Как отключить мандатный контроль целостности astra linux
Перейти к содержимому

Как отключить мандатный контроль целостности astra linux

  • автор:

Как отключить мандатный контроль целостности astra linux

1. На впервые установленной «Astralinux Smolensk», сразу после запуска и авторизации, по умолчанию появится окно с необходимостью выбора атрибутов безопасности.

2. Настроить автовход данным способом невозможно, т. к. необходимо принудительно выбрать уровень целостности. Для отключения зайдите в «Панель управления».

3. Выберите меню «Безопасность».

4. Перейдите в раздел «Политика безопасности».

5. Выберите «Мандатный контроль целостности» и снимите галочку «Подсистема Мандатного Контроля Целостности».

6. Нажмите на галочку «Применить изменения».

7. Дождитесь окончания «Обновления МЦК».

8. В открывшемся окне «Перезагрузка системы» нажмите «Да». После перезагрузки мандатный контроль целостности будет отключен.

Настройка загрузки Astra Linux

При изменении настройки отображения загрузочного меню GRUB2 с помощью графического меню ОС «fly-admin-grub2», могут появится следующие проблемы:

Настройка в графическом меню

Настройки GRUB2 находятся на панели управления «Пуск > Панель Управления > Система > Загрузчик GRUB2»
Данное окно можно открыть выполнив команду с наивысшими правами

Настройка в терминале

Обратите внимание, что команда содержит слово «nobootmenu» — отсутствие загрузочного меню, поэтому когда эта возможность включена, то загрузочное меню отключено.

Для получения желаемого результата выполните команду с наивысшими правами

Отключить отображение загрузочного меню:

Включить отображение загрузочного меню:

Узнать текущий статус отображения загрузочного меню:

Значения результатов статуса:

Подробная справка о команде:

Автоматический вход пользователя

Настройка в графическом меню

Настройка в терминале

Для получения желаемого результата выполните команду с наивысшими правами

Установить автоматический вход для пользователя

Отключить автоматический вход

Узнать текущий статус автоматического входа

Подробная справка о команде:

Имя текущего пользователя, для которого включен автоматический вход указано в файле '/etc/X11/fly-dm/fly-dmrc“. Секция — «X-:0-Core», ключ — «AutoLoginUser»

Мандатный контроль целостности

Установка уровня контроля целостности по умолчанию

Для отключения запроса уровня целостности при входе необходимо в файле «/etc/X11/fly-dm/fly-dmrc», в секции «X-:0-Core» удалить знак комментария в начале строки у ключа «AutoLoginMAC» и установить необходимое значение

Посмотреть с какими уровнями целостности был выполнен вход ранее можно в файле «/var/log/fly-dm.log». Значения можно найти по тексту

Отключение контроля целостности

В графическом меню

Для открытия окна управления политикой безопасности перейдите по пунктам меню «Пуск > Панель управления > Безопасность > Политика безопасности» или выполните команду с наивысшими правами

В открывшемся окне «Управление политикой безопасности» выберите пункт «Мандатный контроль целостности».
На панели настроек снимите флажок «Подсистема Мандатного Контроля Целостности», а затем нажмите нажмите на зеленый кружок с белой галочкой, который находится в верхней части окна.
Если мандатный контроль целостности был успешно отключен, то система сообщит о необходимости перезагрузить систему чтобы изменения вступили в силу.

В терминале

Для получения желаемого результата выполните команду с наивысшими правами

Рекомендации по установке и настройке Astra Linux 1.6

Установка Astra Linux 1.6 выполняется с диска в режиме графической установки в соответствии с руководством по установке, прилагаемом к дистрибутиву (см. "Операционная система специального назначения "ASTRA LINUX SPECIAL EDITION" РУСБ.10015-01. Версия 1.6 "Смоленск". Руководство по установке).

В процессе установки ОС необходимо учесть следующее:

1. В окне "Настройки учетных записей пользователей и паролей" рекомендуется создать фиктивного пользователя user с паролем useruser (ввод пароля осуществляется после нажатия на кнопку "Продолжить").

2. В окне "Выбор программного обеспечения" выберите все, кроме «Приложения для работы с сенсорным экраном» и «Средства Виртуализации»:

3. После нажатия на кнопку "Продолжить" откроется окно выбора дополнительных функций — пропустите выбор ("Служба ALD" должна быть отключена).

4. Если в процессе дальнейшей работы будет использован статический IP-адрес (как бывает в большинстве случаев), то в окне "Дополнительные настройки ОС" включите настройку "Отключить автоматическую настройку сети".

5. В окне "Установка системного загрузчика GRUB на жесткий диск" требуется ввести пароль для GRUB, введите и запомните пароль — не менее 8 символов.

Установка пароля и прав для пользователя root

Установка пароля для пользователя root

В ходе установки Astra Linux 1.6 не определяется пароль для пользователя root. Зарегистрируйтесь в системе пользователем, созданным при установке (имя — user, пароль useruser), после чего выполните следующие команды:

Появится строка ввода пароля для root — введите пароль (пароль вводится вслепую, никаких символов не высвечивается). После ввода пароля и нажатия клавиши Enter появится строка повторного ввода пароля — повторите ввод пароля.

Восстановление прав пользователя root

Изначально в Astra Linux 1.6 пользователь root не имеет полный набор прав (например, он не может создавать каталоги в «/» или ставить пакеты). Для восстановления прав пользователя root выполните следующие действия:

  1. Зарегистрируйтесь пользователем, созданным при установке системы
  2. Нажмите Пуск -> Панель управления. Слева выберите раздел «Безопасность», а справа «Политика безопасности»
  3. В открывшемся окне «Управление политикой безопасности» выберите слева пункт «Мандатный контроль целостности» и снимите "галочку" с настройки «Подсистема Мандатного Контроля Целостности»

Создание и использование локального репозитория

1. Зарегистрируйтесь пользователем root.

2. Создайте каталог репозитория, например /.1/astra, выполнив команду:

3. В созданном каталоге репозитария создайте каталог conf, выполнив команду:

4. В conf создайте файл distributions.

Для создания файла выполните команду:

В открывшемся окне редактора введите следующее содержимое файла:

При копировании содержимого в файл обратите внимание, чтобы каждая строка не содержала в начале пробелов, — при необходимости, удалите их вручную. В конце файла обязательно должен быть перевод строки (проверьте наличие пустой строки в конце файла).

После ввода содержимого нажмите на клавишу F2 (файл будет сохранен), а затем F10 — для выхода из окна редактора.

Если по какой-либо причине указанная выше команда для создания файла не была выполнена, то воспользуйтесь командой vi, выполнив следующие действия:

4.2. Нажмите клавишу Insert для входа в режим редактирования.

4.3. Введите содержимое файла (приведено выше).

4.4. По окончании ввода текста (редактирования) нажмите клавишу Esc.

4.5. Для сохранения файла дважды нажмите Shift+z.

5. Вставьте первый диск дистрибутива и установите пакет reprepro, выполнив команды:

6. Инициализируйте репозиторий, выполнив команды:

7. Скопируйте пакеты в репозитарий, выполнив команду:

8. Проверьте, чтобы все терминалы и процессы, которые используют точку монтирования /mnt/cdrom, были завершены. Отмонтируйте диск, выполнив команду:

9. Вставьте второй диск дистрибутива и скопируйте пакеты, выполнив команды:

10. Отмонтируйте второй диск, выполнив команду:

11. Для подключения репозитария отредактируйте файл /etc/apt/sources.list, выполнив команду:

Откроется окно редактора, в котором будет выведено содержимое заданного файла. Удалите весь текст и вставьте следующую строку:

После ввода нажмите на клавишу F2 (файл будет сохранен), а затем F10 — для выхода из окна редактора.

Примечание. Если планируется использовать сетевой репозитарий, расположенный на ftp-сервере, то содержимое файла /etc/apt/sources.list должно выглядеть следующим образом:

где вместо servername нужно прописать имя ftp-сервера или его IP-адрес.

12. Выполните команду:

Установка обновлений

Установка обновлений выполняется пользователем root и включает выполнение следующих действий:

1. Создайте каталог, в который будут скачаны файлы обновлений, выполнив команду:

2. Скачайте обновления для Astra Linux 1.6 с официального источника:

Сохраните скачиваемые файлы в созданный каталог /.1/iso.

3. Создайте каталог репозитория, например /.1/astra-upd, выполнив команду:

4. В созданном каталоге создайте подкаталог conf, выполнив команду:

5. В conf создайте файл distributions. Для создания файла выполните команду:

В открывшемся окне редактора введите следующее содержимое файла:

При копировании содержимого в файл обратите внимание, чтобы каждая строка не содержала в начале пробелов, — при необходимости, удалите их вручную. В конце файла обязательно должен быть перевод строки (проверьте наличие пустой строки в конце файла).

После ввода содержимого нажмите на клавишу F2 (файл будет сохранен), а затем F10 — для выхода из окна редактора.

Если по какой-либо причине указанная выше команда для создания файла не была выполнена, то воспользуйтесь командой vi, выполнив следующие действия:

4.2. Нажмите клавишу Insert для входа в режим редактирования.

4.3. Введите содержимое файла (приведено выше).

4.4. По окончании ввода текста (редактирования) нажмите клавишу Esc.

4.5. Для сохранения файла дважды нажмите Shift+z.

6. Инициализируйте репозиторий, выполнив команду:

7. Cмонтируйте первый образ обновления и скопируйте пакеты, выполнив команды:

8. Отмонтируйте образ, выполнив команду:

9. Смонтируйте второй образ обновления и скопируйте пакеты, выполнив команды:

10. Отмонтируйте второй диск, выполнив команду:

11. Добавьте обновление в /etc/apt/sources.list. Для этого откройте этот файл на редактирование, выполнив команду:

12. Добавьте в файл строку следующего содержания:

После ввода нажмите на клавишу F2 (файл будет сохранен), а затем F10 — для выхода из окна редактора.

13. Выполните команды:

Настройка сетевых интерфейсов и их автостарт

Если при установке Astra Linux 1.6 была отключена автоматическая настройка сети (см. выше п. «Рекомендации по установке ОС с диска», шаг 4), то требуется сконфигурировать сетевые интерфейсы вручную. Для настройки сетевых интерфейсов выполните следующие действия:

1. Откройте на редактирование файл /etc/network/interfaces, воспользовавшись командой mkedit или iv (подробно см. выше п. "Создание и использование локального репозитория", шаг 4), и добавьте в его конец следующие строки:

где вместо <сетевой_адрес>, <маска_подсети>, <широковещательный_адрес> и <шлюз> следует прописать соответствующие параметры компьютера, на котором выполняется настройка (за значениями параметров следует обращаться к администратору комплекса).

Обратите внимание, данные строки, настраивающие поднятие интерфейса eth0, в тексте редактируемого файла должны быть написаны ниже имеющихся в файле строк:

В противном случае инициализация сети в момент загрузки будет занимать очень продолжительное время.

2. Если на комплексе имеется DNS-сервер, то откройте на редактирование файл /etc/resolv.conf, добавив в него следующие строки (если файл отсутствует — создайте его):

где вместо <имя_домена> нужно ввести адрес домена, <dns-суффиксы> — указать dns-суффиксы (их может быть несколько, пишутся через пробел), <IP-адрес_1>, <IP-адрес_2> . — ввести IP-адрес DNS-сервера (если серверов несколько, то каждый сервер указывается отдельной строкой). За значениями параметров следует обращаться к администратору комплекса.

3. Изменения вступят в силу после перезагрузки. Для этого выполните команду:

Настройка ssh

По-умолчанию, ssh-сервер выключен, а также блокирует попытки входа пользователем root. Для изменения настроек ssh-сервера, выполните следующие действия, зарегистрировавшись пользователем root:

1. Откройте файл /etc/ssh/sshd_config на редактирование, выполнив команду

Сохраните изменения, нажав F2, и закройте окно редактирования — F10.

Если команда mcedit не была выполнена, то воспользуйтесь командой iv (подробно см. выше п. "Создание и использование локального репозитория", шаг 4).

2. Запустите ssh-сервер и добавьте его в автозагрузку, выполнив команды:

Включение общепринятых alias’ов

По-умолчанию, у пользователей выключены общепринятые alias’ы, такие как ll. Для их активации рекомендуется отредактировать файл .bashrc, который находится в домашнем каталоге пользователя.

Для пользователя root откройте на редактирование файл /root/.bashrc, воспользовавшись командой mkedit или iv (подробно см. выше п. "Создание и использование локального репозитория", шаг 4), и удалите символ комментария (#) в следующих строках:

Для всех остальных пользователей отредактируйте файл /home/<имя_пользователя>/.bashrc, удалив символ комментария в следующих строках:

Настройка grub

Откройте на редактирование файл /boot/grub/grub.cfg, воспользовавшись командой mkedit или iv (подробно см. выше п. "Создание и использование локального репозитория", шаг 4).

Найдите строку, содержащую фразу /boot/vmlinuz-4.15.3-1-generic — именно это ядро грузится по-умолчанию. В конце этой строки уберите параметр quiet. Это позволит видеть процесс загрузки системы.

Что именно загружается по-умолчанию, определяется параметрами set default (19-я строка файла). Этот параметр указывает на уникальный идентификатор со строкой menuentry.

Так, например, параметр

указывает на строку

Освобождение GID 1001, UID 1000 и 1001 для штатных пользователей ЖС

Внимание! Выполняйте данный пункт только после отключения мандатного контроля целостности и восстановления пользователя root в правах (подробно см. выше п. "Установка пароля и прав для пользователя root").

В ходе установки Astra Linux 1.6 штатные GID/UID занимает безусловно-создаваемый пользователь. Для освобождения GID/UID выполните следующие действия пользователем root:

1. Откройте на редактирование файл /etc/passwd, воспользовавшись командой mkedit или iv (подробно см. выше п. "Создание и использование локального репозитория", шаг 4).

2. Откройте на редактирование файл /etc/group.

3. Восстановите права на домашний каталог пользователя user, выполнив команду:

4. Создайте группу afis, выполнив команду:

5. Создайте пользователя admin с обязательным использованием ключа -m, иначе домашняя директория пользователя создана не будет:

Назначьте созданному пользователю пароль, выполнив команду:

6. Создайте пользователя st с обязательным использованием ключа -m, выполнив команду:

Назначьте ему пароль, выполнив команду:

Установка системных пакетов

Перед установкой ПО «ЖС» и «Фильтр» нужно обязательно нужно установить следующие пакеты:

Astra Linux 1.6 — Смена уровней целостности пользователя из консоли

Сталкиваюсь уже второй раз с такой проблемой: если случайно поставить на админе низкий уровень целостности, то потом администрирование системы становится невозможным (оно доступно только пользователям с высоким уровнем). В этот раз через консоль менялись уровни конфеденциальности админа для эксперементов в постгресе, и это обнулило уровни целостности, потом система повисла и пришлось делать ребут, теперь администрирование недоступно. Реально как-то через консоль под рутом их восстановить? Или может есть еще какие способы?

да, возможно, обратитесь в техподдержку, вам подскажут

спасибо, у них на сайте нашлась команда для повышения уровня) sudo pdpl-user -i 63 username

Похожие публикации:
  1. Apple watch ultra как подключить
  2. Linux file stor gadget usb device что это
  3. Где хранятся библиотеки python linux
  4. Как добавить команду в автозагрузку linux

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *