900 подписчиков

Secret Disk для Linux 2.0. Установка и настройка в домене ALD PRO.

Технологии
Больше по теме
Ссылка на видео по этой статье!

Ссылка на видео по этой статье!

Сертифицированная система защиты информации на рабочих станциях и серверах для российских ОС семейства Linux

  • Защита конфиденциальной информации с помощью шифрования
  • Контроль доступа пользователей к защищённой информации
  • Двухфакторная аутентификация
  • Быстрый ввод в эксплуатацию на большом количестве рабочих станций
  • Возможность внедрения даже при отсутствии инфраструктурных сервисов (PKI, УЦ, служба каталогов)
  • Централизованное управление агентами
  • Прозрачное шифрование информации
  • Поддержка алгоритмов шифрования ГОСТ 34.12-2018, 34.13-2018, 34.10-2018, 34.11-2018

Сертифицировано ФСТЭК России

Назначение Secret Disk для Linux

  • Защита от несанкционированного доступа к информации, хранящейся и обрабатываемой на встроенных носителях
  • Защита информации от утечки при доступе посторонних лиц, в том числе при сервисном обслуживании, утере персональных компьютеров или ноутбуков
  • Контроль доступа пользователей к защищённой информации
  • Надёжная двухфакторная аутентификация с применением ключевого контейнера пользователя
  • Разграничение прав доступа между администраторами ИТ и ИБ

Состав стенда и требования к ОС

Установка Secret Disk для Linux 2.0 производится на трех серверах Astra Linux SE 1.7.3, которые входят в домен ALD Pro 2.2.1.

Сервера в домене ALD Pro и их IP адреса
Сервера в домене ALD Pro и их IP адреса

Версию ОС необходимо проверить:

Ссылка на видео по этой статье!-3
cat /etc/astra_version
cat /etc/astra/build_version

Установка Консоли управления

Установка Консоли управления выполняется на сервере sdl-console.ald.local (IP 10.0.2.22) под учетной записью администратора домена (или локального высокоцелостного администратора).

Состав дистрибутива Консоли управления
Состав дистрибутива Консоли управления
sudo apt update
sudo apt install ./sdlinux-crypto_2.0.0-78_amd64.deb
sudo apt install ./sdlinux-mc_2.0.0-75_amd64.deb
sudo reboot

Настройка Консоли управления

Входим под учетной записью администратора домена и создаем папку, в которой будем хранить ключевые контейнеры пользователя KKP:

mkdir /home/admin/kkp

Затем нужно перейти в Меню - Утилиты и запустить утилиту Secret Disk.

Ссылка на видео по этой статье!-5

Эта утилита создает ККП администратора – admin.kkp. Заполняем поля данных, указываем адрес сервера (10.0.2.20) и указываем директорию сохранения - папку созданную на предыдущем шаге /home/admin/kkp и нажимаем Сохранить.

Ссылка на видео по этой статье!-6
Ссылка на видео по этой статье!-7

После чего сформируется файл ККП администратора (admin.kkp). Далее сформированный файл ККП администратора необходимо передать на сервер, где будет установлен Менеджмент-сервер.

Ссылка на видео по этой статье!-8

Установка Менеджмент-сервера

Установка Менеджмент-сервера выполняется на сервере sdl-srv.ald.local (IP 10.0.2.20).

Состав дистрибутива Менеджмент-сервера
Состав дистрибутива Менеджмент-сервера
sudo apt update
sudo apt install ./sdlinux-crypto_2.0.0-78_amd64.deb
sudo apt install ./sdlinux-ms_2.0.0-75_amd64.deb
cd Server - переходим в папку с дистрибутивами
scp admin@10.0.2.22:/home/admin/kkp/admin.kkp . - скачиваем сформированный на сервере sdl-console.ald.local (IP 10.0.2.22) файл ККП администратора.
Ссылка на видео по этой статье!-10

Инициализация Менеджмент-сервера

Далее инициализируйте Менеджмент-сервер с применением ККП администратора (admin.kkp).

sudo /usr/sbin/sdlsd -a -k /home/admin/Server/admin.kkp -p P@ssw0rd

Команда для инициализации sdlsd с параметрами:
-a [признак инициализации ККП администратора];
-k [путь к файлу admin.kkp]
-p [пароль ККП (может содержать цифры и латинские символы)]

