Операционные системы Astra Linux
Оперативные обновления и методические указания
Операционные системы Astra Linux предназначены для применения в составе информационных (автоматизированных) систем в целях обработки и защиты 1) информации любой категории доступа 2) : общедоступной информации, а также информации, доступ к которой ограничен федеральными законами (информации ограниченного доступа).
1) от несанкционированного доступа;
2) в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (статья 5, пункт 2).
Операционные системы Astra Linux Common Edition и Astra Linux Special Edition разработаны коллективом открытого акционерного общества «Научно-производственное объединение Русские базовые информационные технологии» и основаны на свободном программном обеспечении. С 17 декабря 2019 года правообладателем, разработчиком и производителем операционной системы специального назначения «Astra Linux Special Edition» является ООО «РусБИТех-Астра».
На web-сайтах https://astralinux.ru/ и https://wiki.astralinux.ru представлена подробная информация о разработанных операционных системах семейства Astra Linux, а также техническая документация для пользователей операционных систем и разработчиков программного обеспечения.
Мы будем признательны Вам за вопросы и предложения, которые позволят совершенствовать наши изделия в Ваших интересах и адаптировать их под решаемые Вами задачи!
Репозитория открытого доступа в сети Интернет для операционной системы Astra Linux Special Edition нет. Операционная система распространяется посредством DVD-дисков.
Информацию о сетевых репозиториях операционной системы Astra Linux Common Edition Вы можете получить в статье Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов.
В целях обеспечения соответствия сертифицированных операционных систем Astra Linux Special Edition требованиям, предъявляемым к безопасности информации, ООО «РусБИтех-Астра» осуществляет выпуск очередных и оперативных обновлений.
Очередные обновления (версии) предназначены для:
Оперативные обновления предназначены для оперативного устранения уязвимостей в экземплярах, находящихся в эксплуатации, и представляют собой бюллетень безопасности, который доступен в виде:
Ввиду совершенствования нормативно-правовых документов в области защиты информации и в целях обеспечения соответствия информационных актуальным требованиям безопасности информации, а также обеспечения их долговременной эксплуатации, в том числе работоспособности на современных средствах вычислительной техники, рекомендуется на регулярной основе планировать проведение мероприятий по применению очередных и оперативных обновлений операционной системы.
Backup на примере AStra Linux
Стаж: 2 года 10 месяцев
Сообщений: 529
Благодарностей: 210
Полезность: 0
По просьбе пользователя форума.
Видео без монтажа и обработки, есть оговорки которые я помечать не буду.
Видео заняло: 30 минут
Качество: 1080p Full HD
Вес конечного видеофайла: 76Мб ( можно и скачать )
Запись вел на микрофон: Samson co1u pro
Программа для записи: OBS Studio
OS: AstraLinuxCE 2.12.42 orel
sudo dd if=/dev/sda1 of=/Путь к файлу/sda1.bin bs=4096
sudo dd if=/Путь к файлу/sda1.bin of=/dev/sda1 bs=4096
Сообщений: 691
Благодарностей: 399
Полезность: 304
Стаж: 5 лет 8 месяцев
Сообщений: 953
Благодарности: выкл.
Стаж: 9 лет 3 месяца
Сообщений: 2051
Благодарностей: 1318
Полезность: 970
Именно! Надо на входе поставить табличку «Десяточникам вход воспрещен».
Как-то так если хочется с паролем (например, чтобы следующей командой этот архив залить в облако и не бояться что его там будут изучать
чтобы получить tar/gzip архив.
Можно вообще без tar обойтись, паковать сразу в zip (осторожно, права).
Еще лучше паковать только новые или измененные файлы (накопительный бекап) но это отдельная история.
💙 Как сделать резервную копию настроек Linux на флешку
У вас есть флешка и вы хотите сделать резервную копию ваших файлов конфигурации и настроек Linux?
Если так, мы можем помочь!
Проделайте эти два простых способа дабы сделать резервную копию настроек и файлов конфигурации Linux на флэш-накопитель!
Примечание. Для достижения наилучших результатов используйте флэш-накопитель USB объемом не менее 4 ГБ. Папки конфигурации часто содержат много данных, и небольшая флешка, скорее всего, не сможет обрабатывать все файлы.
Метод 1 – Резервное копирование с Tar
Резервное копирование настроек Linux с помощью команды Tar – хорошая идея, если вы спешите, так как это быстрый процесс.
Чтобы создать резервную копию, начните с открытия окна терминала. Вы можете сделать это, нажав Ctrl + Alt + T или Ctrl + Shift + T на клавиатуре.
Открыв окно терминала, используйте команду Tar, чтобы сжать папку
/.config/, так как это каталог, в котором большинство приложений хранят свои настройки.
Выполнение вышеуказанной команды выдаст архивный файл TarGZ с большинством ваших конфигураций Linux.
Далее подключите флэш-накопитель к USB-порту на компьютере с Linux.
Затем откройте файловый менеджер и поместите в него файл linux-settings.targ.gz.
Резервное копирование других папок настроек с помощью Tar
Резервное копирование папки
/.config/ в архив TarGZ – хороший способ обеспечить резервное копирование большинства настроек Linux.
Тем не менее, не каждая программа хранит свои файлы настроек там.
Некоторые просто используют каталог
Итак, если первая резервная копия затронула не все, попробуйте вместо этого следующую команду:
Шифрование резервной копии Tar
Настройки Linux часто содержат конфиденциальную информацию, в том числе пароли, закладки и т. д.
Если вы выполняете резервное копирование настроек Linux через Tar на флэш-диск, вы можете также зашифровать резервную копию.
Самый простой способ создать резервную копию в Linux – использовать инструмент GPG.
Чтобы запустить процесс шифрования, используйте следующую команду gpg ниже.
С зашифрованным архивом в файловой системе, удалите незашифрованный файл.
Восстановить резервную копию Tar
Чтобы восстановить резервную копию Tar, следуйте пошаговым инструкциям ниже.
Шаг 1. Подключите флэш-накопитель к USB-порту и перетащите архив «linux-settings.tar.gz» в свой домашний каталог (/home/username/).
Шаг 2: Используйте GPG для расшифровки TarGZ, если вам нужно.
Шаг 3: Восстановите резервную копию.
Метод 2 – Резервное копирование с Deja Dup
Deja Dup – отличный инструмент для тех, кто хочет создать резервную копию на флэш-накопителе, но не хочет иметь дело с терминалом.
Это простое в использовании приложение, которое сохраняет ваши настройки в пару кликов.
Для использования инструмента резервного копирования Deja Dup необходимо установить программу.
Ubuntu
Debian
Arch Linux
Fedora
OpenSUSE
Затем, как только оно заработает, подключите флешку.
После подключения флэш-накопителя USB нажмите «Расположение резервных копий» в приложении Deja Dup.
Затем найдите раскрывающееся меню и выберите пункт «Локальная папка».
При нажатии на опцию «Локальная папка» появится окно файлового браузера.
Используйте ее, чтобы перейти в основную папку вашей флешки.
Затем нажмите OK, чтобы добавить его в Deja Dup в качестве места хранения.
Добавить папки для сохранения
С местом хранения, установленным на флешку, самое время настроить папку для резервного копирования.
В приложении найдите «Папки для сохранения» и щелкните по нему мышью.
Оказавшись там, нажмите знак «+», чтобы открыть браузер файлов.
В браузере файлов убедитесь, что у вас включены скрытые папки, и добавьте
В качестве альтернативы, если вы не можете включить скрытые файлы или хотите сделать резервную копию больше, чем просто
/.config /, не стесняйтесь добавить
Запустите резервное копирование
Резервное копирование на флэш-диск с помощью Deja Dup очень простое.
Для этого нажмите «Обзор». Затем найдите кнопку «Создать резервную копию сейчас» и нажмите на нее, чтобы начать резервное копирование.
Обязательно установите флажок «зашифровать», если хотите сохранить резервную копию.
Восстановите резервную копию Deja Dup
Чтобы восстановить резервную копию с флешки, подключите устройство к USB-порту.
Затем откройте Deja Dup. Открыв приложение Deja Dup на ПК с Linux, нажмите «Расположение резервных копий».
Используя раскрывающееся меню, настройте Deja Dup на использование флэш-накопителя USB в качестве хранилища.
После настройки приложения Deja Dup на распознавание флэш-накопителя USB перейдите в область «Обзор».
Затем нажмите кнопку «Восстановить», чтобы восстановить файлы конфигурации в их исходное местоположение.
Как сделать резервную копию всей системы Linux с помощью Rsync
Сделать бэкап Linux системы можно с помощью Rsync командой всего в одну строку. Хотя у rsync есть много параметров для резервного копирования, но нам данной строки достаточно для полного копирования системы. Кроме того, этот метод намного лучше, чем клонирование диска с помощью команды dd. Потому что, для rsync неважно, имеет ли ваш HDD другой размер или использует другую файловую систему. Этот метод будет работать практически на всех Linux-системах, в которых установлен rsync. В этом кратком how-to я расскажу, как создать полную резервную копию системы Linux с помощью утилиты Rsync.
Чтобы создать резервную копию всей системы, все, что вам нужно сделать, это открыть терминал. Затем запустить в нем следующую команду от имени пользователя root:
Эта команда создаст резервную копию всей корневой директории (/), исключая директории /dev, /proc, /sys, /tmp, /run, /mnt, /media, lost + found в папке / mnt.
Давайте разберём вышеуказанную команду и узнаем, для чего каждый параметр.
Обязательно исключите целевой каталог, если он существует в локальной системе, иначе будет бесконечный цикл копирования.
Чтобы восстановить систему из резервной копии, просто измените исходные и целевые пути в приведенной выше команде.
Помните, что это подходит только для локальных и автономных систем. Если ваша система активно используется некоторыми другими системами в сети, то это не лучшее решение. Потому что содержимое этих систем может постоянно обновляться каждую минуту, а некоторые файлы могут меняться в процессе rsync. Например, когда rsync достигнет файла 2, содержимое предыдущего файла (Файл 1) может быть изменено. Это приведет к ошибке с зависимостями, когда вам понадобится использовать эту резервную копию. В таких случаях резервное копирование на основе снимков является лучшим подходом. Поскольку система будет «заморожена» до того, как процесс резервного копирования запустится и будет «разморожен», когда процесс резервного копирования завершится, поэтому все файлы будут согласованы.
На этом все. Надеюсь кому-то это поможет. Если считаете наши статьи полезными, поделитесь ими в своих социальных и профессиональных сетях, чтобы другие пользователи могли также воспользоваться ими. Мы будем продолжать публиковать более полезные статьи как можно чаще. Оставайтесь с нами.
Архивирование и восстановление файлов с сохранением мандатных атрибутов в Astra Linux SE
Архивирование и восстановление файлов с сохранением мандатных атрибутов в Astra Linux SE
Команды tar, cpio, gzip представляют собой традиционные инструменты создания резервных копий и архивирования ФС, но использование их с параметрами «по-умолчанию» приведет к невозможности резервирования и восстановления расширенных атрибутов безопасности файлов, а также ACL. Это надо учитывать при администрировании серверов под управлением Astra Linux SE/
При создании архива командами tar и gzip передается список файлов и каталогов, указываемых как параметры командной строки. Любой указанный каталог просматривается рекурсивно. При создании архива с помощью команды cpio ей предоставляется список объектов (имена файлов и каталогов, символические имена любых устройств, гнезда доменов UNIX, поименованные каналы и т. п.).
Работа с мандатными атрибутами и атрибутами аудита при использовании различных утилит создания резервных копий требует использования параметров сохранения расширенных атрибутов (как правило вида –xattrs, возможно с указанием дополнительных параметров.
В статье рассматриваются основные инструменты резервного копирования, входящие в состав дистрибутивов ОС ОН Орёл и ОС СН Смоленск:
Рассмотренные в данной статье инструменты неприменимы для резервного копирования содержимого действующих (изменяющихся) баз данных, так как не гарантируют целостность полученной копии. Для копирования содержимого баз данных следует использовать штатные инструменты этих баз данных.
По каждому инструменту рассматриваются средства, позволяющие выполнять резервное копирование и восстановление с сохранением всех расширенных атрибутов, в том числе, для ОС СН Смоленск и Ленинград, с сохранением мандатных меток и флагов аудита.
Инструмент командной строки dd является самым простым средством полного резервного копирования.
Инструмент автоматически устанавливается при установке ОС и никаких настроек не требует.
Недостатками инструмента являются:
Однако, команда dd весьма удобна для полного копирования дисков или дисковых разделов при переносе системы на новый диск.
Команда для копирования системного раздела диска (обычно при установке ОС с параметрами «по умолчанию» это /dev/sda1) в файл с условным названием /media/not-sda-device/sda.bin:
dd if=/dev/sda1 of=/media/not-sda1-device/sda1.bin bs=4096
Имя входного файла. Если пропущено то читает стандартный ввод.
Имя выходного файла. Если пропущено то пишет в стандартный вывод.
Размер блока. Увеличение размера блока может повысить скорость копирования.
Можно выбрать размер блока равным или кратным размеру блока копируемого устройства.
Узнать размер блока дискового устройства с файловой системой Ext2/Ext3/Ext4 можно командой
С учетом возможности перенаправления стандартного ввода/вывода команда dd позволяет применять для копирования алгоритмы сжатия или защитного преобразования:
dd if=/dev/sda1 bs=4096 | gzip > /media/not-sda1-device/sda1.bin.gz2
Команда для восстановления системного раздела диска (для этого потребуется загрузиться с отдельного диска, и примонтировать носитель, на котором был размещен файл с образом):
dd if=/media/mountpoint/sda1.bin of=/dev/sda1 bs=4096
Или, для сжатого файла:
Полученный с помощью инструмента dd файл с образом дискового раздела (не подвергнутый сжатию или защитному преобразованию) может быть примонтирован и использоваться как обычный дисковый раздел:
Инструмент командной строки tar в основном применяется для копирования данных в пределах одного компьютера.
Позволяет скопировать дерево файлов в один файл архива. Позволяет сжать копии с помощью программ архивации.
Для копирования с использованием сети требуется применение дополнительных средств.
Создание архива
Команда для копирования файлов в архив с условным названием /backup.tar.bz2 (файл архива располагается в той же файловой системе):
Включить поддержку расширенных атрибутов файлов
Включить поддержку списков контроля доступа (POSIX Access Control Lists, ACL)
Указывает, какие файлы и каталоги копировать не нужно. В частности, обязательно:
Последним параметром указывается каталог, который нужно копировать.
При копировании полные имена файлов будут сохранены в архиве без начального символа «/».
Это сделано:
С архивами tar можно работать с помощью инструмента Midnight Commander, который автоматически устанавливается при установке всех версий Astra Linux.
Создание архива на удалённом компьютере
Инструмент tar не содержит собственных средств для работы через сеть, однако может использоваться совместно с другими инструментами для сетевой работы.
Типичным примерами таких инструментов являются netcat (nc) и tar.
Инструмент Netcat (nc)
Инструмент nc разработан как средство общего назначения для передачи данных через сеть, и позволяет установить простое соединение между двумя машинами.
Использовать данный способ рекомендуется с осторожностью, так как инструмент nc не поддерживает защитное преобразование данных и авторизацию.
Сценарий применения (опции tar для простоты не указаны):
На принимающей машине
На передающей машине
После завершения передачи соединение будет закрыто автоматически, на принимающей машине данные будут записаны в указанный файл, и инструмент nc завершит работу.
С помощью SSH
Более безопасным вариантом является использование SSH.
Пример команды:
Восстановление
Пример команд для восстановления файлов из архива:
Значения команд и параметров:
echo 1 > /parsecfs/unsecure_setxattr
Команда, устанавливающая для параметра защиты файловой системы /parsecfs/unsecure_setxattr значение 1, разрешающее применять мандатную привилегию PARSEC_CAP_UNSAFE_SETXATTR (см.ниже).
Команда, устанавливающая для команды разархивирования мандатную привилегию PARSEC_CAP_UNSAFE_SETXATTR, позволяющую устанавливать мандатные атрибуты объектов файловой системы без учета мандатных атрибутов родительского объекта-контейнера. Для действия этой этой мандатной привилегии параметр /parsecfs/unsecure_setxattr должен быть установлен в значение 1.
Параметр указывает, что следующим параметром является выполняемая команда.
Собственно, команда разархивирования, которая будет выполнена с мандатной привилегией PARSEC_CAP_UNSAFE_SETXATTR
Включить поддержку расширенных атрибутов файлов
Задаёт шаблоны включаемых расширенных атрибутов
Включить поддержку списков контроля доступа (POSIX Access Control Lists, ACL)
Указывает, что перед началом разархивирования нужно перейти в корневой каталог (каталог «/»).
Это необходимо сделать для правильного восстановления первоначального размещения файлов, так как при копировании полные имена файлов были сохранены в архиве без начального символа «/».
echo 0 > /parsecfs/unsecure_setxattr
Команда восстанавливает запрет на применение мандатной привилегии PARSEC_CAP_UNSAFE_SETXATTR (настройка ОС СН Смоленск по умолчанию).
После переноса с помощью tar содержимого загрузочного диска на другой диск требуется восстановить системный загрузчик grub. Для этого:
· выполнить следующие команды, указав при выполнении команды dpkg-reconfigure grub-pc диск, с которого должна выполняться загрузка:
Восстановление через сеть
С помощью Netcat (nc)
Компьютер,
на котором восстанавливаются данные
Компьютер,
на котором хранится архив
Передаем архив через стандатный ввод-вывод иструменту nc для передачи на компьютер с адресом 10.0.2.2 в порт 1024.
С помощью SSH
RSYNC
Инструмент rsync является наиболее сложным инструментом и включает в свой состав инструмент rsync и службу rsync.service, обеспечивающую удаленный доступ для копирования.
Может применяться для локального и удалённого копирования.
В отличие от tar, копирует дерево файлов в дерево файлов и не позволяет сжать полученные копии.
Пакет не устанавливается по умолчанию при установке ОС, однако он входит в зависимости многих других пакетов (например, системы контроля версий git и subversion, система резервного копирования luckyBackup, система контейнеров виртуализации LXC), поэтому может быть установлен автоматически при их установке.
Инструмент обеспечивает очень много возможностей, в том числе:
При автоматической установке служба rsync.service также устанавливается, но автоматически не запускается и требует настройки.
Несмотря на отсутствие запущенной службы rsync.service, удалённое копирование по сети можно выполнять через SSH.
Создание копии
По аналогии с примером для инструмента tar, пример локального копирования корневой файловой системы в каталог /backup:
Параметр, задающий режим архивирования.
Подразумевает следующие параметры:
Включить поддержку расширенных атрибутов файлов
Включить поддержку списков контроля доступа (POSIX Access Control Lists, ACL)
Исключить объекты из копирования. В частности, исключить из копирования необходимо сам каталог архива.
Объект, в который осуществляется копирование
Правила задания имён каталогов.
Рассмотрим два каталога SRC и DST, причем SRC содержит подкаталог SUB (т.е. SRC/SUB/) и сравним варианты копирования.
Заметим, что для подобного копирования служба rsync.service на компьютере-получателе не нужна, достаточно работающей службы ssh.
При этом автоматически используются алгоритмы защитного преобразования данных, встроенные в SSH.
При таком копировании атрибуты доступа к копиям будут установлены неверно, копии будут принадлежать пользователю admin на компьютере-получателе, мандатные атрибуты установлены не будут.
Более продвинутый пример удалённого копирования:
Для полностью корректной работы приведённых примеров под ОС СН Смоленск должна быть определена политика предоставления мандатной привилегии PARSEC_CAP_UNSAFE_SETXATTR удалённому экземпляру rsync.
Восстановление
Для восстановления достаточно выполнить команду, поменяв местами источник и назначение (и не забыв установить привилегию на изменение мандатных атрибутов, подробности см. в примере к инструменту tar):
Настройка и применение rsync.service
С учетом того, что работа службы rsyncd (rsync.service) осуществляется без защитного преобразования данных,
использовать эту службу следует с осторожностью:
либо в доверенной защищенной сети, либо для передачи данных, уже подвергнутых защитному преобразованию.
В принципе, для решения большинства задач копирования достаточно изложенных выше приёмов работы через SSH без использования rsync.service.
Служба rsync.service может оказаться полезна:
Однако, возможно, в указанных ситуациях разумнее воспользоваться сервисом резервного копирования Bacula (описание см. в отдельной статье)
Для использования rsync.service следует:
2. Создать и заполнить файл конфигурации /etc/rsyncd.conf, например:
max connections = 10
exclude = lost+found/ /tmp/
dont compress = *.gz *.tgz *.zip *.z *.Z *.rpm *.deb *.bz2 *.rar *.7z *.mp3 *.jpg
[data1]
path = /data1/
comment = Public folders
read only = yes
list = yes
auth users = rsync_d1
secrets file = /etc/rsyncd.scrt
hosts allow = localhost 192.168.32.96 192.168.32.97
hosts deny = *
max connections = 10
Максимальное количество одновременных подключений
exclude = lost+found/ /tmp/
Список каталогов, которые не нужно копировать
dont compress = *.gz *.tgz *.zip *.z *.Z *.rpm *.deb *.bz2 *.rar *.7z *.mp3 *.jpg
Список файлов, которые не нужно сжимать при передаче (которые уже сжаты)
Заголовок описания секции данных (таких секций может быть несколько)
Путь к месту хранения данных
comment = Public folders
Запрет на переписывание данных
Разрешение на просмотр каталога данных
auth users = user1 user2
Список авторизованных пользователей
secrets file = /etc/rsyncd.scrt
Файл с именами и паролями
hosts allow = localhost 192.168.32.96 192.168.32.97
Список адресов, с которых разрешен доступ
Список адресов, с которых доступ запрещен
user1:password1
user2:password2
backup:password3
В целях безопасности рекомендуется ограничить доступ к этому файлу:
chmod 600 /etc/rsyncd.scrt
4. Запустить сервис:
service rsync start
luckyBackup
Представляет собой графический интерфейс к инструменту rsync.
По умолчанию не устанавливается, и может быть установлен с помощью графического менеджера пакетов или из командной строки:
apt install luckybackup
Инструмент поддерживает все возможности rsync, и предоставляет возможность :
Подключение работы с мандатными атрибутами
Для работы с мандатными атрибутами нужно будет запустить программу luckyBackup с привилегией PARSEC_CAP_UNSAFE_SETXATTR.
Для включения в инструменте luckyBackup работы с мандатными атрибутами: