Установка#

Безопасную установку ОС Platform V SberLinux OS Server можно осуществлять только с носителей, прошедших процедуру приемки.

В зависимости от требуемой архитектуры инфраструктуры информационной системы администратором безопасности могут быть установлены следующие варианты Исполнений ОС Platform V SberLinux OS Server:

• OS Server:

  • Без дополнительных групп пакетов - устанавливается с помощью загрузочного носителя через текстовое меню. Сценарий установки - в разделе «Безопасная установка OS Server», выбор Исполнения - в разделе «Выбор варианта установки».

  • С дополнительной группой пакетов контейнеризации (средство контейнеризации):

    • одновременно с OS Server, подробнее - в разделе «Безопасная установка средства контейнеризации» -> «Установка средств контейнеризации с помощью меню загрузки»;

    • после установки OS Server - с помощью менеджера пакетов DNF. Подробнее - в разделе «Безопасная установка средства контейнеризации» -> «Установка средств контейнеризации с помощью dnf group install».

• OS Virtualization - представляет собой OS Server с дополнительной группой пакетов виртуализации и соответствующими настройками безопасности (средство виртуализации), устанавливается:

  • одновременно с OS Server, подробнее - в разделе «Безопасная установка OS Virtualization» -> «Установка OS Virtualization с помощью меню загрузки»;

  • после установки OS Server - с помощью менеджера пакетов DNF. Подробнее - в разделе «Безопасная установка OS Virtualization» -> «Установка OS Virtualization с помощью dnf group install».

• OS Core (минимальный вариант операционной системы с пакетами средства контейнеризации) устанавливается на рабочих хостах/виртуальных машинах после установки OS Server/OS Virtualization на управляющем хосте. Подробнее - в разделе «Безопасная установка OS Core.

Подробнее о группах пакетов - в разделе «Группы пакетов».

Безопасная установка OS Server#

Безопасная установка Исполнения OS Server состоит из следующих шагов:

1. Загрузка средств установки.

2. Предварительная настройка системы перед установкой. Подробнее - в разделе «Установка с помощью текстового меню».

3. Установка компонентов системы.

4. Завершение безопасной установки.

Загрузка средств установки#

1. Перед началом установки выберите на целевой машине с помощью встроенных средств BIOS/UEFI способ загрузки - загрузочное устройство (носитель) с образом системы.

2. Подключите носитель и перезагрузите машину.

3. После перезагрузки на экран будет выведено меню загрузки ОС Platform V SberLinux OS Server (рисунок ниже).

Для переключения между пунктами меню используйте клавиши-стрелки (↑, ↓), для выбора пункта - Enter или аналогичную клавишу.

4. Выберите вариант загрузки:

   • Install SberLinux 9.1 загрузит инсталлятор Anaconda и отобразит текстовое меню установки.

   • Test this media & install SberLinux 9.1 запустит техническую проверку целостности носителя, после чего, при успешном результате проверки, загрузит инсталлятор Anaconda и отобразит текстовое меню установки.

   Остальные элементы меню загрузки служат отладочным целям и при безопасной установке не используются.

5. После выбора действия при загрузке и (опционально) проверки целостности носителя на экран будут выводиться диагностические сообщения. Каких-либо действий от пользователя не требуется.

Далее на экране появится основное меню установки ОС Platform V SberLinux OS Server - рисунок ниже.

Установка с помощью текстового меню#

Безопасная установка системы выполняется в текстовом режиме.

Меню установки состоит из девяти пронумерованных элементов - рисунок ниже. Пояснения по настройке каждого из пунктов приведены в соответствующих разделах далее.

Пункты меню установки имеют чекбоксы, которые могут принимать одно из двух значений:

• [x] - параметр установлен (по умолчанию или по выбору пользователя) и не требует обязательной дополнительной настройки;

• [!] - параметр не установлен и требует обязательной дополнительной настройки.

Под названием каждого пункта меню в круглых скобках приведено установленное значение. Его можно изменить при выборе (повторном выборе) пункта меню.

