Secdel linux что это
По умолчанию в системе мандатного контроля доступа ОС Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) настроено 4 уровня конфиденциальности:
| Номер уровня | Название по умолчанию |
|---|---|
| 0 | Уровень_0 |
| 1 | Уровень_1 |
| 2 | Уровень_2 |
| 3 | Уровень_3 |
При необходимости, количество уровней конфиденциальности может быть увеличено до 255.
Для того, чтобы определить уровни конфиденциальности выше созданных по умолчанию,
и назначать их пользователям, необходимо:
-
в файле конфигурации мандатных атрибутов файловой системы /usr/sbin/pdp-init-fs
задать параметру sysmaclev значение, равное максимальному созданному уровню конфиденциальности
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Панель Управления ->
Безопасность ->
Политика безопасности ->
Мандатные атрибуты ->
Уровни целостности
Управление в консольном режиме:
userlev
0 Уровень_0
1 Уровень_1
2 Уровень_2
3 Уровень_3
Управление в графическом режиме с помощью графического инструмента fly-admin-smc :
Панель Управления ->
Безопасность ->
Политика безопасности ->
Мандатный контроль целостности
Управление в консольном режиме:
cat /proc/cmdline | grep "parsec.max_ilev"
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Панель Управления -> Безопасность -> Политика безопасности -> Мандатный контроль целостностиУправление в консольном режиме
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Панель Управления -> Безопасность -> Политика безопасности -> Замкнутая программная средаУправление в графическом режиме с помощью графического инструмента fly-admin-smc:
Панель Управления -> Безопасность -> Политика безопасности -> Настройки безопасностиУправление в консольном режиме
systemctl is-enabled astra-console-lock
enabled включен
disabled выключен
Failed to get unit file state . сервис не активирован
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Панель Управления -> Безопасность -> Политика безопасности -> Настройки безопасностиУправление в консольном режиме
systemctl is-enabled astra-interpreters-lock
enabled включен
disabled выключен
Failed to get unit file state . сервис не активирован
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Панель Управления -> Безопасность -> Политика безопасности -> Настройки безопасностиУправление в консольном режиме
cat /parsecfs/nochmodx
1 включен
0 выключен
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Панель Управления -> Безопасность -> Политика безопасности -> Настройки безопасностиУправление в консольном режиме
systemctl is-enabled astra-macros-lock
enabled включен
disabled выключен
Failed to get unit file state . сервис не активирован
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Панель Управления -> Безопасность -> Политика безопасности -> Настройки безопасности -> Параметры ядраУправление в консольном режиме
systemctl is-enabled astra-ptrace-lock
enabled включен
disabled выключен
Failed to get unit file state . сервис не активирован
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Панель Управления -> Безопасность -> Политика безопасности -> Настройки безопасности -> Политика очистки памятиУправление в консольном режиме
Добавить опцию монтирования secdel в файле /etc/fstabУправление в графическом режиме
Управление в консольном режиме
ufw status
Status: active включен
Status: inactive выключен
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Панель Управления -> Безопасность -> Политика безопасности -> Настройки безопасностиУправление в консольном режиме
systemctl is-enabled astra-ulimits-control
enabled включен
disabled выключен
Failed to get unit file state . сервис не активирован
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Панель Управления -> Безопасность -> Политика безопасности -> Настройки безопасности -> Параметры ядраУправление в консольном режиме
sysctl -w kernel.sysrq=0
sysctl -w kernel.sysrq=1
cat /proc/sys/kernel/sysrq
0 включен
1 выключен
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Панель Управления -> Безопасность -> Политика безопасности -> Замкнутая программная среда
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Панель Управления -> Безопасность -> Политика безопасностиУправление в графическом режиме с помощью графического инструмента fly-admin-kiosk:
Наверное у каждого на компьютере или сервере имеется очень ценная информация ( по мнению владельца). Этот пост для параноиков. Я в нем расскажу как можно удалить данные без возвратного восстановления.
Установка Secure-Delete на Unix/Linux
Установка Secure-Delete на Debian/Ubuntu/Mint
И так, чтобы установить, выполните команду:
Ничего сложного, просто установка пакета.
Установка Secure-Delete на CentOS/Fedora/RedHat
И так, чтобы установить, выполните команду:
PS: может и не быть такого пакета в ОС.
Установку для других Unix/Linux систем
Если не получилось установить утилиты с пакетов, то можно их собрать с исходного кода.
Скачиваем srm пакет и распаковываем его:
Для работы я нашел несколько пакетов, если кто-то знает больше просьба дополнить.
Использование Secure-Delete на Unix/Linux
После установки secure-delete получите:
- srm — Утилита которая удаляет данные(папки, файлы) на HDD.
- sdmem —Утилита которая удаляет все с оперативной памяти (RAM).
- sswap —Утилитакоторая удаляет все с раздела подкачки (SWAP).
- sfill —Утилитакоторая удаляет все со свободного пространства на жестком диске.
