Операционные системы Astra Linux
Оперативные обновления и методические указания
Операционные системы Astra Linux предназначены для применения в составе информационных (автоматизированных) систем в целях обработки и защиты 1) информации любой категории доступа 2) : общедоступной информации, а также информации, доступ к которой ограничен федеральными законами (информации ограниченного доступа).
1) от несанкционированного доступа;
2) в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (статья 5, пункт 2).
Операционные системы Astra Linux Common Edition и Astra Linux Special Edition разработаны коллективом открытого акционерного общества «Научно-производственное объединение Русские базовые информационные технологии» и основаны на свободном программном обеспечении. С 17 декабря 2019 года правообладателем, разработчиком и производителем операционной системы специального назначения «Astra Linux Special Edition» является ООО «РусБИТех-Астра».
На web-сайтах https://astralinux.ru/ и https://wiki.astralinux.ru представлена подробная информация о разработанных операционных системах семейства Astra Linux, а также техническая документация для пользователей операционных систем и разработчиков программного обеспечения.
Мы будем признательны Вам за вопросы и предложения, которые позволят совершенствовать наши изделия в Ваших интересах и адаптировать их под решаемые Вами задачи!
Репозитория открытого доступа в сети Интернет для операционной системы Astra Linux Special Edition нет. Операционная система распространяется посредством DVD-дисков.
Информацию о сетевых репозиториях операционной системы Astra Linux Common Edition Вы можете получить в статье Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов.
В целях обеспечения соответствия сертифицированных операционных систем Astra Linux Special Edition требованиям, предъявляемым к безопасности информации, ООО «РусБИтех-Астра» осуществляет выпуск очередных и оперативных обновлений.
Очередные обновления (версии) предназначены для:
Оперативные обновления предназначены для оперативного устранения уязвимостей в экземплярах, находящихся в эксплуатации, и представляют собой бюллетень безопасности, который доступен в виде:
Ввиду совершенствования нормативно-правовых документов в области защиты информации и в целях обеспечения соответствия информационных актуальным требованиям безопасности информации, а также обеспечения их долговременной эксплуатации, в том числе работоспособности на современных средствах вычислительной техники, рекомендуется на регулярной основе планировать проведение мероприятий по применению очередных и оперативных обновлений операционной системы.
Настройка Exim4 / Dovecot в Astra Linux SE 1.5
Исходные данные и задачи
Необходимо настроить сервер электронной почты, работающий в рамках домена Astra Linux 1.5 SE. Исходные данные:
| Параметр | Значение |
|---|---|
| Имя домена | local.net |
| FQDN сервера | server.local.net |
| IP-адрес сервера | 192.168.0.1 |
| Маска сети: | 255.255.255.0 |
Настройка сети
Прописываем настройки сети в файле /etc/network/interfaces
После этого нужно выполнить перезапуск демона сети:
В документации к демону networking написано, что команда restart является устаревшей и работает не так, как ожидается.
Необходимо в файле /etc/hosts прописать соответствие FQDN сервера и его IP-адреса, а также задать hostname
Инициализация домена
Действуем согласно официальной инструкции от РусБиТех:
Появится уведомление о том, что команда init уничтожит всю базу данных LDAP и Kerberos, будут остановлены и перезапущены службы, и упадет с неба большая звезда, горящая подобно светильнику, и падет на третью часть рек и на источники вод. Отвечаем утвердительно
Попросят ввести пароли для доступа к базе данных Kerberos и пароль администратора Astra Linux Directory. Лучше записать куда-нибудь, потому что понадобится ещё не раз.
Спустя какое-то время на экране появится сообщение:
Установка и настройка почтовых сервисов.
Необходимо установить три пакета:
| Пакет | Описание |
|---|---|
| exim4-daemon-heavy | Передает сообщения и умеет работать с мандатными метками. |
| dovecot-imapd | Умеет отдавать почту клиентам. |
| dovecot-gssapi | Умеет принимать авторизацию на сервере через Kerberos (ALD). |
Процесс настройки exim4 не очень сложный, но нужно правильно ответить на несколько вопросов.
| Вопрос | Ответ |
|---|---|
| Общий тип почтовой конфигурации | интернет-сайт; приём и отправка почты напрямую, используя SMTP |
| Почтовое имя системы: | local.net |
| IP-адреса, с которых следует ожидать входящие соединения SMTP: | 192.168.0.1 |
| Другие места назначения, для которых должна приниматься почта: | local.net |
| Домены, для которых доступна релейная передача почты: | Оставляем пустым |
| Машины, для которых доступна релейная передача почты: | Оставляем пустым |
| Сокращать количество DNS-запросов до минимума (дозвон по требованию)? | Нет |
| Метод доставки локальной почты: | Maildir формат в домашнем каталоге |
| Разделить конфигурацию на маленькие файлы? | Да |
Теперь нужно удалить из каталога /var/mail файл с именем пользователя, созданного при установке системы (у меня обычно administrator ).
Создадим сервисы ALD для работы с почтой:
После создания файла ключей нужно предоставить доступ к нему для dovecot :
Dovecot
Настройка exim4 astra linux
БАЗА ЗНАНИЙ
Необходимо настроить агент пересылки почтовых сообщений Exim4 на виртуальных серверах под управлением операционных систем Linux? Следуйте инструкциям!
Вначале необходимо обновить локальный список пакетов посредством вашего пакетного менеджера, в случае Ubuntu и Debian вы можете использовать APT:
Чтобы установить, нужна команда:
apt-get install exim4
Внимание: при необходимости использования ACL и других расширенных функций – установите exim4-daemon-heavy:
apt-get install exim4-daemon-heavy
Для перехода к настройкам выполните команду:
Нажмите ОК и переходите к настройке 
После выберите «mail sent by smarthost; received via SMTP or fetchmail» и нажмите ОК.
Внимание:
Внимание: по умолчанию все локальные домены будут обрабатываться одинаково. Актуальные локальные домены вы можете указать.
На этом этапе следует указать список доменов, для которых Exim будет ретранслировать сообщения, выполняя роль Smarthost`а. Если сервер не должен быть smarthost для другого хоста, оставьте список пустым.
На этом шаге укажите адрес используемого smtp-сервера:
smtp.yandex.ru::587
smtp.gmail.com::587
mail.example.com::587
Нажмите ОК
В обычном режиме работы Exim выполняет поиск DNS при запуске, при получении или доставке почты. Выберите этот параметр, если в системе используется Dial-on-Demand. Если сервер всегда подключен к Интернету, отключите этот параметр.
Выберите место хранения сообщений: в каталоге /var/mail или в домашней директории для каждого пользователя.
Содержимое файла будет выглядеть так:
# password file used when the local exim is authenticating to a remote
# host as a client.
#
# see exim4_passwd_client(5) for more documentation
#
# Example:
### target.mail.server.example:login:password
smtp.google.com:cloud@gmail.com:12345
Следующие настройки будут выполнены аналогично почтовому сервису gmail.
Далее вносятся изменения в файл /etc/exim4/exim4.conf.template. Откройте его на редактирование при помощи текстового редактора:
vi /etc/exim4/exim4.conf.template
Найдите такую строку:
.ifdef DCconfig_smarthost DCconfig_satellite
После нее вставьте такие строки:
Найдите первую строку с таким содержимым:
Далее вставьте следующие строки:
Вставьте после нее такие строки, а почтовый адрес и пароль измените на нужные:
gmail_login:
driver = plaintext
public_name = login
client_send = : user@gmail.com : password
Удалите из файла следующий блок строк, чтобы исключить ошибки авторизации:
Необходимо настроить агент пересылки почтовых сообщений Exim4 на виртуальных серверах под управлением операционных систем Linux? Следуйте инструкциям!
Вначале необходимо обновить локальный список пакетов посредством вашего пакетного менеджера, в случае Ubuntu и Debian вы можете использовать APT:
Чтобы установить, нужна команда:
apt-get install exim4
Внимание: при необходимости использования ACL и других расширенных функций – установите exim4-daemon-heavy:
apt-get install exim4-daemon-heavy
Для перехода к настройкам выполните команду:
Нажмите ОК и переходите к настройке
После выберите «mail sent by smarthost; received via SMTP or fetchmail» и нажмите ОК.
Внимание:
Внимание: по умолчанию все локальные домены будут обрабатываться одинаково. Актуальные локальные домены вы можете указать.
На этом этапе следует указать список доменов, для которых Exim будет ретранслировать сообщения, выполняя роль Smarthost`а. Если сервер не должен быть smarthost для другого хоста, оставьте список пустым.
На этом шаге укажите адрес используемого smtp-сервера:
smtp.yandex.ru::587
smtp.gmail.com::587
mail.example.com::587
Нажмите ОК
В обычном режиме работы Exim выполняет поиск DNS при запуске, при получении или доставке почты. Выберите этот параметр, если в системе используется Dial-on-Demand. Если сервер всегда подключен к Интернету, отключите этот параметр.
Выберите место хранения сообщений: в каталоге /var/mail или в домашней директории для каждого пользователя.
Содержимое файла будет выглядеть так:
# password file used when the local exim is authenticating to a remote
# host as a client.
#
# see exim4_passwd_client(5) for more documentation
#
# Example:
### target.mail.server.example:login:password
smtp.google.com:cloud@gmail.com:12345
Следующие настройки будут выполнены аналогично почтовому сервису gmail.
Далее вносятся изменения в файл /etc/exim4/exim4.conf.template. Откройте его на редактирование при помощи текстового редактора:
vi /etc/exim4/exim4.conf.template
Найдите такую строку:
.ifdef DCconfig_smarthost DCconfig_satellite
После нее вставьте такие строки:
Найдите первую строку с таким содержимым:
Далее вставьте следующие строки:
Найдите такую строку: begin authenticators
Вставьте после нее такие строки, а почтовый адрес и пароль измените на нужные:
gmail_login:
driver = plaintext
public_name = login
client_send = : user@gmail.com : password
Удалите из файла следующий блок строк, чтобы исключить ошибки авторизации:
Настройка Exim4 / Dovecot в Astra Linux SE 1.5
Настройка Exim4 / Dovecot в Astra Linux SE 1.5
Необходимо настроить сервер электронной почты, работающий в рамках домена Astra Linux 1.5 SE. Исходные данные:
| Параметр | Значение |
|---|---|
| Имя домена | local.net |
| FQDN сервера | server.local.net |
| IP-адрес сервера | 192.168.0.1 |
| Маска сети: | 255.255.255.0 |
Настройка сети
Отключаем графический менеджер управления сетевыми подключениями wicd.
Прописываем настройки сети в файле /etc/network/interfaces
auto lo iface lo inet loopback auto eth0 allow-hotplug eth0 iface eth0 inet ic address 192.168.0.1 netmask 255.255.255.0 gateway 192.168.0.1 network 192.168.0.0 broadcast 192.168.0.255 dns-nameservers 192.168.0.1 dns- local.lan
После этого нужно выполнить перезапуск демона сети:
Перезапуск демона сети
service networking stop && service networking start
В документации к демону networking написано, что команда restart является устаревшей и работает не так, как ожидается.
Необходимо в файле /etc/hosts прописать соответствие FQDN сервера и его IP-адреса, а также задать hostname
127.0.0.1 localhost 192.168.0.1 server.local.net server 192.168.0.101 arm01.local.net arm01 192.168.0.102 arm02.local.net arm02 192.168.0.103 arm03.local.net arm03
В файле /etc/hostname меняем краткое имя компьютера server на полное server.local.net, а также изменяем текущее значение системной переменной:
echo server.local.net > /etc/hostname hostname server.local.net
Инициализация домена
Действуем согласно официальной инструкции от РусБиТех:
Появится уведомление о том, что команда init уничтожит всю базу данных LDAP и Kerberos, будут остановлены и перезапущены службы, и упадет с неба большая звезда, горящая подобно светильнику, и падет на третью часть рек и на источники вод… Отвечаем утвердительно
Попросят ввести пароли для доступа к базе данных Kerberos и пароль администратора Astra Linux Directory. Лучше записать куда-нибудь, потому что понадобится ещё не раз.
Спустя какое-то время на экране появится сообщение:
Astra Linux Directory сконфигурирована. Сервер ALD активен. Клиент ALD включен. Astra Linux Directory сервер успешно инициализирован.
Установка и настройка почтовых сервисов.
Необходимо установить три пакета:
| Пакет | Описание |
|---|---|
| exim4-daemon-heavy | Передает сообщения и умеет работать с мандатными метками. |
| dovecot-imapd | Умеет отдавать почту клиентам. |
| dovecot-gssapi | Умеет принимать авторизацию на сервере через Kerberos (ALD). |
Отдельно отмечу, что сразу же после установки нужно будет запустить конфигурирование exim4.
Установка и конфигурирование
Процесс настройки exim4 не очень сложный, но нужно правильно ответить на несколько вопросов.
| Вопрос | Ответ |
|---|---|
| Общий тип почтовой конфигурации | интернет-сайт; приём и отправка почты напрямую, используя SMTP |
| Почтовое имя системы: | local.net |
| IP-адреса, с которых следует ожидать входящие соединения SMTP: | 192.168.0.1 |
| Другие места назначения, для которых должна приниматься почта: | local.net |
| Домены, для которых доступна релейная передача почты: | Оставляем пустым |
| Машины, для которых доступна релейная передача почты: | Оставляем пустым |
| Сокращать количество DNS-запросов до минимума (дозвон по требованию)? | Нет |
| Метод доставки локальной почты: | Maildir формат в домашнем каталоге |
| Разделить конфигурацию на маленькие файлы? | Да |
Теперь нужно удалить из каталога /var/mail файл с именем пользователя, созданного при установке системы (у меня обычно administrator).
Удаление лишнего файла
Создадим сервисы ALD для работы с почтой:
Создание сервисов ALD и ключей Kerberos
ald-admin service-add imap/server.local.lan ald-admin sgroup-svc-add imap/server.local.lan —sgroup=mac ald-admin sgroup-svc-add imap/server.local.lan —sgroup=mail ald-admin service-add smtp/server.local.lan ald-admin sgroup-svc-add smtp/server.local.lan —sgroup=mac ald-admin sgroup-svc-add smtp/server.local.lan —sgroup=mail ald-client up-svc-keytab imap/server.local.lan —ktfile=»/var/lib/dovecot/dovecot.keytab» ald-client up-svc-keytab smtp/server.local.lan —ktfile=»/var/lib/dovecot/dovecot.keytab»
Указывая имя сервиса, важно помнить, что после слеша указывается то же самое имя сервера, что и в файле /etc/hostname. Если даже в настройках Bind вы потом укажете, что mail.local.net и smtp.local.net являются всего лишь псевдонимами для server.local.net, почта работать не будет, потому что Kerberos очень строго проверяет этот параметр.
После создания файла ключей нужно предоставить доступ к нему для dovecot:
Доступ к файлу ключей
Dovecot
Выполняем настройку dovecot. Если убрать все комментарии из файлов, то получится примерно следующее (в тех файлах, где меняли):
Я не могу в настройку SSL. Отключаем:
driver = pgsql connect = host=localhost dbname=exim user=exim password=exim default_pass_scheme = PLAIN password_query = SELECT login as username, password FROM accounts WHERE login = ‘%n’ user_query = SELECT maildir as home,1003 as uid,1003 as gid FROM accounts WHERE login = ‘%n’
отправляю сообщение командой:
Письмо сохраняется в каталоге:
Теперь перехожу к Thunderbird. Создаю учетную запись test@astra с протоколом POP3. При отправке письма на адрес retest@astra создается папка «Send» и в нее помещается отправленное сообщение. Так же оно помещается в каталог /d/retest/new/.
При создании учетной записи test@astra, но с протоколом IMAP, сообщения отправляются только в каталог /d/retest/new/, а в Thunderbird’e процесс повисает при попытке Копирования сообщения в папку «Sent».
При попытке подключения с другого компа на сервер, соответственно, не возможно подключаться.
Что это за папка Sent? И может мне надо настроить сам Thunderbird?
Настройка почтового сервера Exim
Exim — это агент пересылки сообщений для ОС Linux. В данной статье мы разберём основные настройки, которые вы можете выполнить для почтового сервера.
Файл конфигурации
Основные настройки почтового сервера Exim находятся в конфигурационном файле. Вы можете найти его по одному из путей:
Как изменить порты
Узнать, какие порты Exim слушает по умолчанию, можно с помощью команды:
Чтобы изменить прослушиваемые порты, откройте файл конфигурации Exim. За порты отвечают строки:
Внесите необходимые изменения и перезапустите почтовый сервер одной из команд:
Снова проверяем список прослушиваемых портов, чтобы убедиться, что изменения приняты.
Как изменить IP-адрес, с которого отправляется почта
Вы можете настроить отправку почты как с одного IP-адреса для всех доменов сервера, так и с разных IP для каждого домена.
Один IP-адрес для всех доменов сервера
В файле конфигурации в секции transports добавьте строку:
Где 188.120.24.34 — необходимый IP-адрес.
После внесения изменений перезапустите почтовый сервер одной из команд:
Разные IP-адреса для разных доменов
В файле конфигурации в секции transports должна быть строка следующего вида:
Откройте файл, указанный в пути:
Укажите IP-адреса для нужных доменов:
После внесения изменений перезапустите почтовый сервер одной из команд:
Чтобы проверить, что вы всё сделали верно, отправьте письмо на ваш личный (внешний) почтовый ящик и просмотрите заголовки.
Как ограничить количество исходящих писем
Чтобы не попасть в спам за рассылку большого количества писем, вы можете установить лимит на отправку исходящей почты.
Через терминал
Откройте файл конфигурации и настройте директиву следующим образом:
Перезагрузите почтовый сервер, чтобы изменения вступили в силу:
В итоге выставляется ограничение в 50 писем в час для почты, отправленной не по SMTP (например, через PHP mail), и в 100 писем для отправки через SMTP. В файле /etc/exim/whitelist создается белый список хостов, на которые лимит не действует.
Если вы хотите ограничить отправку писем от определённых почтовых доменов, в конфигурационном файле необходимо добавить раздел перед begin acl :
Перезагрузите почтовый сервер, чтобы изменения вступили в силу:
В файле /etc/exim/deny.domains укажите домены или почтовые ящики, с которых будет блокироваться отправка писем:
Через панель управления ISPmanager 5 Business
ISPmanager Business (в Lite данного функционала нет) позволяет указать для каждого пользователя максимальное количество писем, которое может быть отправлено с каждого почтового ящика этого пользователя в час.
