Совместимость с ОС Astra Linux SE

В этом разделе собраны сведения об особенностях использования продукта Кибер Бэкап на машинах с ОС Astra Linux Special Edition, в которой включены мандатное управлением доступом (МРД) и мандатный контроль целостности (МКЦ). Эти механизмы обеспечивают защиту конфиденциальности информации и целостности ОС и ее приложений. Подробные сведения о работе МРД и МКЦ см. в документации Astra Linux.

Установка компонентов Кибер Бэкап

  • Если включено только МРД, установку необходимо выполнять с привилегиями администратора от имени пользователя из группы astra-admin, используя минимальный уровень конфиденциальности и пустой набор категорий конфиденциальности.

  • Если включен только МКЦ, установку необходимо выполнять с привилегиями администратора от имени пользователя из группы astra-admin, используя максимальный уровень целостности.

  • Если включены как МРД, так и МКЦ, установку необходимо выполнять с привилегиями администратора от имени пользователя из группы astra-admin, используя минимальный уровень конфиденциальности, пустой набор категорий конфиденциальности и максимальный уровень целостности.

Пример установки при включенных МРД и МКЦ:

myuser@astra-smol1-7-3:~$ id
uid=1000(myuser) gid=1000(myuser) groups=...(astra-admin)...
myuser@astra-smol1-7-3:~$ pdp-id
Уровень конф.=0(Уровень_0), Уровень целостности:63(Высокий), Категории=0x0(Нет)
Роли=()
myuser@astra-smol1-7-3:~$ chmod +x CyberBackup_16_64-bit.x86_64
myuser@astra-smol1-7-3:~$ sudo update-initramfs -u -k all
myuser@astra-smol1-7-3:~$ sudo reboot
myuser@astra-smol1-7-3:~$ sudo ./CyberBackup_16_64-bit.x86_64
...

Резервное копирование дисков и томов

Резервное копирование выполняется обычным образом, так как оно осуществляется на уровне блочных устройств.

Резервное копирование файлов и папок

Резервное копирование выполняется обычным образом, так как агент защиты запущен с привилегиями администратора и обладает полным доступом ко всем файловым системам.

Восстановление дисков и томов

Восстановление выполняется обычным образом, так как оно осуществляется на уровне блочных устройств.

Восстановление файлов и папок

При восстановлении Кибер Бэкап пытается назначить изначальные мандатные метки восстановленным файлам и папкам, однако какие мандатные метки получат восстановленные объекты в итоге, зависит от правил, действующих в ОС с включенными МРД и МКЦ.

При восстановлении файлов и папок с мандатными метками на файловую систему, не поддерживающую МРД и МКЦ, мандатные метки не восстанавливаются.

Для сохранения изначальных мандатных меток файлов и папок при восстановлении из резервной копии необходимо назначать PARSEC-привилегию PARSEC_CAP_UNSAFE_SETXATTR агенту защиты на время восстановления.

Чтобы назначить эту привилегию агенту, выполните следующие действия на целевой машине:

  1. Измените файл /etc/systemd/system/acronis_mms.service так, как показано ниже:

    ...
[Service]
CapabilitiesParsec=PARSEC_CAP_UNSAFE_SETXATTR
...

  2. Выполните следующие команды:

    systemctl daemon-reload
systemctl restart acronis_mms.service

  3. Запишите 1 в файл /parsecfs/unsecure_setxattr, чтобы привилегия PARSEC_CAP_UNSAFE_SETXATTR вступила в силу, например:

    echo 1 | sudo tee /parsecfs/unsecure_setxattr
    После перезагрузки машины в файл /parsecfs/unsecure_setxattr записывается 0.

Репликация резервных копий

При репликации резервных копий их tibx-файлам назначаются мандатные метки по правилам, действующим в ОС с включенными МРД и МКЦ.

Узел хранения

Узел хранения устанавливается как компонент Кибер Бэкап и работает обычным образом.

Пользователи организации и ее отделов

Учетные данные пользователей, созданных на машине с сервером управления, используются для аутентификации пользователей организации и ее отделов в веб-панели Кибер Бэкап. Кибер Бэкап не учитывает, какие уровни конфиденциальности, категории конфиденциальности, уровни целостности и PARSEC-привилегии назначены этим пользователям на уровне ОС.