Найти в Дзене
ИТ Проповедник
2538 подписчиков

Secret Disk для Linux 2.0. Установка и настройка в домене ALD PRO.

60
5 мин
Ссылка на видео по этой статье! Сертифицированная система защиты информации на рабочих станциях и серверах для российских ОС семейства Linux Сертифицировано ФСТЭК России Назначение Secret Disk для Linux Состав стенда и требования к ОС Установка Secret Disk для Linux 2.0 производится на трех серверах Astra Linux SE 1.7.3, которые входят в домен ALD Pro 2.2.1. Версию ОС необходимо проверить: cat /etc/astra_version cat /etc/astra/build_version Установка Консоли управления Установка Консоли управления выполняется на сервере sdl-console.ald.local (IP 10.0.2.22) под учетной записью администратора домена (или локального высокоцелостного администратора). sudo apt update sudo apt install ./sdlinux-crypto_2.0.0-78_amd64.deb sudo apt install ./sdlinux-mc_2.0.0-75_amd64.deb sudo reboot Настройка Консоли управления Входим под учетной записью администратора домена и создаем папку, в которой будем хранить ключевые контейнеры пользователя KKP: mkdir /home/admin/kkp Затем нужно перейти в Меню - Утилит
Оглавление

Ссылка на видео по этой статье!

Сертифицированная система защиты информации на рабочих станциях и серверах для российских ОС семейства Linux

  • Защита конфиденциальной информации с помощью шифрования
  • Контроль доступа пользователей к защищённой информации
  • Двухфакторная аутентификация
  • Быстрый ввод в эксплуатацию на большом количестве рабочих станций
  • Возможность внедрения даже при отсутствии инфраструктурных сервисов (PKI, УЦ, служба каталогов)
  • Централизованное управление агентами
  • Прозрачное шифрование информации
  • Поддержка алгоритмов шифрования ГОСТ 34.12-2018, 34.13-2018, 34.10-2018, 34.11-2018

Сертифицировано ФСТЭК России

Назначение Secret Disk для Linux

  • Защита от несанкционированного доступа к информации, хранящейся и обрабатываемой на встроенных носителях
  • Защита информации от утечки при доступе посторонних лиц, в том числе при сервисном обслуживании, утере персональных компьютеров или ноутбуков
  • Контроль доступа пользователей к защищённой информации
  • Надёжная двухфакторная аутентификация с применением ключевого контейнера пользователя
  • Разграничение прав доступа между администраторами ИТ и ИБ

Состав стенда и требования к ОС

Установка Secret Disk для Linux 2.0 производится на трех серверах Astra Linux SE 1.7.3, которые входят в домен ALD Pro 2.2.1.

Сервера в домене ALD Pro и их IP адреса
Сервера в домене ALD Pro и их IP адреса

Версию ОС необходимо проверить:

-3
cat /etc/astra_version
cat /etc/astra/build_version

Установка Консоли управления

Установка Консоли управления выполняется на сервере sdl-console.ald.local (IP 10.0.2.22) под учетной записью администратора домена (или локального высокоцелостного администратора).

Состав дистрибутива Консоли управления
Состав дистрибутива Консоли управления
sudo apt update
sudo apt install ./sdlinux-crypto_2.0.0-78_amd64.deb
sudo apt install ./sdlinux-mc_2.0.0-75_amd64.deb
sudo reboot

Настройка Консоли управления

Входим под учетной записью администратора домена и создаем папку, в которой будем хранить ключевые контейнеры пользователя KKP:

mkdir /home/admin/kkp

Затем нужно перейти в Меню - Утилиты и запустить утилиту Secret Disk.

-5

Эта утилита создает ККП администратора – admin.kkp. Заполняем поля данных, указываем адрес сервера (10.0.2.20) и указываем директорию сохранения - папку созданную на предыдущем шаге /home/admin/kkp и нажимаем Сохранить.

-6
-7

После чего сформируется файл ККП администратора (admin.kkp). Далее сформированный файл ККП администратора необходимо передать на сервер, где будет установлен Менеджмент-сервер.

-8

Установка Менеджмент-сервера

Установка Менеджмент-сервера выполняется на сервере sdl-srv.ald.local (IP 10.0.2.20).

Состав дистрибутива Менеджмент-сервера
Состав дистрибутива Менеджмент-сервера
sudo apt update
sudo apt install ./sdlinux-crypto_2.0.0-78_amd64.deb
sudo apt install ./sdlinux-ms_2.0.0-75_amd64.deb
cd Server - переходим в папку с дистрибутивами
scp admin@10.0.2.22:/home/admin/kkp/admin.kkp . - скачиваем сформированный на сервере sdl-console.ald.local (IP 10.0.2.22) файл ККП администратора.
-10

Инициализация Менеджмент-сервера

Далее инициализируйте Менеджмент-сервер с применением ККП администратора (admin.kkp).

sudo /usr/sbin/sdlsd -a -k /home/admin/Server/admin.kkp -p P@ssw0rd

Команда для инициализации sdlsd с параметрами:
-a [признак инициализации ККП администратора];
-k [путь к файлу admin.kkp]
-p [пароль ККП (может содержать цифры и латинские символы)]

-11

Проверьте работу службы Менеджмент-сервера:

systemctl status sdlsd.service
-12

Для ввода в эксплуатацию компонента Агента необходимо сгенерировать файл ККП (agent.kkp). Это необходимо для связи Агента, установленного на рабочей станции пользователя и Менеджмент-сервера. Выполните команду sdlsd с параметрами:

sudo /usr/sbin/sdlsd -w -k /home/admin/Server/agent.kkp -h 10.0.2.20

-w [признак генерации ККП ввода в эксплуатацию агентов рабочих станции]
-k [путь к файлу с ККП для ввода в эксплуатацию агентов рабочих станций]
-h [ip-адрес сервера]

-13

Далее необходимо перенести ККП для ввода в эксплуатацию Агента (agent.kkp) на рабочую станцию пользователя и расположить в папке /root/.sdagent.

Установка Агента

Установка Агента выполняется на сервере sdl-agent.ald.local (IP 10.0.2.21).

Состав дистрибутива Агнета
Состав дистрибутива Агнета

sudo apt update
sudo apt install ./sdlinux-crypto_2.0.0-78_amd64.deb
sudo apt install ./sdlinux-modules-2.0.0.77.amd64.deb
sudo apt install ./sdlinux_2.0.0-5_amd64.deb

Администратор должен передать на сервер sdl-agent.ald.local (IP 10.0.2.21) , где установлен Агент, файл с названием agent.kpp любым удобным способом. Файл agent.kkp должен находится в домашней папке суперпользователя (директория скрытая - в начале указана ".") - /root/.sdagent.

Создаем папку .sdagent и копируем в нее agent.kkp:

sudo -i
mkdir ./sdagent - папка создается автоматически если агент уже установлен
cd .sdagent/ - переходим в папку .sdagent/
scp admin@10.0.2.20:/home/admin/Server/agent.kkp . - копируем файл agent.kkp с сервера 10.0.2.20 в папку .sdagent/
-15

Выполняем инициализацию Агента:

sudo sdinit -i -r 1
-16
sudo reboot

Работа с Консолью управления

Переходим на сервер с Консолью управления sdl-console.ald.local (IP 10.0.2.22). Меню - Утилиты и запустить утилиту Secret Disk.

-17

Указываем файл инициализации admin.kkp (лежит в папке /home/admin/kkp) и пароль. Открывается консоль:

-18

Залогинимся на сервере sdl-agent.ald.local (IP 10.0.2.21) под рядовым локальным или доменным пользователем и откроем Secret Disk.

-19

В открывшемся окне при первичной регистрации пользователь должен придумать себе пароль, указать его в полях и нажать ОК:

-20
-21

Далее нужно перейти на сервер с Консолью управления sdl-console.ald.local (IP 10.0.2.22) и в Консоли перейти в Шаблоны.

Затем создаем один или несколько шаблонов:

-22
-23

Затем в Консоли управления переходим в Пользователи, выбираем любого пользователя, который уже прошел первичную регистрацию и нажимаем +РЕСУРС:

-24

В открывшемся окне выбора шаблонов выберите шаблон и нажмите ДОБАВИТЬ РЕСУРС:

-25

Пользователю будет назначен ресурс VD_01:

-26

Чтобы зашифровать добавленный пользователю ресурс нажмите на яркий значок с треугольником в столбце ЗАШИФРОВАТЬ, после чего начнется шифрование ресурса.

-27

Когда шифрование окончиться - значок станет серым:

-28

После этого пользователь может пользоваться зашифрованным ресурсом. Для проверки перейдем на сервер sdl-agent.ald.local (IP 10.0.2.21) и откроем Secret Disk. Нужно указать пароль, который пользователь задал при первичной регистрации.

-29

После чего в правом нижнем углу экрана (в трее) пользователь может смонтировать свой зашифрованный ресурс и начать с ним работать:

Монтирование зашифрованного ресурса
Монтирование зашифрованного ресурса
Создание папки на зашифрованном ресурсе
Создание папки на зашифрованном ресурсе

Надеюсь эта статья была Вам полезна!

Ссылка на видео по этой статье!

-32