Основы администрирования и работы в ОС Astra Linux

Введение в экосистему Astra Linux: редакции, установка и первоначальная настройка

Добро пожаловать в курс «Основы администрирования и работы в ОС Astra Linux». Это первая статья, с которой начнется ваше погружение в мир одной из самых защищенных и востребованных отечественных операционных систем. Мы разберем, что такое Astra Linux, чем отличаются её версии, как установить систему на компьютер и выполнить базовую настройку.

Что такое Astra Linux?

Astra Linux — это операционная система на базе ядра Linux, которая разрабатывается российской компанией «РусБИТех-Астра». Исторически она создавалась для нужд силовых ведомств, спецслужб и государственных органов, поэтому ключевой фокус в ней сделан на информационную безопасность.

В основе Astra Linux лежит дистрибутив Debian, известный своей стабильностью и огромным репозиторием пакетов. Однако Astra — это не просто «перекрашенный» Debian. Разработчики внедрили собственные механизмы защиты информации, создали уникальное графическое окружение и переработали множество системных утилит.

!Упрощенная архитектура ОС Astra Linux, демонстрирующая интеграцию модуля защиты Parsec и графического интерфейса Fly.

Редакции Astra Linux: Орёл, Смоленск и другие

Для новичка навигация по версиям Astra Linux может показаться запутанной из-за использования названий городов-героев. Давайте систематизируем эти знания. Глобально существует два основных направления:

Common Edition (CE) — версия общего назначения.

Special Edition (SE) — версия специального назначения.

Astra Linux Common Edition (Релиз «Орёл»)

Это версия для домашнего использования, малого бизнеса и образовательных учреждений. В ней отсутствуют строгие механизмы защиты государственной тайны, но сохранены стабильность и удобство интерфейса.

* Доступность: Можно скачать бесплатно с официального сайта для некоммерческого использования. * Назначение: Офисная работа, мультимедиа, обучение, разработка. * Особенности: Базируется на актуальных репозиториях Debian, регулярно получает обновления функционала.

Astra Linux Special Edition (Релиз «Смоленск»)

Это флагманский продукт. Именно эта версия сертифицирована ФСТЭК, ФСБ и Минобороны России. Она предназначена для работы с информацией ограниченного доступа, вплоть до грифа «Совершенно секретно» и «Особой важности».

Главная особенность SE — встроенная система мандатного управления доступом (Mandatory Access Control — MAC) и модуль защиты Parsec.

Внутри Special Edition (начиная с версии 1.7) существует три уровня защищенности, которые выбираются при установке или лицензировании:

| Уровень защиты | Описание | Аналог старых версий | | :--- | :--- | :--- | | Базовый («Орёл») | Стандартная дискреционная защита (как в обычном Linux). Подходит для обработки общедоступной информации. | Common Edition | | Усиленный («Воронеж») | Добавляется мандатный контроль целостности и замкнутая программная среда. Для конфиденциальной информации. | - | Максимальный («Смоленск») | Полный спектр защиты, включая мандатное управление доступом. Для гостайны. | Special Edition 1.6 |

> Важно понимать: в рамках этого курса мы будем рассматривать принципы, применимые к обеим редакциям, но с акцентом на архитектуру Special Edition, так как именно она является стандартом в корпоративном и государственном секторе.

Графическое окружение Fly

В отличие от большинства дистрибутивов Linux, которые используют GNOME или KDE, Astra Linux развивает собственное графическое окружение — Fly.

Оно написано с использованием библиотеки Qt и оптимизировано для работы даже на слабом оборудовании. Интерфейс Fly намеренно сделан похожим на классические версии Windows (панель задач внизу, меню «Пуск», привычное расположение кнопок окна). Это снижает порог входа для пользователей, мигрирующих с продуктов Microsoft.

Установка Astra Linux

Рассмотрим процесс установки на примере Astra Linux Special Edition (версия 1.7). Процесс установки Common Edition практически идентичен, за исключением этапов выбора уровня защищенности.

1. Подготовка

Вам понадобится: * ISO-образ системы (скачанный с официального сайта или полученный по лицензии). * USB-накопитель (минимум 4 ГБ). * Программа для записи образа (например, Rufus для Windows или dd / Etcher для Linux).

2. Загрузка установщика

После загрузки с флешки вы увидите меню. Рекомендуется выбрать «Графическая установка». Это запустит привычный мастер с поддержкой мыши.

3. Основные этапы установки

Лицензия: Необходимо прочитать и принять лицензионное соглашение.

Переключение раскладки: Выберите комбинацию клавиш для смены языка (обычно Alt+Shift).

Имя компьютера: Задайте hostname (например, astra-pc).

Учетная запись:

* Создайте имя пользователя (администратора). * Задайте сложный пароль. В Astra Linux требования к паролям могут быть строгими даже на этапе установки.

Разметка диска:

* Для новичков рекомендуется выбрать «Авто — использовать весь диск». * Если требуется шифрование, можно выбрать вариант с LVM и шифрованием, но это может снизить производительность. * Схема разметки: для начала выберите «Все файлы в одном разделе».

!Пошаговая блок-схема процесса установки операционной системы Astra Linux.

4. Выбор программного обеспечения

Это важный этап. Установщик предложит выбрать набор пакетов. Рекомендуемый минимум: * Графический интерфейс Fly (обязательно для десктопа). * Базовые средства. * Офисный пакет (обычно LibreOffice). * Средства работы с интернетом (браузер Chromium или Firefox).

5. Дополнительные настройки безопасности (для SE)

На этапе установки Special Edition система может запросить включение дополнительных функций: * Мандатный контроль целостности: Запрещает изменение системных файлов даже администратору (root), если у него нет соответствующего уровня допуска. * Замкнутая программная среда: Разрешает запуск только подписанных исполняемых файлов.

Совет: На этапе обучения эти функции лучше оставить выключенными или в базовом режиме, чтобы случайно не заблокировать себе доступ к настройке системы.

6. Завершение

Установщик предложит установить системный загрузчик GRUB (соглашаемся и выбираем наш диск) и перезагрузить компьютер.

Первоначальная настройка системы

После перезагрузки вас встретит окно входа в систему Fly DM (Display Manager). Введите логин и пароль, созданные при установке.

Настройка сети

В правом нижнем углу (в трее) найдите значок сети. Astra Linux использует NetworkManager. * Проводное соединение: Обычно настраивается автоматически по DHCP. * Wi-Fi: Нажмите на значок, выберите сеть и введите пароль.

Если графический интерфейс недоступен, настройку можно выполнить через консольную утилиту:

Это псевдографический интерфейс для управления сетью.

Обновление системы

Первое правило администратора — работать на актуальной системе. Откройте терминал (клавиша Alt+T или через меню «Пуск» -> Системные -> Терминал Fly).

Для обновления списка пакетов и самой системы используются команды:

* sudo — выполнение команды от имени суперпользователя. * apt — пакетный менеджер (Advanced Package Tool). * update — обновление информации о доступных пакетах в репозиториях. * upgrade — скачивание и установка новых версий установленных программ.

Настройка репозиториев

Если вы используете Common Edition, репозитории обычно подключены автоматически. В Special Edition часто требуется подключить установочный диск или настроить доступ к локальному репозиторию организации, так как доступ в интернет на защищенных машинах может быть ограничен.

Список репозиториев находится в файле /etc/apt/sources.list. Просмотреть его можно командой:

Установка драйверов

Astra Linux содержит большинство драйверов в ядре. Однако для видеокарт NVIDIA может потребоваться установка проприетарных драйверов. В меню «Пуск» -> «Панель управления» -> «Оборудование» есть утилита для настройки графики, но часто надежнее использовать консольную установку из репозитория.

Заключение

Мы рассмотрели фундамент экосистемы Astra Linux. Теперь вы знаете, что «Орёл» подходит для дома, а «Смоленск» — для защиты гостайны. Вы познакомились с графическим окружением Fly и алгоритмом установки системы.

В следующих статьях мы углубимся в работу с командной строкой, управление пользователями и правами доступа, что является сердцем администрирования любой Linux-системы.

> «Безопасность — это не продукт, а процесс» — Брюс Шнайер. Ссылка на источник

Установка Astra Linux — это лишь первый шаг в этом процессе.

Графическое окружение Fly: работа с файловой системой и офисными приложениями

В предыдущей статье мы успешно установили Astra Linux и выполнили базовую настройку. Теперь перед вами рабочий стол. Если вы переходите с Windows, многое покажется вам знакомым, но есть и существенные отличия. В этой статье мы подробно разберем графическое окружение Fly, научимся эффективно управлять файлами и работать с документами, не прибегая к командной строке.

Знакомство с интерфейсом Fly

Fly — это проприетарное графическое окружение, разработанное специально для Astra Linux. В отличие от популярных в мире Linux окружений (таких как GNOME или KDE), Fly создавался с прицелом на максимальную производительность, безопасность и, что немаловажно, привычность для пользователей, мигрирующих с Windows.

Рабочий стол и Панель задач

Интерфейс организован по классической схеме:

Меню «Пуск» (Звезда): Расположено в левом нижнем углу (по умолчанию). Отсюда осуществляется запуск всех программ, доступ к настройкам и выключение компьютера.

Панель задач: Отображает запущенные приложения. Вы можете закреплять здесь часто используемые программы.

Системный трей: Область в правом нижнем углу с часами, индикатором раскладки клавиатуры, настройками сети и звука.

Рабочий стол: Пространство для иконок и виджетов.

!Общая схема интерфейса Fly с обозначением ключевых элементов управления.

Виртуальные рабочие столы

Одной из мощных функций Linux, реализованных во Fly, являются виртуальные рабочие столы. Представьте, что у вас не один монитор, а четыре, но физически вы смотрите в один экран.

* На первом столе у вас открыт браузер и почта. * На втором — офисные документы. * На третьем — мессенджеры.

Переключатель рабочих столов обычно находится на панели задач рядом с меню «Пуск». Это позволяет разделить рабочие процессы и избежать хаоса из открытых окон.

Файловый менеджер Fly (Fly-FileManager)

Работа с файлами — основа любой деятельности за компьютером. В Astra Linux за это отвечает Fly-FileManager. Это мощный инструмент, который может работать как в классическом режиме (как Проводник Windows), так и в двухпанельном (как Total Commander).

Структура файловой системы

Прежде чем копировать файлы, важно понять, куда их копировать. В Linux нет дисков C:, D: и так далее. Файловая система представляет собой единое дерево каталогов, начинающееся с корня (/).

Вот основные папки, которые вам нужно знать:

* / (Корень): Начало файловой системы. Обычному пользователю здесь писать запрещено. * /home (Домашние каталоги): Здесь хранятся папки пользователей. Аналог C:\Users. * /home/user (Ваша домашняя папка): Это ваше личное пространство. Здесь находятся папки «Документы», «Загрузки», «Изображения», «Рабочий стол». Именно здесь вы будете хранить 99% своих файлов. * /media или /mnt: Сюда обычно монтируются (подключаются) флешки и внешние диски.

Интерфейс менеджера файлов

Запустить менеджер можно через иконку папки на панели задач или через «Пуск» -> «Системные» -> «Файловый менеджер».

Основные элементы управления:

Панель навигации (слева): Быстрый доступ к домашней папке, корзине и подключенным устройствам.

Адресная строка: Показывает текущий путь (например, /home/ivan/Документы).

Рабочая область: Список файлов и папок.

> Совет: Чтобы включить двухпанельный режим, который удобен для копирования файлов из одной папки в другую, нажмите клавишу F9 или выберите в меню «Вид» пункт «Две панели».

!Двухпанельный режим работы файлового менеджера Fly для удобного копирования файлов.

Базовые операции с файлами

Операции стандартны и интуитивны:

* Копирование/Вставка: Ctrl+C / Ctrl+V или через контекстное меню (правая кнопка мыши). * Создание папки: Правая кнопка мыши -> «Создать» -> «Папку». * Свойства файла: Правая кнопка мыши -> «Свойства». Здесь можно увидеть размер файла и, что важно для Linux, права доступа.

В Linux у каждого файла есть владелец и права: чтение (r), запись (w) и исполнение (x). Если вы не можете открыть файл или сохранить изменения, скорее всего, у вас нет соответствующих прав. В графическом интерфейсе права отображаются на вкладке «Доступ» в свойствах файла.

Офисный пакет: работа с документами

В Astra Linux «из коробки» предустановлен пакет LibreOffice. Это полноценная замена Microsoft Office, поддерживающая большинство популярных форматов.

Состав пакета

| Приложение LibreOffice | Аналог Microsoft Office | Назначение | | :--- | :--- | :--- | | LibreOffice Writer | MS Word | Текстовый редактор | | LibreOffice Calc | MS Excel | Табличный процессор | | LibreOffice Impress | MS PowerPoint | Создание презентаций | | LibreOffice Draw | MS Visio (частично) | Векторная графика и схемы |

Совместимость форматов

По умолчанию LibreOffice сохраняет файлы в открытых форматах ODF (Open Document Format): * .odt — для текста; * .ods — для таблиц; * .odp — для презентаций.

Эти форматы являются государственным стандартом во многих странах, включая Россию (ГОСТ Р ИСО/МЭК 26300). Однако, если вам нужно отправить файл пользователю Windows, LibreOffice позволяет сохранять документы в форматах .docx, .xlsx, .pptx.

Для этого при сохранении файла («Файл» -> «Сохранить как») выберите нужный тип файла в выпадающем списке.

Особенности интерфейса Writer и Calc

Интерфейс LibreOffice может показаться немного «ретро» по сравнению с последними версиями MS Office с их ленточным интерфейсом (Ribbon). Здесь используются классические панели инструментов.

Однако, начиная с последних версий, в LibreOffice можно включить ленточный интерфейс:

Зайдите в меню «Вид».

Выберите «Пользовательский интерфейс».

Выберите вариант «Вкладки».

Это сделает переход с продуктов Microsoft более плавным.

Работа с архивами и мультимедиа

Архивация

Astra Linux включает встроенный архиватор Ark (или fly-zip в некоторых версиях). Он поддерживает работу с популярными форматами .zip, .rar (обычно только распаковка), .tar.gz, .7z.

Чтобы создать архив:

Выделите нужные файлы.

Нажмите правую кнопку мыши.

Выберите «Сжать» или «Добавить в архив».

Просмотр изображений и PDF

* Fly-image-view: Легковесная программа для просмотра фотографий. Открывается по двойному клику на изображении. * Okular или Evince: Программы для чтения PDF-файлов. Они поддерживают поиск по тексту, масштабирование и даже добавление простых заметок.

Панель управления (Fly-admin-center)

Для настройки системы не обязательно лезть в конфигурационные файлы. В меню «Пуск» доступна «Панель управления».

Здесь собраны утилиты для настройки: * Оборудования: Принтеры, сканеры, звук, мониторы. * Сети: Настройка IP-адресов, VPN, брандмауэра. * Системы: Дата и время, пользователи, обновление системы. * Безопасности: Настройка политики паролей, блокировка сессий (актуально для версии Special Edition).

!Панель управления Fly — центр настройки операционной системы.

Завершение работы

Правильное завершение работы важно для сохранности данных. В меню «Пуск» есть кнопка выключения. При нажатии на неё появится диалоговое окно с вариантами:

* Выключение: Полное отключение питания. * Перезагрузка: Перезапуск системы. * Ждущий режим: Сохранение сессии в оперативную память (компьютер потребляет минимум энергии). * Спящий режим (Гибернация): Сохранение сессии на жесткий диск и полное выключение (требует настройки раздела подкачки).

Заключение

Графическое окружение Fly — это дружелюбная оболочка, скрывающая под собой мощь Linux. Мы научились ориентироваться в файловой системе, выяснили, где лежат ваши документы, и познакомились с инструментами для офисной работы.

В следующей статье мы сделаем шаг в сторону профессионального администрирования и откроем «черный ящик» любой Linux-системы — терминал и командную строку.

Управление программным обеспечением: репозитории и работа в командной строке

В предыдущих статьях мы научились устанавливать Astra Linux и освоились в графическом интерфейсе Fly. Казалось бы, зачем идти дальше? Ведь есть мышь, окна и привычные иконки. Однако настоящий администратор знает: графический интерфейс — это лишь верхушка айсберга. Вся мощь Linux скрыта «под капотом» — в командной строке.

В этой статье мы перейдем от роли пользователя к роли администратора. Мы разберем, как устроена установка программ в Linux (спойлер: это удобнее, чем в Windows), что такое репозитории и как управлять системой с помощью текстовых команд.

Терминал: пульт управления системой

Терминал (или консоль) — это программа, которая принимает ваши текстовые команды и передает их операционной системе. В Astra Linux основным эмулятором терминала является Fly-Term.

Чтобы открыть его, нажмите Alt+T или найдите иконку монитора на панели задач (или в меню «Пуск» -> «Системные» -> «Терминал Fly»).

Анатомия приглашения командной строки

Когда вы открываете терминал, вы видите строку, ожидающую ввода. Она называется промпт (prompt). Обычно она выглядит так:

ivan@astra:~ — тип пользователя. Знак доллара означает, что вы работаете как обычный пользователь. Если бы вы были суперпользователем (администратором), здесь стоял бы знак решетки #.

!Разбор структуры приглашения командной строки (prompt).

Базовая навигация

Прежде чем управлять программами, нужно научиться перемещаться по системе. Вот «святая троица» команд:

pwd (Print Working Directory) — «Где я?». Показывает полный путь к текущей папке.

ls (List) — «Что здесь есть?». Показывает список файлов и папок в текущей директории.

cd (Change Directory) — «Перейти куда-то». Аналог двойного клика по папке.

Примеры:

Суперпользователь и команда sudo

В Linux безопасность превыше всего. Обычный пользователь не может случайно (или специально) удалить системные файлы или установить программу, которая повлияет на всех пользователей. Эти права есть только у root (суперпользователя).

Однако постоянно работать под root опасно — одна ошибка может уничтожить систему. Поэтому в Astra Linux используется механизм sudo (SuperUser DO — «суперпользователь делает»).

Если вы хотите выполнить административную задачу (например, обновить систему), вы ставите перед командой слово sudo. Система спросит ваш пароль, чтобы убедиться, что это действительно вы.

> «С большой силой приходит большая ответственность» — принцип команды sudo (и дяди Бена из Человека-паука).

Философия установки ПО: Репозитории

Пользователи Windows привыкли к такому алгоритму: открыть браузер -> найти программу -> скачать .exe файл -> запустить установку. В Linux этот подход считается небезопасным и устаревшим.

Вместо этого используется концепция репозиториев.

Репозиторий — это проверенное, централизованное хранилище программного обеспечения, поддерживаемое разработчиками ОС (в нашем случае — «РусБИТех-Астра»). Это похоже на App Store или Google Play, но появилось в Linux задолго до смартфонов.

[VISUALIZATION: Диаграмма процесса установки ПО. Слева пользователь вводит команду apt install. Стрелка идет к облаку с надписью

Администрирование системы: управление пользователями, правами доступа и сетевыми интерфейсами

В предыдущих статьях мы познакомились с графическим интерфейсом Fly и основами работы в командной строке. Теперь пришло время погрузиться в настоящую работу системного администратора. Операционная система Astra Linux — это многопользовательская система. Это означает, что на одном компьютере могут одновременно работать несколько пользователей (локально или удаленно), и задача администратора — разграничить их права так, чтобы они не мешали друг другу и не могли повредить систему.

В этой статье мы разберем три кита администрирования: управление учетными записями, настройку прав доступа к файлам и конфигурацию сетевых подключений через консоль.

Управление пользователями и группами

В Linux каждый процесс запускается от имени определенного пользователя. Даже сама система работает от имени суперпользователя root. Понимание того, как устроены учетные записи, критически важно для безопасности.

Где хранятся пользователи?

В отличие от Windows, где база данных пользователей скрыта глубоко в реестре и SAM-файлах, в Linux (и Astra Linux в частности) информация о пользователях хранится в обычных текстовых файлах, которые можно прочитать.

/etc/passwd — здесь хранится основная информация о пользователях: имя, идентификатор (UID), основная группа (GID), домашняя папка и оболочка командной строки. Этот файл доступен для чтения всем.

/etc/shadow — здесь хранятся хеши паролей и информация о сроке их действия. Этот файл может читать только root.

/etc/group — список групп и их участников.

> Важно: Никогда не редактируйте эти файлы вручную в текстовом редакторе, если вы не уверены на 100% в своих действиях. Ошибка в синтаксисе может привести к невозможности входа в систему. Используйте специальные утилиты.

Основные команды управления пользователями

Для работы с пользователями используются консольные утилиты. Выполнять их нужно с правами суперпользователя (sudo).

Создание пользователя:

Команда useradd создает новую учетную запись. Однако сама по себе она довольно «молчалива» и требует ключей для правильной настройки.

* -m: Создать домашнюю директорию (/home/newuser). Без этого ключа пользователю негде будет хранить файлы. * -s /bin/bash: Установить командную оболочку Bash по умолчанию. * newuser: Имя нового пользователя.

Задание пароля:

После создания пользователя у него нет пароля, и войти под ним нельзя. Чтобы задать пароль, используйте команду:

Система дважды попросит ввести новый пароль. Обратите внимание: при вводе пароля в терминале символы не отображаются (даже звездочки).

Модификация и удаление:

* usermod — изменение параметров (например, добавление в группу). * userdel — удаление пользователя.

Пример добавления пользователя в группу администраторов (astra-admin или sudo):

* -a (append): Добавить, а не перезаписать список групп. * -G: Указание группы.

Права доступа к файлам (Permissions)

Система прав доступа в Linux — это фундамент безопасности Astra Linux. У каждого файла и папки есть три категории доступа:

Владелец (User, u): Тот, кто создал файл (или тот, кому файл передали).

Группа (Group, g): Группа пользователей, имеющая общие права на файл.

Остальные (Others, o): Все остальные пользователи системы.

Для каждой из этих категорий определяются три типа прав:

* Read (r): Право на чтение содержимого. * Write (w): Право на изменение или удаление. * Execute (x): Право на запуск (для программ) или вход (для папок).

[VISUALIZATION: Схема прав доступа Linux. Изображение строки прав

Основы информационной безопасности: мандатный контроль доступа и подсистема Parsec

В предыдущей статье мы разобрали классическую для Linux систему прав доступа: владелец, группа, остальные (rwx). Это называется дискреционным управлением доступом (Discretionary Access Control — DAC). Его главный принцип: «Я владелец файла, и я решаю, кому его можно читать».

Однако для государственных систем, банков и военных структур этого недостаточно. Что, если владелец файла ошибется? Что, если вирус, запущенный пользователем, попытается украсть секретный документ? Здесь на сцену выходит Astra Linux Special Edition с её уникальными механизмами защиты.

В этой статье мы разберем «сердце» безопасности Astra Linux — подсистему Parsec и принцип мандатного контроля доступа.

Почему обычных прав недостаточно?

Представьте себе здание секретного НИИ. В нем есть столовая (доступна всем), кабинеты сотрудников (доступны по ключам) и секретный архив (доступ только у генерала).

В обычной системе (DAC) сотрудник может взять документ из своего кабинета и по ошибке (или злому умыслу) положить его на стол в столовой. Теперь документ доступен всем. Система прав доступа это разрешит, ведь сотрудник был владельцем документа.

В защищенной системе (MAC — Mandatory Access Control) на каждом документе стоит гриф секретности (например, «Секретно»), а у каждого сотрудника — уровень допуска. Даже если сотрудник захочет вынести секретный документ в столовую, система (вахтер) проверит гриф документа и статус помещения, и просто не позволит это сделать. В этом и есть суть мандатного контроля.

!Визуальное сравнение дискреционного и мандатного доступа.

Подсистема безопасности Parsec

В большинстве дистрибутивов Linux (Ubuntu, Debian) используются надстройки безопасности вроде SELinux или AppArmor. Разработчики Astra Linux пошли своим путем и создали собственный модуль защиты, встроенный прямо в ядро операционной системы. Он называется Parsec.

Parsec — это программный комплекс, который перехватывает все обращения программ к файлам и устройствам. Прежде чем разрешить программе открыть файл, Parsec проверяет:

Классические права (rwx).

Мандатные метки (уровень секретности).

Мандатную целостность (уровень доверия).

Дополнительные атрибуты (время работы, привилегии).

Если хотя бы одно условие не выполнено, доступ запрещается, а событие записывается в журнал аудита.

Мандатный контроль доступа (MAC)

Мандатный контроль доступа (Mandatory Access Control) — это система, где права определяются не пользователем, а администратором безопасности через назначение меток конфиденциальности.

В Astra Linux Special Edition реализована иерархическая система уровней конфиденциальности (от 0 до 3), которая соответствует российским стандартам работы с гостайной:

* Уровень 0 (Несекретно): Обычная работа, доступна всем. * Уровень 1 (ДСП): Для служебного пользования. * Уровень 2 (Секретно): Работа с секретными данными. * Уровень 3 (Совершенно секретно / Особой важности): Высший уровень доступа.

Каждый файл в системе и каждый процесс (запущенная программа) получает числовую метку уровня.

Модель Белла — ЛаПадулы

Astra Linux использует классическую математическую модель безопасности, называемую моделью Белла — ЛаПадулы. Она описывается двумя простыми правилами, которые гарантируют, что секретная информация не утечет вниз:

No Read Up (Нет чтения вверх): Пользователь с низким уровнем допуска не может читать документы с высоким уровнем секретности. (Очевидно: рядовой не читает приказы генерала).

No Write Down (Нет записи вниз): Пользователь с высоким уровнем допуска не может записывать информацию в файлы с низким уровнем секретности. (Менее очевидно, но критически важно: генерал не может случайно или специально скопировать секретный приказ в общедоступный чат).

> «Безопасность — это не отсутствие риска, а управление им.»

В Astra Linux это работает так: если вы вошли в систему под уровнем «Секретно», вы видите файлы уровней «Несекретно» и «Секретно». Но если вы попытаетесь сохранить документ, система разрешит сохранить его только как «Секретно» или выше. Сохранить его как «Несекретно» (и тем самым рассекретить) система запретит.

!Графическое отображение правил No Read Up и No Write Down.

Категории доступа

Помимо уровней (вертикаль), существуют категории (горизонталь). Например, два отдела (Кадры и Бухгалтерия) могут иметь одинаковый уровень секретности «Секретно», но сотрудники Кадров не должны видеть зарплатные ведомости, а бухгалтеры — личные дела разведчиков.

Категории позволяют создать изолированные «контейнеры» внутри одного уровня секретности.

Мандатный контроль целостности (MIC)

Если MAC защищает информацию от утечки (конфиденциальность), то MIC (Mandatory Integrity Control) защищает систему от взлома и искажения (целостность).

В Astra Linux существует понятие уровней целостности:

* Низкий уровень: Пользовательские файлы, браузер, скачанные из интернета программы. * Высокий уровень: Системные файлы, конфигурации, ядро ОС.

Правило здесь обратное: процесс с низким уровнем целостности не может изменять файлы с высоким уровнем целостности.

Пример из жизни: Даже если вирус попадет на компьютер пользователя (низкий уровень) и получит права администратора (root), мандатный контроль целостности не позволит этому вирусу изменить загрузчик системы или системные библиотеки (высокий уровень), так как у вируса нет соответствующей мандатной метки.

Как это выглядит для пользователя?

Для обычного пользователя работа в защищенной среде Astra Linux начинается с окна входа.

Выбор уровня сессии

При вводе логина и пароля в графическом входе (Fly-DM), пользователь может (если ему разрешено) выбрать уровень конфиденциальности сессии.

* Если выбрать «Уровень 0», пользователь не увидит секретных документов, но сможет свободно пользоваться интернетом (если политика разрешает). * Если выбрать «Уровень 2», пользователь получит доступ к секретным папкам, но, скорее всего, у него будет заблокирован доступ к флешкам и интернету, чтобы исключить утечку.

Рабочий стол при этом может менять цвет (например, красная рамка для высокого уровня опасности), чтобы пользователь визуально помнил, в каком режиме он работает.

Маркировка файлов

В файловом менеджере Fly можно увидеть метки файлов. Если включить режим отображения атрибутов безопасности, рядом с каждым файлом будет указан его уровень (например, [0] или [2]).

Попытка скопировать файл [2] на флешку, которая не имеет соответствующей маркировки, приведет к ошибке «Отказано в доступе», даже если вы — владелец файла.

Дополнительные механизмы защиты

Помимо Parsec и мандатного доступа, в Astra Linux SE есть и другие важные инструменты:

Замкнутая программная среда (ЗПС): Режим, в котором разрешен запуск только тех программ, которые имеют цифровую подпись администратора. Это полностью блокирует запуск любых вирусов, скриптов и нелицензионного ПО.

Режим Киоска: Ограничение пользователя запуском только одной или нескольких конкретных программ (например, только браузер или только текстовый редактор).

Очистка памяти: При завершении процесса или удалении файла система гарантированно затирает данные в оперативной памяти и на жестком диске, чтобы их нельзя было восстановить.

Заключение

Мы рассмотрели фундаментальные отличия Astra Linux Special Edition от обычных систем.

* DAC (обычные права) защищает от честных людей. * MAC (мандатный доступ) защищает от шпионов и ошибок. * Parsec — это страж, который проверяет каждое действие.

Понимание этих принципов необходимо администратору не только для сдачи экзаменов, но и для построения действительно защищенных контуров. В следующей статье мы перейдем к практической настройке сети и межсетевого экрана, чтобы защитить наш периметр от внешних угроз.