Курсы Linuх

 Курс: Astra Linux. Специальный курс: ALSE-1605

Ориентирован: на администраторов безопасности, системных администраторов, которым требуется обеспечить комплексную безопасность сетевой инфраструктуры посредством ОС Astra Linux Special Edition и тем, кто планирует освоить смежную компетенцию специалиста по информационной безопасности.

Предварительный уровень подготовки:

Успешное окончание курса ALSE-1603 "Astra Linux. Расширенное администрирование" или эквивалентная подготовка.

Продолжительность: 5 дней, 40 ак. час.

В курсе рассматриваются расширенные возможности Astra Linux SE по созданию надежной инфраструктуры предприятия любой сложности с самыми высокими требованиями секретности. Все темы, ранее рассматривавшиеся только обзорно, теперь изучаются системно, с практическими работами и примерами из существующих проектов.

Что изменилось в новой версии курса и какие новые материалы появились: нормативные документы ФСТЭК России, регламентирующие требования безопасности информации к ОС общего назначения.

Программа курса

1.Понятия, используемые в теории компьютерной безопасности. Формальные модели и моделирование безопасности современных ОС.
2. Нормативные документы ФСТЭК России, регламентирующие требования безопасности информации к ОС общего назначения.
3. Параметры настройки локальной политики безопасности ОССН. Работа с учётными записями пользователей и группами.

• Дискреционное разграничение доступа. Модель
• Разграничение файлового доступа на основе списков управления доступом (ACL).
• Ролевая модель управления доступом
• Мандатная модель управления доступом

4. Мандатное управление доступом в ОССН. Реализация мандатного управления доступом в файловой системе.

• МРОСЛ – модель. Механизм контроля мандатного разграничения доступа, архитектура PARSEC
• Мандатный уровень, уровень целостности и категория
• PARSEC –привилегии. Средства управления привилегиями пользователей и процессов
• Вложенные объекты - дополнительные флаги мандатной метки (ccnr,ccnri, CCNRA, ehole, whole), правила наследования
• Средства управления мандатными ПРД – графика и в режиме командной строки
• Средства управления мандатными ПРД устаревшие
• Рекурсивная смена мандатной метки на файлах и директориях
• Сетевое взаимодействие в среде МРД
  1. Запуск сервисов с ненулевым мандатным уровнем
  2. Запуск служб systemd под уровнем конфиденциальности и целостности
  3. Запуск процесса с заданными мандатными уровнем и категорией из командной строки и в отдельной графической сессии
  4. Механизм privsock
  5. Средства управления привилегиями PARSEC для процессов
• Возможные проблемы и их решения

Лабораторная работа: 

• Настройка мандатных атрибутов для пользователя.
• Настройка мандатных атрибутов для файлов, директорий и процессов

5. Мандатный контроль целостности в ОССН. Реализация мандатного контроля целостности в файловой системе.

• Что такое целостность. Уровни целостности
• Включение мандатного контроля целостности на ОС
• Включение и выключение мандатного контроля целостности на файловой системе
• Администрирование ОС при включенном режиме МКЦ
• Значения МКЦ по умолчанию
• Правила наследования, значения МКЦ по умолчанию
• Правила наследования, целостность для процессов 

Лабораторная работа: 

• Настройка мандатных атрибутов целостности для пользователя.
• Настройка мандатных атрибутов целостности для файловой системы и процессов

6. Настройка подсистемы аудита в ОССН.

• Сбор архива журналов системных служб (astra-create-debug-logs)
• Средства управления протоколированием, события файловых объектов и пользовательских процессов
• Средства настройки и просмотра событий аудита безопасности.
• Настройка серверов и клиентов, исключение из регистрации событий, включая системные.
• Управление демоном parlogd, настройка системы централизованного сбора логов
• Интеграция с rsyslogd
• Средства централизованного аудита и протоколирования. Графическая система мониторинга Zabbix.

Лабораторная работа: 

• Настройка аудита событий успеха и неудачи отслеживаемых действий
• Анализ отчета из графического приложения и с помощью утилит командной строки.
• Установка, настройка системы централизованного протоколирования Zabbix на сбор событий аудита Astra Linux .

7. Реализация замкнутой программной среды. Проверка целостности подсистемы защиты.

• Замкнутая программная среда.
• Прописывание программных продуктов ключами, полученными от вендора.
• Средство подсчета контрольных сумм.
• Средство контроля соответствия дистрибутиву, дистрибутива, deb-пакетов.
• Средства регламентного контроля целостности afick.
• Средства тестирования ОС

Лабораторная работа: 

• Применение режима замкнутой программной среды.
• Настройка контроля целостности и соответствия дистрибутиву
• Настройка и проведение регламентного контроля целостности
• Тестирование ОС.

8. Применение СКЗИ для работы с ГИС (государственными информационными системами).

• ЭЦП в государственных информационных системах и электронно-торговых площадках
• Государственные информационные системы (ГИС)
• Электронные торговые площадки (ЭТП)

9. Мандатное управление доступом в СУБД PostgreSQL.

• Дискреционное управление доступом в СУБД PostgreSQL, средства управления дискреционными ПРД к объектам БД
• Средство управления БД PostgreSQL - PgAdmin III
• Мандатное управление доступом в СУБД PostgreSQL
  1. Особенности реализации, архитектура решения, интеграция с ОС в контексте МРД
  2. Параметры postgresql.conf БД для работы с мандатным контекстом
• Средства управления мандатными ПРД к объектам БД
• Целостность мандатных атрибутов кластера баз данных
• Ссылочная целостность мандатных атрибутов
• Особенности создания правил и триггеров
• Функции сравнения для типа maclabel
• Регистрация событий в СУБД PostgreSQL
• Тестирование системы защиты и корректности СУБД PostgreSQL в Astra Linux

Лабораторная работа:

• Настройка СУБД PostgreSQL работы с МРД с аутентификацией PAM
• Тестирование работы БД с сессиями различного мандатного контекста и различными параметрами их интерпретации базой данных

10. Конфигурирование службы Astra Linux Directory.

• Службы каталогов и ALD. Архитектура, ЕПП
• Установка и настройка Astra Linux Directory, инструменты и утилиты управления
• Подключение клиентов к Astra Linux Directory
• Доменные и локальные пользователи, разрешение конфликтов
• Настройка шаблонов конфигурационных файлов
• Резервное копирование , миграция и восстановление КД
• Возможность использования ldif-бекапов для кроссплатформенной миграции
• Доверительные отношения с другими КД ALD
• Выделенный файловый сервер домашних директорий
• Настройка сервисов для работы с ALD, аутентификация Kerberos

 Лабораторная работа:

• Настройка и подключение к Astra Linux Directory, создание доменных пользователей
• Создание выделенного сервера домашних директорий
• Создание общего файлового хранилища на ФС CIFS (Samba) и организация доступа к нему учетом мандатных атрибутов пользователей домена (pam_mount)
• Настройка веб-сервера Apache2 для аутентификации Kerberos
• Резервное копирование и восстановление КД (полное и ldif)

11. Интеграцияс MS Active Directory Free IPA и Samba DC.
12. Контроллер домена Free IPA
13. Контроллер домена на Astra- Samba DC
14. Установка ASTRA сервер
15. DNS запись SRV типа для LDAP и Kerberos
16. Windows клиент в домене
17. ASTRA клиент в домене

• Пути миграции, взаимные доверительные отношения
• Пути интеграции с инфраструктурой, построенной на Microsoft AD

12. Средства виртуализации.

• Встроенные средства виртуализации – qemu, kvm, libvirt
• Создание и управление виртуальными машинами
• Дискреционное управление доступом к виртуальной машине
• Дискреционное управление доступом к виртуальной машине
• Обзор преимуществ системы виртуализации «Брест»

Лабораторная работа:

• Создание и управление ВМ с помощью утилит командной строки (qemu, libvish)

После прохождения курса вы будете способны:

• знать нормативные документы ФСТЭК;
• понимать принципы мандатного контроля целостности и мандатного управления доступом;
• настраивать локальные политики безопасности;
• настраивать учетные записи пользователей и группы;
• конфигурировать мандатное управление доступом;
• настраивать аудит ОС;
• конфигурировать ALD