9. Встраивание СКЗИ КриптоПро CSP в прикладное ПО. 10. Требования по организационно-техническим и административным мерам обеспечения эксплуатации СКЗИ.


Чтобы посмотреть этот PDF файл с форматированием и разметкой, скачайте его и откройте на своем компьютере.
http://www.CryptoPro.ru

E-
mail:
[email protected]
Средство
Криптографической
Защиты
КриптоПро
CSP
Версия 3.6
Руководство
безопасности
Использование СКЗИ
под управлением
ОС
Linux
ЖТЯИ.0005
0-
90 02
-02
СКЗИ
"
КриптоПро CSP
"
. Руководство администратора безопасности.
Использование СКЗИ под управлением ОС Linux
- 2 -
OOO
"КРИПТО
ПРО", 2000
20
10
. Все пр
ава защищены.
Авторские права на средства криптографической защиты информации типа
КриптоПро CSP и эксплуатационную документацию к ним зарегистрированы в
Российском агентстве по патентам и товарным знакам (Роспатент).
Настоящий Документ входит в комплект поставки программного обеспечения
СКЗИ
КриптоПро CSP версии 3.6;
на него распространяются все условия
лицензионного соглашения. Без специального письменного разрешения
OOO
"КРИПТО
ПРО" документ или его часть в электронном или печатном виде не
могут быть ск
опированы и переданы третьим лицам с коммерческой целью.
ЖТЯИ.0005
0-
90 02
-02
СКЗИ
"
КриптоПро CSP
"
. Руководство администратора безопасности.
Использование СКЗИ под управлением ОС Linux
- 3 -
Содержание
Аннотация
4
Список сокращений
4
Основные технические данные и характеристики СКЗИ
5
3.1.
Программно
аппаратные среды
5
3.2
Варианты исполнения СКЗИ
5
3.3.
Ключевые носители
5
Установка дистрибутива ПО КриптоПро CSP
6
Обновление СКЗИ КриптоПро
7
Настройка СКЗИ КриптоПро
8
6.1.
Доступ к утилите дл
я настройки СКЗИ КриптоПро
CSP
8
6.2.
Ввод серийного номера лицензии
8
6.3.
Настройка оборудования СКЗИ КриптоПро CSP
8
6.4.
Установка параметров журналирования
9
6.5.
Настройка криптопровайдера по умолчанию
9
Установка сопутствующих пакетов
9
7.1.
Библиотека
libcurl
9
Состав и назначение компонент программного о
беспечения СКЗИ
8.1.
Базовые модули СКЗИ
8.1.1.
Библиотека
libcsp
8.1.2.
Библиотека
libcspr
8.1.3.
Драйверная библиотека
libcspdrv
.
8.1.4.
Модули сетевой аутентификации КриптоПро
TLS
8.1.5.
Модуль
cpverify
8.1.6.
Модуль
wipefile
8.2.
Модули ПКЗИ
8.2.1.
Модуль
libcapilite
8.2.2.
Библиотека
librdrrdr
8.2.3.
Модули доступа к конкретным типам
ключевых носителей
и считывателей
8.2.4.
Библиотека
librdrsup
8.2.5.
Модули датчиков случайных чисел
8.2.6.
Библиотека
libasn
data
поддержки протокола
ASN
Встраивание СКЗИ КриптоПро
в прикладное ПО
Требования по организационно
техническим и административным мерам
обеспечения эксплуатации СКЗИ
10.1.
Общие меры защиты от НСД ПО с установленными СКЗИ для ОС
Linux
10.1.1.
Организационно
технические меры
10.1.2.
Дополнительные настройки ОС
Linux
10.2.
Требования по размещению технических средств с установленным СКЗИ
Требования по
криптогра
фической защите
Приложение
Управление протоколированием
Лист регистрации изменений
ЖТЯИ.0005
0-
90 02
-02
СКЗИ
"
КриптоПро CSP
"
. Руководство администратора безопасности.
Использование СКЗИ под управлением ОС Linux
- 4 -
Аннотация
Настоящее Руководство
дополняет
документ
«ЖТЯИ.00050
90 02.
КриптоПро CSP.
Руководство администратора безопасности. Общая часть
»
при
использовании СКЗИ под управлением ОС
Linux
.
Инструкции администраторам безопасности и пользователям различ
ных
автоматизированных систем, использующих СКЗИ
КриптоПро CSP
, должны
разрабатываться с учетом требований
настоящего документа
.
Список сокращений
CRL
Список
отозванных
сертификатов
(Certificate Revocation List)
ITU
-T
ждународный комитет по телекоммуникациям (International
Telecommunication Union)
IETF
Internet Engineering Task Force
Автоматизированная система
АРМ
Автоматизированное рабочее место
ГМД
Гибкий магнитный диск
ДСЧ
Датчик случайных чисел
HDD
Жесткий магнитный диск
КП
Конечный пользователь
НСД
Несанкционированный доступ
ОС
Операционная система
ПАК
Программно
аппаратный комплекс
ПО
Программное обеспечение
Регистрация
Присвоение определенных атрибутов (адреса, номера ключа,
прав использования и т.п
.) абоненту
Регламент
Совокупность инструкций и другой регламентирующей
документации, обеспечивающей функционирование
автоматизированной системы во всех режимах.
СВТ
Средства вычислительной техники
Сертификат
Электронный документ, подтверждающий принад
лежность
открытого ключа и определенных атрибутов конкретному
абоненту
Сертификация
Процесс изготовления сертификата открытого ключа абонента
в центре сертификации
СКЗИ
Средство криптографической защиты информации
СОС
Список
отозванных
сертификатов
(Cer
tificate Revocation List)
Справочник сертификатов открытых ключей. Сетевой
справочник.
Центр Сертификации (Удостоверяющий Центр)
Центр Регистрации
Электронный документ
ЭЦП
Электронная цифровая подпись
ЖТЯИ.0005
0-
90 02
-02
СКЗИ
"
КриптоПро CSP
"
. Руководство администратора безопасности.
Использование СКЗИ под управлением ОС Linux
- 5 -
Основные технические данные и характ
еристики СКЗИ
СКЗИ
ЖТЯИ.00050
разработано в соответствии с криптографическим
интерфейсом фирмы Microsoft
-
Cryptographic Service Provider (CSP).
3.1.
Программно
аппаратные среды
СКЗИ
ЖТЯИ.00050
под управлением ОС типа Linux используется в
следующих програ
ммно
аппаратных средах:
Linux Standard Base ISO/IEC 23360 (ia32, x64),
программно
аппаратные

среды
,
удовлетворяющие
стандарту
LSB 4.
/3.
Linpus (ia32)
Mandriva (ia32, x64)
MontaVista Linux (ia32, x64)
Oracle Enterprise Linux (ia32, x64)
pen SUSE (ia32, x64)
Red Hat Enterprise Linux (ia32, x64)
Red Flag Linux (ia32)
SUSE Linux Enterprise (ia32, x64)
SUSE LINUX (ia32)
Ubun
tu (ia32, x64)
Xandros (ia32)
ALT Linux (ia32, x64);
Debian (ia32,
64);
Red Hat Enterprise Linux Version 3 Update 3 (ia32, x64);
Trustverse
Linux
(
32);
Со сроками эксплуатации операционных систем, в среде которых функционирует
СКЗИ, мож
но ознакомиться по следующему адресу:
http://support.novell.com/lifecycle/
> и
http://support.novell.com/lifecycle/lcSearchResults.jsp?st=
1sl=
1sg=1pid=1000
3.2.
Варианты исполнения СКЗИ

СКЗИ
ЖТЯИ.00050
на платформе Linux используется
двух
вариантах
исполнения:
Исполнение
1 –
СКЗИ класса защиты
КС1
Исполнение
2 –
СКЗИ класса защиты
3.3.
Ключевые носители
В качестве ключевых носителей закрытых ключей могут использоваться:
ГМД 3,5
;
USB
диски
электронный ключ с интерфейсом
USB
(e-
Token
Смарт
карты РИК, Оскар, Магистра
Раздел
HDD
ПЭВМ
Примечани
1.
Допускается хранение закрытых к
лючей в разделе HDD при
условии распространения на
HDD
или ПЭВМ
c
HDD
требований по обращению с
ключевыми носителями
, в том числе и после удаления ключей
.
2.
Перечень ключевых носителей по исполнениям СКЗИ и
программно
аппаратным платформам см. Формуляр Ж
ТЯИ.00050
-02
30
01
, п.п.
.8,
.9.
ЖТЯИ.0005
0-
90 02
-02
СКЗИ
"
КриптоПро CSP
"
. Руководство администратора безопасности.
Использование СКЗИ под управлением ОС Linux
- 6 -
Установка дистрибутива
ПО КриптоПро CSP
Установка, удаление и обновление ПО осуществляется с правами
администратора: под учётной записью
root
или с использованием команды
sudo
.
В ОС
Linux
для установки, удаления и обновления ПО применяются пакеты
(packages). Пакет

архив дистрибутива, содержащий файлы устанавливаемого
приложения и файлы, использующиеся инсталлятором для конфигурирования
среды. В операционных системах
Linux
используется менеджер пакетов RPM
(Red Hat Pac
kage Manager), который является гибким инструментом для
установки, удаления, обновления и сборки программных пакетов. Пакеты,
представленные в виде файла с расширением .rpm, содержат в себе
непосредственно файлы ПО и информацию для конфигурирования среды.
Для установки пакета используется команда:
rpm
-i
<файл_пакета>
Например
rpm
lsb
cprocsp
base
3.6.1
4.noarch.rpm
Для удаления пакета используется команда:
rpm
-e
<имя_пакета>
Например
rpm
-e
lsb
cprocsp
base
3.6.1
Имя пакета может не включать верс
ию.
Например
rpm
-e
lsb
cprocsp
base
На ОС, основанных на
Debian
(
Debian
Ubuntu
для установки пакетов
используется команда:
alien
kci <файл_пакета>
Например
alien
kci
lsb
cprocsp
base
3.6.1
4.noarch.rpm
На ОС, основанных на
Debian
(
Debian
Ubuntu
),
для установки 32
битных
пакетов на 64
битную ОС используется команда:
dpkg
architecture
-
386
-c
alien
-
kci

файл
пакета

Возможно, потребуется установить программу
alien
из родного репозитория ОС.
На ОС, основанных на Debian (Debian/Ubuntu), для удаления
пакетов
используется команда:
dpkg
<имя_пакета
без_версии
Например
dpkg
-P
lsb
cprocsp
base
Файлы из пакетов устанавливаются в
opt
cprocsp
.
Пакеты зависят друг от друга, поэтому должны устанавливаться по порядку с
учётом этих зависимостей, а удалять
ся в обратном порядке.
Условно можно
считать правильным порядком тот, который описан в таблице зависимостей и
назначения пакетов.
Пакеты могут быть независимыми от архитектуры (
noarch
в имени файла
пакета
, тогда они ставятся на любую архитектуру. Пакеты м
огут быть для
архитектуры
в имени файла пакета), а также для архитектуры
AMD
64 (
86_64
в имени файла пакета), тогда они ставятся на ОС, собранную
под соответствующую архитектуру. Часто 64
-битные ОС
одновременно
поддерживают и
битные
приложени
я, и
битные
, тогда при необходимости
можно ставить оба комплекта. Исключением являются драйверы

они ставятся
в точном соответствии с архитектурой ядра ОС.
Таблица зависимостей и назначения пакетов
(
для простоты описаны 32
битные пакеты
).
Имя пакета
За
висимости
Назначение пакета
Пакеты для предварительной установки
cprocsp
compat
altlinux
Пакет совместимости с ОС
AltLinux
ставится
первым

до
lsb
cprocsp
base
.
cprocsp
compat
splat
Пакет совместимости с ОС
SPLAT
ставится
первым
ЖТЯИ.0005
0-
90 02
-02
СКЗИ
"
КриптоПро CSP
"
. Руководство администратора безопасности.
Использование СКЗИ под управлением ОС Linux
- 7 -
до
lsb
cprocsp
.
sobol
Драйвер для Соболя.
Требуется при наличии
устройства.
Обязательные пакеты
lsb
cprocsp
base
lsb
Базовый пакет
, ставится
первым, если только не
нужны
compat
пакеты
.
lsb
cprocsp
rdr
lsb
cprocsp
base
Основные приложения,
считыватели и ДСЧ
.
lsb
cprocsp
capilite
lsb
cprocsp
rdr
CAPILite
программы
и
библиотеки
для
высокоуровневой
работы
с
криптографией
сертификатами,
CMS
lsb
cprocsp
kc1
lsb
cprocsp
rdr
Провайдер
КС
1.
lsb
cprocsp
kc2
lsb
cprocsp
rdr
Провайдер
КС
ставится
только там, где в э
том
есть необходимость. В
этом случае
lsb
cprocsp
kc1
не ставится.
Дополнительные пакеты
cprocsp
-rdr-
gui
lsb
cprocsp
rdr, Motif,
X11
Графический БиоДСЧ,
запрос пароля и другие
GUI
-диалоги.
cprocsp
-rdr-
pcsc
lsb
cprocsp
rdr,
pcsclite
Модули поддержки
PCSC
считывателей, смарт
карт
(РИК, Оскар, Магистра…).
lsb
cprocsp
rdr
sobol
lsb
cprocsp
rdr, sobol
Модуль поддержки
Соболя.
lsb
cprocsp
devel
lsb
cprocsp
base
Пакет для разработчика.
cprocsp
-drv
lsb
cprocsp
base
Драйверная библиотека.
cprocsp
-drv-
devel
b-
cprocsp
devel
Пакет для разработчика
драйверов.
cprocsp
stunnel
lsb
cprocsp
base
Универсальный SSL/TLS
туннель.
Обновление СКЗИ КриптоПро
CSP
Для обновления КриптоПро
CSP
на ОС
Linux
необходимо
:
запомнить текущую конфигурацию CSP
набор установленных пакетов
настройки провайдера (для простоты можно сохранить
/etc/opt/cprocsp/config[64].ini)
удалить штатными средствами ОС все пакеты КриптоПро CSP
установить аналогичные новые пакеты КриптоПро CSP
при необходимости внести изменения в настройки (можно посмо
треть diff
старого и нового config[64].ini)
ключи и сертификаты сохраняются автоматически
ЖТЯИ.0005
0-
90 02
-02
СКЗИ
"
КриптоПро CSP
"
. Руководство администратора безопасности.
Использование СКЗИ под управлением ОС Linux
- 8 -
Настройка СКЗИ КриптоПро
CSP
6.1.
Доступ к утилите для настройки СКЗИ КриптоПро
CSP
Настройка СКЗИ КриптоПро CSP
осуществляется
с помощью
утилиты
cpc
onfig
которая входит
в состав дистрибутива и расположена в директории
opt
cprocsp
sbin
/<
название_архитектуры
Если установлены пакеты СКЗИ
для двух архитектур, например
32
и x
, то действия по настройке нужно
проводить дважды

для каждой архитектуры
cpconfig
ом из соответствующей
папки.
6.2.
Ввод серийного номера лицензии
При установке программного обеспечения КриптоПро CSP без ввода лицензии
пользователю предоставляется лицензия с ограниченным сроком действия. Для
использования КриптоПро CSP после окончания этого срока пользо
ватель
должен ввести серийный номер с бланка лицензии, полученной у организации-
разработчика или организации, имеющей права распространения продукта
(дилера). Для просмотра информации о лицензии выполните:
Для
ввода
лицензии
выпол
ните
:
ЖТЯИ.0005
0-
90 02
-02
СКЗИ
"
КриптоПро CSP
"
. Руководство администратора безопасности.
Использование СКЗИ под управлением ОС Linux
- 9 -
available reader: Gemplus GemPC Twin 00 00
Для доб
авления считывателия используйте это имя:
Для получения подробной справки по
cpconfig
:
6.4.
Установка параметров журналирования
СКЗИ КриптоПро CSP
позволяет собирать отладочную информацию и
имеет
возможность протоколирования событий.
Информация
записывается в
системный журнал (
обычно в
var
messages
). Существует возможность
изменения настроек
журналирования различных модулей продукта. Существует
возможность
изменения уровня журналирования и формата выводимых
отладочных сообщений.
Для
получения справки по настройкам
журналирования
:
Модули, для которых поддерживается журналирование:
cpcsp
-
ядро криптопровайдера
capi
-
CryptoAPI
1.0
cpext
capi20
-
CryptoAPI 2.0
capilite
-
CAPILite
libcspr
cryptsrv
-
служба хранения ключей (КС2)
libssp
-
TLS
cppkcs
-
PKCS
cpdrv
-
драйвер
dmntcs
6.5.
Настройка криптопровайдера по умолчанию
Для просмотра типов доступных кр
птопровайдеров:
Для просмотра свойств криптопровайдера нужного типа:
Для установки провайдера по умолчанию
для
нужного типа
:
Для передачи по сети запросов на сертификаты,
CRL
и т.п., а также для
поддержки дополнительных ключевых считывателей и носителей может
потребоваться установка дополнительных пакетов.
сли сопутствующие пакеты скачиваются из Интернета, необходимо
подтвердить их целостность, проверив подпись или хеш. Если источник не
обеспечивает такие механизмы, допускается использование пакетов только с
диска с дистрибутивом СКЗИ, где эти механизмы испо
льзуются. На диске
пакеты лежат в папке
extra
.
На сертифицированные ФСТЭК дистрибутивы
ALTLinux
запрещается ставить
пакеты из сети (например, с использованием
apt
, так как это нарушит их
сертифицированность.
7.1.
Библиотека
libcurl
ЖТЯИ.0005
0-
90 02
-02
СКЗИ
"
КриптоПро CSP
"
. Руководство администратора безопасности.
Использование СКЗИ под управлением ОС Linux
- 10 -
Используется для передачи запросов на сертификаты, CRL и т.п. по сети.
С сайта разработчика проекта
http://curl.haxx.se/
можно скачать пакет с
исходными текстами для самостоятельной сборки
.
Как правило
там же есть
битные версии бинарных пакетов и иногда 64
битные.
Проще всего поставить библиотеку встроенным менеджером пакетов
.
На
ALTLinux, Debian, Ubuntu:
ЖТЯИ.0005
0-
90 02
-02
СКЗИ
"
КриптоПро CSP
"
. Руководство администратора безопасности.
Использование СКЗИ под управлением ОС Linux
- 11 -
ЖТЯИ.000
90 02
. КриптоПро CSP. Руководство администратора
безопасности. Общая часть.
Протокол
TLS
(
2246) используется для защ
иты соединений в клиент-
серверных технологиях.
Программное обеспечение КриптоПро
TLS
является реализацией протокола
TLS
и использует криптографические функции КриптоПро
CSP
для обеспечения
процесса аутентификации и шифрования трафика между клиентом и серве
ром.
8.1.5.
Модуль cpverify
Модуль
cpverify
предназначен для контроля целостности при установке СКЗИ и
функционировании
ПО СКЗИ
КриптоПро CSP
на ПЭВМ пользователя.
8.1.6.
Модуль
wipefile
Модуль
wipefile
используется для удаления файло
в вместе с содержимым при
штатных и нештатных (свопирование) ситуациях.
8.2.
Модули ПКЗИ
8.2.1.
Модуль
libcapilite
Модуль
libcapilite
используется для управления сертификатами открытых
ключей, а также для обеспечения выполнения криптографических запросов на
уровне ин
терфейса
CryptoAPI
v
. 2.0. Интерфейс модуля
capilite
является
подмножеством интерфейса
CryptoAPI
v
. 2.0.
8.2.2.
Библиотека
librdrrdr

Библиотека
librdrrdr
обеспечивает унифицированный интерфейс доступа к
ключевым носителям вне зависимости от их типа.
8.2.3.
Модули
дост
упа к конкретным типам ключевых
носителей
и считывателей
:
librdrfat
к дисководу и дискетe 3.5" и разделу жесткого диска
librdr
pcsc
к считывателям смарт
карт и eToken, поддерживающим
интерфейс PC/SC
8.2.4.
Библиотека
librdrsup

Библиотека
librdrsup
обеспечивает реализацию общих функций доступа к
различным устройствам хранения ключевых носителей
.
8.2.5.
Модули датчиков случайных чисел
Библиотеки
librdrrndm
и
librdrrndmbio
обеспечивают поддержку работы с
физическим ДСЧ программно
аппаратного комплекса защиты от НСД и Био
ДСЧ
соответственно.
8.2.6.
Библиотека
libasn
data
поддержки протокола
1
Библиотека
libasn
data
содержит функции преобразования структур данных в
машинно
независимое представление.
Встраивание СКЗИ КриптоПро CSP
в прикладное ПО
При встраивании СКЗИ
ЖТЯИ.00050
в прикладное программное обеспечение
должны выполняться требования
раздела
7 документа
ЖТЯИ.000
90 02.
КриптоПро CSP. Руководство администратора безопасности. Общая часть.
ЖТЯИ.0005
0-
90 02
-02
СКЗИ
"
КриптоПро CSP
"
. Руководство администратора безопасности.
Использование СКЗИ под управлением ОС Linux
- 12 -
Требования по организационно
техни
ческим и
административным мерам обеспечения
эксплуатации СКЗИ
Должны выполняться требования по организационно
техническим и
административным мерам
обеспечения безопасности эксплуатации СКЗИ в
объеме раздела 12 документа
ЖТЯИ.000
90 02. КриптоПро CSP.
Руководство администратора безопасности. Общая часть.
10.1.
Общие
меры защиты от НСД ПО с установленными
СКЗИ для ОС
Linux
Под управлением
UNIX
подобных
операционных систем
СКЗИ
КриптоПр
CSP
должно
использ
овать
ся с программным обеспечением:

Certmgr
(КриптоПро
Certmgr
).
Trusted TLS (Digt).
CryptCP
При использовании
СКЗИ
ЖТЯИ.00050
под управлением ОС
Linux
необходимо
предпринять дополнительные меры организационного и технического ха
рактера и
выполнить дополнительные настройки операционной системы. При этом должна
решаться
задача
как
обеспеч
ения
дополнительн
защит
ы
сервера и ОС от НСД,
так
и обеспеч
ения
бесперебойн
ого
режим
а
работы и исключ
ения
"отказа в
обслуживании", вызванного вн
утренними причинами (например -
переполнением
файловых систем).
К организационно
техническим мерам относятся:
обеспечение физической безопасности
ПЭВМ (
сервера
);
установка программных обновлений;
организация процедуры резервного копирования и хранения резе
рвных
копий.
Дополнительные настройки ОС
Linux
касаются следующего:
ограничение доступа пользователей и настройки пользовательского
окружения;
ограничение сетевых соединений;
ограничения при монтировании файловых систем;
ограничения на запуск процессов;
онтроль загрузки ОС и контроль целостности системного и прикладного
программного обеспечения должен обеспечиваться при помощи
программно
аппаратного комплекса защиты от НСД
(см. соответствующий раздел в
документе
ЖТЯ
И.000
90 02. КриптоПро CSP. Руководство
администратора безопасности. Общая часть.
), что означает:
обеспечение контроля доступа при помощи идентификации пользователя с
использованием
системы
Touch
Memory
;
выполнение загрузки с фиксированного носителя
после его контроля;
обеспечение контроля целостности ОС и прикладного программного
обеспечения до загрузки на загрузочном диске и других подключенных
дисках.
дополнительные настройки ядра ОС;
настройка сетевых сервисов;
ограничение количества "видимой извне" информации о системе;
настройка подсистемы протоколирования и аудита.
10.1.1.
Организационно
технические меры
С целью исключения возможности загрузки ОС, отличной от установленной на
HDD
ПЭВМ, ПЭВМ и устройства загрузки должн
ы быть опечатаны. Должен быть обеспечен
необходимый контроль целостности печатей.
Обеспечение физической безопасности сервера
ЖТЯИ.0005
0-
90 02
-02
СКЗИ
"
КриптоПро CSP
"
. Руководство администратора безопасности.
Использование СКЗИ под управлением ОС Linux
- 13 -
Следует исключить возможность доступа неавторизованного персонала к консоли, системе
питания и дополнительным устройствам, подклю
ченным к защищаемому серверу путем установки
оборудования в специально выделенное и запираемое помещение (аппаратную или серверную
комнату).
Для исключения сбоев компьютера, вызванных отключением электропитания, необходимо
обеспечить электропитание сервера
от источника бесперебойного питания достаточной
мощности. Как минимум, мощности батарей источника бесперебойного питания должно хватать
на время достаточное для корректного автоматического завершения работы сервера.
Организация процедуры резервного копиро
вания и хранения резервных копий
.
При определении регламента резервного копирования и хранения резервных копий
следует обеспечить ответственное хранение резервных копий в запираемых сейфах (шкафах) и
определить процедуру выдачи резервных копий ответственно
му персоналу и уничтожения
вышедших из употребления носителей (лент, однократно записываемых дисков и пр.).
Стандартными мерами по организации ответственного хранения носителей являются:
маркировка носителей;
составление описи хранимых носителей с указани
ем серийных (инвентарных)
номеров, дат записи носителей, фамилией сотрудника, создавшего копию для
каждого шкафа(сейфа);
периодическая сверка описи и содержимого сейфов (шкафов);
организация ответственного хранения и выдачи ключей от сейфов (шкафов);
возм
ожное опечатывание (опломбирование) сейфов(шкафов).
Уничтожение вышедших из употребления носителей должно производится комиссией
с составлением акта об уничтожении.
В системе регистрируется один пользователь, обладающий правами администратора,
носящий имя
root
, на которого возлагается обязанность конфигурировать ОС
Linux
настраивать безопасность ОС
Linux
, а также конфигурировать ПЭВМ, на которую установлена
ОС
Linux
.
Для пользователя
root
выбирается надежный пароль входа в систему,
удовлетворяющий следующи
м требованиям: длина пароля не менее 6 символов, среди
символов пароля должны встречаться заглавные символы, прописные символы, цифры и
специальные символы, срок смены пароля не реже одного раза в месяц, доступ к паролю
должен быть обеспечен только админис
тратору.
6.
Пользователю
root
доступны настройки всех пользователей ОС
Linux
, которые он может
просматривать, редактировать, удалять, создавать. Всем пользователям, зарегистрированным в
ОС
Linux
, пользователь root
в соответствии с политикой безопасности, п
ринятой в организации,
дает минимально возможные для нормальной работы права. Каждый пользователь ОС
Linux
, не
являющийся пользователем
root
, может просматривать и редактировать только свои установки в
рамках прав доступа, назначенных ему пользователем
root.
Всех пользователей ПЭВМ, которые не пользуются данной системой, и всех
стандартных пользователей, которые создаются в ОС
Linux

во время установки (таких,
как "
sys
", "
uucp
", "
nuucp
", и "
listen
"), кроме пользователя root
, следует удалить.
В ОС
Linux
сущ
ествуют исполняемые файлы, которые запускаются с правами
пользователя
root
. Эти файлы имеют установленный флаг
SUID
. Пользователь
root
должен определить, каким из этих файлов в рамках определенной в организации
политики безопасности не требуется запуск с а
дминистративными полномочиями, и с
помощью сброса флага
SUID
должен свести количество таких файлов к минимуму.
Запуск оставшихся файлов с установленным флагом
SUID
должен контролироваться
пользователем root
.
При использовании СКЗИ
«КриптоПро
CSP
»
на
ЭВМ,
подключенных к общедоступным
сетям связи, должны быть предприняты дополнительные меры, исключающие возможность
несанкционированного доступа к системным ресурсам используемых операционных систем, к
программному обеспечению, в окружении которого функционирую
т СКЗИ, и к компонентам СКЗИ
со стороны указанных сетей.
Право доступа к рабочим местам с установленным ПО СКЗИ «
КриптоПро
CSP
»
предоставляется только лицам, ознакомленным с правилами пользования и изучившим
ЖТЯИ.0005
0-
90 02
-02
СКЗИ
"
КриптоПро CSP
"
. Руководство администратора безопасности.
Использование СКЗИ под управлением ОС Linux
- 14 -
эксплуатационную документацию на программное обе
спечение, имеющее в своем составе СКЗИ
КриптоПро
CSP
».
На технических средствах, оснащенных СКЗИ «
КриптоПро
CSP
»
должно использоваться
только лицензионное программное обеспечение фирм
-производителей.
В
BIOS
определяются установки, исключающие возможность
загрузки операционной
системы, отличной от установленной на
HDD
: отключается возможность загрузки с гибкого
диска, привода CD
ROM и прочие нестандартные виды загрузки ОС, включая сетевую загрузку.
Не применяются ПЭВМ с BIOS, исключающим возможность отключения сетевой загрузки ОС.
Средствами BIOS должна быть исключена возможность отключения пользователями ISA
устройств и
PCI
-устройств. Для исключения этой возможности вход в
BIOS
ЭВМ должен быть
защищен паролем, к которому предъявляются те же требования, ч
то и к паролю пользователя
root
. Пароль для входа в
BIOS
должен быть известен только пользователю
root
и быть отличным
от пароля пользователя root
для входа в ОС
Linux
.
До загрузки ОС должен быть реализован контроль целостности файлов, критичных для
загру
зки ОС и программы
CPVERIFY
При загрузке ОС должен быть реализован контроль целостности программного
обеспечения, входящего в состав СКЗИ «
КриптоПро
CSP
, самой ОС и всех исполняемых файлов,
функционирующих совместно с СКЗИ с использованием программы CP
VERIFY
.
Средствами BIOS должна быть исключена возможность работы на ЭВМ, если во время его
начальной загрузки не проходят встроенные тесты ЭВМ (
POST
На ПЭВМ
устанавливается только одна ОС. На
ПЭВМ
не устанавливаются средств
разработки и отладки ПО. Если
средства отладки приложений нужны для технологических
потребностей организации, то их использование должно быть санкционировано администратором
безопасности. В любом случае запрещается использовать эти средства для просмотра и
редактирования кода и памяти приложений, использующих СКЗИ «
КриптоПро
CSP
. Следует
избегать попадания в систему программ, позволяющих, пользуясь ошибками ОС, получать
привилегии
root
Должно быть реализов
ано
физическое затирание содержимого удаляемых файлов
c
использованием программы
Wipefile
из состава СКЗИ.
Должно быть о
гранич
ено
(с учетом выбранной в организации политики безопасности)
использование польз
ователями команд
cron
и

запуска команд в указанное время.
Должны быть отключены все неиспользуемые сетевые протоколы
.
В случае подключения
ЭВМ с установленным СКЗИ к общедоступным сетям передачи
данных
должно быть отключ
ено
использование JavaScript, VBScript, ActiveX и других
программных объектов, загружаемых из сети, в прикладных программах.
Должны быть приняты меры по исключ
ению несанкционированного доступа посторонних
лиц в помещения, в которых установлены технические средства СКЗИ «
КриптоПро
CSP
, по роду
своей деятельности не являющихся персоналом, допущенным к работе в указанных помещениях.
Должно быть запрещено оставлять
без контроля вычислительные средства, на которых
эксплуатируется СКЗИ «
КриптоПро
CSP
»
после ввода ключевой информации. При уходе
пользователя с рабочего места должно использоваться автоматическое включение парольной
заставки.
Из состава системы должно бы
ть исключено оборудование, которое может создавать
угрозу безопасности ОС
Linux
. Также необходимо избегать использования нестандартных
аппаратных средств, имеющих возможность влиять на функционирование ПЭВМ
или ОС
Linux
После инсталляции ОС
Linux

следуе
т установить
все рекомендованные программные
обновления и программные обновления, связанные с безопасностью, существующие на момент
инсталляции.
На все директории, содержащие системные файлы ОС
Linux
и каталоги СКЗИ,
необходимо установить права доступа
, запрещающие всем пользователям, кроме Владельца
(Owner), запись.
В связи с тем, что аварийный дамп оперативной памяти может содержать
криптографически опасную информацию, в прикладных программах, использующих СКЗИ,
следует отключить возможность его созд
ания с помощью функции
setrlimit
с параметром
RLIMIT
CORE=0.
В ОС
Linux
используется виртуальная память. Область виртуальной памяти должна быть
организована на отдельном
HDD
. По окончании работы СКЗИ содержимое виртуальной памяти
должно затираться с исполь
зованием средств ОС. В случае аварийного останова
ЭВМ, при
следующей загрузке необходимо в режиме “
single
user
” очистить область виртуальной памяти
ЖТЯИ.0005
0-
90 02
-02
СКЗИ
"
КриптоПро CSP
"
. Руководство администратора безопасности.
Использование СКЗИ под управлением ОС Linux
- 15 -
программой
wipefile, входящей в состав СКЗИ КриптоПро
CSP
В случае выхода из строя HDD
, на
котором находит
ся область виртуальной памяти, криптографические ключи подлежат выводу из
действия, а
HDD
считается
не подлежащим ремонту. Этот
HDD
уничтожается по правилам
уничтожения ключевых носителей.
10.1.2.
Дополнительные настройки ОС
Linux
Настройки ОС
Linux
выполняются п
утем редактирования (удаления, добавления)
различных конфигурационных и командных файлов.
Для сохранения возможности "откатить" внесенные изменения следует сохранять
модифицируемые файлы в "безопасном" месте (на внешнем носителе или на не монтируемой
автом
атически файловой системе).
Ограничение доступа пользователей и настройки пользовательского окружения
Настройка пользовательского окружения заключается в следующих действиях:
В файле /etc/login.
defs
следует установить следующие директивы:
PASS
MAX
DAYS
=30
(параметр задаёт максимальное время использования
пароля)
PASS
MIN
DAYS
=30 (параметр задаёт минимальное количество дней между
сменами парооля)
PASS
MIN
LEN
=6 (устанавливает минимальную длину пароля)
В файле /
etc
profile
установить значения
umask
=022 (пар
аметр задает
маску создания файла по
умолчанию)
Для пользователя
root
установить маску режима создания файлов 077 или
027:
umask
umask
027);
Отредактировать файл /etc/shells и поместить в него имена только для тех
исполняемых файлов оболочек, которые
установлены в системе. По
умолчанию, содержимое файла /etc/shells может быть таким:
/bin/csh
/bin/tcsh
/bin/sh
/bin/bash
Удалить файл (если он существует) /.rhosts.
Удалить содержимое файла /etc/host.equiv.
Отредактировать файл /etc/pam.conf с целью запрета rhosts
аутентификации. Выполняется комментированием всех строк, содержащих
подстроку "pam_rhosts_auth.so".
Проверить идентификаторы пользователя и группы для всех
пользователей, перечисленных в файле /etc/passwd. Следует убедится, что
не существует поль
зователей, имеющих идентификатор пользователя 0 и
идентификатор группы 0 кроме, возможно, пользователя root.
Запретить регистрацию в системе пользо
вателей, имеющих следующие
"служебные имена":
Создать перечень программ, которые запускаются с правами
администратора, и контролировать его неизменность;
daemon
bin
sys
adm
smtp
uucp
nuucp
listen
nobody
noaccess
Действие выполняется путем указания в файле /etc/passwd строки
'/bin/false' в поле shell
программы и указания символа 'x' в поле пароля.
Ограничения при монтировании файловых систем
ЖТЯИ.0005
0-
90 02
-02
СКЗИ
"
КриптоПро CSP
"
. Руководство администратора безопасности.
Использование СКЗИ под управлением ОС Linux
- 16 -
Ограничения при монтировании файловых систем реализуются
редактированием файла /etc/
tab:
Установить опцию nosuid при монтировании файловой системы /var.
При инсталляции системы следует выделить для файловых систем /, /usr,
/usr/local, /var разные разделы диска для предотвращения переполнения
критичных файловых систем (/, /var) за счет, например, пользовательских
данных и обеспечения возможности монтирования файловой системы /usr в
режиме "только для чтения".
Ограничени
я на запуск процессов
Следует ограничить использование в системе планировщика задач cron и
средств пакетной обработки заданий. Для нормального функционирования
системы минимально необходимым является разрешение использования
планировщика задач cron и средств пакетной обработки заданий только
пользователю root. Для этого следует выполнить следующие команды (от
имени суперпользователя):
echo root > /etc/cron.allow
echo root > /etc/at.allow
Настройка сетевых сервисов
Настройка сетевых сервисов заключается в сл
едующем:
Следует ограничить функциональность демона управления сетевыми
соединениями x
inetd. Действие заключается в редактировании файла
/etc/
inetd.conf и файлов в каталоге /
etc
xinetd
.d
. Как минимум, следует
запретить следующие сервисы:

echo
disca
rd
daytime
chargen
finger
nfsd
systat
netstat
tftp
telnet
Если не планируется использовать настраиваемый компьютер в качестве
маршрутизатора, необходимо в стартовые файлы поместитть команду
sbin
sysctl
–w
net
ipv4.
forward
Следует запретить прием из внешней сети "широковещательных"
(broadcast) пакетов, а также передачу ответов на принятые
"широковещательные" пакеты.
Запретить суперпользователю доступ по
ftp
, для этого добавить "root" в
файл
/etc/ftpusers
Если планируется использовать на настраиваемом сервере сервис FTP, то
следует создать (отредактировать) файл /etc/ftpusers со списком
пользователей, для которых запрещен доступ к серверу по протоколу FTP
Файл имеет текстовый формат и должен содержать по одному имени
пользователя в строке. В списке "запрещенных" пользователей, как
минимум, должны быть перечислены следующие имена пользователей:
Запустить процедуру регистрации запуска про
цессов (accounting
выполнением команды /
sbin
accton
adm
bin
daemon
listen
nobody
noaccess
nobody4
nuucp
root
mtp
sys
uucp
2. Для ограничения доступа к системным файлам для непривилегированных
пользователей, из командной строки следует выполнить следующие команды:
ЖТЯИ.0005
0-
90 02
-02
СКЗИ
"
КриптоПро CSP
"
. Руководство администратора безопасности.
Использование СКЗИ под управлением ОС Linux
- 17 -
chown root /etc/mail/aliases
chmod 644 /etc/mail/aliases
chmod 444 /etc/default/login
chmod 750 /
etc/security
chmod 000 /usr/bin/at
chmod 500 /usr/bin/rdist
chmod 400 /usr/sbin/snoop
chmod 400 /usr/sbin/sync
chmod 400 /usr/bin/uudecode
chmod 400 /usr/bin/uuencode
Также следует обнулить флаг SGID для некоторых исполняемых файлов:
chmod g
s /bin/mail
mod g
s /usr/bin/write
chmod g
s /bin/netstat
chmod g
s /usr/sbin/nfsstat
chmod g
s /usr/bin/ipcs
chmod g
s /sbin/arp
chmod g
s /bin/dmesg
chmod g
s /sbin/swapon
chmod g
s /usr/bin/wall
Ограничение количества "видимой извне" информации о системе
Обычно, н
ачальную информацию о системе потенциальный нарушитель получает
из системных приглашений, выдаваемых сетевыми службами сервера (telnet
сервер, ftp
сервер и пр.).
Поэтому, к мерам по ограничению количества "видимой извне" информации о
системе относятся:
Отк
аз от стандартного "заголовка", выводимого сервером ftp при ответе
пользователю. Достигается указанием в файле /etc/default/ftpd следующих
директив:
BANNER=""
Редактирование файлов /
etc
issue
, /е
ftp
banner
и /
etc
motd
с целью
разъяснения пользователям п
равил и политики доступа к серверу ftp.
Настройка подсистемы протоколирования и аудита
Следует удостоверится, что только пользователь root имеет доступ на запись
для следующих файлов:
/var/log/authlog
/var/log/syslog
/var/log/messages
/var/log/sulog
/var/l
og/utmp
/var/log/utmpx
Если на настраиваемом сервере используется web
сервер, то следует
убедиться, что только "владелец" процесса httpd имеет доступ на запись к
протоколам httpd
Следует протоколировать попытки использования программ su
Ограничить (с учетом выбранной в организации политики безопасности)
использование пользователями команд
и
sudo

предоставления
пользователю административных полномочий
sudo
auth.notice
/var/log/authlog
. Для
этого, в файл /etc/syslog.conf следует добавить запись:
или
uth.notice
/var/log/authlog, @loghost
Вторая строка аналогична первой, но указывает, что протокол дополнительно
передается на сервер сбора протоколов.
ЖТЯИ.0005
0-
90 02
-02
СКЗИ
"
КриптоПро CSP
"
. Руководство администратора безопасности.
Использование СКЗИ под управлением ОС Linux
- 18 -
Следует обеспечить протоколирование неуспешных попыток регистрации в
системе в локальном протоколе. Для
этого, следует выполнить следующие
команды:
touch
/
var
adm
loginlog
chown
root
/
var
adm
loginlog
chgrp root /var/adm/loginlog
chmod 644 /var/adm/loginlog
Для протоколирования сетевых соединений, контролируемых демоном
xinetd
(включая дату/время соединения
, IP
адрес клиента, установившего
соединение и имя сервиса, обслуживающего соединение), в файл
/etc/syslog.conf следует добавить запись:
daemon.notice

/var/log/syslog
10.2.
Требования по размещению технических средств с
установленным СКЗИ
При размещении техни
ческих средств с установленным СКЗИ:
Должны быть приняты меры по исключению несанкционированного доступа в
помещения, в которых размещены технические средства с установленным СКЗИ,
посторонних лиц, по роду своей деятельности не являющихся персоналом, допущ
енным
к работе в этих помещениях. В случае необходимости присутствия посторонних лиц в
указанных помещениях должен быть обеспечен контроль за их действиями и обеспечена
невозможность негативных действий с их стороны на СКЗИ, технические средства, на
которы
х эксплуатируется СКЗИ и защищаемую информацию.
Внутренняя планировка, расположение и укомплектованность рабочих мест в
помещениях должны обеспечивать исполнителям работ, сохранность доверенных им
конфиденциальных документов и сведений, включая ключевую ин
формацию.
В случае планирования размещения СКЗИ в помещениях, где присутствует речевая,
акустическая и визуальная информация, содержащая сведения, составляющие
государственную тайну, и (или) установлены технические средства и системы приема,
передачи, обра
ботки, хранения и отображения информации, содержащей сведения,
составляющие государственную тайну, технические средства иностранного
производства, на которых функционируют программные модули СКЗИ, должны быть
подвергнуты специальной проверке по выявлению у
стройств, предназначенных для
негласного получения информации».
Требования по криптографической защите
Должны выполняться требования по криптографической защите раздела 12
документа ЖТЯИ.00050
02 90 02 в части, касающейся ОС
Linux
.
Перед началом работы
должен быть проведен контроль целостности.
Контролем
целостности должны быть охвачены файлы, указанные в п. 15.
Конкретно д
олжны выполняться требования
:
спользование только лицензионного системного программного обеспечения.
Настройк
а
операционн
систем
ы
для работы с СКЗИ
по п. 6.
При инсталляции СКЗИ
должны быть обеспечены организационно
технические
меры по исключению подмены дистрибутива и внесения изменений в СКЗИ после
установки.
Исключение из программного обеспечения ПЭВМ с установленным СКЗИ
редств отладки.
СКЗИ
должно эксплуатироваться на рабочих станциях и серверах с
установленными средствами антивирусной защиты, сертифицированными
Федеральной Службой Безопасности РФ по классу Б2 для рабочих станций.
Пароль, используемый для аутентификации
пользователей, должен содержать
не менее 6 символов алфавита мощности не менее 10. Периодичность смены
пароля

не реже одного раза в 3 месяца.
Периодичность тестового контроля криптографических функций
-
10 минут.
Ежесуточная перезагрузка ПЭВМ.
ЖТЯИ.0005
0-
90 02
-02
СКЗИ
"
КриптоПро CSP
"
. Руководство администратора безопасности.
Использование СКЗИ под управлением ОС Linux
- 19 -
Периоди
чность останова ПЭВМ с обязательной проверкой системы
охлаждения процессорного блока ПЭВМ
1 месяц.
Запрещается
использовать режим простой замены (ЕСВ) ГОСТ 28147
89 для
шифрования информации, кроме ключевой.
Должно даваться предупреждение о том, что пр
и использовании режима
шифрования
CRYPT
SIMPLEMIX
MODE
материал, обрабатываемый на одном
ключе, автоматически ограничивается величиной 4 МВ.
При функционировании СКЗИ должны выполняться требования
эксплуатационной документации на ПАК защиты от НСД.
Дол
жно быть запрещено использование СКЗИ для защиты телефонных
переговоров без принятия
в системе
мер по
защите от информативности
побочных каналов, специфических при
передач
е
речи.
Должна быть запрещена работа СКЗИ при включенных в ПЭВМ штатных
средствах выхода в радиоканал.
Контролем целостности должны быть охвачены файлы

Linux (32
bits)
libcsp.so.3.0.0, libcsp.la, librdrrndmbio_tui.la, librdrrndmbio_tui.so.3.0.0, cryptcp, certmgr,
inittst, csptestf, der2xer, sv, libcapi20.so.3.0.0, libcapi20.la, libcpext.so.3.0.0, libcpext.la,
libcapilite.so.3.0.0, libcapilite.la, libpkixcmp.so.3.0.0, libpkixcmp.la, libasn1data.la,
libasn1data.so.3.0.0, libssp.so.3.0.0, libssp.la, libcpcdrv_emul.a, cp
genpsk.sh, genpsk,
libike_gost.so.3.0.0, libike_gost.la, l
ibesp_gost.la, libesp_gost.so.3.0.0,
pkcs11_generate_key_pair, pkcs11_generate_key, pkcs11_encrypt, pkcs11_verify_hash,
pkcs11_encrypt_sign, pkcs11_hash, pkcs11_decrypt, pkcs11_verify, pkcs11_sign,
pkcs11_initialize, pkcs11_save_state, pkcs11_sign_hash, pkcs11_set_pin, libcppkcs11.so.1.0.0,
libcppkcs11.la, libcsppkcs11.la, libcsppkcs11.so.1.0.0, cpverify, wipefile, csptest, librdrrdr.la,
librdrrdr.so.3.0.0, librdrrndm.la, librdrrndm.so.3.0.0, librdrsup.la, librdrsup.so.3.0.0,
librdrdsrf.so.3.0.0, librdrdsrf.la, librdrfat12.la, librdrfat12.so.3.0.0, libcapi10.so.3.0.0,
libcapi10.la, libcpui.so.3.0.0, libcpui.la, cpconfig, set_driver_license.sh, mount_flash.sh,
librdraccord.so.3.0.0, librdraccord.la, list_pcsc, librdrpcsc.la, librdrpcsc.so.3.0.0, librdrric.la,
librdrric.so.3.0.0, librdrsbl.so.3.0.0, librdrsbl.la.
Дополнительно
для
уровня
защиты
2
libcspr.la, libcspr.so.3.0.0, libcsp_kc2.la, libcsp_kc2.so.3.0.0, cryptsrv.
Linux (64
bit)
libcsp.la, libcsp.so.3.0.0, librdrrndmbio_tui.so.3.0.0, librdrrndmbio_tui.la, cryptcp, certmgr,
inittst, csptestf, der2xer, sv, libcapi20.la, libcapi20.so.3.0.0, libcpext.la, libcpext.so.3.0.0,
libcapilite.la, libcapilite.so.3.0.0, libpkixcmp.la, libpkixcmp.so.3.0.0, libasn1data.so.3.0.0,
libasn1data.la, libssp.so.3.0.0, libssp.la, pkcs11_set_pin, pkcs11_save_state, pkcs11_verify,
pkcs11_generate_key_pair, pkcs11_sign, pkcs11_hash, pkcs11_generate_key,
pkcs11_verify_hash, pkcs11_encrypt_sign, pkcs11_sign_hash, pkcs11_decrypt, pkcs11_encrypt,
pkcs11_initialize, libcppkcs11.la,
libcppkcs11.so.1.0.0, libcsppkcs11.so.1.0.0, libcsppkcs11.la,
cpverify, wipefile, csptest, librdrrdr.so.3.0.0, librdrrdr.la, librdrrndm.la, librdrrndm.so.3.0.0,
librdrsup.la, librdrsup.so.3.0.0, librdrdsrf.so.3.0.0, librdrdsrf.la, librdrfat12.so.3.0.0,
li
brdrfat12.la, libcapi10.la, libcapi10.so.3.0.0, libcpui.so.3.0.0, libcpui.la, cpconfig,
set_driver_license.sh, mount_flash.sh, librdraccord.so.3.0.0, librdraccord.la, list_pcsc,
librdrpcsc.so.3.0.0, librdrpcsc.la, librdrric.so.3.0.0, librdrric.la, librdrsbl.so.3.0.0, librdrsbl.la.
Дополнительно
для
уровня
защиты
2
libcspr.so.3.0.0, libcspr.la, libcsp_kc2.la, libcsp_kc2.so.3.0.0, cryptsrv
ЖТЯИ.0005
0-
90 02
-02
СКЗИ
"
КриптоПро CSP
"
. Руководство администратора безопасности.
Использование СКЗИ под управлением ОС Linux
- 20 -
Приложение
1
. Контроль целостности программного

обеспечения
Программное обеспечение СКЗИ
КриптоПро CSP
имеет средства обеспечения контроля целостности
ПО СКЗИ, которые должны выполняются периодически. Вместе с дистрибутивом поставляются
файлы с именами
hashes
dist
name
, содержащие контрольные значения хеш
функции на
файлы дистрибутива <
dist
name
>. Строки каждого такого файла состоят из двух полей

имени
файла и значения хеш
-функции на него. Файлы проверяются при помощи утилиты
cpverify
.
Например, возможен следующий фрагмент кода для проверки всех файлов всех дистрибутивов:
l `cat hashes.*|awk '{print "cpverify "$0" && " }END{print "true"}'`
Если в результате периодического контроля целостности появляется сообщения о нарушении
целостности контролируемого файла, пользователь обязан прекратить работу и обратиться к
администрато
ру безопасности.
Администратор безопасности, проанализировав причину, приведшую к нарушению целостности,
должен переустановить ПО СКЗИ
КриптоПро CSP
с дистрибутива, или системное ПО.
ЖТЯИ.0005
0-
90 02
-02
СКЗИ
"
КриптоПро CSP
"
. Руководство администратора безопасности.
Использование СКЗИ под управлением ОС Linux
- 21 -
Приложение
Управление протоколир
ованием
Для включения/отключения значение log используйте:
) RH7.3, RH9.0
Для задания уровня протокол
а

/usr/CPROcsp/sbin/cpconfig
loglevel cpcsp
mask 0x9
Для
задания
формата
протокол
а

/usr/CPROcsp/sbin/cpconfig
loglevel cp
csp
format 0x
19
Для просмотра маски текущего уровня и формата протокола

usr
CPROcsp
sbin
cpconfig
loglevel
cpcsp
view
для
7.3,
9.0
уровня
ядра

insmod
drvcsp
.o
log
level
x9
Значением
параметра
уровнь
протокола
яв
ляется
битовая
маска
:

N_DB_ERROR = 1 #
сообщения
ошибках

N_DB_LOG = 8 #
сообщения
о
вызовах
Значением
параметра формат протокола
является битовая маска:

DBFMT
MODULE
= 1 # выводить имя модуля

DBFMT
THREAD
= 2 #
выводить номер нитки

DBFMT
FUNC
= 8 # выводить имя функции

DBFMT
TEXT
10 # выводить само сообщение

DBFMT
HEX
20 # выводить НЕХ дамп

DBFMT
ERR
40 #
выводить
GetLastError

ЖТЯИ.0005
0-
90 02
-02
СКЗИ
"
КриптоПро CSP
"
. Руководство администратора безопасности.
Использование СКЗИ под управлением ОС Linux
- 22 -
Лист р
егистрации изменений
Лист регистрации изменений
Номера листов (страниц)
Всего
листов

документа
Входящий
№ сопроводи
-
Подп.
Дата
изменен
-
ных
замененных
новых
аннулиро
ванных
(страниц) в
докум.
тельного
докум. и
дата

Приложенные файлы

  • pdf 7727083
    Размер файла: 630 kB Загрузок: 1

Добавить комментарий