Ссылка на видео по этой статье!-11

Проверьте работу службы Менеджмент-сервера:

systemctl status sdlsd.service
Ссылка на видео по этой статье!-12

Для ввода в эксплуатацию компонента Агента необходимо сгенерировать файл ККП (agent.kkp). Это необходимо для связи Агента, установленного на рабочей станции пользователя и Менеджмент-сервера. Выполните команду sdlsd с параметрами:

sudo /usr/sbin/sdlsd -w -k /home/admin/Server/agent.kkp -h 10.0.2.20

-w [признак генерации ККП ввода в эксплуатацию агентов рабочих станции]
-k [путь к файлу с ККП для ввода в эксплуатацию агентов рабочих станций]
-h [ip-адрес сервера]

Ссылка на видео по этой статье!-13

Далее необходимо перенести ККП для ввода в эксплуатацию Агента (agent.kkp) на рабочую станцию пользователя и расположить в папке /root/.sdagent.

Установка Агента

Установка Агента выполняется на сервере sdl-agent.ald.local (IP 10.0.2.21).

Состав дистрибутива Агнета
Состав дистрибутива Агнета

sudo apt update
sudo apt install ./sdlinux-crypto_2.0.0-78_amd64.deb
sudo apt install ./sdlinux-modules-2.0.0.77.amd64.deb
sudo apt install ./sdlinux_2.0.0-5_amd64.deb

Администратор должен передать на сервер sdl-agent.ald.local (IP 10.0.2.21) , где установлен Агент, файл с названием agent.kpp любым удобным способом. Файл agent.kkp должен находится в домашней папке суперпользователя (директория скрытая - в начале указана ".") - /root/.sdagent.

Создаем папку .sdagent и копируем в нее agent.kkp:

sudo -i
mkdir ./sdagent - папка создается автоматически если агент уже установлен
cd .sdagent/ - переходим в папку .sdagent/
scp admin@10.0.2.20:/home/admin/Server/agent.kkp . - копируем файл agent.kkp с сервера 10.0.2.20 в папку .sdagent/
Ссылка на видео по этой статье!-15

Выполняем инициализацию Агента:

sudo sdinit -i -r 1
Ссылка на видео по этой статье!-16
sudo reboot

Работа с Консолью управления

Переходим на сервер с Консолью управления sdl-console.ald.local (IP 10.0.2.22). Меню - Утилиты и запустить утилиту Secret Disk.

Ссылка на видео по этой статье!-17

Указываем файл инициализации admin.kkp (лежит в папке /home/admin/kkp) и пароль. Открывается консоль:

Ссылка на видео по этой статье!-18

Залогинимся на сервере sdl-agent.ald.local (IP 10.0.2.21) под рядовым локальным или доменным пользователем и откроем Secret Disk.

Ссылка на видео по этой статье!-19

В открывшемся окне при первичной регистрации пользователь должен придумать себе пароль, указать его в полях и нажать ОК:

Ссылка на видео по этой статье!-20
Ссылка на видео по этой статье!-21

Далее нужно перейти на сервер с Консолью управления sdl-console.ald.local (IP 10.0.2.22) и в Консоли перейти в Шаблоны.

Затем создаем один или несколько шаблонов:

Ссылка на видео по этой статье!-22
Ссылка на видео по этой статье!-23

Затем в Консоли управления переходим в Пользователи, выбираем любого пользователя, который уже прошел первичную регистрацию и нажимаем +РЕСУРС:

Ссылка на видео по этой статье!-24

В открывшемся окне выбора шаблонов выберите шаблон и нажмите ДОБАВИТЬ РЕСУРС:

Ссылка на видео по этой статье!-25

Пользователю будет назначен ресурс VD_01:

Ссылка на видео по этой статье!-26

Чтобы зашифровать добавленный пользователю ресурс нажмите на яркий значок с треугольником в столбце ЗАШИФРОВАТЬ, после чего начнется шифрование ресурса.

Ссылка на видео по этой статье!-27

Когда шифрование окончиться - значок станет серым:

Ссылка на видео по этой статье!-28

После этого пользователь может пользоваться зашифрованным ресурсом. Для проверки перейдем на сервер sdl-agent.ald.local (IP 10.0.2.21) и откроем Secret Disk. Нужно указать пароль, который пользователь задал при первичной регистрации.

Ссылка на видео по этой статье!-29

После чего в правом нижнем углу экрана (в трее) пользователь может смонтировать свой зашифрованный ресурс и начать с ним работать:

Монтирование зашифрованного ресурса
Монтирование зашифрованного ресурса
Создание папки на зашифрованном ресурсе
Создание папки на зашифрованном ресурсе

Надеюсь эта статья была Вам полезна!

Ссылка на видео по этой статье!

Ссылка на видео по этой статье!-32