Для выбора конкретного пункта меню введите его номер и нажмите Enter - это приведет к открытию вложенного меню/выбору необходимого значения. Меню в процессе установки будет изменять свой вид в зависимости от выбранного пункта, но общий принцип взаимодействия останется неизменным. После настройки каждого из девяти пунктов меню будет осуществлен возврат в основное меню установки - рисунок выше.

Дополнительные символы для управления процессом установки (раскладка - латинская):

• c - для завершения работы с пунктом меню и перехода к выбору других пунктов.

• b - для продолжения установки (перехода к следующей стадии).

• q - для прерывания установки. При прерывании установки система предложит подтвердить выбор; требуется ввести полную форму ответа: yes или no.

• r - для повторного вывода на экран текущего состояния меню. «Прокрутка» содержимого экрана в текстовом режиме установки не поддерживается.

Допустимые для каждого варианта меню символы в виде подсказки отображаются в приглашении командной строки.

Настройки языка и локализации#

1. Выберите пункт 1 (Language settings). Откроется меню выбора языка - рисунок ниже.

2. (Опционально) Выберите язык.

3. После выбора языка откроется меню выбора локализации.

4. (Опционально) Выберите необходимую локализацию.

Настройки времени#

1. Выберите пункт 2 (Time settings). Откроется меню настроек времени - рисунок ниже.

2. (Опционально) Настройте временную зону:

   2.1. Выберите пункт 1 (Change timezone). Откроется меню выбора региона - рисунок ниже.

2.2. Выберите необходимый регион. Появится окно выбора города, по которому определяется временная зона - рисунок ниже.

2.3. Выберите необходимый город.

3. Добавление NTP-серверов для синхронизации системных часов - пункт 2 (Configure NTP servers) - при безопасной настройке не требуется.

Настройка расположения носителя с дистрибутивом#

1. Чтобы определить тип носителя и его местонахождение, выберите в основном меню установки системы пункт 3 (Installation source).

   Откроется меню выбора типа источника, на котором размещен дистрибутив.

2. Выберите пункт 2 (local ISO file) и необходимое устройство-носитель.

Выбор варианта установки#

1. Для определения варианта установки ОС Platform V SberLinux OS Server выберите пункт 4 (Software selection) основного меню установки.

   На экране отобразится меню выбора базового окружения - рисунок ниже.

2. Убедитесь, что активирован пункт 1 (OS Server), и введите символ c для перехода к меню выбора дополнительного программного окружения.

3. Если требуется дополнительно установить группу пакетов средства контейнеризации, активируйте соответствующий пункт. Для продолжения настройки введите символ c.

В основном меню установки системы отметка [x] возле пункта 4 может появиться не сразу, для применения настроек требуется некоторое время. Под пунктом может отображаться надпись (Processing...). Такое состояние не препятствует дальнейшей процедуре безопасной установки. Отметка о выборе пользователя появится при одном из следующих обновлений экрана.

Выбор устройства назначения#

1. Чтобы определить устройство, на которое будет устанавливаться система, выберите пункт 5 (Installation Destination) основного меню установки. Откроется меню, позволяющее выбрать конкретный диск из доступных в системе - рисунок ниже.

2. Выберите необходимый диск. Следующее меню позволит выбрать способ размещения системы на диске - рисунок ниже.

3. Далее выберите способ управления логическими томами (LVM) - рисунок ниже.

Настройка kdump#

По умолчанию механизм kdump активирован. При безопасной установке дополнительная настройка kdump - пункт 6 основного меню установки (Kdump) - не требуется.

Конфигурация сети#

При безопасной установке дополнительная настройка конфигурации сети - пункт 7 основного меню установки (Network configuration) - не требуется.

Установка пароля пользователя root#

Выберите пункт 8 основного меню установки (Root password).

Вводимые с клавиатуры символы пароля не отображаются на экране. Пароль требуется ввести дважды; если система обнаружит несовпадение, то процесс ввода начнется сначала.

Создание аккаунта пользователя#

В процессе безопасной установки аккаунт нового пользователя - пункт 9 основного меню установки (User Creation) - не создается.

Завершение подготовки установки#

После завершения настройки параметров запустите установку компонентов системы - введите символ b в основном меню и нажмите Enter.

Установка компонентов системы#

Установка компонентов системы происходит в автоматическом режиме. Во время выполнения установки на экран выводятся сообщения информационного характера. Каких-либо действий пользователя на этом этапе не требуется.

Когда все необходимые компоненты будут установлены, будет выведено сообщение о необходимости нажать Enter (рисунок ниже) - после нажатия машина перезагрузится. Процедура безопасной установки на этом не завершается.

Для завершения процедуры необходимо выполнить самотестирование функций безопасности.

Описание необходимых для этого действий приведено в разделе ниже.

Самотестирование функций безопасности#

Самотестирование функций безопасности выполняется с помощью утилиты selftest.

Для запуска утилиты самотестирования выполните команду:

selftest

Убедитесь, что все тесты пройдены успешно и после завершения самотестирования отсутствуют сообщения об ошибках.

При наличии ошибок или отрицательном результате самотестирования ОС Platform V SberLinux OS Server запрещена к использованию. В этом случае:

1. Заново произведите безопасную установку и настройку Исполнения OS Server.

2. Если ошибка сохранится, обратитесь в службу поддержки. Контакты - в заметке «Общее примечание» в начале раздела.

Завершение безопасной установки#

Важным этапом безопасной установки системы является ее безопасная настройка.

Безопасная настройка Исполнения OS Server, в том числе настройка (активация) функций безопасности осуществляется автоматически в процессе установки.

После первой загрузки системы и выполнения проверок рекомендуется применить дополнительные скрипты для настройки параметров безопасности ОС Platform V SberLinux OS Server:

• sberlinux-hardening-fstec-advised, реализующий рекомендации Методического документа ФСТЭК России «Рекомендации по безопасной настройке операционных систем Linux», подробнее в документе Руководство администратора -> «Сценарии администрирования» -> «Инструменты операционной системы» -> «Скрипт sberlinux-hardening-fstec-advised».

• sberlinux-hardening-vendor-advised, реализующий настройки, рекомендуемые разработчиком ОС Platform V SberLinux OS Server, подробнее в документе Руководство администратора -> «Сценарии администрирования» -> «Инструменты операционной системы» -> «Скрипт sberlinux-hardening-vendor-advised».

Безопасная установка средства контейнеризации#

Установка средства контейнеризации с помощью меню загрузки#

1. Средство контейнеризации устанавливается через меню загрузки при выборе дополнительного программного окружения, подробнее в разделе «Безопасная установка OS Server» -> «Выбор варианта установки».

   Для установки средства контейнеризации выберите пункт 1 (Контейнеризация-118) в процессе выполнения сценария установки - рисунок ниже.

2. Безопасная настройка средства контейнеризации осуществляется в процессе установки.

Установка средства контейнеризации с помощью dnf group install#

Группу пакетов для средства контейнеризации можно загрузить после установки Исполнения OS Server с помощью пакетного менеджера DNF (подробнее - в документе Руководство администратора -> «Сценарии администрирования» -> «Сценарии администрирования и эксплуатации» -> «Управление программными пакетами: установка, обновление, удаление»).

Для установки средства контейнеризации:

1. Подключите источник дополнительных пакетов:

   • При использовании физического носителя - примонтируйте диск из комплекта поставки:

     1.1. Создайте каталог (например, mnt/disc), который будет использоваться в качестве точки монтирования:

     mkdir -p mnt/disc
     

     1.2. Смонтируйте устройство (например, /dev/sr0), на котором размещен диск, в указанную точку монтирования:

     mount /dev/sr0 mnt/disc
     

• При использовании онлайн-репозитория - добавьте и включите репозиторий, подробнее - в разделе «Сценарии администрирования» -> «Сценарии администрирования и эксплуатации» -> «Управление программными пакетами: установка, обновление, удаление» -> «Управление репозиториями программного обеспечения» Руководства администратора.

2. Создайте конфигурационный файл etc/yum.repos.d/media.repo, если он не создан ранее:

   echo -e "[InstallMedia]\nname = SberLinux 9.1\nmediaid = None\nmetadata_expire = -1\ngpgcheck = 0\ncost = 500\n\nenabled=1\nbaseurl=file:///mnt/disc/BaseOS" > /etc/yum.repos.d/media.repo
   

   Пример содержимого файла:

   [InstallMedia]
   name=SberLinux 9.1
   mediaid=None
   metadata_expire=-1
   cost=500
   
   enabled=1
   baseurl=file:///mnt/disc/BaseOS
   

3. Установите группу пакетов средства контейнеризации:

   dnf group install Containerization-118
   

dnf group list --hidden

Безопасная установка OS Virtualization#

Установка OS Virtualization с помощью меню загрузки#

1. Исполнение OS Virtualization (средство виртуализации) может быть установлено через меню загрузки OS Server на шаге выбора варианта установки, подробнее - в разделе «Безопасная установка «OS Server» -> «Выбор варианта установки».

   Для установки OS Virtualization выберите пункт 2 (OS Virtualization) в процессе выполнения сценария установки.

2. Безопасная настройка средства виртуализации осуществляется в процессе установки.

Установка OS Virtualization с помощью dnf group install#

Группу пакетов средства виртуализации можно загрузить после установки Исполнения OS Server с помощью пакетного менеджера DNF (подробнее - в документе Руководство администратора -> «Сценарии администрирования» -> «Сценарии администрирования и эксплуатации» -> «Управление программными пакетами: установка, обновление, удаление»).

Для установки средства виртуализации:

1. Подключите источник дополнительных пакетов:

   • При использовании физического носителя - примонтируйте диск из комплекта поставки:

     1.1. Создайте каталог (например, mnt/disc), который будет использоваться в качестве точки монтирования:

     mkdir -p mnt/disc
     

     1.2. Смонтируйте устройство (например, /dev/sr0), на котором размещен диск, в указанную точку монтирования:

     mount /dev/sr0 mnt/disc
     

• При использовании онлайн-репозитория - добавьте и включите репозиторий, подробнее - в разделе «Сценарии администрирования» -> «Сценарии администрирования и эксплуатации» -> «Управление программными пакетами: установка, обновление, удаление» -> «Управление репозиториями программного обеспечения» Руководства администратора.

2. Создайте конфигурационный файл etc/yum.repos.d/media.repo, если он не создан ранее:

   echo -e "[InstallMedia]\nname = SberLinux 9.1\nmediaid = None\nmetadata_expire = -1\ngpgcheck = 0\ncost = 500\n\nenabled=1\nbaseurl=file:///mnt/disc/BaseOS" > /etc/yum.repos.d/media.repo
   

   Пример содержимого файла:

   [InstallMedia]
   name=SberLinux 9.1
   mediaid=None
   metadata_expire=-1
   cost=500
   
   enabled=1
   baseurl=file:///mnt/disc/BaseOS
   

3. Установите группу пакетов средства виртуализации:

   dnf group install Virtualization-187
   

dnf group list --hidden

Безопасная установка OS Core#

Целевым способом использования Исполнения OS Core является массовое автоматизированное развертывание на виртуальных машинах для обеспечения работы сертифицированной Системы управления контейнерами «Platform V DropApp». Сценарий безопасной установки (развертывания) Исполнения OS Core на виртуальную машину состоит из следующих шагов:

1. Подготовка файла Ignition.

2. Подготовка к запуску виртуальной машины, на которой будет развернуто Исполнение OS Core.

3. Запуск виртуальной машины, развертывание системы и ее безопасная настройка.

4. Завершение безопасной установки OS Core.

Подготовка файла Ignition#

Файл Ignition - это конфигурационный файл (обычно в формате JSON) для автоматизированной установки и настройки ОС при первой загрузке.

Чтобы подготовить файл Ignition (например, с именем core_user.json):

1. Создайте его и откройте в редакторе:

   nano /home/virtuser/core_user.json
   

2. Добавьте в файл конфигурацию, которая создаст в OS Core пользователя core с административными полномочиями и установленным паролем, состоящего в группах adm, sudo, systemd-journal и wheel:

   {
     "ignition": {
       "version": "3.2.0"
     },
     "passwd": {
       "users": [
         {
           "name": "core",
           "password": "<password>",
           "passwordHash": "<password_hash>",
           "gecos": "CoreOS Admin",
           "groups": [
             "adm",
             "sudo",
             "systemd-journal",
             "wheel"
           ]
         }
       ]
     }
   }
   

   Где вместо <password> и <password_hash> введите соответствующие значения устанавливаемого пароля и его хеша. Чтобы рассчитать хеш пароля, выполните:

   openssl passwd -6
   

   После чего введите пароль и подтвердите его. Выводом команды будет рассчитанный хеш. Пример вывода:

   Password:               # Ввод пароля
   Verifying - Password:               # Подтверждение пароля
   $6$utaUSM7ZgGCZwgia$u7JPOmsm9g01DybcwUdUNrwwMMnq9WKDMjCHZ5oQvboSpm1JaBJbIxTGy0O8ml1lXvHnc7FPVU6QJHNoZ0623/
   

Подготовка к запуску виртуальной машины#

1. Подключите источник QCOW2-образа для развертывания OS Core на ВМ:

   • При использовании физического носителя - примонтируйте диск из комплекта поставки:

     1.1. Создайте каталог (например, mnt/disc), который будет использоваться в качестве точки монтирования:

     mkdir -p mnt/disc
     

     1.2. Смонтируйте устройство (например, /dev/sr0), на котором размещен диск, в указанную точку монтирования:

     mount /dev/sr0 mnt/disc
     

• При использовании онлайн-репозитория - добавьте и включите репозиторий, подробнее - в разделе «Сценарии администрирования» -> «Сценарии администрирования и эксплуатации» -> «Управление программными пакетами: установка, обновление, удаление» -> «Управление репозиториями программного обеспечения» Руководства администратора.

2. Создайте конфигурационный файл etc/yum.repos.d/media.repo, если он не создан ранее:

   echo -e "[InstallMedia]\nname = SberLinux 9.1\nmediaid = None\nmetadata_expire = -1\ngpgcheck = 0\ncost = 500\n\nenabled=1\nbaseurl=file:///mnt/disc/BaseOS" > /etc/yum.repos.d/media.repo
   

   Пример содержимого файла:

   [InstallMedia]
   name = SberLinux 9.1
   mediaid = None
   metadata_expire = -1
   gpgcheck = 0
   cost = 500
   
   enabled=1
   baseurl=file:///mnt/disc/BaseOS
   

3. Создайте каталог для виртуальных дисков:

   mkdir -pv ~/.local/share/libvirt/images/
   

4. Скопируйте QCOW2-образ системы в созданный каталог (например, пользователя virtuser):

   cp <path_to_image_SBCOS_fstec>-qemu.x86_64.qcow2 /home/virtuser/.local/share/libvirt/images/<SBCOS_fstec_image_name>-qemu.x86_64.qcow2
   

   Где вместо <path_to_image_SBCOS_fstec>-qemu.x86_64.qcow2 укажите путь до необходимого QCOW2-образа, а вместо <SBCOS_fstec_image_name>-qemu.x86_64.qcow2 - имя образа. Чтобы определить путь к образу и его имя, выполните:

   find / -type f -name "*.qcow2"
   

Запуск виртуальной машины#

1. Создайте и запустите виртуальную машину с установленной OS Core:

   virt-install --name="sbcos-vm" --vcpus="4" --memory="1024" --os-variant="fedora-coreos-stable" --import --graphics=none --disk="size=16,backing_store=/home/virtuser/.local/share/libvirt/images/<SBCOS_fstec_image_name>-qemu.x86_64.qcow2" --network network=default --qemu-commandline="-fw_cfg name=opt/com.coreos/config,file=/home/virtuser/core_user.json"
   

   Где вместо <SBCOS_fstec_image_name>-qemu.x86_64.qcow2 укажите имя образа.

   В результате выполнения команды будет создана и запущена виртуальная машина со следующими характеристиками:

   • имя машины: sbcos-vm;

   • количество виртуальных процессоров: 4;

   • объем оперативной памяти: 1024 Мбайт;

   • объем диска: 16 Гбайт;

   • подключение к сети: default;

   • графическая консоль: отключена;

   • операционная система: OS Core.

   После загрузки виртуальной машины и получения доступа к ней, можно войти в ОС под учетной записью пользователя core.

Завершение безопасной установки OS Core#

Безопасная настройка Исполнения OS Core происходит автоматически при его развертывании на виртуальной машине.

Для завершения установки (развертывания) выполните проверку установки всех пакетов, реализующих ФБО, и самотестирование функций безопасности. Данные проверки выполняются аналогично действиям при безопасной установке Исполнения OS Server и описаны в разделах «Завершение безопасной установки» и «Рекомендации разработчика по безопасной настройке».

Группы пакетов#

Категории групп пакетов ОС Platform V SberLinux OS Server:

• Available Environment Groups – варианты установки, выбор между которыми происходит на этапе «Выбор варианта установки»; в случае установки пакетов с помощью DNF не используются.

  Категория включает группы:

  • OS Server - Исполнение OS Server;

  • OS Virtualization – Исполнение OS Virtualization.

• Installed Groups – группы, предустановленные после загрузки системы в Исполнениях OS Server и OS Virtualization.

  Категория включает группы:

  • A4 – дополнительные скрипты для безопасной настройки и проверки корректности безопасной настройки ОС Platform V SberLinux OS Server;

  • Helper software – вспомогательные инструменты пользователя.

• Available Groups – группы, доступные для установки с помощью DNF.

  Категория включает группы:

  • Containerization-118 – средство контейнеризации;

  • Virtualization-187 - средство виртуализации.

Рекомендации разработчика по безопасной настройке#

Описанные в данном разделе действия рекомендованы разработчиком ОС Platform V SberLinux OS Server в рамках процедуры безопасной настройки.

1. Следует ограничить максимальное число параллельных сеансов, предоставляемых одному и тому же пользователю ОС Platform V SberLinux OS Server, согласно правилам.

   Пример скрипта, вводящего ограничение максимального числа сеансов:

   for USR in `awk -F: '{if ($3>=1000) print $1}' /etc/passwd`; do
   echo -n "Enter session limit for user $USR: "
   read -e SESSCNT
   echo "${USR} hard maxlogins ${SESSCNT}" > /etc/security/limits.d/"99-maxlogins-${USR}.conf"
   done
   

   В скрипте пользователи определяются по вхождению в файл /etc/passwd, поэтому для всех пользователей, которые будут добавлены в систему после выполнения скрипта, нужно будет ввести ограничение дополнительно.

2. Следует установить значение по умолчанию для числа одновременных сеансов пользователя ОС Platform V SberLinux OS Server.

   Пример скрипта, вводящего ограничение по умолчанию:

   echo "* hard maxlogins 10" > /etc/security/limits.d/maxlogins.conf
   

3. Следует установить пароль достаточной степени сложности на grub.

4. После выполнения безопасной настройки операционной системы в соответствии с вышеприведенными сценариями следует установить новый пароль для пользователя root.

5. Следует проверить наличие обновлений ОС Platform V SberLinux OS Server, выпущенных производителем, и, если они представлены, установить их. Обновления системы выполнять в соответствии с регламентом, описанным в разделе «Обновление». Следует проверить наличие информации о мерах и ограничениях, представленных разработчиком в связи с выявлением уязвимостей, и, при наличии, обеспечить их реализацию.

6. При необходимости изменения настроек функций безопасности воспользоваться описаниями, приведенными в Руководстве администратора RU.92573301.10006-02 90 01, раздел «Сценарии администрирования» -> «Инструменты операционной системы», «Инструменты виртуализации», «Инструменты контейнеризации», «Веб-серверы и серверы приложений», «Интерпретаторы», «Конфигурационные файлы».

7. Реализация остальных рекомендаций разработчика выполняется скриптом sberlinux-hardening-vendor-advised:

   sberlinux-hardening-vendor-advised -a
   

   После успешного завершения скрипта нужно проконтролировать правильность реализации рекомендаций:

   sberlinux-hardening-vendor-advised
   

   Если при контроле отсутствуют сообщения об ошибках, можно считать реализацию рекомендаций разработчика по безопасной настройке завершенной.