Astra Linux Special Edition: Режим замкнутой программной среды Skip to end of metadata

#1 2022.06.21 11:37:26

0

Средства создания замкнутой программной среды предоставляют возможность внедрения цифровой подписи в исполняемые файлы формата ELF, входящие в состав устанавливаемого СПО.

Механизм контроля целостности исполняемых файлов и разделяемых библиотек формата ELF при запуске программы на выполнение реализован в модуле ядра ОС digsig_verif, который является не выгружаемым модулем ядра Linux, и может функционировать в одном из следующих режимов:
- исполняемым файлам и разделяемым библиотекам с неверной ЭЦП, а также без ЭЦП загрузка на исполнение запрещается (штатный режим функционирования);
- исполняемым файлам и разделяемым библиотекам с неверной ЭЦП, а также без ЭЦП загрузка на исполнение разрешается, при этом выдается сообщение об ошибке проверки ЭЦП (режим для проверки ЭЦП в СПО);
- ЭЦП при загрузке исполняемых файлов и разделяемых библиотек не проверяется (отладочный режим для тестирования СПО).
Отредактировано: Panda 2022.06.21 11:38:13
#2 2022.06.21 11:47:24

0

Включение замкнутой программной среды

В каталог /etc/digsig/keys необходимо поместить(при наличии) переданный открытый (публичный) ключ (например, ключ в файле компания_pub_key.gpg)

В файле /etc/digsig/digsig_initramfs.conf установить параметры:

 /etc/digsig/digsig_initramfs.conf писал(а) 

DIGSIG_ENFORCE=1
DIGSIG_LOAD_KEYS=1


Двнные параметры в файле и во все могут отсуствовать. Необходимо ввести с нуля.

Выполнить:

update-initramfs -u -k all

Перезагрузить компьютер.
Без открытого ключа (*_pub_key.gpg) Вашей компании, возможна работа только пакетов из состава дистрибутива операционной системы специального назначения "Astra Linux Special Edition".

Перед подписыванием пакетов необходимо импортировать закрытый и открытый ключи переданные Вашей организации (gpg --import ***.gpg, gpg --import ***.key).

Посмотреть идентификатор импортированного ключа можно командой gpg --list-keys.

Отдельные файлы ELF можно подписать командой bsign -s, закрытый и открытый ключи переданные Вашей организации перед выполнением команды должны быть импортированы.
Отредактировано: Gusar82 2024.03.18 15:40:58