Сервер сетевой безопасности.

К примеру, в системе astra linux SE применяется мандатный режим безопасности.

Это значит, что на выполнение любой операции требуется некоторый уровень безопасности (security level).

Даже имея возможность сделать sudo из под пользователя с изначально низким уровнем безопасности полученный root тоже будет иметь низкий уровень безопасности.

Хоть ID root и будет 0, т.е. наивысший уровень доступа, но уровень безопасности будет от пользователя из под которого делался sudo.

Если система собрана на базе astra linux se или ядро этой системы собрано с патчами реализующими мандатный уровень доступа, то ты ничего не сможешь изменить без настройки для своего пользователя необходимого уровня безопасности.

С другой стороны, если ты можешь менять параметры сети через вызов команд, то значит либо пользователь под которым ты работаешь всё же имеет требуемый уровень безопасности, но тогда ты должен мочь менять и файлы конфигурации сети из под загруженной системы, либо некорректно настроен мандатный режим доступа к файлам конфигурации сети.

Если есть /etc/network/interfaces - следовательно это Debian-based дистрибутив, возможно Astra Linux.

Помимо файла /etc/network/interfaces ещё может быть директория /etc/network/interfaces.d.

Если тебе передали оборудование официально, то с ним должна поставляться документация. В том числе указано как его настраивать и как в нём настраивается безопасность и как вносить правки в конфигурацию.

Возможно, есть некоторое хранилище, в котором есть контрольные суммы системных файлов.

Читай документацию.

Спасибо за ответ. По поводу тех документации нет ни чего так как по контракту все что связанно с настройками и обслуживанием закреплено за изготовителем, я по сути просто должен говорить что хочу они править, но в нашем географическом положении нет по близости представителей изготовителя и они не исполняют заявки. А мне от этого не проще, работу требуют и начальство такие вещи не различает для них это высшие материи, но виноватым все равно меня делают. Вот я и пытаюсь понять чужую разработку

etc/network/interfaces.d отсутствует, а в interfaces все равно пусто только lo подняли для корректной работы.

так как по контракту все что связанно с настройками и обслуживанием закреплено за изготовителем, я по сути просто должен говорить что хочу они править

Ты понимаешь, что в случае любого инцидента и последующей проверки (или даже просто проверки без инцидента) ты будешь крайний со своими изменениями, если таки сумеешь их сделать?

В принципе, если подобные обстоятельства не пугают, то наверное и стереть то, что там стоит и накатить свой дистр тоже может быть решением. Еще лучше, если можно открыть корпус и просто свой hdd/ssd поставить. Естественно все забекапив, что можно, в том числе содержимое UEFI, если туда что-то добавлялось.

Вот я и пытаюсь понять чужую разработку

Скопируй целиком образ диска и изучай где-нибудь на отдельном компе в виртуалке/chroot это чудо.

И кстати, насчет маршрутизации. Уже давно ifconfig для этого стал deprecated. Может быть с этим связано, хотя если команда в наличии - хз.

команды бывют изменены systemctl не знает а sysctl знает

Военный сервер безопасной сетевой безопасности попал в надежные руки.

версию ядра 3.12 vvm

У него очень старый Linux.

Все законно и санкционировано я везде имею на это допуски, ещё раз повторюсь это от безысходности так. И он работает в сетях провайдера отделяя все ланы от ванов как межсетевой экран без категорированной информации. Но соглашусь с тем что много других устройств которые работают с такими же системами и этот опыт будет полезен

Какой вывод? Это все равно как понять Макинтош из изнутри не имея на это декомпилятора?

Есть риск доэкспериментироваться до неработоспособности сервера. Поэтому бекапы всего и вся.

Что до понять, это все-таки линукс, причем вряд ли совсем с радикальными переделками, но для начала хорошо бы выяснить все-таки, что там за в точности за система. uname -a что говорит? В документации она как-то названа?

я по сути просто должен говорить что хочу они править

Он в инет доступ имеет? Ибо если так, там может быть что-то типа паппета, который собственно все изменения и откатывает. И именно через правки конфигов условного паппета У СЕБЯ они могут применять настройки у тебя.

axaxaxa, аж потом покрылся, введи фио свое и нажми перезапустить)

root@xxx:~# uname -a Linux xxx 3.10.12-vmm #1 SMP Mon Nov 21 12:23:21 UTC 2016 x86_64 GNU/Linux Вообще не информативно отвечает. И на счёт доэкспериментироваться не страшно, так как он и так не работает и тот сегмент сети за который отвечает просто на аварии, хуже не будет)))

Прямого доступа не имеет работает по 2м vpn-ам.

Да, собственно, все равно, прямой или кривой. Если имеет возможность «звонить домой», скорее всего природа «откатов» связана именно с этим. Проверить просто - выдернуть концы, внести изменения, подождать/ребутнуть. Если изменения не откатились, 100% «звонит домой». Если откатились, возможны варианты.

Я изначально это проверил и все манипуляции делал отключив все коммуникации физически.

Значит, нечто подобное крутится локально (ведь никто не запрещает использовать тот же паппет локально, хе-хе).

по контракту все что связанно с настройками и обслуживанием закреплено за изготовителем

В таком случае команды для настройки интерфейсов даются в письменном виде через заранее оговоренный канал связи (электронная почта, бумажные письма, иное) и выглядят как-то так:

Добрый день. На сервере для ввода в работу необходимо сделать следующую конфигурацию:

адрес порта WAN a.b.c.d/n

адрес порта LAN j.k.l.m/x

установить правила файрвола

• разрешить то
• разрешить сё
• пробросить туда
• запретить остальное

С уважением, верховный сисадмин t-230-03

Либо, если они этого не делают, звонишь и запрашиваешь руководство по эксплуатации, а начальству своему кладёшь докладную, что сервер стандартными командами не управляется, работать с ним нет возможности до получения документации производителя.

Было принято решение установить новое по. Посоветуйте пожалуйста какое ставить на него, чтоб и дисплей можно было завести на лицевой панели. Конфиг advantech fwa-3231. CPU intel xeon e3-1275 v3 3.5GHz, total memory 8192 ddr3. Bios 4.6.5.4 uefi

Да ещё есть 2 hdd по 500гб

Пока-пока сертификация. Ну и вообще это какой-то шиндошс шау, все равно, что зверь двд ставить.

А как же Astra-linux?

Сертифицируют в твоем случае программно-аппаратный комплекс, причем с конкретными версиями ПО и прошиврк. Даже если ты браузер на нем обновишь или Midnight Commander, или используешь несертифицированную версию микрокода для процессора, пока-пока сертификация.

Все уже сделал и настроил, надзорный орган утвердил изменения тем более для не грифованой инфы. Вопрос остался в том что на astra linux нет iperf и установить у меня не получается. И ещё я не понимаю как сделать чтоб на лицевой панели дисплей стал отображать информацию

Advantech fva-3132

на astra linux нет iperf

https://wiki.astralinux.ru/pages/viewpage.action?pageId=16810141

https://wiki.astralinux.ru/pages/viewpage.action?pageId=149062354
я про контекст сертификации.
понятно что ссылки официальные и противоречат друг другу.
я б задал вопрос в службу техподержки астры.
ну и пациент пишет про astralinux se, но не указывает какой именно.
есть десктоп 1.7, есть брест, который сервер, в котором возможно есть iperf.

С такой работы надо увольняться, если конечно есть такая возможность. Напомню, что ты и присесть можешь за своевольные изменения если что-то пойдёт не так, а оно пойдёт. Вот поломают тебя какеры злые, а экспертиза установит что это ты криво что-то сделал/изменил параметры безопасности и скажут что ты инсайдер, который в сговоре с какерами систему поломал.

В плане сертификации - хз, скорее всего нельзя. Официально в рамках расширенного репозитария пакеты брать можно(расширенный репозитарий делается на базе Astra Linux Common Edition и заявлено что он частично совместим со Special Edition, если я правильно понял)

Но вообще да, когда речь идет о сертифицированных вещах правильный заход - это сначала обратиться в саппорт, а потом уже всё крушить и ломать

Друзья ну вы что жути то нагнали? Додумали то чего нету. Этот сервак пойдет на работу вместо маршрутизатора и будет работать на транспортных сетях в магистрали т.е. через него будут идти уже зашифрованные тоннели криптомаршрутизаторов там вообще есть радиорелейные каналы и спутниковые а они как всем известно вообще общедоступны. Так что не нужно жути нагонять. Лучше помогите вывести какую нибудь информацию или закрепить какой нибудь функционал на дисплей на лицевой панели advantech