Можно использовать шифрование, можно средства доверенной загрузки - все, что угодно и все что применяется сейчас для таких типов угроз, как загрузка с внешнего носителя
все верно, при этом простота работы СЗИ в Астре подтверждается тем, что под мандатное управление доступом в Астре разработано довольно большое количество тяжелых приложений, например 1С Предприятие с поддержкой мандатного управления доступом.
Пройти такой подвиг под политики SELinux пока никто не решился.
почитайте как это работает в Windows - ровно те же самые уровни целостности:
"Уровень целостности является мерой доверия. Приложение с высоким уровнем целостности — это приложение, в котором выполняются задачи по изменению системных данных, например приложение для разбивки диска на разделы. Приложение с низким уровнем целостности выполняет задачи, которые могут потенциально подвергать риску операционную систему (например, веб-браузер). Приложения с более низким уровнем целостности не могут изменять данные в приложениях с более высоким уровнем целостности."
Настройка SELinux в графике для пользовательских приложений, да еще в режимах запуска одним пользователем приложения под разными уровнями конфиденциальности очень проблематична.
Политика TE тут неприменима, а в режиме MLS слишком много проблем, в том числе при работе с доменом (каталогом пользователей).
В данной статье не было задачи показать, как создаются патчи. Мы рассказываем о наших подход к безопасности и закрытию уязвимостей. Это немного про другое статья, недели то, что вы хотели увидеть.
Ранее на различных сайтах была опубликована информация о уязвимости в Astra Linux, связанной с возможностью получения доступа к конфиденциальным данным в результате манипуляций с разрешением экрана виртуальной машины с операционной системой Astra Linux.
Сведения об указанной уязвимости включены в БДУ ФСТЭК России, базовая оценка опасности по CVSS 3.0 составляет 4 балла.
В Астре есть все эти возможности, в том числе можно сразу при инсталляции задать использование томов LVM с применением LUKS
Можно использовать шифрование, можно средства доверенной загрузки - все, что угодно и все что применяется сейчас для таких типов угроз, как загрузка с внешнего носителя
все верно, при этом простота работы СЗИ в Астре подтверждается тем, что под мандатное управление доступом в Астре разработано довольно большое количество тяжелых приложений, например 1С Предприятие с поддержкой мандатного управления доступом.
Пройти такой подвиг под политики SELinux пока никто не решился.
Таким образом можно получить доступ к жесткому диску
почитайте как это работает в Windows - ровно те же самые уровни целостности:
"Уровень целостности является мерой доверия. Приложение с высоким уровнем целостности — это приложение, в котором выполняются задачи по изменению системных данных, например приложение для разбивки диска на разделы. Приложение с низким уровнем целостности выполняет задачи, которые могут потенциально подвергать риску операционную систему (например, веб-браузер). Приложения с более низким уровнем целостности не могут изменять данные в приложениях с более высоким уровнем целостности."
https://docs.microsoft.com/ru-ru/windows/security/identity-protection/user-account-control/how-user-account-control-works
а что смешного в сравнении аналогичных подходов к контролю целостности?
Настройка SELinux в графике для пользовательских приложений, да еще в режимах запуска одним пользователем приложения под разными уровнями конфиденциальности очень проблематична.
Политика TE тут неприменима, а в режиме MLS слишком много проблем, в том числе при работе с доменом (каталогом пользователей).
Об этом писали в одной из предыдущих статей, вот пример проблем selinux в графике:https://habrastorage.org/getpro/habr/post_images/e12/7db/1a1/e127db1a1bded19abb9467212ef00330.png
Приходите в группу Импортозамещение в Телеграм. Мы ждем вас там @importozames
Сведения об указанной уязвимости включены в БДУ ФСТЭК России, базовая оценка опасности по CVSS 3.0 составляет 4 балла.
bdu.fstec.ru/vul/2019-02442
Для устранения указанной уязвимости опубликованы методические рекомендации с обновлением для устранения данной проблемы.
для версии 1.6
wiki.astralinux.ru/pages/viewpage.action?pageId=53644505
для версии 1.5
wiki.astralinux.ru/pages/viewpage.action?pageId=1212483#id-%D0%9E%D0%B1%D0%BD%D0%BE%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D1%8F%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8%D0%B8%D0%BC%D0%B5%D1%82%D0%BE%D0%B4%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%B8%D0%B5%D1%83%D0%BA%D0%B0%D0%B7%D0%B0%D0%BD%D0%B8%D1%8FAstraLinuxSpecialEdition1.5-%D0%91%D0%AE%D0%9B%D0%9B%D0%95%D0%A2%D0%95%D0%9D%D0%AC%E2%84%9620190712SE15MD
Собственно, вот?
и вот: