Установка секрет нет на астра линукс

Обновлено: 04.07.2024

Под возможностью установки я понимаю различия архитектуры СЗИ и требования к наличию аппаратной части. К примеру, Dallas Lock (или Страж NT) перехватывают управление компьютером на этапе загрузки, не позволяя запуститься операционной системе, пока пользователь не введет пароль и не предъявит идентификатор. Различие в реализации этого механизма — Страж NT для этого использует PCI-плату расширения, которую необходимо установить внутрь ПК (в новых версиях это необязательно, в версии 2.5 тоже заявлялось, но не работало было проще воспользоваться другим СЗИ). Соответственно, на ноутбук ставился, например, Dallas Lock — вся реализация доверенной загрузки полностью программна.

Под уровнем взаимоотношений с поставщиками следует читать «возможный процент с перепродажи». Последнее время удается убедить начальство и в пунктах «качество тех.поддержки», «удобство эксплуатации».

Применение

Практически все заказы требуют аттестации локальных автоматизированных рабочих мест (АРМ). Соответственно, сетевые версии защитного ПО редко получается пощупать используются. В автономных же версиях все просто — фаворитом является Secret Net, за весьма удобную, простую и понятную настройку — полное встраивание в компоненты Windows (оснастки консолей), четкое разграничение доступа. На втором месте Страж NT — настройка более сложна и механизм мандатного контроля доступа несколько неочевиден пользователям. Dallas Lock, касательно версии 7.5, использовался крайне редко в следствии отсутствия контроля USB-устройств. С появлением версии 7.7 ситуация изменится — не в последнюю очередь из-за ценовой политики.

В сетевом варианте (соответственно, рассматриваем только Secret Net и Dallas Lock) ситуация противоположная. И менее простая. С одной стороны, удобство настроек Secret Net'а никуда не делось. Да и встраивание в Active Directory, работа через механизмы ОС достаточно проста и понятна. С другой стороны, все возможности сетевой версии (конкретно Сервера Безопасности, по терминологии Secret Net) состоят в удаленном сборе журналов, тогда как АРМ администратора безопасности в Dallas Lock позволяет удаленное манипулирование всеми настройками безопасности каждого подключенного клиента. Зачастую это является решающим фактором в выборе СЗИ. Однажды мне пришлось выслушать много удивления и разочарования от администратора заказчика, когда он увидел свою обновленную вотчину. К сожалению, заказчик завязан на «Информзащите» и приобрести продукт «Конфидента» было невозможно.

Проблемы

Многие ошибки возникают просто из-за невнимательности или непонимания принципов работы конкретного СЗИ. Понятно, что справка/руководство спасет отца русской демократии поможет в разрешении ситуации, однако зачастую проще вызвать интегратора системы защиты. Естественно, проблема будет устранена — но потеряно время. Как заказчика, так и интегратора. Я хочу поделиться личным опытом, который возможно поможет в разрешении наиболее типичных жалоб пользователя.

Secret Net

Фаворит — он везде фаворит

image

Многие проблемы возникают из-за незнания практически фундаментального свойства установленного СЗИ — все папки создаются в файловой системе всегда несекретными, а файлы — с текущим уровнем секретности сессии, который можно проверить во всплывающем окошке:


Встречаются ситуации, когда производится установка ПО в режиме, отличном от «не секретно». Конечно, стоит перелогиниться и выбрать не секретную сессию, чтобы все заработало:

image

В случае, когда на АРМ допустимо использовать USB-флэш накопители, бывает невозможно скопировать большие объемы данных, рассортированных по папкам. Здесь все то же самое — вновь созданная папка стала несекретной, а файлы автоматом получают текущий гриф. Если же использовать флэшки запрещено, то при попытке подключения таковой ПК блокируется — за это отвечают выделенные два параметра, выставленные в «жесткий»:


Если пользователи непрерывно жалуются на медленную работу компьютера, а в организации используется антивирус Касперского, стоит проверить версию — часто версия 6.0.3 оказывается несвоместима с SecretNet 5.x. Вот так тормоза точно исчезнут:

И напоследок — небольшая тонкая настройка может сильно облегчить жизнь пользователям и сохранить их нервы, если обратиться к ветке реестра HKLM\System\CurrentControlSet\Services\SNMC5xx\Params (для 5.х версий), где можно найти два строковых параметра — MessageBoxSuppression (и второй -ByDir), где указываются расширения файлов или папки, для которых не будут выводиться диалоговые окна о повышении категории конфиденциальности ресурса.

