НАЗВАНИЕ

astra-security-monitor - компактная сводка состояний функций безопасности.

ОБЗОР

astra-security-monitor

astra-security-monitor list

astra-security-monitor status [N]

astra-security-monitor switches

ОПИСАНИЕ

Инструмент astra-security-monitor отображает компактную сводку состояний функций безопасности и является консольной утилитой для просмотра информации из раздела "Монитор безопасности" графической утилиты "Политика безопасности".

ПРИМЕЧАНИЕ

Отображение состояний некоторых функций безопасности зависит от наличия в системе соответствующих пакетов.

Пример вывода:

Для каждой функции безопасности возможны следующие состояния:

ВКЛЮЧЕНО

функция безопасности включена. Включенное состояние означает повышенную безопасность, потенциально небезопасный функционал ОС запрещен;

ВЫКЛЮЧЕНО

функция безопасности выключена;

ВКЛЮЧАЕТСЯ

функция безопасности находится в процессе включения или будет включена после перезагрузки, но в настоящий момент еще не активна;

ВЫКЛЮЧАЕТСЯ

функция безопасности находится в процессе выключения или будет выключена после перезагрузки, но в настоящий момент еще активна.

ЧАСТИЧНО

функция безопасности включена, но не все параметры, контролируемые данной функцией, соответствуют параметрам, заданным по умолчанию. Например, состояние "ЧАСТИЧНО" для функции "МКЦ файловой системы" обозначает, что функция включена, но метки целостности на некоторых файловых объектах не соответствуют заданной системной конфигурации.

Например, после отключения блокировки ptrace данная функция безопасности переходит в состояние "ВЫКЛЮЧАЕТСЯ", т.к. она не может быть выключена в процессе работы системы, но отключится после перезагрузки.

Монитор безопасности проверяет:

Блокировку системных команд

astra-commands-lock(8);

Блокировку консоли

astra-console-lock(8);

Блокировку интерпретаторов

astra-interpreters-lock(8);

Блокировку bash

astra-bash-lock(8);

Блокировку макросов

astra-macros-lock(8);

Режим МРД (мандатное управление доступом)

astra-mac-control(8);

Режим МКЦ (мандатный контроль целостности)

astra-mic-control(8);

МКЦ файловой системы (мандатный контроль целостности)

соответствуют ли метки целостности, установленные на объектах файловой системы, конфигурации, указанной в /etc/parsec/fs-ilev.conf. При контроле выводится сообщение о количестве файловых объектов, метка целостности которых не соответствует заданной метке целостности:

"ниже" - метка целостности файлового объекта ниже заданной;

"выше" - метка целостности файлового объекта выше заданной;

"норма" - метка целостности файлового объекта соответствует заданной.

Список файловых объектов, метка целостности которых не соответствует заданной в файле /etc/parsec/fs-ilev.conf, можно получить командой:

sudo set-fs-ilev status -v

Блокировку бита исполнения

astra-nochmodx-lock(8);

Блокировку ptrace

astra-ptrace-lock(8);

Блокировку sumac

astra-sumac-lock(8);

Блокировку sysrq

astra-sysrq-lock(8);

Межсетевой экран UFW

astra-ufw-control(8);

Ограничения ulimits

astra-ulimits-control(8);

Блокировку отключения питания

astra-shutdown-lock(8);

Блокировку монтирования

astra-mount-lock(8);

Подпись ELF

astra-digsig-control(8);

Подпись xattr (в расширенных атрибутах)

включена ли проверка подписи не только в исполняемых файлах, но и в любых других, которые подписаны в xattr соответствующей утилитой;

Безопасное удаление

astra-secdel-control(8);

Overlay на корневой ФС

astra-overlay(8);

sudo с паролем

astra-sudo-control(8);

SSH закрыт для root (запрет входа root по ssh)

запрещен ли удаленный вход в систему пользователю root (если не запрещен, это упрощает перебор паролей). По умолчанию root не может войти по ssh, функция имеет состояние "включено";

Системный киоск - "ВКЛЮЧЕНО", если системный киоск включен и настроен хотя бы для одного пользователя;

Графический киоск - "ВКЛЮЧЕНО", если графический киоск настроен хотя бы для одного пользователя;

Безопасный вход в домен

применимо только в том случае, если машина введена в домен. Если в файле /etc/parsec/parsec.conf параметр login_local имеет значение admin (вход для локальных пользователей разрешён только для пользователей, входящих в группу astra-admin) или значение no (вход запрещён для всех локальных пользователей), то такая настройка считается безопасной;

Сервисы на уровне МКЦ 1

понижение уровня МКЦ выполняется путем добавления override-файлов в /etc/systemd/system/ имя сервиса .service.d/ilev1.conf, см. astra-ilev1-control(8);

Docker на уровне МКЦ 2

astra-docker-isolation (8).

ОПЦИИ

list

выводит машиночитаемый список всех контролируемых функций безопасности;

status

выводит сводку о состоянии функций безопасности (так же, как и при вызове без параметров);

status N

выводит состояние функции безопасности по N, где N -- это id функции функции безопасности, получаемое из вывода опции list;

switches

выводит в машиночитаемом виде список переключателей безопасности, предназначенный для отображения в графических утилитах администрирования.

СМОТРИТЕ ТАКЖЕ

astra-autologin-control(8), astra-bash-lock(8), astra-commands-lock(8), astra-console-lock(8), astra-digsig-control(8), astra-docker-isolation(8),

astra-format-lock(8), astra-hardened-control(8), astra-ilev1-control(8), astra-interpreters-lock(8), astra-lkrg-control(8), astra-macros-lock(8),

astra-mac-control(8), astra-mic-control(8), astra-mode-apps(8), astra-modeswitch(8), astra-mount-lock(8), astra-noautonet-control(8),

astra-nobootmenu-control(8), astra-nochmodx-lock(8), astra-overlay(8), astra-ptrace-lock(8), astra-secdel-control(8), astra-shutdown-lock(8),

astra-sudo-control(8), astra-sumac-lock(8), astra-swapwiper-control(8), astra-sysrq-lock(8), astra-ufw-control(8), astra-ulimits-control(8)