Режим замкнутой программной среды astra linux что это

Режим замкнутой программной среды astra linux что это

Настройка запуска в режиме ЗПС (Astra Linux SE, версия 1.6 и 1.7)

В ОС Astra Linux SE поддерживается особый режим замкнутой программной среды (ЗПС), в котором запускаются только приложения, исполняемые файлы которых подписаны цифровой подписью разработчика, чей открытый ключ добавлен в перечень ключей, которым доверяет ОС.

По умолчанию компоненты Dr.Web для файловых серверов UNIX, поставляемые для исполнения в среде Astra Linux SE, подписаны цифровой подписью компании «Доктор Веб», а открытый ключ для этой цифровой подписи автоматически добавляется в перечень доверенных при установке программы, в связи с чем Dr.Web для файловых серверов UNIX должен корректно запускаться при активизации режима ЗПС в ОС Astra Linux SE версии 1.5 и более старой.

Начиная с версии 1.6, в ОС Astra Linux SE механизм подписи был изменен. Для обеспечения запуска Dr.Web для файловых серверов UNIX в режиме ЗПС в ОС версий 1.6 и 1.7 необходимо выполнить предварительные настройки системы.

Чтобы настроить Astra Linux SE версий 1.6 и 1.7 для запуска Dr.Web для файловых серверов UNIX в режиме ЗПС

1. Установите пакет astra-digsig-oldkeys с установочного диска ОС, если он еще не установлен.

2. Поместите открытый ключ компании «Доктор Веб» в каталог /etc/digsig/keys/legacy/keys (в случае отсутствия каталога его необходимо создать):

# cp /opt/drweb.com/share/doc/digsig.gost.gpg /etc/digsig/keys/legacy/keys

3. Выполните команду:

# update-initramfs -k all -u

Режим замкнутой программной среды astra linux что это

Средства создания замкнутой программной среды предоставляют возможность внедрения цифровой подписи в исполняемые файлы формата ELF, входящие в состав устанавливаемого СПО.

Механизм контроля целостности исполняемых файлов и разделяемых библиотек формата ELF при запуске программы на выполнение реализован в модуле ядра ОС digsig_verif, который является не выгружаемым модулем ядра Linux, и может функционировать в одном из следующих режимов:
— исполняемым файлам и разделяемым библиотекам с неверной ЭЦП, а также без ЭЦП загрузка на исполнение запрещается (штатный режим функционирования);
— исполняемым файлам и разделяемым библиотекам с неверной ЭЦП, а также без ЭЦП загрузка на исполнение разрешается, при этом выдается сообщение об ошибке проверки ЭЦП (режим для проверки ЭЦП в СПО);
— ЭЦП при загрузке исполняемых файлов и разделяемых библиотек не проверяется (отладочный режим для тестирования СПО).

Отредактировано: Raijin 2022.06.21 11:38:13
#2 2022.06.21 11:47:24
Raijin Сообщений: 2877
Администратор

Включение замкнутой программной среды

В каталог /etc/digsig/keys необходимо поместить(при наличии) переданный открытый (публичный) ключ (например, ключ в файле компания_pub_key.gpg)

В файле /etc/digsig/digsig_initramfs.conf установить параметры:

/etc/digsig/digsig_initramfs.conf писал(а)

DIGSIG_ENFORCE=1
DIGSIG_LOAD_KEYS=1

Двнные параметры в файле и во все могут отсуствовать. Необходимо ввести с нуля.

update-initramfs -u -k all

Перезагрузить компьютер.
Без открытого ключа (*_pub_key.gpg) Вашей компании, возможна работа только пакетов из состава дистрибутива операционной системы специального назначения «Astra Linux Special Edition«.

Для подписи Ваших пакетов воспользуйтесь этим сценарием скачать Для доступа к ссылке необходимо авторизоваться (потребуется заменить идентификатор ключа).

Перед подписыванием пакетов необходимо импортировать закрытый и открытый ключи переданные Вашей организации Для доступа к ссылке необходимо авторизоваться (gpg —import ***.gpg, gpg —import ***.key).

Посмотреть идентификатор импортированного ключа можно командой gpg —list-keys.