Страж NT

Для этого СЗИ проблемы встречаются гораздо реже (как минимум у наших клиентов), что может говорить о более дружелюбном к пользователю механизму защиты.

Непонимание в случае данного ПО связано с необходимостью выбора уровня секретности каждого приложения отдельно и невозможности делегировать какие-либо права стандартному проводнику. Соответственно, если на АРМ есть прописанные USB-флэш диски и они секретны, попытка открыть их проводником приведет к ошибке доступа. Следует выбрать установленный файловый менеджер, выбрав при запуске гриф допуска, соответствующий секретности флэшки.

Также, если при открытии документа Word/Excel сначала появляется окно выбора грифа секретности, а далее разворачивается окно соответствующего редактора без запрошенного документа — это нормально. Следует открыть файл повторно, используя уже само офисное приложение.

Dallas Lock

Как и в случае Стража, ошибок крайне мало — не подходили пароли, пропадал параметр «категория конфиденциальности» с окна логина и ошибка привязки электронного идентификатора.

Первая ошибка связана с возможным использованием двух паролей — для Dallas Lock'а и Windows можно установить разные, в том числе и случайно (например, сменой пароля администратором). В подобном случае можно после загрузки окна приветствия Windows ввести пароль Dallas Lock и нажав «ОК» в диалоге несовпадения пароля СЗИ и ОС, ввести пароль пользователя Windows и отметить галочку «Использовать в Dallas Lock».

Вторая связана со скрытым по-умолчанию полем выбора грифа сеанса. Бывает, пользователи забывают об этом — а потом жалуются, что не могут попасть даже в папки с грифом ДСП.

Электронный идентификатор может не привязываться, если эту операцию делают для администратора, или если используемый токен не подходит по версии. Так, в версии 7.5 применимы eToken 64k с драйвером eToken RTE. Давно доступный eToken PKI не подойдет, равно как и eToken 72k Java, к примеру.

Для продолжения установки без просмотра лицензионного соглашения введите "Нет". Появится запрос на принятие положений лицензии. Перейдите к п. 4.

  • 3. Ознакомьтесь с текстом лицензии. Для выхода из режима просмотра текста лицензии нажмите клавишу. В окне эмулятора терминала появится запрос на принятие положений лицензии.
  • 4. Если вы принимаете положения лицензии, введите "Да". Появится запрос на ввод серийного номера.

Если вы не принимаете положения лицензии, введите "Нет". Программа установки завершит свою работу.

5. Введите серийный номер.

Для установочных пакетов RPM и DEB файл лицензии для демонстрационной версии включен. Для пакетов SH при установке необходимо указывать файл лицензии.

После успешной проверки файла лицензии появится запрос на выбор варианта установки: полная версия или консольная версия продукта (Рисунок 1).

Варианты установки

Рисунок 1 - Варианты установки

6. Введите вариант установки. Рекомендуется установка полной версии. Программа установки перейдет к третьему этапу - копированию файлов в каталог /opt/secretnet. По окончании копирования программа установки перейдет к четвертому этапу - настройке конфигурации системы (Рисунок 2).

копирование файлов в каталог /opt/secretnet, настройка конфигурации системы

Рисунок 2 - копирование файлов в каталог /opt/secretnet, настройка конфигурации системы

7. Введите и подтвердите пароль загрузчика. Пароль должен содержать не менее 8 символов и не должен совпадать с каким-либо паролем пользователей системы.

Пароль загрузчика обеспечивает защиту от изменений пользователем параметров ядра при старте системы. Для изменения параметров ядра при старте системы необходимо в grub ввести имя пользователя и указанный пароль загрузчика.

Ввод нового пароля суперпользователя root

Рисунок 3 - Ввод нового пароля суперпользователя root

8. Введите и подтвердите новый пароль суперпользователя root.

После успешного обновления пароля суперпользователя root программа установки создаст группу системных учетных записей snlogger и выполнит настройку параметров системы.

  • 9. Для завершения установки нажмите клавишу ENTER.
  • 10. Перезагрузите компьютер.

Ольга Белоногова

К сожалению у меня установлена именно эта версия((
Мне нужно доустановить пакет samba.
ОС просит диск Astra Linux 2.11.3 orel 64
Версия 2.12. не подходит
ссылки на яндекс миррор нерабочие(
Может у кого-нибудь осталось? Не хочется сносить ось

Шурик Попов

Дмитрий Симонин

Добрый вечер. Подскажите ставил кто нибудь secret net lsp на астру ?

DELETED

Ольга Белоногова

Шурик, Получилось, спасибо.
Следующая проблема не получается установить kes 10 sp1. Вернее всё устанавливается, но ругается на лицензию и пишет повреждены базы(((

Шурик Попов

Марина, при установке указывали путь к лицензионному ключу?

Ольга Белоногова

Шурик, Шурик, Ключ пытались подцепить с центра управления.
Сегодня пытались вручную kesl-control —install-active-key /путь00000001.keу
в ответ ошибка активации ключ не подходит.
При чем тот же самый ключ хорошо работает на других машинах где другая ОСь

Шурик Попов

Ольга Белоногова

удалось подсунуть другой ключ. Во всяком случае в консоли выдало - успешно установлен.

Но в центре управления по прежнему ошибка - лицензия не вступила в действие.

Александр Белошапкин

орел с офф сайта какой то багнутый, из под uefi не хочет ставится, а с обычного биоса ставится но когда начинается установка програмного обеспечения выдает ошибку и ставится голый без офиса и т.д

Роман Мылицын

Александр, все нормально ставится, проверьте контроьлные суммы образа или носитель с которого ставите систему


Система защиты информации Secret Net LSP 1.9 получила поддержку новых дистрибутивов Linux

Компания «Код безопасности» объявила о выпуске новой версии продукта Secret Net LSP 1.9, предназначенного для защиты рабочих станций и серверов под управлением ОС Linux от несанкционированного доступа.

Представленное российским разработчиком решение позволяет предприятиям минимизировать финансовые и репутационные риски, связанные с утечкой конфиденциальной информации. Продукт обеспечивает защиту входа в систему, разграничение доступа к ресурсам и устройствам, регистрацию событий ИБ, контроль целостности данных и ключевых компонентов ОС, а также аудит действий пользователей. Помимо этого, Secret Net LSP позволяет привести используемые в организации автоматизированные системы в соответствие требованиям регулирующих документов по защите конфиденциальной информации, персональных данных и государственной тайны.


В обновлённой версии Secret Net LSP 1.9 появился модуль «Замкнутая программная среда», предназначенный для контроля запуска приложений и скриптов в защищаемой системе (разрешается запуск только указанных IT-администратором исполняемых объектов), реализована интеграция со средствами доверенной загрузки «Соболь» 3.0 и 4.2, добавлена поддержка персональных идентификаторов JaCarta-2 ГОСТ и JaCarta-2 PKI/ГОСТ, предназначенных для двухфакторной аутентификации пользователей, а также существенно расширен список поддерживаемых операционных систем. Сообщается о поддержке дистрибутивов «Альт Рабочая станция 8», «Альт 8 СП», «Лотос», «Ред ОС 7.1 Муром», Astra Linux Common Edition 2.12, Astra Linux Special Edition 1.6, CentOS 7.6, Debian 9.5, Oracle Linux 7.6 и Red Hat Enterprise Linux 7.6.

Читайте также: