Инструкция по установке

Инструкция по установке защищенной операционной системы реального времени «Нейтрино»

Инструкция по установке защищенной операционной системы реального времени «Нейтрино» (далее по тексту – ЗОСРВ) с дистрибутивного машинного носителя (дистрибутивного диска) и предназначен для системных администраторов и администраторов безопасности автоматизированных систем.

В разделе Дистрибутивный диск приводятся общие сведения о дистрибутивном диске ЗОСРВ и его содержании с кратким описанием входящих в его состав файлов.

В разделе Автоматизированная установка описывается процесс автоматизированной установки ЗОСРВ на целевые ЭВМ с помощью инсталлятора из состава дистрибутивного носителя.

В разделе Первичная настройка указываются первичные параметры авторизации пользователей установленной ЗОСРВ и общие сведения по настройке комплекса средств защиты информации.

В Приложении описывается процесс выбора загрузочного устройства в программе начального старта (ПНС) для ЭВМ с центральными процессорами архитектуры «Эльбрус».

---

Разработка и отладка программного обеспечения, а также подготовка специализированных загрузочных образов ЗОСРВ, проводятся на инструментальных системах с установленным комплектом разработчика (КР) для ЗОСРВ. КР для ЗОСРВ поставляется на отдельных дистрибутивных носителях.

---

Содержание

Дистрибутивный диск

На дистрибутивном диске ЗОСРВ поставляются архивы с программными компонентами, предназначенные для построения сред исполнения ЗОСРВ на целевых ЭВМ.

Дистрибутивный диск содержит инсталлятор и является установочным для целевых ЭВМ некоторых типов, что позволяет автоматизировать установку ЗОСРВ на накопитель ЭВМ или выполнить загрузку в режиме Live DVD, не требующим установка на накопитель.

Инсталлятор поддерживает установку на накопитель и работу в режиме Live DVD для ЭВМ следующих типов:

• ЭВМ с центральными процессорами архитектуры Intel x86 (IA-32) с интерфейсом BIOS (далее – ЭВМ x86 BIOS);
• ЭВМ с центральными процессорами архитектуры Intel x86 с интерфейсом UEFI (далее – ЭВМ x86 UEFI);
• ЭВМ с центральными процессорами архитектуры «Эльбрус» (далее – ЭВМ Эльбрус).

Сведения о составе и назначению файлов на дистрибутивном диске

Файлы-контейнеры kpda-neutrino-base-2021.11.iso и kpda-neutrino-extra-2021.11.iso содержат набор архивов с компонентами среды исполнения ЗОСРВ (целевые компоненты). Данные компоненты предназначены для формирования целевых систем, функционирующих на целевых ЭВМ с процессорными архитектурами семейств ARM, MIPS, PowerPC, Intel x86 и «Эльбрус».

Контейнер kpda-neutrino-base-2021.11.iso содержит архивы с базовыми компонентами операционной системы и оконного окружения Photon для поддерживаемых целевых архитектур. Каждый архив имеет название вида: kpda-neutrino-base-ВЕРСИЯ-АРХИТЕКТУРА.tar.gz, где: ВЕРСИЯ – версия архива; АРХИТЕКТУРА – обозначение целевой архитектуры. Сведения о поддерживаемых архитектурах приведены в таблице:

Архив kpda-neutrino-base-2021.11-any.tar.gz содержит компоненты общие для всех архитектур (как правило, это конфигурационные файлы и сценарии).

Контейнер kpda-neutrino-extra-2021.11.iso содержит архивы с дополнительными компонентами, имеющими названия вида: kpda-neutrino-КОМПОНЕНТ-ВЕРСИЯ-АРХИТЕКТУРА.tar.gz, где: КОМПОНЕНТ – обозначение компонента; ВЕРСИЯ – версия архива; АРХИТЕКТУРА – обозначение целевой архитектуры. Дополнительные компоненты ЗОСРВ перечислены в таблице:

Каждый архив содержит список с контрольными суммами всех входящих в его состав файлов, подсчитанными по алгоритму ГОСТ Р 34.11-2012.

