phksz

Панель управления КСЗ

Синтаксис:

phksz [-h высота[%]] [-S i|m|n] [-s сервер] [-w ширина[%]] [-x положение[%][r]] [-y положение[%][r]]

Опции:

-h высота[%]

Высота окна, в пикселях или в процентах по отношению к высоте экрана (если введен символ %).

-s имя_сервера

Имя сервера Photon:

Имя_сервера	Использование сервера
путь_к_узлу	путь_к_узлу/dev/photon
полный_путь	полный_путь
относительный_путь	/dev/относительный_путь

-S i|m|n

Начальное состояние главного окна (i – свернуто, m – развернуто на весь экран, n – нормальный вид).

-w ширина[%]

Ширина окна, в пикселях или в процентах от ширины экрана (если введен символ %).

-x положение[%][r]

Координата x верхнего левого угла окна, в пикселях или в процентах от ширины экрана (если введен символ %). Если указан модификатор r, то координата определяется относительно текущей консоли.

-y положение[%][r]

Координата y верхнего левого угла окна, в пикселях или в процентах от высоты экрана (если введен символ %). Если указан модификатор r, то координата определяется относительно текущей консоли.

Платформы:

ЗОСРВ «Нейтрино», GNU/Linux, Microsoft Windows

Целевые архитектуры:

aarch64, arm, armv7, e2k, mips, ppc, x86

Описание:

Графическая утилита phksz представляет собой панель управления комплексом средств защиты – ПУ КСЗ. ПУ КСЗ предназначена для использования администратором безопасности и обеспечивает следующие функции:

• анализ событий аудита;
• сигнализация попыток НСД;
• контроль целостности КСЗ;
• работа с учетными записями пользователей;
• настройка ПРД;
• настройка печати конфиденциальных документов.

Все эти функции доступны также в команднострочном режиме, с помощью использования набора соответствующих утилит из состава КСЗ, однако использование ПУ КСЗ может быть гораздо удобнее за счет использования элементов графической оболочки Photon, а также локализации части настроек в одном оконном интерфейсе.

Для запуска ПУ КСЗ необходимо:

• выполнить утилиту phksz из каталога /usr/ksz/bin (ключи запуска приведены выше в разделе “Опции»). При этом необходимо, чтобы был запущен сервер Photon.
• запустить программу «ПУ КСЗ» из области shelf в графической оболочке Photon.

Журнал аудита

Работа с журналом производится на вкладке «Журнал аудита». Эта вкладка появляется по умолчанию, при запуске утилиты. Для того, чтобы появились события аудита, необходимо нажать «Обновить журнал». События аудита отображаются в следующем формате:

• время (дата и время);
• подсистема. Один из следующих вариантов – контроль процессов, контроль пользователей, контроль ПРД, система КДО, система МПВ, система печати, сетевая система, контроль целостности, неопознанная система. Определяет характер источника событий;
• событие. Для разных подсистем могут быть определены следующие события:
  • проверка КСЗ, проверка файлов - контроль целостности;
  • обмен по TCP/IP - сетевая подсистема;
  • печать документа - подсистема печати;
  • запрос доступа - подсистема МПВ;
  • запрос доступа - подсистема КДО;
  • изменение ПРД - контроль ПРД
  • открытие сессии, закрытие сессии - контроль пользователей;
  • запуск процесса, завершение процесса - контроль процессов;
• статус. Результат выполнения операции – успешно, неуспешно, запрещено.

По умолчанию для чтения используется файл журнала /var/ksz/auditksz.log (запись событий в файл ведется утилитой auditlogger2-ksz). Кнопка «Открыть журнал» позволяет выбрать файл журнала, используемый не по умолчанию.

По нажатию кнопки «Фильтрация» появляется окно, где можно задать параметры сортировки событий. Сортировка производится по:

• подсистемам, генерирующим событие. Для задания списка подсистем, необходимо нажать «Очистить», затем курсором мыши выбрать нужные подсистемы. Или выбрать все подсистемы с помощью кнопки «Выбрать все» и удалить курсором мыши ненужные подсистемы;
• статусу завершения. Выбор нужных для просмотра статусов выполняется аналогично выбору подсистем.

После применения параметров фильтрации (кнопка «Применить»), на вкладке «Журнал аудита» будут отображаться только те события, которые отвечают отмеченным в фильтре параметрам.

Рисунок 1. Вкладка «Журнал аудита»

В нижней части экрана отображается непосредственно событие. В нижней правой части экрана можно увидеть имя файла журнала, из которого производится чтение, и имя узла.

Сигнализация событий НСД

На вкладке «Сигнализация» отображаются те события, которые характеризуются как несанкционированные действия оператора и требуют особого внимания администратора безопасности. События НСД появляются на вкладке непосредственно после их появления (совершения действий НСД) и дополнительно акцентируют внимание администратора безопасности появлением на экране сообщения о событиях НСД и их количестве.

Рисунок 2. Сообщения о событиях НСД и их количестве

При появлении сообщения о событии НСД возможны следующие варианты реакции на узел нарушителя со стороны администратора безопасности, используя одноименные кнопки управления узлом:

• выключить узел;
• перезагрузить узел;
• завершить сеанс.

Контроль целостности

Вкладка «Контроль целостности» разделена горизонтально на две области:

• контроль целостности КСЗ (проверка целостности системы защиты по списку, поставляемому вместе с Изделием). Проверка осуществляется по нажатию кнопки «Проверить». Для периодического контроля необходимо установить флаг параметра «Периодически» и период повторения. После прохождения контроля целостности КСЗ отображается статус проверки:
  • нарушена целостность (с указанием причины нарушения целостности);
  • пройдена успешно.
  Результаты контроля целостности отображаются в журнале аудита.

• контроль целостности файлов (проверка целостности произвольного списка файлов по контрольным суммам). Для проведения контроля целостности файлов необходимо задать список с помощью кнопки «Редактировать список файлов». С помощью кнопок «Удалить» и «Добавить» создается необходимый список. При нажатии «Применить» подсчитываются контрольные суммы и устанавливаются как эталонные. Контроль целостности файлов может быть завершен со следующим статусом:
  • проверка не завершена (отсутствует или поврежден контролируемый файл);
  • нарушена целостность (хэш-суммы не совпали);
  • пройдена успешно.
  Результаты контроля целостности файлов отображаются в журнале аудита.

  В случае нарушения контроля целостности, если изменение контролируемых файлов в итоге является санкционированным действием и необходимо пересчитать контрольные суммы, это реализуется повторным вызовом списка контролируемых файлов и нажатием кнопки «Применить».

Управление доступом

Вкладка «Управление доступом» разделена горизонтально на две области:

• управление пользователями;
• изменение ПРД для объектов.

Управление пользователями

Управление учетными записями пользователей производится с помощью трех вкладок:

• «Пользователи». В списке пользователей отображены все пользователи, заведенные в системе с указанием уровня (конфиденциальности) и категории (принадлежности к группе). Чтобы завести учетную запись, необходимо нажать «Новый пользователь».

  ---

  Перед заведением нового пользователя необходимо определить группу, к которой этот пользователь будет принадлежать, на вкладке «Категории (группы)».

  ---

  В появившемся окне указать:

  • полное имя (это могут быть инициалы пользователя);
  • имя (имя пользователя в системе, которое он вводит при идентификации);
  • домашний каталог;
  • уровень (несекретно, ДСП, секретно, совершенно секретно);
  • номер пользователя (его идентификатор из диапазона, который определяется уровнем конфиденциальности пользователя, см. описание утилиты passwd-ksz; в окне предлагается значение по умолчанию, оно может быть изменено, но должно отличатся от номеров других пользователей);
  • категория (группа) – принадлежность к группе. Группа с указываемым номером должна быть создана ранее.

  Дополнительно можно запретить вход пользователя в систему и выбрать изображение пользователя (фото). Кнопка «Сбросить» возвращает значения по умолчанию.

  Далее необходимо задать пользователю пароль с помощью кнопки «Установить пароль». В появившемся окне ввести пароль не менее восьми символов вручную или сгенерировать с помощью кнопки «Сгенерировать пароль», выбрав сложность пароля.

