Основы администрирования и безопасности ОС Astra Linux

Знакомство с Astra Linux: редакции, архитектура и процесс установки

Добро пожаловать в курс «Основы администрирования и безопасности ОС Astra Linux». Это первая статья, с которой начнется ваше погружение в мир одной из самых защищенных отечественных операционных систем. Сегодня мы разберем, что такое Astra Linux, чем отличаются её версии, как устроена её архитектура и шаг за шагом пройдем процесс установки.

Что такое Astra Linux?

Astra Linux — это операционная система на базе ядра Linux, разрабатываемая российской компанией «Группа Астра» (ранее «РусБИТех»). Она создана с прицелом на информационную безопасность и импортозамещение. В отличие от многих других дистрибутивов, Astra Linux официально сертифицирована ФСТЭК России, ФСБ и Минобороны, что позволяет использовать её для работы с информацией ограниченного доступа, вплоть до сведений, составляющих государственную тайну «особой важности».

В основе Astra Linux лежит популярный дистрибутив Debian. Это означает, что если вы когда-либо работали с Debian, Ubuntu или Mint, многие команды и принципы покажутся вам знакомыми. Однако Astra — это не просто «перекрашенный» Debian. В систему внесены глубокие изменения на уровне ядра и прикладного ПО для реализации механизмов защиты информации.

!Генеалогическое древо дистрибутива Astra Linux, показывающее его происхождение от Debian.

Редакции Astra Linux: Орёл, Смоленск и другие

Одной из первых сложностей для новичков являются названия версий. Разработчики используют имена городов-героев для обозначения различных релизов. Давайте разберемся в этой иерархии.

Глобально Astra Linux делится на две большие ветки:

Common Edition (CE) — «Орёл»

Special Edition (SE) — «Смоленск» (и другие)

Common Edition (Релиз «Орёл»)

Это версия общего назначения. Она предназначена для домашнего использования, малого бизнеса и образовательных учреждений. В ней нет встроенных средств защиты государственной тайны. Это отличный вариант, чтобы познакомиться с интерфейсом и базовыми функциями системы бесплатно (для физических лиц).

Special Edition (SE)

Это версия специального назначения. Именно она используется в госорганах, силовых структурах и на предприятиях оборонно-промышленного комплекса. Главная особенность SE — наличие встроенной системы защиты Parsec, реализующей мандатное управление доступом (о нем мы поговорим в следующих статьях).

Внутри Special Edition релизы различаются по архитектуре процессора:

* Смоленск — для архитектуры x86-64 (стандартные современные ПК и серверы Intel/AMD). * Новороссийск — для архитектуры ARM (например, байкалы или мобильные устройства). * Ленинград — для архитектуры «Эльбрус». * Мурманск — для мейнфреймов IBM System Z.

Для большинства администраторов основной рабочей лошадкой является Astra Linux Special Edition (релиз «Смоленск»).

Сравнение редакций

| Характеристика | Common Edition (Орёл) | Special Edition (Смоленск) | | :--- | :--- | :--- | | Назначение | Офис, дом, учеба | Гостайна, КИИ, силовые структуры | | Лицензия | Проприетарная (бесплатно для физлиц) | Коммерческая | | Мандатный доступ | Нет | Есть | | Сертификация ФСТЭК | Базовая | По 1 классу защиты | | Репозитории | Открытые | Закрытые/Локальные |

Архитектура системы

Архитектура Astra Linux строится на трех китах: ядро Linux, графическое окружение Fly и система защиты Parsec.

1. Модифицированное ядро и пакетная база

Как уже упоминалось, база — это Debian (обычно стабильные ветки). Используется формат пакетов .deb и менеджер пакетов apt. Однако ядро Linux в версии Special Edition подвергается серьезной модификации для внедрения механизмов защиты.

2. Графическое окружение Fly

В отличие от большинства дистрибутивов, которые используют GNOME или KDE, Astra Linux развивает собственное графическое окружение рабочего стола — Fly.

Fly — это проприетарная разработка, написанная с использованием библиотеки Qt. Она легкая, быстрая и внешне напоминает классический интерфейс Windows (панель задач внизу, меню «Пуск» слева). Это сделано специально, чтобы облегчить миграцию пользователей с Windows.

Особенности Fly: * Низкое потребление ресурсов. * Тесная интеграция с подсистемой безопасности (отображение мандатных меток, цветовая индикация уровней секретности). * Собственный набор утилит (файловый менеджер, панель управления).

!Интерфейс рабочего стола Fly в Astra Linux.

3. Система защиты Parsec

Это «сердце» безопасности Astra Linux SE. Parsec — это модуль ядра и набор утилит, которые реализуют: * Мандатное управление доступом (Mandatory Access Control — MAC). * Замкнутую программную среду (запрет запуска неподписанных исполняемых файлов). * Очистку оперативной памяти и гарантированное удаление файлов.

> Важно понимать: в версии «Орёл» модуль Parsec отключен или отсутствует, поэтому механизмы мандатного доступа там не работают.

Подготовка к установке

Перед установкой необходимо убедиться, что ваше оборудование соответствует минимальным требованиям. Astra Linux весьма демократична к ресурсам.

Минимальные системные требования: * Процессор: x86-64 (для релиза «Смоленск»). * Оперативная память: от 1 ГБ (рекомендуется 4 ГБ и выше). * Жесткий диск: от 4 ГБ свободного места (рекомендуется от 16 ГБ). * Монитор: разрешение 800x600.

Для установки вам понадобится ISO-образ системы. Образ версии Common Edition можно скачать с официального сайта. Образ Special Edition предоставляется при покупке лицензии.

Процесс установки: пошаговое руководство

Установка Astra Linux выполняется через графический инсталлятор, который очень похож на стандартный инсталлятор Debian, но имеет свои особенности.

Шаг 1: Загрузка и выбор языка

После загрузки с флешки или диска вы увидите меню. Выберите пункт «Графическая установка». Первым делом система попросит выбрать язык (русский по умолчанию) и способ переключения раскладки клавиатуры (обычно Alt+Shift).

Шаг 2: Лицензионное соглашение

Внимательно прочитайте и примите лицензионное соглашение. Без этого установка не продолжится.

Шаг 3: Настройка сети и имени компьютера

Инсталлятор попытается автоматически настроить сеть по DHCP. Вам нужно будет задать: * Имя компьютера: уникальное имя в сети (например, astra-pc). * Имя домена: если компьютер не в домене, можно оставить пустым или написать local.

Шаг 4: Учетные записи

Вам предложат создать учетную запись администратора.

Имя пользователя: логин для входа (например, admin или user).

Пароль: введите сложный пароль дважды.

> Внимание: В Astra Linux Special Edition по умолчанию учетная запись root (суперпользователя) блокируется для прямого входа, а создаваемый пользователь получает права администратора через механизм sudo. Однако на этапе установки вас могут попросить задать пароль именно для root, в зависимости от версии инсталлятора.

Шаг 5: Разметка диска

Это самый ответственный этап. Если вы устанавливаете систему на чистый диск или виртуальную машину, выберите «Авто — использовать весь диск».

Система предложит схему разметки: * Все файлы в одном разделе (рекомендуется для новичков). * Отдельный раздел для /home (полезно для сохранения данных пользователей при переустановке).

Для повышения безопасности в Special Edition часто рекомендуется выносить разделы /var, /tmp и /home на отдельные партиции и использовать опции монтирования noexec и nosuid там, где это возможно, но для первой установки достаточно автоматической разметки.

После выбора схемы выберите «Закончить разметку и записать изменения на диск».

Шаг 6: Выбор программного обеспечения

На этом этапе вы выбираете, какие компоненты будут установлены.

Обязательно отметьте: * Графический интерфейс Fly (если вам нужен рабочий стол). * Базовые средства.

Дополнительно можно выбрать: * Средства работы с интернетом (браузер, почта). * Офисный пакет (LibreOffice). * Средства удаленного доступа (SSH).

Шаг 7: Дополнительные настройки безопасности (только для SE)

В версии Special Edition инсталлятор предложит включить дополнительные функции защиты: * Мандатный контроль целостности. * Замкнутая программная среда.

Для учебных целей на первом этапе эти галочки можно не ставить, чтобы не усложнять себе жизнь при первоначальной настройке. Их можно включить позже.

Шаг 8: Установка загрузчика GRUB

Согласитесь с установкой системного загрузчика GRUB в главную загрузочную запись (MBR) вашего диска (обычно /dev/sda или /dev/vda).

Завершение

После копирования файлов и настройки пакетов система предложит перезагрузиться. Извлеките установочный носитель и нажмите «Продолжить».

!Блок-схема последовательности установки Astra Linux.

Первый вход в систему

После перезагрузки вы увидите окно входа в систему Fly.

В версии Special Edition окно входа может содержать дополнительные поля, такие как «Уровень целостности» (обычно выбирается «Высокий» для администратора, но по умолчанию достаточно просто ввести логин и пароль).

Введите данные пользователя, созданного на Шаге 4. Если все прошло успешно, перед вами откроется рабочий стол со «звездными» обоями.

Поздравляем! Вы успешно установили Astra Linux. Теперь у вас есть надежная платформа для изучения администрирования и безопасности.

В следующей статье мы подробно разберем интерфейс Fly, научимся работать с файловым менеджером и настроим сеть.

Полезные ссылки

* Википедия Astra Linux — официальная база знаний. * Форум Astra Linux — сообщество пользователей.

Графический интерфейс Fly: настройка рабочего стола и файловый менеджер

В предыдущей статье мы успешно установили операционную систему Astra Linux. Теперь пришло время познакомиться с тем, что встречает пользователя сразу после ввода пароля — графическим окружением Fly.

Для многих администраторов, привыкших к консоли, графический интерфейс (GUI) может показаться вторичным. Однако в Astra Linux окружение Fly — это не просто красивая картинка, а глубоко интегрированный инструмент управления безопасностью и администрированием. В этой статье мы разберем, как настроить рабочее пространство под себя, освоим мощный файловый менеджер и узнаем, как интерфейс помогает визуально контролировать безопасность системы.

Что такое Fly и почему не GNOME или KDE?

Большинство дистрибутивов Linux используют популярные свободные окружения рабочего стола, такие как GNOME, KDE Plasma или Xfce. Разработчики Astra Linux пошли своим путем и создали собственное проприетарное окружение — Fly.

Fly написано с использованием библиотеки Qt (той же, на которой основан KDE), но при этом оно гораздо легковеснее.

Ключевые особенности Fly:

* Оптимизация: Потребляет минимум оперативной памяти, что позволяет системе быстро работать даже на старом оборудовании (например, на процессорах «Эльбрус» или «Байкал»). * Привычность: Интерфейс специально спроектирован так, чтобы максимально напоминать классические версии Windows (XP/7). Это снижает порог входа для сотрудников, переходящих с продуктов Microsoft. * Безопасность: Это единственное окружение, которое умеет корректно работать с мандатным управлением доступом (Parsec), отображая метки конфиденциальности прямо на окнах приложений.

Обзор рабочего стола

После входа в систему перед вами открывается классический рабочий стол. Давайте разберем его основные элементы.

!Схема основных элементов интерфейса Fly.

Меню «Пуск»

В левом нижнем углу находится кнопка с логотипом звезды (или орла, в зависимости от темы). Она открывает главное меню, которое структурировано по категориям:

* Офис: Здесь вы найдете LibreOffice. * Сеть: Браузер (обычно Chromium или Firefox) и почтовый клиент. * Графика: Редакторы изображений. * Системные: Терминал, файловый менеджер, монитор ресурсов. * Панель управления: Центр всех настроек системы.

Панель задач и переключатель рабочих столов

Панель задач работает так же, как и в других ОС: здесь отображаются запущенные приложения. Однако рядом с кнопкой «Пуск» вы можете заметить иконки переключения рабочих столов (обычно их 4).

Виртуальные рабочие столы — это мощный инструмент Linux. Вы можете открыть почту и мессенджеры на первом столе, средства администрирования на втором, а документацию на третьем. Переключаться между ними можно кликом мыши или горячими клавишами (обычно Ctrl + F1, Ctrl + F2 и т.д.).

Системный трей

В правом нижнем углу находится область уведомлений. Здесь располагаются часы, регулятор громкости, индикатор сети и менеджер буфера обмена (иконка с ножницами или планшетом), который запоминает историю скопированного текста.

Настройка системы: Панель управления Fly

В отличие от многих Linux-дистрибутивов, где настройки разбросаны по разным конфигурационным файлам, Astra Linux стремится собрать всё в одном месте. Это место называется Панель управления (исполняемый файл fly-admin-center).

Чтобы открыть её, зайдите в Пуск -> Панель управления.

Настройки сгруппированы по категориям:

Безопасность: Настройка политики паролей, межсетевого экрана, мандатного доступа.

Оборудование: Принтеры, звук, настройка мониторов.

Сеть: Настройка IP-адресов, DNS, VPN.

Система: Дата и время, установка пакетов (Synaptic), пользователи.

Рабочий стол: Темы, шрифты, заставки.

Персонализация внешнего вида

Для комфортной работы важно настроить систему «под себя». В разделе «Рабочий стол» вы можете:

* Настройка монитора: Изменить разрешение экрана и частоту обновления. Если у вас несколько мониторов, здесь можно настроить их расположение и режим работы (дублирование или расширение). * Оформление: Выбрать тему иконок и окон. Astra Linux предлагает несколько предустановленных тем, включая темную тему для снижения нагрузки на глаза. * Блокировка экрана: Настроить время, через которое экран будет гаснуть и блокироваться паролем. Это критически важно для безопасности — администратор никогда не должен оставлять разблокированную консоль без присмотра.

Файловый менеджер Fly-fm

Файловый менеджер — главный инструмент администратора после терминала. В Astra Linux используется собственный менеджер — Fly-fm.

Он уникален тем, что объединяет в себе два подхода к интерфейсу:

Классический (Проводник): Одно окно, дерево папок слева, содержимое справа. Привычно для пользователей Windows.

Двухпанельный (Commander): Экран разделен на две независимые части. Это стандарт де-факто для администраторов (напоминает Total Commander или Midnight Commander). Удобно для копирования файлов из одной папки в другую без открытия новых окон.

!Двухпанельный режим работы файлового менеджера Fly-fm.

