Настройка усиленного уровня защищенности («Воронеж»)

Установка осуществляется Ansible от имени пользователя astra, для которого должна быть настроена возможность выполнять sudo без пароля.

1. Пользователю astra необходимо установить максимальный уровень целостности — 63 (соответствует администратору ОС). Для проверки уровня целостности пользователя необходимо выполнить следующую команду:

astra@voronezh:~# pdp-id -i

63

2. Установка Ansible и работа невозможна при включенном запрете бита исполнения. Перед началом установки на всех серверах следует выполнить команды:

astra@voronezh:~$ sudo astra-nochmodx-lock disable

astra@voronezh:~$ sudo astra-nochmodx-lock status

INACTIVE

3. Установка Ansible и работа PGS невозможна при включенном режиме замкнутой программной среды. Для проверки статуса режима необходимо выполнить следующую команду:

astra@voronezh:~$ sudo astra-digsig-control status

INACTIVE

4. При статусе ACTIVE перед началом установки на всех серверах следует выполнить команды:

astra@voronezh:~$ sudo astra-digsig-control disable

astra@voronezh:~$ sudo reboot

astra@voronezh:~$ sudo astra-digsig-control status

INACTIVE

5. Необходимо проверить статусы параметров безопасности, значения которых должны соответствовать таблице.

6. Для проверки доступности репозиториев необходимо выполнить команду:

apt-get update

Команда должна завершаться без ошибки.

При наличии сбойного зеркала репозитория (например, http://mirror.yandex.ru/astra/stable/orel/repository orel InRelease), его  необходимо удалить из директории /etc/apt/sources.list.