Начнём с первой, и самой полезной утилиты — Srm. Удаляет файлы и каталоги с жёсткого диска.
Работа с утилитой srm
Использование srm подобно rm, и для того чтобы удалить папку, используйте:
Удаление данных через данную утилиту занимает некоторое время, т.к это долгий процесс.
Работа с утилитой sdmem
Запуск в однопроходном режиме:
- -f использует не безопастный, быстрый режим: без режима /dev/urandom.
- -l снижение безопасности (двойное использование для полной не безопасности).
- -v подробный вывода экран.
Работа с утилитой sswap
Проверяем где находится раздел со swap-ом:
Выполняем отключение swap-а на /dev/sda2 разделе:
Выполняем очищение swap в однопроходном режиме:
- -f использует не безопастный, быстрый режим: без режимов /dev/urandom и synchronize.
- -l снижение безопасности (двойное использование для полной не безопасности).
- -r использует рекурсивный режим для удаление всех подкаталогов.
- -v подробный вывода экран.
- -z затирание нулями на последнем шаге (вместо случайных чисел).
Работа с утилитой sfill
PS: утилита sfill создает файл, который освободит ВСЕ свободное место.
- -f использует не безопастный, быстрый режим: без режимов /dev/urandom и synchronize.
- -l снижение безопасности (двойное использование для полной не безопасности).
- -r использует рекурсивный режим для удаление всех подкаталогов.
- -v подробный вывода экран.
- -z затирание нулями на последнем шаге (вместо случайных чисел).
Работа с утилитой shred
И так, удалим файл (стандартное использование):
Удалим тот же файл, но с заданным количеством проходов (например 66):
Чтобы удалить несколько файлов используйте:
Если захотите удалить ( очистить) весь HDD, используйте:
PS: Занимает довольно долгое время! Так же, shred не умеет удалять папки.
Работа с утилитой wipe
Для начала, установим утилиту
Другие Unix/Linux ОС:
Скачиваем wipe пакет и распаковываем его:
Для удаления каталога:
Для более подробной информации по командам, используйте хелп:
Довольно простая утилита.
Работа с утилитой dd
PS: Для подробного руководства, обратитесь:
Для заполнения раздела накопителя нулями:
Так же, возможное затирание случайными числами с использованием утилиты /dev/urandom:
Заполним раздел накопителя нулями:
Утилита pv будет отображать процесс выполнения очистки раздела ( не точное, но примерное ожидание).
Или с использованием рандомных чисел:
По завершению, данный файл удаляем:
Параметр bs можно изменить для быстроты работы утилиты dd. По умолчанию bs=512. Можно выставить в 4M, 1G.
Стандартные права (SUID, SGID, Sticky bit) в Unix/Linux
Unix является многопользовательской ОС и в основном, устроен так, что несколько пользователей могут работать одновременно. Таким образом, программа которая находится в памяти требует меньше времени чтобы начать свою работу. Таким образом, когда один пользователь только что использовал программу, а затем новый пользователь хочет использовать ту же самую программу, то 2-й юзверь не будет иметь временной задержки для инициализации утилиты.
Установка Sticky Bit
Выставляем sticky bit на файл:
Или можно еще использовать следующую команду:
Sticky bit, в основном используется в общих каталогах, таких как /var или /tmp, поскольку пользователи могут создавать файлы, читать и выполнять их, принадлежащие другим пользователям, но не могут удалять файлы, принадлежащие другим пользователям. Например, если пользователь (предположим bob) создает файл с именем /tmp/bob, то другой пользователь (допустим tom) не может удалить этот файл, даже если в каталоге /tmp есть разрешение 777. Если sticky bit не установлен, то tom юзер может удалить /tmp/bob, так как файл /tmp/bob наследует разрешения родительского каталога.
Использование SUID ( Set User ID) прав в Unix/Linux
setuid (сокращения от англ. set user ID upon execution — «установка ID пользователя во время выполнения) являются флагами прав доступа в Unix, которые разрешают пользователям запускать исполняемые файлы с правами владельца исполняемого файла. Иногда файлы требуют разрешения на выполнение для пользователей, которые не являются членами группы владельца, в этом случае вам потребуется предоставить специальные разрешения на выполнение. Когда SUID установлен, пользователь может запускать любую программу, такую как владелец программы.
Установка SUID бит на файл.
Если SUID бит установлен на файл и пользователь выполнил его. Процесс будет иметь те же права что и владелец файла.
Например: команда passwd имеет SUID bit. Когда обычный пользователь захочет изменит свой пароль в файле /etc/passwd или /etc/shadow, то у него ничего не получиться, т.к нужны права суперпользователя (процесс командны PASSWD всегда работает с правами суперюзера).
Теперь проверьте разрешения на файл с командой:
Чтобы выставить SUID для всех папок и файлов, используем:
Найти SUID файлы
Найти все SUID и SGID файлы:
Использование SGID ( Set Group ID ) прав в Unix/Linux
setgid (сокращения от англ. set group ID upon execution — «установка ID группы во время выполнения») являются флагами прав доступа в Unix, которые разрешают пользователям запускать исполняемые файлы с правами группы исполняемого файла.
Так же, как SUID , установив SGID бит для файла он устанавливает ваш идентификатор группы для группы файла в то время как файл выполняется. Это действительно полезно в случае когда у вас есть реальные установки в многопользовательском режиме где у пользователей есть доступ к файлом. В одной домашней категории я действительно не нашел использования для SGID. Но основная концепция является такой же, как и у SUID, файлы у которых SGID бит устанавливается, то они принадлежат к этой группе , а не к этому пользователю.
Установка бита SUID / SGID
Если SGID бит установлен на любой каталог, все подкаталоги и файлы, созданные внутри получат те же пермишены что и группы в качестве основного каталога.
Устанавливаем SGID на директорию:
Теперь, переключаемся на другого пользователя и создаем файл в папке /home/captain/test_dir:
В приведенном выше примере test_file.txt создался с группой root.
Чтобы выставить SGID для всех папок и файлов, используем:
Найти SGID файлы
Найти все файлы с использованием SGID бита, для root пользователя:
Найти все SUID и SGID файлы:
Зачем нужены SUID и SGID?
Есть достаточно много программ и файлов, которые должны принадлежать пользователю root, и в то же время – простые пользователи должны иметь возможность выполнять его. Для примера – утилита passwd, которая находится в каталоге /usr/bin/passwd и которая имеет дело с файлом /etc/passwd, редактировать который может только пользователь root.
Вот еще полезное чтиво:
Команда chmod также может использоваться для установки или отмены следующих значений в качестве префикса для обычных трех числовых привилегий:
fdisk — общее название системных утилит для управления разделами жёсткого диска. Широко распространены и имеются практически в любой операционной системе, но работают по-разному. Используют текстовый интерфейс пользователя.
Предупреждение: Не создавайте, не удаляйте и не изменяйте разделы, если вы не знаете, что вы делаете!
Утилита FDISK в Unix/Linux
С FDISK утилитой можно просматривать, создавать, изменять размер, удалять, копировать и перемещать разделы на жестком диске. И я приведу наглядные примеры по использованию.
Просмотр разделов в Unix/Linux
И так, запустим команду:
Вывод получаем следующий:
Можно узнать некоторую полезную информацию по конкретному блочному устройству. Например, следующая команда отобразит все разделы для /dev/sda:
Если у Вас есть разные названия устройств, простое имя устройства записи как /dev/sdb или /dev/sdc и так далее.
Вывод доступных команд по FDISK
Если вы хотели бы просмотреть все команды, которые доступны для FDISK, то просто используйте следующую команду, упомянув название жесткого диска, например /dev/sda, как показано ниже:
вывод все доступных команд для FDISK например для /dev/sda
Допустимые опции при работы с fdisk
Вывод всех партиций (разделов) в Unix/Linux
Чтобы вывести таблицу разделов вашего блочного устройства, используйте:
Создать таблицу разделов ( disklabel) в Unix/Linux
Если имеется пустое блочное устройство и вы хотите на нем сделать разметку для установки будущей ОС, то для начала, стоит выбрать будущую разметку.
Приеду основные таблицы для разметки:
Чтобы создать таблицу разделов вашего блочного устройства, используйте:
Данным действием было выбрано блочное устройство /dev/sda и чтобы создать на нем новую таблицу разделов, используем одну из опций:
И переходим к созданию разделов.
Создать новый раздел в Unix/Linux
И так, допустим у вас есть свободное место на одном из устройств ( у меня это /dev/sda) и вам необходимо создать новый раздел (например для установки ОС). Тогда вы должны запустить утилиту следующим образом (Введите следующую команду, чтобы войти в режим управления конкретного блочного устройства):
Как создать новый раздел в Linux fdisk
Можно еще создать несколько разделов. Действия будут какие же.
Форматирование разделов в Unix/Linux
После того, как разделы создали, необходимо выполнить форматирование. Но прежде чем перейти к данному действию, нужно определится с файловой системой (ФС).
Выбираем тип ФС и переходим к фармотированию.
Проверить размер раздела в Unix/Linux
Размер отображается в блоках.
Для вывода в гигабайтах (Гб), используйте:
Включение/Выключение загрузки флага (*) из раздела в Unix/Linux
При разметке, я обычно выделяю 100мб для раздела, в котором будет хранится загрузчик. И для этой цели, необходимо указать что именно с него будет выполнятся загрузка. И по этому, нужно указать нужный из разделов. Начнем:
Удалить раздел в Unix/Linux
Как удалить раздел в Linux fdisk
Использование fdisk в bash скриптах
Если хорошо знаешь команды, то можно написать небольшой баш-скрипт или просто использовать данную конструкцию в шеле оболочки, который эмулировал бы работу пользователя:
Я не буду объяснять что делает данные буквы, т.к я описывал все опции выше.
Добавить комментарий Отменить ответ
Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.
Читайте также: