gasu.gov.ru – ГАСУ Управление Установка основных компонентов КриптоПро CSP
В открывшемся приложении «Установщик КриптоПро CSP» отметить как минимум следующие флажки:
после чего нажать «Далее».
Затем нужно установить дополнительные пакеты следующими командами:
sudo dpkg -i ifd-rutokens_1.0.4_amd64.deb
После этого нужно вставить в CD-ROM диск с дистрибутивом Astra Linux Special Edition (Смоленск) и выполнить команды:
sudo apt install libccid pcscd libgost-astra
sudo service pcscd restart
Установка браузерного плагина
Устанавливаем плагин и настраиваем его в браузере — инструкция
Установка корневого сертификата удостоверяющего центра
Устанавливаем сертификат удостоверяющего центра Ролис. Для этого скачиваем его, после чего запускаем приложение cptools:
И в появившемся окне на вкладке «Сертификаты» нажимаем «Установить сертификаты», в открывшемся окне выбора файла выбираем скаченный файл сертификата и нажимаем кнопку «Открыть».
Настройка списка доверенных узлов
В адресной строке браузера вводим:
На открывшейся странице вводим два адреса (и нажимаем на плюсик):
Установка ярлыка на рабочий стол
Для установки ярлыка на рабочий стол сначала скачиваем иконку и копируем ее в какую-нибудь папку (не в Загрузки — чтобы ее случайно не стерли). Затем на рабочем столе нажимаем правой кнопкой мыши, выбираем «Создать ярлык». В появившемся окне выбираем тип ярлыка «Ссылка», вводим название ярлыка «Конверста – Вход в сервис» и ссылку: https://gko.konversta.ru и выбираем скаченную иконку.
Назначение
Криптопровайдер (Cryptography Service Provider, CSP) — независимый программный модуль, позволяющий осуществлять криптографические операции. Криптопровайдер КриптоПро CSP предназначен для:
При работе с Astra Linux в качестве СКЗИ разрешается использовать только сертифицированные версии КриптоПро CSP. На момент последнего обновления настоящей статьи сертифицированы:
СКЗИ КриптоПро CSP в исполнении 2-Base должно использоваться с аппаратно-программным модулем доверенной загрузки (АПМДЗ).
При эксплуатации СКЗИ необходимо соблюдать требования и рекомендации эксплуатационной документации на СКЗИ, в том числе требования по защите от несанкционированного доступа и по криптографической защите, а также требования по поддерживаемым СКЗИ аппаратно-программным платформам. В частности, при использовании СЭП со встроенным СКЗИ необходимо проведение проверки программного обеспечения BIOS ЭВМ, на которых предполагается функционирование СКЗИ и СЭП, на соответствие методическим документам ФСБ России в области исследований программного обеспечения BIOS.
Контроль целостности СКЗИ и СЭП должен выполняться с использованием механизма замкнутой программной среды ОС или с использованием стандартных средств контроля целостности КриптоПро CSP.
Установка КриптоПро CSP
Архив с программным обеспечением КриптоПро CSP доступен для загрузки на официальном сайте www.cryptopro.ru. Для загрузки требуется регистрация на сайте.
Для ОС Astra Linux следует загружать сертифицированные версии, пакеты “КриптоПро CSP x.x для Linux (x64, deb)” или “КриптоПро CSP x.x для Astra Linux, ЗПС (x64)” где x.x – номер версии.
Пробный период использования КриптоПро CSP составляет 3 месяца, по истечении которых необходимо приобрести полноценную лицензию.
Для написания настоящей статьи были выполнены следующие действия:
Описание пакетов КриптоПро
Для просмотра всех установленных пакетов КриптоПро CSP можно использовать команду:
Пример вывода команды:
Настройка путей к исполняемым файлам
Для того, чтобы не вводить каждый раз полный путь к утилитам КриптоПро CSP, в терминале FLY следует ввести команду:
Подробнее см. Присвоение значений переменным окружения для пользовательских сессий.
