графического киоска Fly» (рисунок 1.1).

Рисунок 1.1 – Включение режима графического киоска

Для того, чтобы пользователь мог начать работать в данном режиме, необходимо было задать перечень программ, разрешенных для запуска данному пользователю. Если в списке одно приложение, то при входе данного пользователя в систему приложение запустится автоматически. Если в списке несколько приложений, то запустится рабочий стол с этими приложениями. Все доступные каталоги, ярлыки и т.д. устанавливаются в соответствии с правами доступа пользователя. Была выбрана со списка программа «Таблица Libreoffice» (рисунок 1.2).

Рисунок 1.2 – Добавление программы в графический киоск

Для того, чтобы проверить изменения совершен вход под учетной записью «user1» (рисунок 1.3).

Рисунок 1.3 – Запуск системы с LibreOffice

Поскольку была добавлена только одна программа, то пользователь user1 имеет право создавать и обрабатывать документы с помощью выбранного приложения. Чтобы выйти из системы необходимо нажать «Файл/Выйти из LibreOffice».

Далее были добавлены еще несколько программ в режиме графического киоска (рисунок 1.4).

Рисунок 1.4 – Добавление программ в графический киоск

Для того, чтобы убедиться в корректности работы киоска с несколькими программами снова совершен вход под учетной записью «user1» (рисунок 1.5). На рабочем столе видно, что отобразились только те программы, к которым администратор дал доступ

Рисунок 1.5 – Рабочий стол пользователя в режиме киоска

Далее была открыта вкладка ЗПС, где ограничен запуск программ пользователю с помощью контроля ЭП исполняемых файлов. Так как все исполняемые файлы, входящие в состав ОС, имеют встроенную ЭП, был создан самоподписанный файл, для которого система будет считать ЭП неверной (рисунок 1.6).

Рисунок 1.6 – Создание ключа ЭП

Далее был скопирован исполняемый файл, который находится по пути «Файловая система/usr/games/kpat» в папку /share, открыты свойства данного файла и нажата вкладка «Подпись», где можно увидеть, что данный файл подписан ЭП и она верна (рисунок 1.7).

Рисунок 1.7 – Проверка наличия электронной подписи

Создана копия данного файла в папке /share с именем kpat2 и совершена попытка переподписать копию файла kpat своими ключами (рисунок 1.8).

Рисунок 1.8 – Создание новой ЭП

Далее включена ЗПС, контролируя ЭП в исполняемых файлах, утверждено включение механизма и перезапущена система (рисунок 1.9).

Рисунок 1.9 – Включение ЗПС

На рисунке 1.10 представлена информация о ключе, который только что был создан через консоль.

Рисунок 1.10 – Информация о ключе

Далее скопирован файл /bin/dash в каталог /root, указав при этом новое имя файла 1.elf командой «cp /bin/dash /root/1.elf». Подписан файл 1.elf новым ключом «rootserver» командой «bsign --sign --pgoptions="--default-key=XXXXXXXXXXXXXXXXXXXXXX" /root/1.elf».

Значение идентификатора ключа для rootserver было просмотрено командой «gpg --list-sigs».

Далее выведена новая подпись файла командой «bsign -w /root/1.elf» и проверено соответствие идентификатора ключа ЭП в строке «signer:» данным ключа «rootserver» (рисунок 1.11).

Рисунок 1.11 – Данные ключа

Далее активированы настройки, проверено включение штатного режима функционирования модуля dipsig_verif и выполнена попытка запуска файла /root/1.elf.

2 Контроль целостности

Под учетной записью astra-admin был создан документ, на который в дальнейшем будет установлен контроль целостности (рисунок 2.1).

Рисунок 2.1 – Создание документа с информацией

После того как был создан документ его необходимо поставить на контроль целостности, на рисунке 2.2 представлен раздел «Редактирование», где указан путь к документу.

Рисунок 2.2 – Указание правильного пути документа

Далее сохранен, перезаписан конфигурационный файл и проверена конфигурация (рисунок 2.3).

Рисунок 2.3 – Конфигурация выполнена успешно

Далее нажата кнопка «Обновление базы» для того, чтобы ОС проверила имеющиеся файлы на наличие угроз целостности, а также сформировала эталон для добавленного документа (рисунок 2.4).

Рисунок 2.4 – Обновление базы

Далее совершена сверка текущего состояния контролируемых файлов с эталонами (рисунок 2.5).

Рисунок 2.5 – Сравнение с эталонами значениями

Далее был открыт ранее созданный документ и внесены изменения в его содержимом для проверки работы механизма контроля целостности.

Документ был сохран и проведено сравнение с базой эталонов, где программа отобразила, что было найдено изменение в файле (рисунок 2.6).

Рисунок 2.6 – Изменения целостности документа

Также с утилитой Afick можно работать в консоли. Создан документ Doc.odt в папке Документы командой «nano /home/astra-admin/Документы/Doc.odt», а после добавлен на контроль целостности через конфигурационный файл (рисунок 2.7).

Рисунок 2.7 – Редактирование конфигурационного файла

Далее обновлена база данных с помощью команды «sudo afick -u -c /etc/afick.conf» и произведена сверка данных с базой данных через команду «sudo afick -k -c /etc/afick.conf» (рисунок 2.8).

Рисунок 2.8 – Информация об измененных файлах

3 Индивидуальное задание

Для созданной ранее учетной записи «bls» был настроен графический киоск Fly и добавлены 3 программы, добавление и успешная проверка представлена на рисунках 3.1 – 3.2.

Рисунок 3.1 – Настройка графического киоска Fly

Рисунок 3.2 – Рабочий стол учетной записи «bls»

Далее был добавлен каталог на контроль целостности, создан в каталоге файл и изменено содержимое файла. После чего была проверена работоспособность контроля целостности через консоль, что представлено на рисунках 3.3 – 3.5.

Рисунок 3.3 – Добавление каталога в контроль целостности

Рисунок 3.4 – Создание файла в папке

Рисунок 3.5 – Добавление файла через консоль

Заключение

В ходе выполнения данной лабораторной работы были получены навыки обеспечения информационной безопасности автоматизированных систем с помощью механизмов замкнутой программной среды и контроля целостности, реализованных в ОС Astra Linux Special Edition.

Томск 2026