Отдельные файлы ELF можно подписать командой bsign -s, закрытый и открытый ключи переданные Вашей организации Для доступа к ссылке необходимо авторизоваться перед выполнением команды должны быть импортированы.

Режим замкнутой программной среды astra linux что это

В этом разделе описаны действия, которые требуется выполнить, чтобы запустить приложение в операционной системе Astra Linux Special Edition.

Для Astra Linux Special Edition (очередное обновление 1.7) и Astra Linux Special Edition (очередное обновление 1.6)

Чтобы запустить приложение в операционной системе Astra Linux Special Edition (очередное обновление 1.7) или Astra Linux Special Edition (очередное обновление 1.6):

1. Укажите следующие параметры в файле /etc/digsig/digsig_initramfs.conf: DIGSIG_ELF_MODE=1
2. Установите пакет совместимости: apt install astra-digsig-oldkeys
3. Создайте директорию для ключа приложения: mkdir -p /etc/digsig/keys/legacy/kaspersky/
4. Разместите ключ приложения (/opt/kaspersky/kesl/shared/kaspersky_astra_pub_key.gpg) в директории, созданной на предыдущем шаге: cp kaspersky_astra_pub_key.gpg /etc/digsig/keys/legacy/kaspersky/
5. Обновите образ initramfs: update-initramfs -u -k all

Для Astra Linux Special Edition (очередное обновление 1.5)

Чтобы запустить приложение в операционной системе Astra Linux Special Edition (очередное обновление 1.5):

1. Укажите следующие параметры в файле /etc/digsig/digsig_initramfs.conf: DIGSIG_LOAD_KEYS=1 DIGSIG_ENFORCE=1
2. Создайте директорию для ключа приложения: mkdir -p /etc/digsig/keys/legacy/kaspersky/
3. Разместите ключ приложения (/opt/kaspersky/kesl/shared/kaspersky_astra_pub_key.gpg) в директории, созданной на предыдущем шаге: cp kaspersky_astra_pub_key.gpg /etc/digsig/keys/legacy/kaspersky/
4. Обновите образ initramfs: sudo update-initramfs -u -k all

Работа с графическим пользовательским интерфейсом приложения поддерживается для сессий с мандатным разграничением доступа.

Установка и обновление десктопных редакторов в операционных системах Astra Linux в режиме замкнутой программной среды (ЗПС)

Десктопные редакторы не требуют постоянного подключения к Интернету и позволяют работать с файлами на компьютере в автономном режиме.

Ручная установка

Скачайте последнюю версию с нашего сайта

Последнюю версию десктопных редакторов всегда можно скачать по ссылкам на нашем сайте. Скачайте DEB-пакет для операционной системы Astra Linux.

Поддерживаются только 64-разрядные версии Linux.

После нажатия на кнопку «Скачать» в некоторых браузерах вам будет предложено выбрать папку для загрузки. Выберите папку и дождитесь окончания загрузки.

Подготовка к установке

Загрузите ключи для установки ПО Р7-Офис

sudo apt install ./r7-office-keys_1.0-1_all.deb

reboot

Установите\обновите пакет r7-office.deb

Перед установкой пакета r7-office.deb потребуется установить некоторые зависимости. Выполните следующую команду:

sudo apt-get install fonts-crosextra-carlito fonts-dejavu fonts-liberation fonts-opensymbol curl gstreamer1.0-libav gstreamer1.0-plugins-ugly libasound2 libc6 libcairo2 libgcc1 libgconf-2-4 libgtk-3-0 libstdc++6 libx11-6 libxss1 x11-common xdg-utils

Для установки\обновления пакета перейдите в ту папку, где он сохранен, и выполните команду

sudo apt install ./r7-office_версия_пакета.deb

Запустите десктопные редакторы

Теперь можно запускать редакторы. Для этого выполните в терминале следующую команду:

r7-office

Если вы предпочитаете использовать графический интерфейс, редакторы всегда можно найти в меню Приложения — Офис — Р7-Офис.