Установка дополнительных пакетов для поддержки токенов и смарт-карт
Для корректной работы с токенами и смарт-картами установить:
Команда для установки пакетов из состава ОС:
Пакеты с модулями поддержки доступны по указанным выше ссылкам. Порядок установки модулей, предоставляемых производителями см. в инструкциях производителя, а также см. статьи Аладдин RD JaCarta в AstraLinux и Рутокен в Astra Linux.
Ключдля работы в режиме замкнутой программной среды Astra Linux SE.
Ключ для обеспечения работы в режиме ЗПС Astra Linux SE доступен по ссылке: https://cryptopro.ru/sites/default/files/private/csp/cryptopro_pub_key.gpg. Для загрузки ключа требуется регистрация.
Для установки загруженного ключа:
Проверка срока истечения лицензии КриптоПро
Проверить срок истечения лицензии КриптоПро можно командой:
/opt/cprocsp/sbin/amd64/cpconfig -license -view
License validity:
5050010037ELQF5H28KM8E6BA
Expires: 88 day(s)
License type: Demo.
Установка лицензии КриптоПРо
Для установки лицензии выполнить команду :
Носители и контейнеры
Для просмотра списка настроенных считывателей можно воспользоваться командой:
/opt/cprocsp/sbin/amd64/cpconfig -hardware reader -view
Nick name: HDIMAGE
Connect name:
Reader name: HDD key storage
Nick name: CLOUD
Connect name:
Reader name: Cloud Token
Nick name: Aktiv Rutoken lite 00 00
Connect name:
Reader name: Aktiv Rutoken lite 00 00
Чтобы узнать модели подключенных токенов ввести команду:
/opt/cprocsp/bin/amd64/csptest -card -enum -v -v
После чего система выдаст информацию о подключенных устройствах, например:
Проверить наличие носителей с контейнерами можно с помощью команды:
/opt/cprocsp/bin/amd64/csptest -keyset -verifycontext -enum -unique
Получить имя носителя в формате FQCN (Fully Qualified Container Nam):
В этом случае будет выведен список носителей с контейнерами в следующих форматах:
Подробную информацию см. ” Имена контейнеров”
Информация о контейнерах
Для просмотра подробной информации о контейнерах воспользуйтесь командой:
/opt/cprocsp/bin/amd64/csptestf -keyset -container ‘ИМЯ’ -info
Пример работы команды:
/opt/cprocsp/bin/amd64/csptestf -keyset -container ‘Shuhrat’ -infoCSP (Type:80) v5.0.10001 KC1 Release Ver:5.0.11233 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. H CRYPTPROV: 8981043GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2012 KC1 CSPContainer name: “Shuhrat”Signature key is available. H CRYPTKEY: 0x8f3b03Exchange key is available. H CRYPTKEY: 0x8f9883Symmetric key is not available. UEC key is not available.
Информация об алгоритмах CSP: Тип: Шифрование Имя: «ГОСТ 28147-89»
Длинное: «ГОСТ 28147-89»
DefaultLen: 256 MinLen: 256 MaxLen: 256 Prot: 0 Algid: 00026142 (♀) 3)
Тип: Хэш Имя: ‘ГР 34.11-2012 256’
Длинное: ‘ГОСТ Р 34.11-2012 256’
DefaultLen:256 MinLen:256 MaxLen:256 Prot:0 Algid:00032801
)
Тип: Подпись Имя: ‘ГР 34.10-2012 256’
Длинное: ‘ГОСТ Р 34.10-2012 256’
DefaultLen:512 MinLen:512 MaxLen:512 Prot:0 Algid:00011849
)
Тип: Exchange Имя: ‘DH 34.10-2012 256’
Длинное: ‘ГОСТ Р 34.10-2012 256 DH’
DefaultLen:512 MinLen:512 MaxLen:512 Prot:0 Algid:00043590
Тип: Exchange Имя: ‘DH 34.10-2012 256’
Длинное: ‘ГОСТ Р 34.10-2012 256 DH’
DefaultLen:512 MinLen:512 MaxLen:512 Prot:0 Algid:00043591
Тип: Хэш Имя: ‘ГОСТ 28147-89 MAC’
Длинный: ‘ГОСТ 28147-89 MAC’
DefaultLen:32 MinLen:8 MaxLen:32 Prot:0 Algid:00032799
Тип: Шифрование Имя: ‘GR 34.12 64 M’
Длинный: ‘ГОСТ Р 34.12-2015 64 Магма’
DefaultLen:256 MinLen:256 MaxLen:256 Prot:0 Algid:00026160
)
Тип: Шифрование Имя: ‘GR 34.12 128 K’
Длинное: ‘ГОСТ Р 34.12-2015 128 Кузнечик'(33) DefaultLen:256 MinLen:256 MaxLen:256 Prot:0 Algid:00026161
)
Тип: Хэш Имя: ‘GR 34.13 64 M MAC’
Длинный: ‘ГОСТ Р 34.13-2015 64 Magma MAC'(31) DefaultLen:64 MinLen:8 MaxLen:64 Prot:0 Algid:00032828
Тип:Хеш Имя: ‘GR 34.13 128 K MAC’
Длинный: ‘ГОСТ Р 34.13-2015 128 Кузнечик MAC'(37) DefaultLen:128 MinLen:8 MaxLen:128 Prot:0 Algid:00032829
Тип: Хэш Имя: ‘GR34.11-12 256 HMAC’
Длинное: ‘ГОСТ Р 34.11-2012 256 HMAC’
DefaultLen:256 MinLen:256 MaxLen:256 Prot:0 Algid:00032820
Статус: Используемые дескрипторы провайдера: 6 Макс. дескрипторы провайдера: 1048576 Загрузка ЦП: 6 % Загрузка ЦП CSP: 0 % Интервал измерения: 119 мс (
5)
Используемая виртуальная память: 15281652 КБ Виртуальная память, используемая CSP: 116572 КБ Свободная виртуальная память: 26053680 КБ Общая виртуальная память: 41335332 КБ
Используемая физическая память: 14602360 КБ Физическая память, используемая CSP: 12576 КБ Свободная физическая память: 5857712 КБ Общая физическая память: 20460072 КБ
Информация о паре ключей: HCRYPTKEY: 0x8f3b03 AlgID: CALG_GR3410_12_256 = 0x00002e49 (00011849): AlgClass: ALG_CLASS_SIGNATURE AlgType: ALG_TYPE_GR3410 AlgSID : 73 KP_HASHOID: 1.2.643.7.1.1.2.2 (ГОСТ Р 34.11-2012 256 бит) KP_DHOID: 1.2 .643.2.2.35.1 (ГОСТ Р 34.10 256 бит, параметры по умолчанию) KP_SIGNATUREOID: 1.2.643.2.2.35.1 (ГОСТ Р 34.10 256 бит, параметры по умолчанию) Разрешения: CRYPT_READ CRYPT_WRITE CRYPT_IMPORT_KEY 0x800 0x2000 0x20000 0x100000KP_CERTIFICATE: Не установлено.
Container version: 2Carrier flags: This reader is removable. This reader supports unique carrier names. This carrier does not have embedded cryptography. Keys in container: signature key exchange keyExtensions (maxLength: 1435): ParamLen: 46 OID: 1.2.643.2.2.37.3.9 Critical: FALSE Size: 19 Decoded size: 24 PrivKey: Not specified – 18.01.2020 07:31:07 (UTC)
При наличии кириллических символов в имени ключевого контейнера для дальнейшей работы с таким контейнером необходимо использовать его уникальный идентификатор. Получить уникальные идентификаторы ключевых контейнеров можно командой:
/opt/cprocsp/bin/amd64/csptest -keys -enum -verifyc -fqcn -un
Особенности применения PIN-кодов в контейнерах:
Проверка работы контейнера
Для того чтобы проверить работу контейнера (в том числе возможность выполнения разных операций при текущей лицензии), следует выполнить команду:
/opt/cprocsp/bin/amd64/csptestf -keyset -container ИМЯ -check
/opt/cprocsp/bin/amd64/csptestf -keyset -container Shuhrat -check
AcquireContext: OK. H CRYPTPROV: 28224051
Check header passed.
Signature key is available. H CRYPTKEY: 0x1b53883
Exchange key is available. H CRYPTKEY: 0x1b57e23
License: Cert without license
Check container passed.
Check sign passed.
Check verify signature on private key passed.
Check verify signature on public key passed.
Check import passed (import restricted).
Check import passed.
Certificate in container matches AT_KEYEXCHANGE key.
PrivKey: Not specified – 18.01.2020 07:31:12 (UTC)
Total: SYS: 0,030 sec USR: 0,140 sec UTC: 2,430 sec
Удаление контейнера
Удалить контейнер можно командой:
/opt/cprocsp/bin/amd64/csptestf -passwd -cont ‘\. Aktiv Rutoken ECP 00 00TestCont’ -deletek
Копирование контейнера
Скопировать контейнер из локального хранилища в хранилище токена Рутокен ЕЦП:
csptestf -keycopy -contsrc ‘\. HDIMAGEКонтейнер_оригинал’ -contdest ‘\. Aktiv Rutoken ECP 00 00Контейнер_копия’
Смена пароля на контейнер (снятие паролей с контейнера)
В случае, если контейнеру с ключом не был задан PIN, следует воспользоваться командой:
Менеджер сертификатов КриптоПро в Linux
Сертификаты делятся на четыре категории:
Пример установки личного сертификата, выданного УЦ Министерства Обороны Российской Федерации
Установка всех личных сертификатов со всех контейнеров в uMy :
/opt/cprocsp/bin/amd64/csptestf -absorb -certs -autoprov
Установка определенного сертификата из определенного контейнера в uMy:
/opt/cprocsp/bin/amd64/certmgr -inst -cont ‘\. Aktiv Rutoken ECP 00 00Ivanov’
Установка сертификата удостоверяющего центра ГУЦ в mRoot (подробнее см. Корневые и отозванные сертификаты):
Установка списка отозванных сертификатов (CRL) (список загружается с того же сайта и устанавливается в mca):
Просмотр ранее установленных сертификатов
Просмотра ранее установленных сертификатов можно выполнить командой:
Удаление сертификатов из хранилища КриптоПро
Для удаления определенного сертификата из хранилища КриптоПро выполнить команду:
После выполнения команды на экран будет выведен весь список сертификатов и предложение ввести номер удаляемого сертификата.
Для удаления всех сертификатов выполнить команду:
/opt/cprocsp/bin/amd64/certmgr -del -all
Экспорт сертификатов на другую машину
Закрытые ключи к сертификатам находятся в каталоге /var/opt/cprocsp/keys.
Поэтому эти ключи переносятся просто: создаем архив и переносим на нужную машину в тот же каталог.
/opt/cprocsp/bin/amd64/certmgr -export -dest cert.cer
Переносим эти файлы на машину и смотрим, какие контейнеры есть:
csptest -keyset -enum_cont -verifycontext -fqcn
Связываем сертификат и закрытый ключ:
certmgr -inst -file 1.cer -cont ‘\. HDIMAGEcontainer.name’
Если закрытый ключ и сертификат не подходят друг к другу, будет выведена ошибка:
Can not install certificate
Public keys in certificate and container are not identical
Проверка цепочки сертификатов
Для примера: чтобы проверить цепочку сертификатов, можно скопировать персональный сертификат в файл:
/opt/cprocsp/bin/amd64/cryptcp -copycert -dn ‘CN=Имя_вашего_сертификата’ -df /temp/сертификат.cer
Можно указать другое поле сертификата: CN, E, SN, OGRN, SNILS и тд.
Из вывода следует, что у нас отсутствует некий сертификат в цепочке сертификатов. Можно запустить вышеуказанную команду в режиме debug(отладки):
В нашем примере из логов можно сделать вывод, что нам надо установить сертификат УЦ МО с CN=Министерство обороны Российской Федерации:
/opt/cprocsp/bin/amd64/certmgr -inst -store uRoot -file minoboron-root-2018.crt
Для того, чтобы убедиться в устранении ошибки, можно повторно в режиме отладки запустить команду. При правильно установленной цепочке сертификатов, статус у сертификата будет = CERT_TRUST_NO_ERROR
Подписание документа ЭЦП
Подпись документа может быть сделана двумя способами:
Подпись файлов (присоединенная)
/opt/cprocsp/bin/amd64/cryptcp -sign -dn ‘CN=Название_нужного_сертификата’ -der zayavlenie.pdf
CryptCP 5.0 (c) “КРИПТО-ПРО”, 2002-2018. Утилита командной строки для подписи и шифрования файлов.
Действителен с 02.10.2018 14:31:02 по 02.10.2019 14:41:02
Подпись файлов (отсоединенная)
/opt/cprocsp/bin/amd64/cryptcp -sign -detach -dn ‘CN=Название_нужного_сертификата’ -pin 12345678 raport.pdf raport.pdf.sig
Проверка подписи в файле
Для проверки присоединенной подписи выполнить:
/opt/cprocsp/bin/amd64/cryptcp -verify raport.pdf.sig
Способ “естественный”
Использовать ключ -verall, указывающий, что надо найти всех подписавших, в том числе в сообщении:
/opt/cprocsp/bin/amd64/cryptcp -verify -verall -detached /home/shuhrat/smolensk/raport.pdf raport.pdf.sig
Способ “обучающий”
Указать в качестве хранилища сертификатов само сообщение (ключ -f):
/opt/cprocsp/bin/amd64/cryptcp -verify -f raport.pdf.sig -detached raport.pdf raport.pdf.sig
Извлечение подписанного файла
Чтобы извлечь файл, необходимо указать его имя в конце команды проверки подписи:
cryptcp -verify raport.pdf.sig raport.pdf
В версии КриптоПро 5 появился графический инструмент для работы с сертификатами – cptools. Инструмент можно запустить из консоли:
Удаление КриптоПро CSP
Для того, чтобы удалить ПО КриптоПро CSP, в терминале FLY следует ввести последовательно 3 команды:
sudo rm -rf /opt/cprocspsudo rm -rf /var/opt/cprocsp/sudo rm -rf /etc/opt/cprocsp/
Отключение сообщений о необходимости перехода на ГОСТ Р 34. 10-2012
В соответствии с принятым в 2014 году порядком перехода на ГОСТ Р 34.10-2012 до 1 января 2019 года попытка использования ГОСТ Р 34.10-2001 (кроме проверки подписи) на всех выпущенных к настоящему моменту сертифицированных версиях КриптоПро CSP 3.9, 4.0 и КриптоПро JCP 2.0 с 1 января 2019 года вызовет ошибку/предупреждение (в зависимости от продукта и режима работы), которые могут привести к неработоспособности автоматических/автоматизированных систем при использовании ими ключей ГОСТ Р 34.10-2001. В случае если ваша система использует ключи ГОСТ Р 34.10-2001, просим принять во внимание инструкцию.
Для отключения данных предупреждений в КриптоПро CSP, нужно добавить два ключа в конфигурационный файл /etc/opt/cprocsp/config64.ini в существующую секцию Parameters:
Для наиболее безболезненного продолжения работы с ГОСТ Р 34.10-2001 в 2019 году рекомендуем использовать актуальные версии КриптоПро. В ранних версиях КриптоПро Клиент 2.0 присутствуют технические ограничения формирования подписи по ГОСТ Р 34.10-2001 после 1 января 2019 года, о чем выдаются предупреждения в виде соответствующих окон.
Полезные ссылки
КриптоПро CADES ЭЦП Browser plug-in
Таблица поддерживаемых устройств Крипто-Про CSP
На официальном сайте СКЗИ КриптоПро в таблице указаны носители, продемонстрировавшие работоспособность с соответствующими версиями КриптоПро CSP:
Список ГИС и ЭТП использующих cades-bes plugin
ЭЦП в государственных информационных системах и электронно торговых площадках
Перечень аккредитованных удостоверяющих центров
Аккредитованные удостоверяющие центры
Диагностический архив для обращения в тех. поддержку
По всем вопросам установки СКЗИ в операционную систему, их настройки и обеспечения доступа к электронным ресурсам в сети Интернет можно обращаться в техническую поддержку Astra Linux КриптоПро.
Для создания диагностического архива, можно воспользоваться следующей командой:
В результате должен получится архив в файле cprodiag_день_месяц_год.tar.gz, который следует прислать в Astra Linux КриптоПро.
В данной статье рассмотрим, как установить корневой сертификат в системное хранилище доверенных корневых сертификатов. Здесь надо учесть, что браузеры после этого не станут автоматически доверять сайту, сертификат которого выпущен таким центром сертификации, потому что веб-браузеры в Linux используют свои собственные хранилища корневых сертификатов, поэтому будет затронута также тема добавления корневого сертификата в веб-браузеры. Инструкция подойдет не только для Astra Linux, но и для других Debian подобных дистрибутивов.
Установка корневого сертификата в системное хранилище
1. Сертификат должен иметь формат crt. Если формат сертификата отличается, необходимо выполнить его конвертацию. Так, например, для cer-сертификатов:
Если исходный сертификат имеет кодировку DER
openssl x509 -inform DER -in /path/certificate.cer -out certificate.crt
Если исходный сертификат имеет кодировку PEM
openssl x509 -inform PEM -in /path/certificate.cer -out certificate.crt
В параметре out можно сразу указать полный путь сохранения сертификата, в противном случае, он сохранится в текущий каталог.
вместо /path/certificate.crt подставить свой путь до сертификата и имя сертификата
3. Установить сертификат можно такой командой:
sudo dpkg-reconfigure ca-certificates
Выбрать «Да», нажать «ОК» (Enter), а в следующем окне отметить звездочками сертификаты, которые необходимо установить. При этом, если все успешно, вы должны увидеть информацию о добавлении вашего сертификата. В моем случае выполнялась установка сразу двух сертификатов (2 added)
Есть еще и вот такая команда:
По идее, делает все что нужно в автоматическом режиме.
По итогу, ваш сертификат должен будет находиться здесь: /etc/ssl/certs
Короткая команда, которая выведет список доверенных сертификатов. В списке вы должны найти свой сертификат — значит он установился.
Для проверки есть такая конструкция:
Вместо СЕРТИФИКАТ вводим критерий поиска (точное имя сертификата), можно часть имени заменить символом * (например, Digi*) — но в случае со «звездочкой» поиск будет чувствителен к регистру (игнорирует ключ -i), если в имени серитфиката есть пробелы, то критерий поиска обязательно нужно взять в кавычки, даже при использовании маски поиска *.
openssl s_client -connect example.site.ru:443 -quiet
Проверка посредством выполнения подключения к сайту. То есть, здесь мы выполняем не поиск по хранилищу сертификатов, а осуществляем подключение к сайту
Вместо example.site.com вводите ваш сайт, на котором нужно проверить работу сертификата.
Если в результате вывода где-то есть verify error, значит есть проблемы с доверием. Нужно детально изучить вывод — на какой сертификат ругается.
curl https://example.site.com –cacert /etc/ssl/certs/ca-certificates.crt
Может потребоваться установка пакета curl. В ответе должен быть получен код страницы — значит все ОК, доверие к сертификату есть, в противном случае, получим ошибку.
Импорт сертификата в профиль пользователя для Chromium-подобных браузеров
Можно автоматизировать данный процесс. Для выполнения команды должна быть установлена утилита certutil.
certutil -d sql:$HOME/.pki/nssdb -A -t “C,,” -n “certificate_name” -i certificate_file.crt
certificate_name — имя сертификатаcertificate_file — имя файла сертификата, в примере подразумевается, что сертификат расположен в том же каталоге, что и скрипт
После выполнения данной команды, браузеры на Chromium движке под текущим пользователем будут доверять сертификату (Chrome, Chromium, Opera и т.п.).
Отдельно отмечу, что браузер Firefox использует собственную базу сертификатов, которая располагается в другом месте.
Те же самые действия можно проделать и через GUI браузера.