Автоматизированная установка

В качестве установочного носителя ЗОСРВ может использоваться как дистрибутивный DVD диск из комплекта поставки, так и USB-накопитель.

USB-накопитель для установки ЗОСРВ на ЭВМ x86 BIOS и ЭВМ x86 UEFI создается путем побайтового копирования на него содержимого дистрибутивного диска, например, с помощью утилиты dd.

USB-накопитель для установки ЗОСРВ на ЭВМ Эльбрус должен иметь таблицу разделов MSDOS и раздел с файловой системой FAT32 (тип раздела FAT32/11/b). Содержимое дистрибутивного диска необходимо скопировать в корень файловой системы FAT32, например, с помощью утилиты cp.

Порядок автоматизированной установки ЗОСРВ

1. Подключить к ЭВМ установочный носитель и установить в настройках ЭВМ (BIOS для ЭВМ x86 BIOS, UEFI для ЭВМ x86 UEFI, ПНС для ЭВМ Эльбрус) загрузку с этого носителя.

   ---

   Порядок выбора загрузочного устройства для ЭВМ Эльбрус приведен в Приложении.

   ---

2. Перезагрузить ЭВМ и дождаться запуска инсталлятора ЗОСРВ (см. рис. 1, кроме ЭВМ Эльбрус) и нажать клавишу Enter для продолжения.

   

   Рисунок 1. Запуск инсталлятора

   ---

   При загрузке ЭВМ x86 BIOS с USB-накопителя в момент появления на экране надписи «Press ESC for .altboot» по нажатию клавиши «Esс» инсталлятор системы будет работать в режиме Legacy PIC контроллера прерываний, иначе (по умолчанию) инсталлятор будет работать в режиме APIC. Данная возможность отсутствует при загрузке с DVD диска.

   ---

   Затем в появившемся окне выбрать режим работы (см. рис. 2). Для загрузки ЗОСРВ с установочного носителя в ОЗУ без установки на накопитель выбрать пункты «Графический режим Live DVD» или «Текстовый режим Live DVD».

   

   Рисунок 2. Выбор режима работы

   ---

   Здесь и далее – любой ввод значений с клавиатуры должен быть подтвержден клавишей Enter, если это не оговорено особо. При вводе пустого набора символов используется значение по умолчанию, если оно указано в скобках. Кроме того, здесь и далее доступны следующие действия: прервать установку – клавиша q; вернуться на шаг назад – клавиша b.

   ---

   ---

   Если установка производится на SD-карту, нажать клавишу q (прервать установку), в появившемся меню выбрать пункт 3 (Запустить оболочку на второй консоли), нажатием клавиш ctrl+alt+2 перейти на вторую консоль и выполнить команду: # devb-sdmmc Далее перейти обратно нажатием клавиш ctrl+alt+1, выбрать пункт 2 (Отмена) и продолжить установку.

   ---

   ---

   Для работы в режиме Live DVD необходимо, чтобы ЭВМ имела не менее 128 МБ ОЗУ.

   ---

3. Указать компоненты ЗОСРВ, которые должны быть установлены на накопитель ЭВМ (базовые компоненты устанавливаются в обязательном порядке), с помощью ввода номера компонента и клавиши Enter (см. рис. 3). Выбранный для установки компонент имеет флаг «Да». Для окончания выбора компонентов и продолжения установки нажать клавишу n.

   

   Рисунок 3. Выбор устанавливаемых компонентов

4. Выбрать из предложенного списка устройств накопитель, на который будет установлена ЗОСРВ, указав его порядковый номер (см. рис. 4).

   

   Рисунок 4. Выбор накопителя для установки

5. Если установка выполняется на ЭВМ x86 EFI и накопитель содержит таблицу разделов стандарта MBR, будет предложено создать на накопителе таблицу разделов по стандарту GPT (см. рис. 5).

   

   Рисунок 5. Создание таблицы разделов GPT

6. В ином случае, если на накопителе имеются разделы, будет предложено удалить ненужные при необходимости (см. рис. 6). Для удаления всех разделов нажать клавишу a. Для удаления отдельных разделов ввести их номера через пробел. Для пропуска этого этапа нажать клавишу s.

   

   Рисунок 6. Выбор разделов для удаления

7. Выбрать раздел для загрузочных образов ЗОСРВ (см. рис. 7, только для ЭВМ x86 EFI и ЭВМ Эльбрус) и раздел для установки ЗОСРВ (см. рис. 8).

   

   Рисунок 7. Выбор раздела для загрузочных образов

   

   Рисунок 8. Выбор раздела для установки

8. В случае если выбранный раздел уже существует, необходимо подтвердить его удаление для создания нового раздела или форматирование (см. рис. 9).

   

   Рисунок 9. Подтверждение удаления существующего раздела

9. Для установочного раздела выбрать тип файловой системы (см. рис. 10).

   

   Рисунок 10. Выбор типа раздела для установки

10. Выбрать размер раздела, используя информацию о доступном, а также необходимом для установки свободном пространстве (см. рис. 11).

    

    Рисунок 11. Выбор размера раздела для установки

    При выборе опции «Задать размер» необходимо ввести размер раздела в мегабайтах (см. рис. 12).

    

    Рисунок 12. Задание размера раздела для установки

11. Подтвердить создание раздела с указанным размером и типом файловой системы (см. рис. 13).

    

    Рисунок 13. Подтверждение создания раздела

12. Для ЭВМ x86 BIOS в случае если предполагается загрузка по умолчанию с выбранного раздела, необходимо пометить его как «Загрузочный». Если требуется использование первичного загрузчика из состава ЗОСРВ, то необходимо подтвердить установку первичного загрузчика. Кроме того, выбрать – требуется ли автоматический запуск оконного окружения Photon при загрузке системы и использование протокола Qnet по умолчанию (см. рис. 14). Для ЭВМ x86 EFI окно настройки параметров загрузки несколько отличается (см. рис. 15)

    

    Рисунок 14. Настройка параметров загрузки для ЭВМ x86 BIOS

    

    Рисунок 15. Настройка параметров загрузки для ЭВМ x86 UEFI

13. Далее начнётся процесс установки компонентов ЗОСРВ. После появления сообщения о завершении установки необходимо нажать клавишу Enter для перезагрузки (см. рис. 16).

    

    Рисунок 16. Завершение процесса установки

Первичная настройка

После запуска ЗОСРВ, если во время установки не был выбран вариант автоматического запуска графической оболочки, появится приглашение к вводу имени пользователя и пароля в командной строке. В ином случае авторизация пользователя выполняется в графическом приложении.

Для входа в систему доступны следующие учетные записи:

• учетная запись системного администратора root (в графическом отображении Superuser);
• учетная запись администратора безопасности admin_ksz (в графическом отображении Security).

Пароль обеих учетных записей — 12345678. Перед началом эксплуатации ЗОСРВ рекомендуется изменить пароли указанных учетных записей.

Настройка механизмов комплекса средств защиты ЗОСРВ (КСЗ) должна производиться под учетной записью admin_ksz. Основной инструмент администратора безопасности в оконном окружении Photon, обеспечивающий настройку ряда защитных механизмов КСЗ, а также мониторинг событий безопасности, — программа ПУ КСЗ (панель управления КСЗ), которая доступна для запуска с рабочего стола среды Photon или из командной строки по пути /usr/photon/bin/phksz.

При администрировании КСЗ в рамках задачи обеспечения соответствия целевой защищенной автоматизированной системы заданному классу защищенности следует придерживаться сведений из эксплуатационного документа ЗОСРВ – Описание применения. Часть 2. Комплекс средств защиты.

Создание инсталляционной USB-флэш (для x86 систем)

Для создания установочной USB-флэш достаточно скопировать ISO-образ дистрибутива на устройства с помощью утилиты dd:

dd ./image.iso /dev/sdf

---

Возможность загрузки в UEFI системах обеспечивается начиная с редакции 2021.

---

Создание загрузочной USB-флэш

Процедура подготовки загрузочной USB-флэш отличается для BIOS и UEFI систем.

С таблицей разделов MBR для BIOS-систем

Подготовку загрузочной USB-флэш следует производить на целевой системе, установленной на реальное или виртуальное устройство. При этом необходимо создать таблицу разделов в формате MBR и загрузочный раздел, используя утилиту fdisk (допустим, что USB-флэш доступна в системе под именем /dev/umass0).

Последовательность шагов:

1. Очистить предыдущую таблицу разделов USB-флэш накопителя (все файлы на устройстве будут удалены):

   fdisk -z /dev/umass0 delete -a

2. Убедиться, что таблица разделов удалена:

   # fdisk /dev/umass0 show _____OS_____ Start End ______Number______ Size Boot name type Cylinder Cylinder Cylinders Blocks 1. ------ --- -------- -------- ------- -------- ----- 2. ------ --- -------- -------- ------- -------- ----- 3. ------ --- -------- -------- ------- -------- ----- 4. ------ --- -------- -------- ------- -------- -----

3. Создать загрузочный раздел для файловой системы QNX4 (например, размер 2Gb):

   fdisk /dev/umass0 add -t 79 2G

   Или для файловой системы файловой системы Power-Safe (максимального размера):

   fdisk /dev/umass0 add -t 179 -p 100

4. Обновить (перечитать) таблицу разделов:

   # mount -e /dev/umass0 # ls -l /dev/umass0* brw------- 1 root root 5, 1 Sep 29 10:59 /dev/umass0 brw------- 1 root root 1, 11 Sep 29 11:01 /dev/umass0t79

5. Отформатировать загрузочный раздел. Для файловой системы QNX4:

   dinit -h /dev/umass0t79

   Для файловой системы Power-Safe:

   mkqnx6fs /dev/umass0t179

6. После форматирования раздела следует произвести его монтирование в произвольный каталог (например, /mnt/usb):

   mount -t qnx4 /dev/umass0t79 /mnt/usb

   или

   mount -t qnx6 /dev/umass0t179 /mnt/usb

7. Подготовить загрузочный образ ЗОСРВ «Нейтрино» и разместить его под именем /mnt/usb/.boot для файловой системы QNX4. Для файловой системы Power-Safe образ должен быть размещён в каталоге /mnt/usb/.boot/.

   ---

   Может использоваться как кастомизированный образ, так и образ, основанный на diskboot. В последнем случае потребуется скопировать содержимое архивов дистрибутива ЗОСРВ «Нейтрино» на загрузочный раздел USB-флэш. Если этого не сделать, загрузить такой образ можно будет только в безопасном режиме.

   ---

С таблицей разделов GPT для UEFI-систем

Подготовку загрузочной USB-флэш следует производить на инструментальной машине, на которой установлен комплект разработчика операционной системы.

Последовательность шагов:

