Астра линукс почтовый сервер

Астра линукс почтовый сервер

Операционная система специального назначения

Операционная система класса Linux, обеспечивающая защиту информации, содержащей сведения, составляющие государственную тайну с грифом не выше «совершенно секретно».

Разработаны и включены в состав операционной системы программные компоненты, расширяющие ее функциональность и повышающие уровень защищенности и удобства ее использования.

Мандатное разграничение доступа

В операционной системе реализован механизм мандатного разграничения доступа. При этом, принятие решения о запрете или разрешении доступа субъекта к объекту принимается на основе типа операции (чтение / запись / исполнение), мандатного контекста безопасности, связанного с каждым субъектом, и мандатной метки, связанной с объектом.

Изоляция модулей

Ядро операционной системы обеспечивает для каждого процесса в системе собственное изолированное адресное пространство.

Очистка оперативной и внешней памяти, гарантированное удаление файлов

Операционная система выполняет очистку неиспользуемых блоков файловой системы непосредственно при их освобождении.

Работа этой подсистемы снижает скорость выполнения операций удаления и усечения размера файла, однако возможна различная настройка данной подсистемы для обеспечения работы файловых систем с различными показателями производительности.

Маркировка документов

Разработанный механизм маркировки позволяет серверу печати (CUPS) проставлять необходимые учетные данные в выводимых на печать документах. Мандатные атрибуты автоматически связываются с заданием для печати на основе мандатного контекста получаемого сетевого соединения.

Регистрация событий

Реализована оригинальная подсистема протоколирования, интегрированная во все компоненты операционной системы и осуществляющая надёжную регистрацию событий с использованием специального сервиса.

Механизмы защиты информации в графической подсистеме

Графическая подсистема включает в себя Х-сервер Xorg, пользовательский рабочий стол Fly, а также ряд программных средств, предназначенных как для пользователей, так и для администраторов системы. Проведена работа по созданию и встраиванию в графическую подсистему необходимых механизмов защиты информации, обеспечивающих выполнение мандатного разграничения доступа в графических приложениях.

Разработанный рабочий стол пользователя Fly тесным образом интегрирован с механизмами защиты информации. В нем реализованы следующие возможности:
графическое отображение мандатной метки каждого окна;
возможность запускать приложенияс разными мандатными метками.

Режим "КИОСК".
ограничение действий пользователя

Степень этих ограничений задается маской киоска, которая накладывается на права доступа к файлу при любой попытке пользователя получить доступ.

Для установки прав доступа существует система профилей — файлы с готовыми наборами прав доступа для запуска каких-либо программ. Также есть средства создания таких профилей под любые пользовательские задачи.

Защита адресного
пространства процессов

В операционной системе для исполняемых файлов используется формат, позволяющий установить режим доступа к сегментам в адресном пространстве процесса.

Централизованная система сборки программного обеспечения гарантирует установку минимального режима, необходимого для функционирования программного обеспечения. Также существует возможность использования технологии NOT EXECUTE BIT, поддерживаемой современными процессорами.

Механизм контроля замкнутости программной среды

Реализован механизм, обеспечивающий проверку неизменности и подлинности загружаемых исполняемых файлов в формате ELF cialis online. Проверка производится на основе проверки векторов аутентичности, рассчитанных в соответствии с ГОСТ Р 34.10-2001 и внедряемых в исполняемые файлы в процессе сборки.

Предусмотрена возможность предоставления сторонним разработчикам программного средства для внедрения векторов аутентичности в разрабатываемое ими программное обеспечение.

Контроль целостности

Для решения задач контроля целостности применяется функция хэширования в соответствии с ГОСТ Р 34.11-94. Базовой утилитой контроля целостности является программное средство на основе открытого проекта "Another File Integrity Checker".

Средства организации домена

Для организации доменной структуры разработана подсистема Astra Linux Directory (ALD) на базе открытых стандартов LDAP. Эта подсистема предоставляет средства для организации домена и единого пространства пользователей, которые обеспечивают:

сквозную аутентификацию в сети;

централизацию хранения информации об окружении пользователей;

централизацию хранения настроек системы защиты информации на сервере;

централизацию управления серверами DNS и DHCP;

интеграцию в домен защищенных серверов СУБД, серверов печати, электронной почты, web-сервисов и др.;

централизованный аудит событий безопасности в рамках домена.

Защищенная реляционная СУБД

В состав операционной системы входит объектно-реляционная СУБД PostgreSQL, в которой реализованы дискреционный и мандатный механизмы контроля доступа к защищаемым ресурсам БД.

В основе мандатного механизма разграничения доступа лежит управление доступом к защищаемым ресурсам БД на основе иерархических и неиерархических меток доступа. Это позволяет реализовать многоуровневую защиту с обеспечением разграничения доступа пользователей к защищаемым ресурсам БД и управление потоками информации.

Защищенный комплекс программ гипертекстовой обработки данных

В состав защищенного комплекса программ гипертекстовой обработки данных входят браузер Mozilla Firefox и web-сервер Apache, интегрированный со встроенными средствами защиты информации для обеспечения мандатного разграничения доступа при организации удаленного доступа к информационным ресурсам.

Защищенный комплекс программ электронной почты

В состав комплекса входят сервер электронной почты, состоящий из агента передачи электронной почты Exim и агента доставки электронной почты Dovecot, а также клиент электронной почты Mozilla Thunderbird, обеспечивающие следующие функциональные возможности:

  • интеграции с ядром операционной системы и с базовыми библиотеками для обеспечения мандатного разграничения доступа к почтовым сообщениям, хранящимся с использованием формата Maildir;
  • автоматической маркировки создаваемых пользователем почтовых сообщений с использованием его текущего мандатного контекста.
Читайте также:  Ошибка speed exe в nfs most wanted

Агент передачи электронной почты использует протокол SMTP и обеспечивает решение следующих задач:

  • доставку исходящей почты от авторизованных клиентов до сервера, который является целевым для обработки почтового домена получателя;
  • прием и обработку почтовых сообщений доменов, для которых он является целевым;
  • передачу входящих почтовых сообщений для обработки агентом доставки электронной почты.

Подробная программа курса

Курс будет интересен администраторам сети и тем, кто планирует перевод серверов на Astra Linux.

В курсе рассматривается Astra Linux Common Edition и Astra Linux Special Edition.

Предварительная подготовка:

Успешное окончание курса "Astra Linux Special Edition. Расширенное администрирование ALSE-1603" или эквивалентная подготовка

Формат курса: очно или вебинар

Продолжительность курса: 4 дня / 32 ак.ч.

Результат обучения: по завершению курса слушатель будет уметь:

  • разворачивать сеть и службы предприятия c учетом топологии безопасности;
  • разворачивать и настраивать сетевые сервисы DHCP, DNS, DDNS,NTP
  • разворачивать файловые сервисы NFS, VSFTP, CIFS
  • настраивать сеть предприятия;
  • настраивать Proxy сервер SQUID;
  • устанавливать и настраивать web-сервер предприятия для использования МРД;
  • создавать бэкап системы и восстанавливать систему из ранее созданного бэкапа;
  • организовывать единое пространство для пользователей с помощью ALD;
  • реализовать автоматическую установки ОС Astra Linux по сети.
  • создавать внутрикорпоративный почтовый сервер
  • настраивать OpenVPN для объединения несвязанных между собой сетей путем созданиям защищенных каналов с шифрованием по ГОСТ
  • с помощью инструмента ansible централизованно управлять конфигурациями компьютеров в сетях любого размера

Курс, получил изменения как по срокам, так и по содержанию. В нем более подробно рассматриваются расширенные построения безопасной сетевой инфраструктуры Astra Linux SE . Темы, рассматривавшиеся ранее обзорно, теперь изучаются системно, с практическими работами и примерами из существующих проектов, также добавлены новые материалы.

Дополнительные темы от УКЦ ФОРС:

  • Научимся анализировать наши информационные системы с точки зрения безопасности. Рассмотрим современные методы анализа безопасности сети и сервисов предприятия, познакомимся с технологиями, повышающими безопасность систем и аудит состояния систем с точки зрения безопасности
  • Рассмотрим, как мандатные атрибуты файлов передаются по сети, как эту информацию реализуют приложения. Дабы добраться до истины, пришлось делать дампы TCP- пакетов, их и рассмотрим.
  • Особенно интересно рассмотреть, как контент сессии передается веб-серверу, затем от его имени передается базе данных или серверу печати, например. И вся эта цепочка работает исходя из мандатного уровня пользователя, не давая шанса утечки конфиденциальной и секретной информации в любом виде: файлов, сообщений эл. почты, распечаток на принтере или будучи скопированной на флеш-носитель! Обмануть систему пока не удалось, спасибо вендору.
  • Сетевая инсталляция ОС Astra Linux и решение проблем с ней (а они есть в версии 1.6), новый сценарий для автоматизированной установки ОС Astra Linux.
  • Файловые сервисы NFS, CIFS, настройка SAMBA с мандатной безопасностью – рассмотрим основные варианты настройки общих ресурсов: без пароля, с аутентификацией, а также с ресурсами под уровнями.
  • Создание файлового сервера SAMBA в среде ALD и настройка МРД для находящихся там файлов и директорий. Хранилище домашних каталогов создается автоматически при установке ALD, а вот при создании общего ресурса возникают проблемы — надо как-то передавать серверу samba пользовательский билетик Kerberos , где находится информацию о сессии, а главное, об уровне, но мы с помощью технологии pam_mount это успешно настроим.
  • Средство создания защищенных каналов. Рассмотрим что такое OpenVPN и как она работает, а на лабораторной работе соединим по каналу с шифрованием по ГОСТу два несвязанных между собой компьютера
  • Бэкап и восстановление ОС. Тут важно сохранением расширенных атрибутов, коими являются мандатные метки и параметры аудита PARSEC, а это не совсем тривиальная задача. Бонусом пойдет инкрементальный бекап с готовым сценарием
  • Централизованное управление конфигурациями ansible – больше не надо бегать по этажам устанавливать офис или принтер для нерадивых сотрудников, готовое решение унесете на флешке с собой. Естественно, флешка будет учтена в ОС и прописана в файле /etc/parsec/PDAC/devices.cfg.
  • Рассмотрим создание отказоустойчивых кластерных решений на базе pacemaker/corosync. В Астре это работает! Использование пакета Pacemaker/Corosync для построения кластера на базе Pоstgres (master-slave) c имитацией выхода из строя ноды master и последующим ее восстановлением (promote) на другом узле кластера (в лабораторной работе используется ВМ с предварительно настроенной синхронной репликацией между БД)

1. Основные службы и сервисы в рамках предприятия. Подготовка серверов для дальнейшей настройки (развертывание локальной сети в рамках предприятия, конфигурирование сетевой инфраструктуры).

  • Обзор моделей безопасности и обязанностей администратора безопасности компьютерной сети.
  • Выбор оптимальной с токи зрения защиты от НСД конфигурации сети предприятия
  • Разделение сервисов сети предприятия с точки зрения безопасности
  • Особенности сетевой инфраструктуры, построенной на базе служб Astra Linux
Читайте также:  Ошибка сканера 6 выкл и вкл

2. Служба DHCP.

Рассматриваемые темы:

  • Принципы работы сервиса DHCP
  • Настройка DHCP в Astra Linux

Лабораторная работа:

  • Развертывание и настройка сервера DHCP
  • Мониторинг выделения ресурсов сервером DHCP

3. Служба DNS.

Рассматриваемые темы:

  • Принципы работы протокола DNS
  • Виды записей DNS
  • Зоны прямого и обратного преобразования
  • Настройки безопасности DNS серверов
  • Динамический DNS (DDNS)
  • Использование механизма Privsock с сетевыми сервисами, запуск сетевых сервисов под мандатными уровнями и Parsec-привилегиями, настройка DNS в Astra Linux в среде МРД (механизм privsock)

Лабораторная работа:

  • Развертывание рекурсивного кэширующего сервиса DNS
  • Развертывание первичного DNS сервера для домена предприятия
  • Развертывание первичного DDNS для регистрации новых машин в подсети, тестирование
  • Настройка сервиса bind9 c механизмом privsock

4. Настройка прокси сервера (Squid).

Рассматриваемые темы:

  • Принцип работы сервиса HTTP proxy (Squid), 3 режима его работы
  • Базовая настройка прокси сервера
  • Настройка ACL и правил
  • Настройка кэша Squid

Лабораторная работа:

  • Развертывание и внедрение сервиса HTTP proxy (пакет Squid)
  • Управление доступом к WEB ресурсам на основе списков доступа

5. Настройка сервиса точного времени (NTP).

Рассматриваемые темы:

  • Службы времени в Astra Linux
  • Принцип работы сервиса NTP, установка, настройка

Лабораторная работа:

  • Развертывание NTP сервера в закрытом сегменте сети

6. Настройка веб-сервера.

Рассматриваемые темы:

  • Протокол HTTP
  • Принципы работы Apache2 с сессиями пользователей, имеющих различный мандатный контекст
  • Использование модулей Apache ( PHP)
  • Настройка безопасности в Apache2, демонстрация результата неправильных настроек (https)

Лабораторная работа:

  • Развертывание HTTP сервера
  • Настройка PAM и конфигурирование аутентификации для веб-сервера Apache2
  • Работа с сессиями и данными различного мандатного контекста
  • Установка и настройка веб-сервера Apache2, работа с файлами с разными уровнями и категориями
  • Установка и настройка PostgeSQL, загрузка данных с разными уровнями и категориями
  • Настройка связки: веб-сервер Apache2 + PHP + Postgresql
  • Тестирование передачи мандатного контекста сессии пользователя
  • к файлам ОС и объектам БД

7. Настройка сервера электронной почты.

Рассматриваемые темы:

  • Обзор архитектуры. Протоколы SMTP, POP3, IMAP4
  • Настройка MTA (Exim)
  • Настройка IMAP (Dovecot)
  • Работа под различными уровнями конфиденциальности

Лабораторная работа:

  • Развертывание сервиса MTA (Exim)и сервиса IMAP (пакет Dovecot)
  • Настройка клиента и работа под различными уровнями конфиденциальности

8. Протокол передачи файлов VSFTP.

Рассматриваемые темы:

  • Сервис VSFTP, установка, настройка конфигурации
  • Обзор ssh SFTP

Лабораторная работа:

  • Установка, настройка и проверка доступа к серверу VSFTP
  • Настройка доступа к локальному репозиторию по VSFTP
  • Монтирование устройства по ssh (SFTP)

9. Файловые сервисы NFS, CIFS.

Рассматриваемые темы:

  • Обзор сервисов для передачи файлов
  • Сервис NFS
  • Сервис CIFS (пакет Samba), работа с мандатными атрибутами файлов
  • Подключение, настройка и использование сетевых ресурсов в ЛВС.

Лабораторная работа:

  • Развертывание сервиса NFS
  • Развертывание сервиса Samba и настройка доступа к общим ресурсам (по паролю, без пароля)
  • Монтирование ресурсов Samba и автомонтирование PAM при логине, настройка доступа к ресурсом с МРД

10. Сетевая инсталляция ОС Astra Linux. Автоматизированная установка ОС Astra Linux.

Рассматриваемые темы:

  • Обзор сетевой установки, механизмов и утилит
  • Настройка, создание файла ответов для автоматизированной инсталляции
  • Проблемы и их решения

Лабораторная работа:

  • Сетевая инсталляция ОС Astra Linux (1.5 и 1.6)
  • Автоматизированная установка ОС Astra Linux

11. Бэкап и восстановление ОС.

Рассматриваемые темы:

  • Обзор стратегий резервного копирования и особенности его в среде Astra Linux, устройства и носители, используемые для резервного копирования
  1. Инструменты резервного копирования и восстановления: DD , TAR , RSYNC , luckyBackup
  2. Архивирование файловых систем, проверка архивов
  3. Восстановление отдельных файлов, восстановление файловых систем
  4. Команда tar: упаковка файлов
  5. Команда dd: манипулирование битами
  6. Инкрементальное резервное копирование с помощью rsync
  7. Восстановление машин без резервных копий
  8. Особенности резервного копирования БД Postgresql: обзор
  • Архивирование и восстановление файлов с сохранением мандатных атрибутов в среде Astra Linux
  • Обзор системы резервного копирования Bacula

Лабораторная работа:

  • Настройка инкрементального резервное копирование с помощью rsync
  • Архивирование и восстановление файлов с сохранением мандатных атрибутов

12. Организация единого пространства пользователей в сетевой среде с помощью Astra Linux Directory.

Рассматриваемые темы:

  • Службы каталогов и ALD. Архитектура, ЕПП
  • Установка и настройка Astra Linux Directory, инструменты и утилиты управления
  • Подключение клиентов к Astra Linux Directory
  • Доменные и локальные пользователи, разрешение конфликтов
  • Настройка шаблонов конфигурационных файлов
  • Резервное копирование , миграция и восстановление КД
  • Возможность использования ldif-бекапов для кроссплатформенной миграции
  • Доверительные отношения с другими КД ALD
  • Выделенный файловый сервер домашних директорий
  • Настройка сервисов для работы с ALD, аутентификация Kerberos

Лабораторная работа:

  • Настройка и подключение к Astra Linux Directory, создание доменных пользователей
  • Создание выделенного сервера домашних директорий
  • Создание общего файлового хранилища на ФС CIFS (Samba) и организация доступа к нему учетом мандатных атрибутов пользователей домена (pam_mount)
  • Настройка веб-сервера Apache2 для аутентификации Kerberos
  • Резервное копирование и восстановление КД (полное и ldif)
Читайте также:  Usb vid 4255 pid 0001 rev 0000

13. Централизованное управление конфигурациями (Ansible)

Рассматриваемые темы:

  • Средство удаленного администрирования Ansible
  • Установка и настройка Ansible
  • Настройка SSH-доступа к хостам Ansible, настройка хостов
  • Команды Ansible
  • Сценарии Ansible (плейбуки)
  • Настройка Ansible в Astra Linux, файл ansible.cfg

Лабораторная работа:

  • Установка и настройка Ansible
  • Создание своего плейбука и выполнение команд из лабораторной работы на удаленных компьютерах (установка сервиса, распространение конфигурационного файла, перезапуск сервиса)

14. OpenVPN и защитное преобразование в Astra Linux Special Edition

Рассматриваемые темы:

  • Средство создания защищенных каналов. Что такое OpenVPN и как она работает
  • Варианты реализации OpenVPN
  • Защитное преобразование данных и генерация ключей по алгоритмам ГОСТ
  • Параметры и инструменты командной строки astra-openvpn-server

Рассматриваемые темы:

  • Установка и настройка сервера OpenVPN , генерация ключей и настройка клиента для организации защищенного соединения с шифрованием по ГОСТ

15. Анализ информационных систем предприятия с точки зрения безопасности

Рассматриваемые темы:

  • Методы анализа безопасности сети и сервисов предприятия
  • Обзор технологий, повышающих безопасность систем
  • Аудит состояния систем с точки зрения безопасности

Лабораторная работа:

  • Использование сканеров безопасности
  • Оценка безопасности передачи информации по сети с помощью сканера
  • Аудит учетных данных
  • Аудит закладок
  • Аудит системных событий

16. Создание отказоустойчивых кластерных решений

Рассматриваемые темы:

  • Типы кластеров, архитектура решений
  • Использование систем управления ресурсами кластера, ресурсы кластера, создание и настройка
  • Сплит-брейн, фенсинг
  • Развертывание систем и сети кластера на примере pacemaker/corosync

Лабораторная работа:

  • Использование пакета Pacemaker/Corosync для построения кластера на базе Pоstgres (master-slave) c имитацией выхода из строя ноды master и последующим ее восстановлением (promote) на другом узле кластера (в лабораторной работе используется ВМ с предварительно настроенной синхронной репликацией между БД )

Исходные данные и задачи

Необходимо настроить сервер электронной почты, работающий в рамках домена Astra Linux 1.5 SE. Исходные данные:

Параметр Значение
Имя домена local.net
FQDN сервера server.local.net
IP-адрес сервера 192.168.0.1
Маска сети: 255.255.255.0

Настройка сети

Отключаем графический менеджер управления сетевыми подключениями wicd .

Прописываем настройки сети в файле /etc/network/interfaces

После этого нужно выполнить перезапуск демона сети:

В документации к демону networking написано, что команда restart является устаревшей и работает не так, как ожидается.

Необходимо в файле /etc/hosts прописать соответствие FQDN сервера и его IP-адреса, а также задать hostname

В файле /etc/hostname меняем краткое имя компьютера server на полное server.local.net , а также изменяем текущее значение системной переменной:

Инициализация домена

Действуем согласно официальной инструкции от РусБиТех:

Появится уведомление о том, что команда init уничтожит всю базу данных LDAP и Kerberos, будут остановлены и перезапущены службы, и упадет с неба большая звезда, горящая подобно светильнику, и падет на третью часть рек и на источники вод. Отвечаем утвердительно

Попросят ввести пароли для доступа к базе данных Kerberos и пароль администратора Astra Linux Directory. Лучше записать куда-нибудь, потому что понадобится ещё не раз.

Спустя какое-то время на экране появится сообщение:

Установка и настройка почтовых сервисов.

Необходимо установить три пакета:

Пакет Описание
exim4-daemon-heavy Передает сообщения и умеет работать с мандатными метками.
dovecot-imapd Умеет отдавать почту клиентам.
dovecot-gssapi Умеет принимать авторизацию на сервере через Kerberos (ALD).

Отдельно отмечу, что сразу же после установки нужно будет запустить конфигурирование exim4 .

Процесс настройки exim4 не очень сложный, но нужно правильно ответить на несколько вопросов.

Вопрос Ответ
Общий тип почтовой конфигурации интернет-сайт; приём и отправка почты напрямую, используя SMTP
Почтовое имя системы: local.net
IP-адреса, с которых следует ожидать входящие соединения SMTP: 192.168.0.1
Другие места назначения, для которых должна приниматься почта: local.net
Домены, для которых доступна релейная передача почты: Оставляем пустым
Машины, для которых доступна релейная передача почты: Оставляем пустым
Сокращать количество DNS-запросов до минимума (дозвон по требованию)? Нет
Метод доставки локальной почты: Maildir формат в домашнем каталоге
Разделить конфигурацию на маленькие файлы? Да

Теперь нужно удалить из каталога /var/mail файл с именем пользователя, созданного при установке системы (у меня обычно administrator ).

Создадим сервисы ALD для работы с почтой:

Указывая имя сервиса, важно помнить, что после слеша указывается то же самое имя сервера, что и в файле /etc/hostname . Если даже в настройках Bind вы потом укажете, что mail.local.net и smtp.local.net являются всего лишь псевдонимами для server.local.net , почта работать не будет, потому что Kerberos очень строго проверяет этот параметр.

После создания файла ключей нужно предоставить доступ к нему для dovecot :

Dovecot

Выполняем настройку dovecot . Если убрать все комментарии из файлов, то получится примерно следующее (в тех файлах, где меняли):

Ссылка на основную публикацию
Автоматический гладильный шкаф effie отзывы
Текст отзыва осторожно мошенники. Заказали у них гладильный шкаф, заплатили деньги, ни денег ни шкафа, на связь не выходят, из...
Samsung scx 4220 сброс счетчика
Чипы картриджей принтеров SCX4200, SCX4220, WC3119 я уже больше года не перешиваю и не обнуляю, а обслуживаю упомянутые картриджи подобно...
Sap erp для чайников
Для продуктивного развития бизнеса обязательно наличие контроля всех этапов производства, учёта бухгалтерии. Благодаря этому компания сумеет быстрее реагировать на изменяющиеся...
Айфон из сша отзывы
Как купить новый айфон из Америки с экономией больше 15 тыс? Суперский сервис Первый раз решилась заказать в бандерольке, когда...
Adblock detector