Безопасность Astra Linux: настройка защиты и детектирование угроз
Введение
По данным BI.ZONE SOC, использование Astra Linux в инфраструктурах заказчиков за последние несколько лет заметно выросло, и 40% компаний применяют ее как рабочую ОС. Соответственно, растет и запрос на обеспечение ее безопасности.
Astra Linux содержит встроенные средства, которые «из коробки» обеспечивают высокий уровень защиты. Однако на практике многие параметры безопасности требуют ручной настройки под конкретную инфраструктуру и стоящие перед ней задачи.
В этой статье мы разберем ключевые защитные механизмы и покажем, как правильно их конфигурировать. Также рассмотрим правила детектирования, которые позволяют выявлять вредоносную активность.
Уровни защищенности в Astra Linux
Сертифицированная версия Astra Linux Special Edition отличается многоуровневой архитектурой защиты, благодаря которой ОС адаптируется под различные классы информационных систем: от офисных рабочих мест до комплексов, работающих с государственной тайной. Каждый уровень определяет набор активных механизмов защиты, степень жесткости политик безопасности и допустимость обработки данных определенной категории.
Общие принципы
Astra Linux реализует несколько режимов работы, которые называются уровнями защищенности. При установке или настройке администратор выбирает нужный. Этот выбор определяет:
- механизмы защиты, которые будут включены (мандатное управление доступом, мандатный контроль целостности, замкнутая программная среда и другие);
- степень контроля за действиями пользователей;
- возможность обрабатывать информацию разных уровней конфиденциальности.
Переключаться между уровнями позволяет специальная утилита astra‑modeswitch. При повышении уровня активируются дополнительные функции безопасности. При понижении часть механизмов отключается, чтобы сохранить стабильность и совместимость.
Базовый уровень защищенности («Орел»)
Базовый уровень — это минимальный набор средств защиты, при котором система использует дискреционную модель управления доступом.
Доступ к файлам и ресурсам определяется владельцами и традиционными Unix‑разрешениями. Мандатные механизмы отключены, а защита строится на стандартных средствах: правах доступа, PAM‑модулях, аудите и шифровании.
ОС базового уровня защищенности используется в информационных системах, не обрабатывающих конфиденциальные данные, где главная задача — защита от несанкционированного доступа на уровне пользователей и процессов.
Уровень «Орел», как правило, используют для:
- офисных рабочих станций;
- серверов общего назначения, не предназначенных для обработки информации ограниченного доступа;
- учебных и тестовых сред.
Усиленный уровень защищенности («Воронеж»)
Добавляет поверх базовой модели новые механизмы контроля и защиты целостности системы.
Основные компоненты:
- Мандатный контроль целостности (МКЦ) — предотвращает подмену или несанкционированное изменение системных файлов и конфигураций.
- Замкнутая программная среда (ЗПС) — ограничивает запуск приложений, разрешая выполнение только доверенных и подписанных бинарных файлов.
- Жесткая политика аудита и мониторинга событий безопасности.
Уровень «Воронеж» применяется в организациях, где требуется защита информации ограниченного доступа, в том числе коммерческой тайны и внутренних данных.
Примеры использования:
- корпоративные серверы с конфиденциальной информацией;
- ведомственные системы с ограниченным доступом;
- инфраструктура, в которой важно обеспечить целостность программного обеспечения.
Максимальный уровень защищенности («Смоленск»)
Максимальный уровень реализует полную мандатную модель безопасности.
Каждая сущность в системе (пользователь, процесс, файл, сокет и другие) получает метку конфиденциальности. Взаимодействие между объектами возможно только при строгом соответствии установленной политике безопасности.
На этом уровне подключаются следующие механизмы:
- Мандатное управление доступом (МРД) — разграничение взаимодействий между процессами и объектами по уровням конфиденциальности и категориям.
- Жесткий контроль информационных потоков — исключение несанкционированной передачи данных между различными уровнями конфиденциальности.
- Комплексный аудит событий безопасности, включающий все действия субъектов МРД.
Максимальный уровень предназначен для систем, обрабатывающих сведения, составляющие государственную тайну, а также для критических инфраструктурных объектов, требующих наивысшего уровня доверия.
Примеры использования:
- автоматизированные системы управления оборонной сферы;
- государственные органы и закрытые исследовательские центры;
- системы, обрабатывающие информацию ограниченного доступа, в том числе содержащую сведения, составляющие государственную тайну до степени секретности «особой важности» включительно.
Управление уровнями защищенности
Проверить текущий уровень можно командой:
sudo astra‑modeswitch —show
Чтобы изменить уровень защищенности, используется команда:
sudo astra‑modeswitch —set <уровень>
где <уровень> принимает значения:
0— базовый («Орел»);1— усиленный («Воронеж»);2— максимальный («Смоленск»).
После смены уровня необходимо перезагрузить систему, чтобы новые политики безопасности вступили в силу. Переход на более высокий уровень требует соответствующей настройки системных компонентов и может ограничить работу приложений, не поддерживающих МРД.
Механизм уровней защищенности делает ОС Astra Linux уникальной среди отечественных и зарубежных дистрибутивов. Администратор получает гибкий диапазон настроек — от стандартной рабочей станции до сертифицированной защищенной платформы, работающей с секретной информацией. Такой подход позволяет найти баланс между удобством и требованиями кибербезопасности, не прибегая к сторонним решениям.
Встроенные системы обеспечения безопасности
Astra‑safepolicy
Astra‑safepolicy — ключевой компонент администрирования подсистемой, предназначенный для мониторинга и управления политиками защиты на рабочих станциях и серверах. Он позволяет администраторам контролировать доступ пользователей к критическим ресурсам и предотвращать потенциальные угрозы. С его помощью можно централизованно включать и отключать меры защиты: блокировку системных команд, ограничение использования интерпретаторов, запрет монтирования внешних носителей, настройку межсетевого экрана и другие критически важные функции.
Каждая политика безопасности имеет состояние «включено» или «выключено», которое проверяется командой status. Это позволяет оперативно убедиться, какие защитные механизмы активны в данный момент.
Корректная конфигурация ОС позволяет обеспечить максимально эффективную защиту от несанкционированного доступа, выполнения вредоносных скриптов, атак на системные ресурсы и попыток обхода системной политики.
Функции безопасности, которые контролируются Astra‑safepolicy
| № | Функция безопасности | Команда управления | Статус по умолчанию | Описание и значение для кибербезопасности |
|---|---|---|---|---|
| 1 | Блокировка системных команд | astra-commands-lock enable / disable / status |
Выключено | Ограничивает доступ к критическим утилитам (ip, df, chattr, lsmod, modprobe и др.) для непривилегированных пользователей. Защищает от сбора системной информации и сетевых манипуляций |
| 2 | Блокировка консоли | astra-console-lock enable / disable / status |
Выключено | Запрещает вход в консоль и локальные tty-порты пользователям вне группы astra-console. Предотвращает несанкционированный физический доступ |
| 3 | Блокировка интерпретаторов | astra-interpreters-lock enable / disable / status |
Выключено | Блокирует запуск оболочек непривилегированными пользователями, исключая выполнение произвольных скриптов, например, написанных на Python |
| 4 | Блокировка макросов | astra-macros-lock enable / disable / status |
Выключено | Запрещает выполнение макросов в офисных документах. Снижает риск заражения вредоносным кодом через VBA |
| 5 | Блокировка бита исполнения | astra-nochmodx-lock enable / disable / status |
Выключено | Запрещает пользователям устанавливать флаг выполнения, предотвращая запуск неподписанных бинарных файлов |
| 6 | Блокировка ptrace | astra-ptrace-lock enable / disable / status |
Включено | Запрещает процессам подключаться к другим с помощью ptrace. Защищает память и данные приложений от чтения и подмены |
| 7 | Блокировка SysRq | astra-sysrq-lock enable / disable / status |
Включено | Отключает низкоуровневые аварийные команды ядра. Исключает возможность остановки, перезагрузки и снятия дампов памяти через горячие клавиши |
| 8 | Межсетевой экран UFW | astra-ufw-control enable / disable / status |
Выключено | Включает или выключает Uncomplicated Firewall (UFW). Предоставляет базовую сетевую фильтрацию без ручной настройки iptables |
| 9 | Ограничения ulimits | astra-ulimits-control enable / disable / status |
Выключено | Вводит лимиты на ресурсы пользователей (процессы, файлы, память). Снижает риск DoS‑атак и зависаний системы |
| 10 | Блокировка отключения питания | astra-shutdown-lock enable / disable / status |
Выключено | Запрещает непривилегированными пользователям выключать и перезагружать систему. Полезно для серверов и рабочих станций без физической защиты |
| 11 | Блокировка монтирования | astra-mount-lock enable / disable / status |
Выключено | Запрещает автоматическое монтирование внешних накопителей. Устраняет угрозу внедрения вредоносного ПО через USB |
| 12 | Блокировка bash | astra-bash-lock enable / disable / status |
Выключено | Ограничивает запуск оболочки bash для непривилегированных пользователей, предотвращая выполнение произвольных скриптов и снижая риск эскалации прав через командную строку |
| 13 | Overlay на корневой ФС | astra-overlay enable / disable / status |
Выключено | Корневая файловая система работает через OverlayFS, поэтому все изменения записываются во временный слой и сбрасываются при перезагрузке, предотвращая постоянные модификации |
| 14 | Sudo с паролем | Настраивается через /etc/sudoers |
Включено | Требует пароль при использовании sudo. Исключает случайное повышение привилегий |
| 15 | SSH закрыт для root | astra-rootloginssh-control enable / disable / status |
Включено | Отключает вход под root по SSH |
| 16 | Защита SSH (fail2ban) | Настраивается через службу fail2ban |
Выключено | Блокирует IP‑адреса с множественными неудачными попытками входа. Минимизирует риск брутфорса |
| 17 | Графический киоск | astra-kiosk-control enable / disable / status |
Выключено | Ограничивает графический интерфейс только определенными приложениями. Полезно для киосков и терминалов |
| 18 | Блокировка sumac | astra-sumac-lock enable / disable / status |
Выключено | Запрещает выполнение sumac/fly-sumac для непривилегированных пользователей. Предотвращает изменение меток безопасности |
Инструменты для работы с уязвимостями
Как и любая современная операционная система, Astra Linux подвержена уязвимостям. Однако благодаря архитектуре безопасности и усиленным механизмам контроля их количество значительно сокращено. Основные потенциальные угрозы связаны с ошибками в ядре, сервисах и системных библиотеках. Такие ошибки могут использоваться для эскалации привилегий, обхода политик безопасности или несанкционированного доступа к данным.
В Astra Linux особое внимание уделено ограничению запуска системных команд, блокировке оболочек, применению МРД, МКЦ и цифровой подписи исполняемых файлов. Все это снижает риск эксплуатации уязвимостей через сторонние приложения или пользовательские скрипты.
Критически важно своевременно обновлять систему через официальные репозитории Astra Linux — там регулярно публикуются исправления критических и высокоопасных уязвимостей. Инструменты fly‑astra‑update и astra‑update предназначены только для установки очередных обновлений ОС Astra Linux Special Edition. Эти инструменты не рассчитаны на обновление стороннего ПО. Если в конфигурации репозиториев указаны сторонние источники, перед использованием инструментов для обновления их необходимо отключить.
Перед установкой обновления с помощью fly‑astra‑update или astra‑update следует:
- Подключить репозиторий с устанавливаемым обновлением.
-
Обновить сам инструмент:
-
при использовании только командной строки:
sudo apt install astra‑update
-
при использовании графического инструмента:
sudo apt install fly‑astra‑update
-
при использовании только командной строки:
Установку обновления допустимо выполнять только после обновления применяемого инструмента.
Дополнительно выпускаются бюллетени безопасности, которые информируют о выявленных уязвимостях и необходимых действиях по их устранению. Например, бюллетень № 2026‑0601SE18MD содержит методические указания, как нейтрализовать угрозу эксплуатации уязвимости CIFSwitch в ОС специального назначения Astra Linux Special Edition РУСБ.10015‑01 и РУСБ.10015‑10 (очередное обновление 1.8). Методические указания не являются кумулятивными: при их выполнении другие виды обновлений автоматически не применяются и должны устанавливаться отдельно.