Настройки — Конфиденциальность и безопасность — Безопасность — Настроить сертификаты
Далее импортировать нужный сертификат в разделе «Центры сертификации»
Методика безопасности операционной системы общего назначения Astra Linux Common Edition 2.12, далее по тексту – Astra Linux, предназначено для нейтрализации уязвимостей в информационных системах.
Настоящая методика безопасности содержит отдельные программные пакеты, в которые внесены изменения с целью устранения ряда уязвимостей ядра linux и пакета liblog4j2-java, а также методические указания, нейтрализующие угрозу эксплуатации уязвимостей пакета apache2.
Кроме того, в пакет ca-certificates.deb репозитория Astra Linux добавлен сертификат удостоверяющего центра Минцифры России.
Настоящая методика безопасности не является кумулятивной. При выполнении указаний данной методики безопасности другие виды обновлений автоматически не применяются и должны быть установлены отдельно.
Перечень уязвимостей, закрываемых настоящей методикой безопасности, предоставляется после соответствующего обращения на портале технической поддержки.
Перед применением настоящей методикой безопасности рекомендуется обновить Astra Linux до версии 2.12.43
Обновление безопасности, нейтрализующее угрозу эксплуатации уязвимостей ядра linux
Нейтрализация угрозы эксплуатации уязвимостей осуществляется путём обновления отдельных пакетов. Пакеты с устраненными уязвимостями войдут в состав последующей версии Astra Linux.
Подготовка к установке обновления
Перед массовой установкой обновления на находящиеся в эксплуатации компьютеры в обязательном порядке необходимо выполнить проверку работоспособности на тестовых компьютерах в аналогичных используемым конфигурациях (путем установки обновления и перезагрузки).
Установка обновления
После выполнения обновления необходимо перезагрузить систему.
Добавление корневого сертификата удостоверяющего центра Минцифры России
Добавление корневого сертификата необходимо выполнить для каждого пользователя после установки обновления пакетов.
Добавление корневого сертификата в Firefox
The Ministry of Digital Development and Communications
Russian Trusted Root CA
Добавление корневого сертификата в Chromium
После успешного добавления корневого сертификата на странице Настроить сертификаты во вкладке Центры сертификации появятся следующие строки:
org-The Ministry of Digital Development and Communications
Russian Trusted Root CA
Методика устранения уязвимости, связанной с переполнением буфера в lua_module при разборе запросов, состоящих из нескольких частей (multipart)
Для устранения этой уязвимости необходимо отключить модуль поддержки языка LUA. Чтобы просмотреть перечень используемых выполнить команду:
sudo apachectl -M
Если в перечне используемых модулей присутствует модуль с наименованием lua, то следует выполнить команду:
sudo a2dismod lua
После этого необходимо перезапустить веб-сервер Apache, выполнив команду:
sudo systemctl restart apache2
Методика устранения SSRF-уязвимости (Server Side Request Forgery) в mod_proxy
Для устранения этой уязвимости необходимо отключить поддержку прямого proxy в конфигурационном файле (по умолчанию имеет следующие расположение: /etc/apache2/sites-enabled/000-default.conf).
Параметр ProxyRequests должен иметь значение “off”. При этом, если это необходимо, реверс-прокси может остаться включенным.
В случае, если есть возможность отключить все режимы работы proxy, то необходимо выполнить команду:
После внесения изменений необходимо перезапустить веб-сервер Apache, выполнив команду:
Методика устранения угрозы атаки типа HTTP Request Smuggling
Для устранения этой уязвимости необходимо в конфигурационном файле (по умолчанию имеет следующие расположение: /etc/apache2/sites-enabled/000-default.conf) отключить поддержку протокола http/2 — из строки параметров Protocols (перечня используемых протоколов) следует исключить значение “h2” (протокол HTTP/2).
Веб-сервер Apache необходимо настроить на работу по HTTPS.
Устранение риска эксплуатации уязвимости пакета liblog4j2-java
Проверить, установлен ли пакет liblog4j2-java в системе и версию установленного пакета можно командой:
Если пакет не установлен, то компьютер не подвержен уязвимости.