3-amaliy mashg’ulot Mavzu: Fayl tizimlarini tashkil etish. Ishdan maqsad
Yüklə 0,55 Mb.
|
|
partners_rbt_root_key_2018.gpg va build_system_rbt_root_key_2018.gpg (bu kalitlar OSSN fayllarini imzolash uchun ishlatiladi) gpg --import / etc / digsig / key_file_name buyrug'i yordamida import qiling.
1. Joriy kalitlarni gpg --list-sigs buyrug'i bilan sanab bering. "JSC RPA RusBITech (PRIMARY RBT ROOT KEY 2018)" asosiy kalitining identifikatorini aniqlang. U ilgari yuklangan boshqa kalitlarga imzo qo'yish uchun ishlatilganmi? 2. bsign -w $(which dash) buyrug'i bilan /bin/dash faylining elektron imzosi to'g'riligini tekshiring. "Signer:" qatorida ushbu fayl qaysi identifikator tomonidan imzolanganligini aniqlang. 3. Umumiy kalitni /etc/digsig/ build_system_rbt_root_key_2018.gpg kodini / etc/digsig/keys katalogiga cp /etc/digsig/build_system_rbt_root_key_2018.gpg / etc / digsig / keys buyrug'i yordamida qayta yozing. 4. /etc/digsig katalogiga o'ting va digsig_initramfs.conf faylini o'zgartiring (DIGSIG_ELF_MODE qiymatini 1 ga o'rnating). 5. " Панели управления " da " Замкнутой программной среды " sozlamasini ochib, ushbu parametrni to'g'riligini tekshiring. 6. Digsig_initramfs buyrug'i bilan digsig_verif moduliga yuklash orqali kalitning to'g'riligini tekshiring (bu buyruqni topish uchun find buyrug'idan foydalanishingiz mumkin). 7. gpg --full-generate-key buyrug'i yordamida qo'shimcha ERI kalitini yarating. Gpg buyrug'i bilan: • 15-bandni tanlang "GOST R 34.10-2012", 0 qiymatini tanlab qo'shimcha ERI kalitining amal qilish muddatining cheklanmaganligini ko'rsating; • Real Name: rooterver, Email: root@server.test parametrlarini ko'rsating va foydalanuvchi identifikatorini oling: "Rootserver 1. Joriy kalitlarni gpg --list-sigs buyrug'i bilan ro'yxatlang va "rooterver 2/bin/dash faylini /root katalogiga ko'chiring, yangi fayl nomini 1.elf deb belgilang. 3. 1.elf faylini bsign-sign /root/1.elf buyrug'i yordamida "rooterver 4. bsign -w /root/1.elf buyrug'i yordamida yangi fayl imzosini ko'rsating va "signer:" qatoridagi ERI kalit identifikatori "rooterver 5. /etc/digsig/digsig_initramfs.conf konfiguratsiya faylidagi DIGSIG_ELF_MODE = 1 kalitining qiymatini belgilash orqali digsig_verif moduli yordamida elektron imzo tekshirishning oddiy rejimini yoqing. 6. Sudo update -initramfs -u -k all buyrug'i bilan sozlamalarni faollashtiring, so'ngra OSSNni qayta ishga tushiring va qayta kiriting. 7. Fly terminalini sudo fly-term buyrug'i bilan " привилегированном " rejimda ishga tushiring. 8. cat / sys / digsig / elf_mode buyrug'i bilan digsig_verif modulining normal ishlash rejimi yoqilganligini tekshiring ("1" qiymati / sys / digsig / elf_mode faylida o'rnatilishi kerak). 9. "rooterver 10. /etc/digsig/digsig_initramfs.conf konfiguratsiya faylidagi DIGSIG_ELF_MODE = 0 kalitining qiymatini o'rnating, update -initramfs -u -k all buyrug'i bilan sozlamalarni faollashtiring, so'ngra OSSNni qayta ishga tushiring va qayta kiriting. 11. Fly terminalining " привилегированном " rejimida /root/1.elf buyrug'ini bajaring va ko'rsatilgan xatolarni tahlil qiling. 12. Ishlayotgan "dash" interpretatoridan (1.elf fayli) chiqish buyrug'i bilan chiqing. Update -initramfs -u -k all buyrug'i bilan sozlamalarni faollashtiring, so'ngra OSSNni qayta ishga tushiring va qayta kiriting. 13. Agar qo'shimcha ERI kalitlari mavjud bo'lsa (kalitlar ishlab chiqaruvchidan olinishi va "RPA RusBITech" bosh kalitining imzosi bilan imzolangan bo'lishi kerak), quyidagi amallarni bajaring (bundan keyin kalit fayl nomlari sign_public.gpg - ochiq kalit) , sign_secret.gpg - shaxsiy kalit): • Fly terminalining " привилегированном " rejimida rm -r /root/.gnupg buyrug'i yordamida /root/.gnupg papkasidagi kalitlarni tozalang; • kalitlarni gpg --import sign_public.gpg buyruqlari yordamida import qiling; gpg -import belgisi_secret.gpg; • umumiy kalitni gpg buyrug'i - import /etc/digsig/primary_key_2018.gpg yordamida import qiling; • gpg --list-sigs buyrug'i bilan kalitlarning importini tekshiring va ikkita kalit ko'rsatilishi kerak; • cat /etc/digsig/build_system_rbt_root_key_2018.gpg> / sys / digsig / keys buyrug'i bilan digsig_verif moduliga haqiqiy ERI kalitini qo'shing; • cat sign_public.gpg> / sys / digsig / keys buyrug'i yordamida digsig_verif moduliga yangi ERI kalitini qo'shing; • fayllarning elektron imzosini tekshirish rejimini faollashtirish uchun echo "1"> / sys / digsig / elf_mode buyrug'ini bajaring; • cp /root/1.elf /root/1signed.elf buyrug'i bilan /root/1.elf faylini yangi faylga nusxalang; • /root/1.elf buyrug'ini bajaring va ko'rsatilgan xatolarni tahlil qiling (bu fayl "rooterver • 1signed.elf faylini bsign --sign /root/1signed.elf buyrug'i bilan imzolang, so'ng bsign -w /root/1signed.elf buyrug'i bilan elektron imzoni tekshiring; • imzolangan faylni /root/1signed.elf buyrug'i bilan ishga tushiring va xatolar yo'qligini tekshiring; • OSSNni qayta yuklang va qayta kiriting, sudo fly-term buyrug'i bilan "привилегированном" rejimda Fly terminalini ishga tushiring; • cat / sys / digsig / elf_mode buyrug'i bilan digsig_verif modulining joriy rejimini tekshiring (rejim 0 ga teng bo'lishi kerak); • / root katalogiga o'ting, 1signed.elf va 1.elf fayllarini ishga tushiring, so'ng olingan natijalar va ko'rsatilgan xatolarni tahlil qiling; • cat / etc / digsig / build_system_rbt_root_key_2018.gpg> / sys / digsig / kalitlari va cat sign_public.gpg buyrug'i bilan digsig_verif moduliga ERI kalitlarini qo'shing > / sys / digsig / keys, fayllarni qayta ishga tushirish 1signed.elf, 1.elf; va keyin natijalarni tahlil qiling. 1. Kalitlarni yarating va konfiguratsiya faylini imzolang. • tezkor hisob buyrug'i yordamida foydalanuvchi hisobidan Fly terminalini ishga tushirish; • /etc/passwd va /bin/dash fayllarini ~ katalogiga ko'chiring va egasini user.user ga o'zgartiring; • gpg--full-generate-key buyrug'i bilan xattr-key-sign kirish uchun asosiy kalitni yaratish buyrug'ini bajaring, (15) algoritmini tanlang va nomini o'rnating: xattr-key; • gpg --full-generate-key buyrug'i yordamida xattrga kirish uchun kalit yaratish buyrug'ini bajaring, (15) algoritmini tanlang va nomini o'rnating: xattr-key-sign; • "xattr-key-sign" kalitini gpg --sign-key "xattr-key-sign"> xattr-key-sign.gpg buyrug'i bilan imzolang; • "xattr-key" kalitini gpg --export "xattr-key" xattr-key.gpg buyrug'i bilan eksport qiling; • gpg --list-sigs buyrug'i bilan "xattr-key-sign" imzolangan kalit mavjudligini tekshiring ("xattr-key-sign" kaliti "xattr-key" kaliti bilan imzolanishi kerak); • "xattr-key" va "xattr-key-sign" kalitlarining identifikatorlarini eslab qoling (o'n oltilik formatdagi 8 bayt-16 ta belgi); • ~ / passwd faylining xeshini yarating va bsign --hash ~ / passwd buyrug'i bilan kengaytirilgan atributlarga yozing (foydalanuvchidan shaxsiy kalitni qulfini ochish uchun hech qanday kalit so'ralmasligini unutmang); • quyidagi mazmundagi ~ / .gnupg / gpg.conf faylini yarating: default-key id_key_xattr-key-sign; • passwd faylini bsign --sign ~ / passwd buyrug'i bilan imzolang; • bsign -w ~ / passwd buyrug'i bilan passwd faylining imzosini tekshiring; • fayl imzolari bilan ishlash uchun kalitlarni (xattr-key-sign.gpg va xattr-key.gpg) / etc / digsig / xattr_keys katalogiga nusxalang; • grafik fayl menejerida fly-fm "Домашний" katalogiga o'ting va kontekst menyusida passwd faylining " Свойства ", " Подпись " ni oching; • " Загрузить ключи " va " Информация " tugmachalarini bosing, bunda yaratilgan xeshning to'g'riligi va imzo mavjudligini tekshiring. Yüklə 0,55 Mb. Dostları ilə paylaş:
|