1. Создать таблицу разделов в формате GPT и загрузочный EFI раздел можно используя интерактивный режим утилиты gdisk или утилиту sgdisk в других UNIX-based операционных системах:
   • Очистка предыдущих таблиц разделов USB-флэш:

     sgdisk --zap-all /dev/sdf

   • Создание новой таблицы GPT:

     sgdisk -o /dev/sdf

   • Создание загрузочного EFI раздела размером в 1Gb:

     sgdisk -n=1:0:+1G --typecode=1:EF00 /dev/sdf

2. Форматирование загрузочного EFI раздела (файловая система FAT32):

   mkdosfs -F32 -nUSBEFI /dev/sdf1

3. После завершения форматирования раздела следует произвести его монтирование, например, в каталог /mnt/usb и создание следующей иерархии каталогов:

   mkdir /mnt/usb/efi mkdir /mnt/usb/efi/boot mkdir /mnt/usb/efi/kpda

4. Из комплекта разработчика следует скопировать загрузчик ipl-efi в каталог efi/boot/ загрузочной USB-флэш:

   cp ${KPDA_TARGET}/x86/boot/sys/ipl-uefi /mnt/usb/efi/boot/bootx64.efi

5. Образ операционной системы, который будет загружаться, следует разместить в каталоге:

   cp image-x86-uefi-dell-xe3.bin /mnt/usb/efi/kpda/

   Данный образ будет использоваться при загрузке с USB-флэш и должен предоставлять инструменты для ручного развертывания дистрибутива. Кроме того, на саму USB-флэш, например, в каталог /mnt/usb/ следует разместить архивы с компонентами ОС и загрузочный образ для целевой системы для последующего разворачивания.

Пример файла построения загрузочного образа, загружаемый с GPT/UEFI USB-флэш представлен ниже:

# # Файл построения образа ФС ЗОСРВ "Нейтрино" # для систем с UEFI # [image=0x1400000] [virtual=x86,binary -compress] boot = { # startup-uefi -v -x -D 8250.3f8^0.115200.1843200.16 startup-uefi -v PATH=/proc/boot:/bin:/sbin:/usr/bin:/opt/bin/sbin:/usr/sbin LD_LIBRARY_PATH=/proc/boot:/lib:/usr/lib:/lib/dll:/opt/lib procnto-smp } [+script] startup-script = { # Programs require the runtime linker (ldqnx.so) to be at a fixed location procmgr_symlink ../../proc/boot/libc.so.3 /usr/lib/ldqnx.so.2 slogger -s128k & waitfor /dev/slog pci-acpi -vv -dacpi ares,verbose=3 & waitfor /dev/pci io-usb -d xhci waitfor /dev/io-usb/io-usb 5 waitfor /dev/io-usb/devu-xhci.so 5 devc-ser8250 -e -F -S -b115200 -u1 3f8,4 waitfor /dev/ser1 io-hid -d ps2ser kbd:kbddev:ps2mouse:mousedev -d usb /dev/io-usb/io-usb & waitfor /dev/io-hid SYSNAME=nto TERM=qansi devc-fbcon-hid -n2 -Dc & waitfor /dev/con1 15 waitfor /dev/con2 15 reopen /dev/con1 #------------------------------------------------------------------------------ # Пример запуска драйвера SATA монтирования GPT разделов #------------------------------------------------------------------------------ display_msg "Starting AHCI driver" devb-ahci mem name=below4G blk cache=128M # waitfor /dev/hd0.ca68589e-922a-5c45-8040-4192239a1237 5 # mount -t qnx6 /dev/hd0.ca68589e-922a-5c45-8040-4192239a1237 / # waitfor /bin # waitfor /dev/hd0.c71b9e56-1e17-9e4a-936c-78826cf4fd28 5 # mount -t dos /dev/hd0.c71b9e56-1e17-9e4a-936c-78826cf4fd28 /boot/efi # waitfor /boot/efi #------------------------------------------------------------------------------- io-pkt-v4-hc -de1000 & waitfor /dev/bpf0 5 waitfor /dev/socket ifconfig wm0 172.16.46.37 pipe devc-pty & # qconn inetd waitfor /dev/con1 on -t /dev/con1 /bin/sh & on -t /dev/con2 /bin/sh & reopen /dev/ser1 [+session] ksh } [type=link] /tmp=/dev/shmem [type=link] /bin/sh=/proc/boot/ksh [type=link] /dev/console=/dev/con1 # libc.so libm.so libz.so ########################################################################### ## ########################################################################### libsocket.so devnp-e1000.so ########################################################################### ## ########################################################################### libcam.so io-blk.so cam-disk.so fs-qnx4.so fs-qnx6.so fs-dos.so ########################################################################### ## ########################################################################### libusbdi.so libhiddi.so devu-ehci.so #devu-ohci.so #devu-uhci.so devu-xhci.so ########################################################################### ## ########################################################################### devh-usb.so devh-ps2ser.so ########################################################################### ## ########################################################################### libgf.so [data=c] ########################################################################### ## ########################################################################### cp mkdir ls pipe pidin rm ksh uname slogger sloginfo slay mount umount shutdown less setconf getconf qconn rtc date gdisk use on touch cat sync tar gzip dd fdisk ########################################################################### ## ########################################################################### /usr/sbin/inetd=inetd /usr/sbin/telnetd=telnetd /usr/sbin/ftpd=ftpd /bin/login=login /bin/passwd=passwd /etc/group=${KPDA_TARGET}/etc/group /etc/hosts=${KPDA_TARGET}/etc/hosts /etc/services=${KPDA_TARGET}/etc/services /etc/inetd.conf = { ftp stream tcp nowait root /usr/sbin/ftpd in.ftpd -l telnet stream tcp nowait root /usr/sbin/telnetd in.telnetd } /etc/ftpusers = { * allow } /etc/ftpd.conf = { umask all 0000 } /etc/passwd = { root::0:0:Superuser:/root:/bin/sh ftp::14:80:FTP User:/tmp: } ########################################################################### ## ########################################################################### devc-fbcon-hid devc-pty devc-ser8250 ########################################################################### ## ########################################################################### pci-acpi pci ########################################################################### ## ########################################################################### io-pkt-v4-hc netstat ifconfig ping #ftp #fs-nfs3 dhcp.client ########################################################################### ## ########################################################################### devb-ahci #devb-eide mkqnx6fs mkdosfs ########################################################################### ## ########################################################################### io-usb usb devb-umass io-hid hidview

Приложение: Выбор загрузочного устройства в ПНС

Перед началом установки ЗОСРВ на ЭВМ Эльбрус необходимо выбрать загрузочное устройство в меню ПНС путем выполнения следующих действий:

1. Подключить установочный носитель (например, дистрибутивный диск через внешний USB-DVD привод, или подготовленный USB-накопитель).

2. Включить ЭВМ. Для перехода в основной диалог нажать клавишу пробел после появления надписи:

   Autoboot in 02 sec. PRESS SPACE TO DISABLE IT.

   Выше этой надписи перечислены устройства, с которых возможна загрузка, в следующем виде: "Drive [X]: Идентификатор устройства", где X – номер устройства.

   Для повторного вывода списка в основном диалоге нажать клавишу d (устройства загрузки).

3. Для выбора устройства для загрузки в основном диалоге нажать клавишу c (конфигурация загрузки), затем ввести параметры требуемого устройства. В большинстве случаев достаточно задать номер устройства для загрузки (после приглашения "Enter drive number"), а остальные параметры оставить пустыми.

4. Для сохранения заданной конфигурации в энергонезависимую память в основном диалоге нажать клавишу m.

5. Для выбора загрузки с установочного диска выполнить пункт 3 для устройства, на котором размещены файлы установочного диска, например устройства «ATAPI device».

6. Для загрузки с выбранного устройства в основном диалоге нажать клавишу b (диалог загрузки). В диалоге загрузки можно просмотреть доступные параметры загрузки, нажав клавишу табуляции.

7. Если требуется, то ввести имя загружаемой конфигурации, например, kpda-vga-1fff-8009-any для запуска конфигурации установщика ВК Эльбрус 101-PC.

8. Нажать клавишу Enter для загрузки выбранной конфигурации.

Предыдущий раздел: перейти