• Категории (группы). В списке представлены все группы пользователей, существующие в системе. Чтобы добавить новую группу, необходимо нажать кнопку «Новая группа». В появившемся окне:
  • ввести имя группы (например, secret_users);
  • ввести номер группы (не должен совпадать с уже номером уже существующей группы);
  • из области «Список доступных пользователей» справа с помощью кнопки «+» перенести в область «Члены группы» тех пользователей, которые будут входить в группу. Если таковые пользователи еще не заведены, их групповая принадлежность может быть определена на стадии создания учетной записи.
  Кнопка сбросить возвращает значения по умолчанию.

• Оболочки. В списке представлены оболочки, которые могут быть определены пользователям для работы после входа в систему. Добавить оболочку можно с помощью кнопки «Новая оболочка», после чего нужно указать путь к оболочке. Добавленная оболочка появится в меню выбора на этапе заведения учетной записи пользователя.

Изменение ПРД для объектов

Область изменения ПРД разделена на две части. В правой части расположен проводник, с помощью которого выбирается объект – файл или каталог. Слева представлены его свойства:

• имя объекта;
• уровень (гриф конфиденциальности, метка) – может принимать значение несекретно (НС), ДСП, секретно (С), совершенно секретно (С);
• категория – групповая принадлежность объекта;
• права – права доступа, принятые в UNIX-системах.

Двойным щелчком мыши по выбранному объекту в левой части экрана открывается окно управления правами объекта. Окно горизонтально разделено на три части. Сверху отображается информация об объекте, в средней части задаются мандатные права доступа:

• уровень (гриф конфиденциальности);
• владелец (также определяет гриф конфиденциальности).
• флаг «Рекурсивно» задает мандатные права доступа на вложенные объекты;

В нижней части окна задаются дискреционные права доступа. Права задаются выставлением соответствующих флагов по разрешению на операции чтения, записи и исполнения для пользователя-владельца, группы-владельца и тех, кто не принадлежит первым двум типам субъектов. Дополнительно выставляются биты SUID, SGID, sticky bit и флаг «Рекурсивно» (применить права для вложенных объектов).

Настройка КСЗ

Ряд настроек КСЗ располагается на вкладке «Настройка», которая разделена горизонтально на две области:

• настройка печати;
• настройка панели управления.

Настройка печати

Настройки печати разделены на три группы:

• настройка нижнего штампа. На всех страницах, (кроме «пятки» на последней) можно опционально выводить:
  • номера листов;
  • дата;
  • время;
  • учетные реквизиты АС.
  Вывод указанной информации регулируется соответствующими флагами.

• настройка штампа последней страницы («пятки»). Здесь можно установить, будут ли вводиться такие параметры, как «ФИО исполнителя» и «ФИО отправившего на печать» пользователем или эта информация будет взята из учетной записи. Остальные реквизиты, принадлежащие «пятке», вводятся пользователем непосредственно перед выводом на печать.

• в третьей группе настроек можно выбрать узел, для которого задаются настройки, загрузить настройки печати, заданные ранееа также установить флаг «Не маркировать», если встроенная система печати штампов «Нейтрино» не используется.

Настройки панели управления

В левой нижней части экрана задается список узлов, для которых могут быть произведены операции в программе ПУ КСЗ. Можно получить список узлов в АС автоматически, нажав кнопку «Получить список узлов», или вводить их вручную и регулировать список кнопками «Удалить» и «Добавить».

В правой нижней части экрана задаются временные характеристики контроля целостности:

• период опроса для проверки КСЗ;
• период опроса для проверки файлов;

А также другие параметры работы программы:

• «Отображать окно при сигнализации». Если флаг снят, появление событий НСД не будет отображаться в оперативном окне, однако сами события будут регистрироваться на вкладке «Сигнализация»;
• «Загружать журнал при старте» - при запуске ПУ КСЗ информация на вкладке «Журнал аудита» будет автоматически обновлена и отображена;
• Сохранять настройки при выходе.

Классификация:

Базовые подсистемы ЗОСРВ «Нейтрино», СЗИ

Тематические ссылки:

auditlogger2-ksz, auditnotifier-ksz, audittool-ksz

Предыдущий раздел: Утилиты