Ссылка на видео по этой статье!
Сертифицированная система защиты информации на рабочих станциях и серверах для российских ОС семейства Linux
- Защита конфиденциальной информации с помощью шифрования
- Контроль доступа пользователей к защищённой информации
- Двухфакторная аутентификация
- Быстрый ввод в эксплуатацию на большом количестве рабочих станций
- Возможность внедрения даже при отсутствии инфраструктурных сервисов (PKI, УЦ, служба каталогов)
- Централизованное управление агентами
- Прозрачное шифрование информации
- Поддержка алгоритмов шифрования ГОСТ 34.12-2018, 34.13-2018, 34.10-2018, 34.11-2018
Назначение Secret Disk для Linux
- Защита от несанкционированного доступа к информации, хранящейся и обрабатываемой на встроенных носителях
- Защита информации от утечки при доступе посторонних лиц, в том числе при сервисном обслуживании, утере персональных компьютеров или ноутбуков
- Контроль доступа пользователей к защищённой информации
- Надёжная двухфакторная аутентификация с применением ключевого контейнера пользователя
- Разграничение прав доступа между администраторами ИТ и ИБ
Состав стенда и требования к ОС
Установка Secret Disk для Linux 2.0 производится на трех серверах Astra Linux SE 1.7.3, которые входят в домен ALD Pro 2.2.1.
Версию ОС необходимо проверить:
cat /etc/astra_version
cat /etc/astra/build_version
Установка Консоли управления
Установка Консоли управления выполняется на сервере sdl-console.ald.local (IP 10.0.2.22) под учетной записью администратора домена (или локального высокоцелостного администратора).
sudo apt update
sudo apt install ./sdlinux-crypto_2.0.0-78_amd64.deb
sudo apt install ./sdlinux-mc_2.0.0-75_amd64.deb
sudo reboot
Настройка Консоли управления
Входим под учетной записью администратора домена и создаем папку, в которой будем хранить ключевые контейнеры пользователя KKP:
mkdir /home/admin/kkp
Затем нужно перейти в Меню - Утилиты и запустить утилиту Secret Disk.
Эта утилита создает ККП администратора – admin.kkp. Заполняем поля данных, указываем адрес сервера (10.0.2.20) и указываем директорию сохранения - папку созданную на предыдущем шаге /home/admin/kkp и нажимаем Сохранить.
После чего сформируется файл ККП администратора (admin.kkp). Далее сформированный файл ККП администратора необходимо передать на сервер, где будет установлен Менеджмент-сервер.
Установка Менеджмент-сервера
Установка Менеджмент-сервера выполняется на сервере sdl-srv.ald.local (IP 10.0.2.20).
sudo apt update
sudo apt install ./sdlinux-crypto_2.0.0-78_amd64.deb
sudo apt install ./sdlinux-ms_2.0.0-75_amd64.deb
cd Server - переходим в папку с дистрибутивами
scp admin@10.0.2.22:/home/admin/kkp/admin.kkp . - скачиваем сформированный на сервере sdl-console.ald.local (IP 10.0.2.22) файл ККП администратора.
Инициализация Менеджмент-сервера
Далее инициализируйте Менеджмент-сервер с применением ККП администратора (admin.kkp).
sudo /usr/sbin/sdlsd -a -k /home/admin/Server/admin.kkp -p P@ssw0rd
Команда для инициализации sdlsd с параметрами:
• -a [признак инициализации ККП администратора];
• -k [путь к файлу admin.kkp]
• -p [пароль ККП (может содержать цифры и латинские символы)]
Проверьте работу службы Менеджмент-сервера:
systemctl status sdlsd.service
Для ввода в эксплуатацию компонента Агента необходимо сгенерировать файл ККП (agent.kkp). Это необходимо для связи Агента, установленного на рабочей станции пользователя и Менеджмент-сервера. Выполните команду sdlsd с параметрами:
sudo /usr/sbin/sdlsd -w -k /home/admin/Server/agent.kkp -h 10.0.2.20
• -w [признак генерации ККП ввода в эксплуатацию агентов рабочих станции]
• -k [путь к файлу с ККП для ввода в эксплуатацию агентов рабочих станций]
• -h [ip-адрес сервера]
Далее необходимо перенести ККП для ввода в эксплуатацию Агента (agent.kkp) на рабочую станцию пользователя и расположить в папке /root/.sdagent.
Установка Агента
Установка Агента выполняется на сервере sdl-agent.ald.local (IP 10.0.2.21).
sudo apt update
sudo apt install ./sdlinux-crypto_2.0.0-78_amd64.deb
sudo apt install ./sdlinux-modules-2.0.0.77.amd64.deb
sudo apt install ./sdlinux_2.0.0-5_amd64.deb
Администратор должен передать на сервер sdl-agent.ald.local (IP 10.0.2.21) , где установлен Агент, файл с названием agent.kpp любым удобным способом. Файл agent.kkp должен находится в домашней папке суперпользователя (директория скрытая - в начале указана ".") - /root/.sdagent.
Создаем папку .sdagent и копируем в нее agent.kkp:
sudo -i
mkdir ./sdagent - папка создается автоматически если агент уже установлен
cd .sdagent/ - переходим в папку .sdagent/
scp admin@10.0.2.20:/home/admin/Server/agent.kkp . - копируем файл agent.kkp с сервера 10.0.2.20 в папку .sdagent/
Выполняем инициализацию Агента:
sudo sdinit -i -r 1
sudo reboot
Работа с Консолью управления
Переходим на сервер с Консолью управления sdl-console.ald.local (IP 10.0.2.22). Меню - Утилиты и запустить утилиту Secret Disk.
Указываем файл инициализации admin.kkp (лежит в папке /home/admin/kkp) и пароль. Открывается консоль:
Залогинимся на сервере sdl-agent.ald.local (IP 10.0.2.21) под рядовым локальным или доменным пользователем и откроем Secret Disk.
В открывшемся окне при первичной регистрации пользователь должен придумать себе пароль, указать его в полях и нажать ОК:
Далее нужно перейти на сервер с Консолью управления sdl-console.ald.local (IP 10.0.2.22) и в Консоли перейти в Шаблоны.
Затем создаем один или несколько шаблонов:
Затем в Консоли управления переходим в Пользователи, выбираем любого пользователя, который уже прошел первичную регистрацию и нажимаем +РЕСУРС:
В открывшемся окне выбора шаблонов выберите шаблон и нажмите ДОБАВИТЬ РЕСУРС:
Пользователю будет назначен ресурс VD_01:
Чтобы зашифровать добавленный пользователю ресурс нажмите на яркий значок с треугольником в столбце ЗАШИФРОВАТЬ, после чего начнется шифрование ресурса.
Когда шифрование окончиться - значок станет серым:
После этого пользователь может пользоваться зашифрованным ресурсом. Для проверки перейдем на сервер sdl-agent.ald.local (IP 10.0.2.21) и откроем Secret Disk. Нужно указать пароль, который пользователь задал при первичной регистрации.
После чего в правом нижнем углу экрана (в трее) пользователь может смонтировать свой зашифрованный ресурс и начать с ним работать:
Надеюсь эта статья была Вам полезна!
Ссылка на видео по этой статье!