Использование бюллетеней совместно с регулярным (в том числе автоматическим) обновлением системы позволяет своевременно закрывать уязвимости и значительно снижает вероятность успешных атак. Оперативно устранить наиболее актуальные уязвимости помогают hotfix‑репозитории. В сочетании с инструментами мониторинга и управления политиками безопасности такой подход поддерживает высокий уровень защищенности отдельных рабочих станций и корпоративной инфраструктуры в целом.
Парольная политика
Согласно официальным рекомендациям Astra Linux, в настройках политики учетных записей задаются следующие значения:
- Минимальная длина пароля — 8 символов.
- Пароль должен содержать строчные и заглавные буквы, а также цифры.
- Максимальный срок действия пароля — 90 дней.
- Максимальное число неудачных попыток входа — 6.
- Максимальное время, отведенное на вход, — 1800 секунд.
Изменить политику паролей можно также через конфигурационные файлы:
- Настроить минимальную длину пароля и количество обязательных символов: в файле
/etc/pam.d/common-passwordв строкеpassword requisite pam cracklib.soустановить значениеminlen=8и добавить параметрыdcredit=-1,ucredit=-1иlcredit=-1. - Настроить срок действия, ограничения по попыткам и максимальному времени входа: в файле
/etc/login.defsдля переменнойPASS_MAX_DAYSустановить значение90, для переменнойLOGIN_RETRIESустановить значение6и для переменнойLOGIN_TIMEOUTустановить значение1800. - Запретить повторное использование последних четырех паролей, отредактировав файл
/etc/pam.d/common-password: в строке «...pam_unix.so» добавить параметрremember=4. - Настроить
sudoтак, чтобы пароль запрашивался для каждой команды и не запоминался: выполнить командуsudo visudoи добавить в файл/etc/sudoersстрокуDefaults timestamp_timeout=0.
Детектирующие правила
Для своевременного выявления угроз и инцидентов кибербезопасности в Astra Linux важную роль играют системы мониторинга и корреляции событий (SOC, SIEM). Несмотря на развитые встроенные механизмы защиты, злоумышленники могут пытаться обходить политики безопасности, эксплуатировать уязвимости или выполнять подозрительные действия внутри системы.
Чтобы обнаружить такую активность, применяются детектирующие правила, которые анализируют события аудита, системные журналы и действия пользователей. Правила помогают выявлять:
- попытки повышения привилегий,
- запуск запрещенных интерпретаторов,
- изменение политик безопасности,
- подключение внешних носителей,
- отключение защитных механизмов
- другие потенциально опасные действия.
Ниже — примеры детектирующих правил и событий, на которые рекомендуется обращать внимание при мониторинге инфраструктуры с Astra Linux.
Попытка понижения уровня защищенности с помощью утилиты modeswitch
Рекомендуется отслеживать понижение уровня защищенности (например, переключение со «Смоленска» на «Орел»). Также, в зависимости от специфики управления инфраструктурой, полезно фиксировать отключение отдельных защитных механизмов (например, astra‑rootloginssh‑control).
dev_os_type:(unix AND linux) AND dev_os:"Astra Linux" AND event_type:( ProcessCreate OR ProcessCreateNix OR ProcessInfo OR ProcessInfoNix OR ConsoleCommand OR ConsoleCommandNix ) AND cmdline:"astra-modeswitch" AND cmdline:"set" AND cmdline.keyword:/.* set (0|1).*/
Несанкционированное изменение баз пользователей parsec
При наличии прав на запись в каталоги macdb, micdb, capdb, audb появляется возможность модифицировать настройки МКЦ, МКД, аудита и ограничений по capabilities в обход штатных утилит командной строки. Целесообразно отслеживать создание и изменение файлов по путям /etc/parsec/(mic|mac|cap|aud)db/*.
dev_os_type:(unix AND linux) AND
(
event_type:(FileCreate OR FileCreateNix OR FileChange OR FileChangeNix) OR
(
event_type:(FileOpen OR FileOpenNix) AND
proc_granted_access_list:(*o_creat* OR *o_wronly* OR *o_append* OR *o_rdrw*)
)
) AND
proc_file_path:* AND
file_path:(
"/etc/parsec/micdb" "/etc/parsec/macdb"
"/etc/parsec/capdb" "/etc/parsec/auddb"
) AND
-proc_file_path:(
"/usr/sbin/useraud" "/usr/sbin/pdpl-user"
"/usr/lib/kauth/libexec/kcm-users-helper"
) AND
-file_type:directory
Потенциальная попытка отключения аудита parsec через parsecfs
Запись значения «1» в файлы псевдофайловой системы parsec (disable-all-audit, disable-denied-audit, disable-non-mac-audit) позволяет полностью или частично отключить аудит parsec до перезагрузки. Поэтому важно отслеживать операции записи в эти файлы.
dev_os_type:(unix AND linux) AND dev_os:"Astra Linux" AND event_type:( FIleChange OR FileChangeNix ) AND file_path:( "/parsecfs/disable-all-audit" "/parsecfs/disable-denied-audit" "/parsecfs/disable-non-mac-audit" )
Изменение boolean‑параметров конфигурации parsec через перенаправление стандартного вывода
Не менее важно мониторить изменения сохраняющихся после перезагрузки или действующих до нее boolean‑параметров parsec через перенаправление стандартного вывода. С помощью этого метода злоумышленник может попытаться отключить МРД, снять ограничения на установку бита исполнения для файлов либо разрешить небезопасное действие PARSEC_CAP_UNSAFE_SETXATTR.
dev_os_type:linux AND
(
(
event_type:(FileChange OR FileChangeNix) AND
file_path:("/etc/parsec" "/parsecfs") AND
proc_file_name:*sh AND
proc_cmdline:"echo" AND
(
(
file_name:("nochmodx" "mac_enabled")
proc_cmdline:"0"
) OR
(
file_name:"unsecure_setxattr" AND
proc_cmdline:"1"
)
)
) OR
(
event_type:(
ProcessCreate OR ProcessCreateNix OR
ProcessInfo OR ProcessInfoNix OR
ConsoleCommand OR ConsoleCommandNix
) AND
cmdline:("echo" "printf") AND
(
cmdline:("/etc/parsec" "/parsecfs") OR
(
proc_cwd:"etc" AND
cmdline:"parsec"
) OR
proc_cwd:"parsecfs"
) AND
(
(
cmdline:("nochmodx" "mac_enabled") AND
cmdline:"0"
) OR
(
cmdline:"unsecure_setxattr" AND
cmdline:"1"
)
) AND
cmdline.keyword:/.* [0-1]{1}[\"']? >[ ]*[a-z\/]*(nochmodx|mac_enabled|unsecure_setxattr).*/
)
)
Использование подобных правил мониторинга способно существенно ускорить реагирование на инциденты и предотвратить кибератаки, направленные на механизмы защиты Astra Linux или инфраструктуру в целом.
Заключение
Astra Linux — защищенная операционная система с расширенными механизмами управления доступом, администрирования политик безопасности и встроенными средствами мониторинга. Набор утилит astra‑*‑lock позволяет централизованно включать и отключать критические функции защиты, управлять доступом к системным командам и оболочкам, ограничивать сетевой трафик и потребление ресурсов, а также предотвращать несанкционированный доступ к системе.
Своевременно обновляя систему и отслеживая бюллетени безопасности, можно постоянно снижать риски эксплуатации уязвимостей и оперативно устранять потенциальные угрозы. В сочетании с продуманными политиками безопасности и встроенными механизмами управления доступом это позволяет поддерживать высокий уровень защищенности отдельных рабочих станций и инфраструктуры в целом.
Применение Astra Linux в средах с жесткими требованиями к кибербезопасности обеспечивает комплексную защиту на уровне ядра, файловой системы, сетевых и пользовательских ресурсов, делая систему устойчивой к большинству известных атак и инцидентов.
Однако даже с учетом всех встроенных механизмов защиты безопасность ОС рекомендуется усиливать с помощью средств защиты конечных точек, таких как BI.ZONE EDR. Решение позволяет выявлять атаки на начальных этапах.