Установка\обновление с помощью репозитория

Добавьте ключ командой в терминале:

sudo curl -s https://download.r7-office.ru/repos/RPM-GPG-KEY-R7-OFFICE.public | sudo gpg --no-default-keyring --keyring gnupg-ring:/etc/apt/trusted.gpg.d/r7.gpg --import && sudo chmod 644 /etc/apt/trusted.gpg.d/r7.gpg

sudo echo "deb https://downloads.r7-office.ru/repository/r7-desktop-astra/ astralinux main" | sudo tee /etc/apt/sources.list.d/r7.list

Добавьте файл для авторизации в репозитории:

sudo vi /etc/apt/auth.conf.d/r7.conf

Если данной директории нет

Необходимо добавить данный файл:
/etc/apt/auth.conf

укажите в файле данные

machine downloads.r7-office.ru
login desktop
password gyxiLab84FByn7sCTd5JY

Измените доступ на файл:

sudo chmod 600 /etc/apt/auth.conf.d/r7.conf

Если директории /etc/apt/auth.conf.d нет, то выполнит эту команду:
sudo chmod 600 /etc/apt/auth.conf/etc/apt/auth.conf

Обновите информацию о пакетах:

sudo apt update

sudo apt install r7-office

Для проведения обновления на новую версию потребуется использовать команду пакетного менеджера:

sudo apt update

sudo apt install r7-office

и подтвердить выполнение операции.
Текущая версия отображается на Главная страница редактора в разделе О программе.
Перед обновлением потребуется сохранить открытые файлы на редактирование и закрыть редактор.

Установка\обновление используя графический интерфейс

Подготовка к установке используя графический интерфейс

2. Найдите скаченный файл

3. Кликните правой кнопкой мыши – «Открыть с помощью»

3. Выберите программу для установки пакета (в нашем случаи это QApt)

4. Нажмите установить пакет

5. Введите пароль от учетной записи (учетная запись должна иметь права на установку приложений)

6. Готово. В конце установки появится надпись «Завершено». После этого необходимо перезагрузить компьютер.

Установка зависимостей

• Пользователь должен иметь права на установку приложений
• Подключение к операционной системе не должно осуществляться через протокол RDP(в случаи c RDP, при установки система не будет запрашивать повышение прав и выдаст системную ошибку)

Перед установкой пакета r7-office.deb потребуется установить некоторые зависимости. Выполните следующее:

1. Нажмите Пуск — Системные — Менеджер пакетов Synaptic

2. Введите пароль администратора

3. Нажмите Поиск и введите fonts-opensymbol

4. В появившемся пакете нажмите правой кнопкой мыши — Отметить для установки

5. Повторите пункты 3-4 для следующих пакетов:

fonts-crosextra-carlito fonts-dejavu fonts-liberation fonts-opensymbol curl gstreamer1.0-libav gstreamer1.0-plugins-ugly libasound2 libc6 libcairo2 libgcc1 libgconf-2-4 libgtk-3-0 libstdc++6 libx11-6 libxss1 x11-common xdg-utils

6. После нажмите кнопку Применить для установки зависимостей

7. Соглашаемся с установкой и нажмите кнопку Применить

Установка\обновление пакета

1. Найдите скаченный файл

2. Кликните правой кнопкой мыши – «Открыть с помощью»

3. Выберите программу для установки пакета (в нашем случаи это QApt)

4. Нажмите установить пакет

5. Введите пароль от учетной записи (учетная запись должна иметь права на установку приложений)

6. Готово. В конце установки появится надпись «Завершено»

7. Заключительным шагом по установке редакторов будет активация лицензии.

Для этого в главном меню приложения перейдите во вкладку «О программе» ➔ «Загрузить файл лицензии» и укажите путь до файла лицензии «.lickey».

Активируйте лицензию

Заключительным шагом по установке редакторов будет активация лицензии.

Для этого в главном меню приложения перейдите во вкладку О программе > Загрузить файл лицензии и укажите путь до файла лицензии .lickey.

Или же вы можете воспользоваться альтернативным способом.

Для этого необходимо любым доступным для системного администратора методом поместить файл лицензии по указанному пути:

/etc/r7-office/license/license.lickey

Переименуйте ваш файл лицензии, чтобы он выглядел так: «license.lickey»

Где license.lickey — имя вашей лицензии.

Файл лицензии должен обладать правами на чтение и запись. Запись необходима для внесения в файл данных о первичной активации.

Так же возможно указать r7-office-desktopeditors —license-path=[каталог с лицензией] для активации.
Пример указания: r7-office-desktopeditors —license-path=./home/user/