Основные операции и горячие клавиши

Fly-fm поддерживает вкладки (как в браузере). Чтобы открыть новую вкладку, нажмите Ctrl + T.

Полезные функции для администратора:

* Расчет контрольных сумм: Если кликнуть правой кнопкой мыши на файл и выбрать «Свойства», а затем вкладку «Контрольная сумма», Fly-fm может рассчитать хеш файла (MD5, SHA, а также ГОСТ Р 34.11, что важно для российских стандартов безопасности). * Монтирование устройств: При подключении USB-флешки она автоматически отобразится в левой панели. Для безопасного извлечения нужно нажать правой кнопкой мыши на устройство и выбрать «Отмонтировать». * Запуск от имени администратора: Если вам нужно отредактировать системный файл, не обязательно открывать консоль. Можно нажать правой кнопкой на файл (или папку) и выбрать «Открыть как Администратор» (потребуется ввод пароля).

Визуализация безопасности (Только для Special Edition)

Одна из самых интересных особенностей Fly в редакции Special Edition («Смоленск») — это визуальная индикация уровней конфиденциальности.

В Astra Linux реализовано мандатное управление доступом (MAC). Каждому файлу и процессу присваивается метка безопасности (например, «Несекретно», «Секретно», «Сов. Секретно»).

Если вы работаете под пользователем с высоким уровнем доступа, Fly будет подсвечивать окна приложений цветными рамками:

* Синяя рамка: Низкий уровень целостности. * Красная рамка: Высокий уровень конфиденциальности (работа с важными данными).

Также в заголовке окна может отображаться текстовая метка уровня доступа. Это помогает администратору и пользователю мгновенно понимать, в каком контуре безопасности они сейчас работают, и предотвращает случайную передачу секретных данных в открытый контур.

> Важно: В версии Common Edition («Орёл») эти функции отключены, так как там не используется мандатный контроль доступа Parsec.

Работа с терминалом Fly-term

Несмотря на развитый графический интерфейс, настоящая сила Linux — в командной строке. В Astra Linux используется эмулятор терминала Fly-term.

Он поддерживает: * Вкладки (Ctrl + Shift + T). * Профили настроек (цвета, шрифты). * Прозрачность фона (для тех, кто любит видеть обои или инструкции под окном терминала).

Вызов терминала часто осуществляется горячей клавишей Alt + T (если настроено) или через меню «Пуск» -> «Системные».

Заключение

Графический интерфейс Fly — это гибкая, быстрая и защищенная оболочка, которая делает Astra Linux дружелюбной как для новичков, так и для профессионалов. Мы научились настраивать рабочий стол, использовать мощь двухпанельного файлового менеджера и поняли, как система визуально сообщает нам о безопасности.

В следующей статье мы перейдем к одной из самых важных тем администрирования — «Управление пользователями и группами: командная строка и графические утилиты». Мы разберем, как создавать пользователей, назначать им права и что такое sudo.

Полезные ссылки

* Справочный центр Astra Linux: Графический интерфейс Fly * Руководство пользователя Astra Linux Special Edition

Основы работы в терминале, иерархия файловой системы и управление пакетами

В предыдущих статьях мы установили Astra Linux и познакомились с графическим интерфейсом Fly. Вы научились открывать папки, запускать приложения и настраивать рабочий стол с помощью мыши. Однако, чтобы стать настоящим администратором Linux, одного графического интерфейса недостаточно.

Истинная сила Linux скрыта в «черном окне» с мигающим курсором — терминале. Именно здесь совершается магия автоматизации, удаленного управления и глубокой настройки системы. В этой статье мы сделаем первые шаги в командной строке, разберемся, как устроена файловая система (и почему там нет диска C:), а также научимся устанавливать программы так, как это делают профессионалы.

Зачем нужен терминал?

Новички часто спрашивают: «Зачем мне учить команды, если есть Fly-fm и Панель управления?». Вот несколько причин:

Скорость: Набрать команду apt install firefox часто быстрее, чем искать менеджер пакетов в меню, ждать его загрузки и вбивать название в поиск.

Универсальность: Графические оболочки могут меняться, но команды терминала в Linux остаются почти неизменными десятилетиями.

Удаленное администрирование: Серверы часто не имеют монитора и графического интерфейса. Управление ими происходит через протокол SSH, который предоставляет только командную строку.

Диагностика: В случае сбоя графическая оболочка может не загрузиться. Терминал станет вашим единственным инструментом для починки системы.

Первые шаги в консоли

Запустите терминал. В Astra Linux это можно сделать через меню «Пуск» -> «Системные» -> «Терминал Fly» или нажав комбинацию клавиш Alt + T.

Приглашение командной строки

Первое, что вы увидите — это строка приглашения (prompt). Она несет в себе важную информацию. Обычно она выглядит так:

user@astra:~ — знак типа пользователя. * $ означает обычного пользователя. * # означает суперпользователя (root/администратор).

Базовая навигация

В терминале вы всегда находитесь в какой-то папке. Чтобы узнать, где именно, используйте команду:

Расшифровка: Print Working Directory (напечатать рабочую директорию).

Чтобы посмотреть содержимое текущей папки, введите:

Расшифровка: List (список).

У команды ls есть полезные ключи (параметры): * ls -l — показать список в виде таблицы с подробностями (размер, дата, права). * ls -a — показать скрытые файлы (в Linux они начинаются с точки, например .bashrc).

Чтобы перейти в другую папку, используется команда cd (Change Directory):

Если вы хотите вернуться на уровень выше (в родительскую папку), используйте две точки:

> Совет: Вам не обязательно печатать длинные названия папок целиком. Начните вводить имя (например, cd Заг) и нажмите клавишу Tab. Терминал автоматически допишет остальное.

Иерархия файловой системы (FHS)

Если вы пришли из мира Windows, файловая система Linux может сбить вас с толку. Здесь нет дисков C:, D: или E:.

В Linux существует единое дерево каталогов, которое начинается с корня (root). Корень обозначается символом слэша /. Все физические диски, флешки и сетевые папки «монтируются» (прикрепляются) к определенным веткам этого дерева.

!Структура файловой системы Linux: всё начинается с корня.

Основные системные каталоги

Стандарт иерархии файловой системы (Filesystem Hierarchy Standard — FHS) определяет назначение основных папок. Знание этих путей критически важно для администратора Astra Linux.

| Каталог | Назначение | | :--- | :--- | | / | Корень. Начало всей файловой системы. | | /bin и /sbin | Здесь лежат исполняемые файлы программ (команды вроде ls, cp, ip). В /sbin находятся утилиты для системного администрирования. | | /etc | Конфигурационные файлы. «Мозг» системы. Здесь лежат настройки сети, пользователей, программ. Если нужно что-то настроить глобально — вам сюда. | | /home | Домашние каталоги пользователей. Здесь лежат ваши «Документы», «Загрузки» и личные настройки. Например: /home/ivan. | | /root | Домашняя папка суперпользователя (администратора). Обычный пользователь не имеет к ней доступа. | | /var | Переменные данные. Логи системы (/var/log), базы данных, сайты, очереди печати. Содержимое этой папки постоянно меняется. | | /tmp | Временные файлы. Очищается при перезагрузке. | | /dev | Файлы устройств. В Linux «всё есть файл». Ваш жесткий диск может называться /dev/sda, а мышь — /dev/input/mouse0. | | /mnt и /media | Точки монтирования для временных носителей (флешки, диски). |

Управление файлами через терминал

Теперь, когда мы понимаем структуру, давайте научимся создавать и удалять файлы.

Создание

Создать новую папку:

(Make Directory)

Создать пустой файл или обновить время доступа существующего:

Копирование и перемещение

Скопировать файл:

(Copy)

Скопировать папку (нужен ключ -r — рекурсивно):

Переместить файл (или переименовать его — в Linux это одно и то же действие):

(Move)

Удаление

Будьте осторожны! В терминале нет корзины. Удаленные файлы восстановить крайне сложно.

Удалить файл:

(Remove)

Удалить папку со всем содержимым:

Просмотр содержимого файлов

Чтобы прочитать текстовый файл, не открывая редактор, используйте cat:

Эта команда выведет информацию о вашей версии Astra Linux.

Если файл длинный, используйте less. Она позволяет листать текст стрелками:

(Для выхода нажмите q).

Управление пакетами: APT

В Windows мы привыкли скачивать .exe файлы с разных сайтов. В Linux так делать не принято (и небезопасно). Программы устанавливаются из репозиториев — специальных проверенных хранилищ ПО, поддерживаемых разработчиками Astra Linux.

Для управления установкой используется система APT (Advanced Package Tool).

Поскольку установка программ меняет состояние всей системы, эти команды нужно выполнять с правами администратора. Для этого перед командой ставится слово sudo (SuperUser DO). Система попросит ввести ваш пароль.

1. Обновление списка пакетов

Перед установкой чего-либо нужно сообщить системе о последних версиях программ в репозиториях:

Эта команда не обновляет программы, она только скачивает свежие списки («прайс-листы»).

2. Обновление системы

Чтобы обновить все установленные программы до последних версий:

3. Установка программы

Допустим, мы хотим установить файловый менеджер Midnight Commander (аналог Far Manager):

4. Удаление программы

Если программа больше не нужна:

Если вы хотите удалить программу вместе с её конфигурационными файлами (полная зачистка):

Поиск пакета

Если вы не знаете точное название пакета, можно поискать его по ключевому слову:

Редактирование файлов: nano

Иногда нужно быстро поправить конфигурационный файл прямо в терминале. Для этого в Astra Linux предустановлен простой текстовый редактор nano.

Запустить его просто:

Внизу экрана вы увидите подсказки по управлению. Символ ^ означает клавишу Ctrl. * Ctrl + O — Сохранить изменения. * Ctrl + X — Выйти.

Заключение

Сегодня вы сделали большой шаг от простого пользователя к администратору. Вы узнали, что файловая система Linux — это единое дерево, научились перемещаться по нему с помощью cd и ls, и освоили установку программ через apt.

Эти навыки — фундамент. В следующей статье мы разберем тему, без которой невозможно безопасное администрирование: «Управление пользователями и правами доступа». Мы узнаем, как создавать пользователей, что означают загадочные символы rwx и как запретить коллегам читать ваши файлы.

Полезные ссылки

* Справочник команд Linux (Debian) — официальная документация. * Википедия Astra Linux: Работа в командной строке

Администрирование пользователей и мандатное управление доступом (Parsec)

Мы уже научились устанавливать Astra Linux, настроили графический интерфейс Fly и освоились в терминале. Теперь пришло время погрузиться в одну из самых важных и сложных тем — управление доступом.

В обычной системе Linux администратор просто создает пользователей и раздает права на файлы. Но Astra Linux Special Edition — это система специального назначения. Здесь, помимо стандартных прав, работает мощная подсистема защиты Parsec. В этой статье мы разберем, как управлять пользователями «по классике», а затем узнаем, как превратить обычный Linux в неприступную крепость с помощью мандатного управления доступом.

Классическое управление пользователями (DAC)

Прежде чем переходить к уникальным функциям Astra Linux, нужно вспомнить базу. В основе любой Linux-системы лежит дискреционное управление доступом (Discretionary Access Control — DAC).

Суть DAC проста: у каждого файла есть владелец, и этот владелец сам решает, кому разрешить доступ, а кому запретить.

Пользователи и группы

В Linux каждый человек, работающий за компьютером, должен иметь свою учетную запись. Учетные записи объединяются в группы для удобства управления правами.

* UID (User ID): Уникальный числовой идентификатор пользователя. У root он всегда равен 0. * GID (Group ID): Идентификатор группы.

Основные команды управления

Все действия по управлению пользователями требуют прав суперпользователя (sudo).

1. Создание пользователя

Чтобы добавить нового сотрудника в систему, используется команда useradd. Рекомендуется использовать её с ключом -m, чтобы сразу создать домашнюю папку:

После создания учетной записи она заблокирована, пока вы не зададите пароль:

2. Удаление пользователя

Если сотрудник уволился, его учетную запись нужно удалить:

Чтобы удалить пользователя вместе с его файлами и домашней папкой:

3. Работа с группами

Группы позволяют дать права сразу отделу, а не каждому человеку по отдельности.

Создать группу «Бухгалтерия»:

Добавить пользователя petrov в группу accounting:

Права доступа к файлам (chmod)

В классическом Linux у каждого файла есть три категории прав:

r (read) — чтение.

w (write) — запись (редактирование, удаление).

x (execute) — исполнение (запуск программы или вход в папку).

Эти права назначаются для трех сущностей: * Владелец (User) * Группа (Group) * Остальные (Others)

!Визуальное представление структуры прав доступа rwx для владельца, группы и остальных пользователей.

Команда ls -l показывает эти права в виде строки, например: -rwxr-xr--.

Чтобы изменить права, используется команда chmod:

(Добавить владельцу право на исполнение)

Мандатное управление доступом (Parsec)

Всё, что мы обсудили выше, есть в любой Ubuntu или Debian. Но Astra Linux Special Edition покупают не ради этого. Главная особенность системы — мандатное управление доступом (Mandatory Access Control — MAC), реализованное через подсистему Parsec.

В чем отличие DAC от MAC?

* DAC (Классика): Владелец файла решает, кто его читает. Если пользователь ivan создал секретный документ, он может по ошибке дать права на чтение всем (chmod 777), и секрет утечет. * MAC (Parsec): Система решает, кто и что может читать, основываясь на метках безопасности. Даже если ivan захочет открыть доступ к секретному файлу стажеру, система запретит это действие, так как у стажера нет соответствующего уровня допуска.

Уровни конфиденциальности и категории

Parsec присваивает каждому субъекту (пользователю/процессу) и каждому объекту (файлу/папке) специальные метки.

В Astra Linux SE определена иерархия уровней конфиденциальности (от низшего к высшему):

Уровень 0: Несекретно (обычная работа).

Уровень 1: ДСП (Для служебного пользования).

Уровень 2: Секретно.

Уровень 3: Совершенно секретно / Особой важности.

Золотое правило мандатного доступа: > Пользователь может читать только те документы, уровень секретности которых меньше или равен его собственному уровню допуска.

Это означает, что генерал (Уровень 3) может читать приказы рядового (Уровень 0), но рядовой никогда не откроет папку генерала, какие бы права rwx там ни стояли.

!Иллюстрация принципа мандатного доступа: доступ к информации зависит от уровня допуска пользователя.

Мандатный контроль целостности

Помимо секретности, Parsec следит за целостностью. Это защита от взлома и вирусов.

Существуют уровни целостности (обычно «Низкий» и «Высокий»). * Низкий уровень: Пользовательские приложения, интернет, игры. * Высокий уровень: Системные файлы, настройки, администраторы.

Процесс с низким уровнем целостности (например, браузер) не может записать данные в файл с высоким уровнем целостности (например, в /etc/passwd). Это блокирует большинство вирусов-шифровальщиков и троянов.

Инструменты администрирования Parsec

Как администратору управлять всем этим хозяйством? В Astra Linux есть два пути: графический и консольный.

Графическая утилита: fly-admin-smc

Самый удобный инструмент — «Политика безопасности».

Путь: Пуск -> Панель управления -> Безопасность -> Политика безопасности.

Здесь вы можете:

Выбирать пользователей.

На вкладке «Мандатные атрибуты» задавать им уровни доступа (от 0 до 3) и категории.

Настраивать аудит (кто и когда пытался получить доступ к файлам).

Консольные утилиты: pdpl

Для любителей терминала существует набор команд, начинающихся с pdpl (Parsec Data Protection Label).

1. Просмотр метки файла

Команда ls не показывает мандатные метки. Для этого нужна команда pdpl-file:

Вывод покажет уровень конфиденциальности (например, level: 2) и категории.

2. Изменение метки файла

Чтобы сделать файл секретным (Уровень 2):

3. Управление пользователями

Для настройки уровней пользователей используется команда pdpl-user:

Эта команда устанавливает пользователю petrov максимальный уровень допуска 2 и минимальный 0.

Практический сценарий: Создание защищенного контура

Давайте представим, что нам нужно создать пользователя для работы с секретными документами.

Создаем пользователя:

Назначаем мандатный уровень:

По умолчанию пользователь создается с нулевым уровнем. Повысим его до 2 (Секретно).

Вход в систему:

При входе в систему через графический интерфейс Fly, agent007 теперь сможет выбрать уровень сессии. Если он выберет «Уровень 2», все создаваемые им файлы будут автоматически получать метку «Секретно».

Проверка:

Если другой пользователь (с уровнем 0) попытается прочитать файлы агента, он получит сообщение «Отказано в доступе», даже если он является владельцем группы.

Заключение

Администрирование в Astra Linux — это двухуровневый процесс. С одной стороны, вы используете привычные инструменты Linux (useradd, chmod) для базовой настройки. С другой стороны, вы настраиваете Parsec для обеспечения государственной защиты данных.

Понимание разницы между дискреционным (DAC) и мандатным (MAC) доступом — ключ к успешной работе с отечественными защищенными системами. В следующей статье мы разберем не менее важную тему — «Сетевое администрирование: настройка сети, SSH и межсетевой экран».

Полезные ссылки

* Справочный центр Astra Linux: Мандатное управление доступом * Руководство администратора безопасности Astra Linux SE

Настройка сети, управление системными службами и базовый мониторинг

Мы продолжаем наш путь к полному контролю над операционной системой Astra Linux. В прошлых статьях мы установили систему, настроили графический интерфейс, освоили работу с файлами и научились управлять правами пользователей через Parsec. Теперь наша «крепость» надежно защищена изнутри.

Однако изолированный компьютер в современном мире практически бесполезен. В этой статье мы научимся подключать Astra Linux к сети, управлять фоновыми процессами (службами), которые обеспечивают работу системы, и следить за её «здоровьем» с помощью инструментов мониторинга.

Настройка сети в Astra Linux

В Linux существует несколько способов настройки сети: от простых графических утилит до правки конфигурационных файлов вручную. Администратор должен владеть всеми методами, так как на серверах графического интерфейса может и не быть.

Основные сетевые команды

Прежде чем что-то настраивать, нужно узнать текущее состояние. Раньше для этого использовалась команда ifconfig, но сейчас она считается устаревшей (хотя и работает). Современный стандарт — утилита ip.

Просмотр сетевых интерфейсов и IP-адресов:

Расшифровка: ip address.

В выводе вы увидите список интерфейсов: * lo (loopback) — локальная петля (127.0.0.1), нужна для работы внутренних процессов. * eth0 (или enp3s0) — ваш физический сетевой адаптер (проводной). * wlan0 — беспроводной адаптер (Wi-Fi).

Просмотр таблицы маршрутизации:

Расшифровка: ip route.

Здесь важно найти строку, начинающуюся с default via .... Это ваш шлюз по умолчанию (роутер), через который компьютер выходит в интернет.

Проверка связи:

Классическая команда ping позволяет проверить, доступен ли удаленный узел:

Для остановки нажмите Ctrl + C.

Настройка через графический интерфейс Fly

Для рабочих станций самый простой способ — использовать Network Manager.

В системном трее (справа внизу) найдите иконку сети (два монитора или значок Wi-Fi).

Нажмите на нее правой кнопкой мыши и выберите «Изменить соединения».

Выберите ваш интерфейс и нажмите шестеренку (настройки).

На вкладке IPv4 можно выбрать метод:

* Автоматически (DHCP): Роутер сам выдаст адрес. * Вручную: Вы сами прописываете IP-адрес, маску, шлюз и DNS.

!Схематичное изображение основных компонентов сетевого подключения.

Настройка через конфигурационные файлы

На серверах и в защищенных сегментах сети настройки часто прописываются жестко в файлах. В Astra Linux (как наследнике Debian) главным файлом конфигурации сети является /etc/network/interfaces.

Откроем его для редактирования:

Пример настройки динамического IP (DHCP):

Пример настройки статического IP:

После изменения файла нужно перезапустить сетевую службу, чтобы настройки вступили в силу:

> Важно: Если вы используете Network Manager (графику), он может конфликтовать с ручными настройками в /etc/network/interfaces. Обычно, если интерфейс прописан в файле, Network Manager перестает им управлять.

Управление системными службами (systemd)

Когда вы включаете компьютер, помимо рабочего стола запускаются десятки скрытых программ: служба печати, служба времени, сетевые службы, журналы событий. В Linux такие фоновые программы называются демонами (daemons), а управляет ими система инициализации systemd.

Основная утилита для управления службами — systemctl.

Статус службы

Давайте посмотрим состояние службы SSH (Secure Shell), которая позволяет подключаться к компьютеру удаленно.

Вывод покажет: * Loaded: загружена ли конфигурация. * Active: работает ли служба прямо сейчас (active (running) или inactive (dead)). * Последние логи службы.

!Диаграмма состояний системной службы.

Управление состоянием

Запустить службу:

Остановить службу:

Перезапустить службу (полезно после изменения настроек):

Автозагрузка

Если вы хотите, чтобы служба запускалась сама при включении компьютера, её нужно добавить в автозагрузку:

Убрать из автозагрузки:

Базовый мониторинг системы

Администратор должен знать, что происходит с его сервером. Хватает ли памяти? Не загрузил ли процессор какой-то зависший процесс? Не закончилось ли место на диске?

Мониторинг процессов: top и htop

Самая известная утилита — top. Она предустановлена везде.

Она показывает список процессов, сортируя их по потреблению процессора (CPU). Чтобы выйти, нажмите q.

Однако в Astra Linux часто доступна более удобная и красивая утилита — htop. Если её нет, установите: sudo apt install htop.

В htop можно: * Видеть загрузку каждого ядра процессора в виде цветных шкал. * Использовать мышь для прокрутки и выбора процессов. * Нажимать F9 для завершения («убийства») зависшего процесса.

Свободное место на диске

Закончившееся место на диске — частая причина падения серверов. Проверить его можно командой:

Расшифровка: disk free, ключ -h (human-readable) показывает размер в Гигабайтах, а не в байтах.

Обратите внимание на столбец Use% для корневого раздела /.

Оперативная память

Чтобы узнать, сколько оперативной памяти (RAM) свободно:

Системные журналы (Логи)

Если что-то сломалось, ответ почти всегда есть в логах. В Linux логи хранятся в папке /var/log.

* /var/log/syslog (или /var/log/messages) — общий системный журнал. * /var/log/auth.log — журнал попыток входа (кто и когда вводил пароль). * /var/log/kern.log — сообщения ядра Linux.

Для просмотра логов в реальном времени удобно использовать команду tail с ключом -f (follow):

Также в системах с systemd есть мощный инструмент journalctl. Он позволяет искать ошибки более гибко.

Показать ошибки с момента последней загрузки:

Практическое задание: Настройка SSH

Давайте объединим знания. Настроим удаленный доступ к вашей машине Astra Linux.

Установите SSH-сервер (если не установлен):

Проверьте статус службы:

Она должна быть active (running).

Узнайте свой IP-адрес:

Подключитесь:

Если у вас есть второй компьютер в той же сети, попробуйте подключиться с него (в Windows можно использовать PowerShell или программу PuTTY): ssh user@192.168.x.x (где user — имя вашего пользователя, а 192.168.x.x — IP-адрес Astra Linux).

Заключение

Сегодня мы научились «оживлять» Astra Linux, подключая её к сети, и контролировать её внутренние процессы. Умение работать с ip, systemctl и логами — это ежедневная рутина системного администратора.

В следующей статье мы перейдем к продвинутым темам и поговорим о написании скриптов на Bash для автоматизации рутинных задач. Вы узнаете, как заставить компьютер делать работу за вас.

Полезные ссылки

* Справочный центр Astra Linux: Настройка сети * Руководство по systemd на русском * Официальная документация Debian: Сетевые настройки