Подробный гайд: Настройка ПАК «Соболь 4» на Astra Linux

Пошаговая настройка ПАК Соболь 4 на Astra Linux: установка драйверов, контроль целостности, инициализация платы, диагностика и устранение неполадок

2026.05.13                  

Подробный гайд: Настройка ПАК «Соболь 4» на Astra LinuxПодробный гайд: Настройка ПАК «Соболь 4» на Astra Linux

Важно:

Перед началом работ убедитесь, что у вас есть физический доступ к плате «Соболь 4», права root в системе, и совместимая версия Astra Linux (Special Edition 1.4–1.7 или Common Edition 2.12.40+).

1. Системные требования

Компонент Требования
ОС Astra Linux Special Edition 1.4/1.5/1.6/1.7; Common Edition 2.12.40(42)
Файловая система EXT2, EXT3, EXT4
Архитектура x86_64 (64-бит)
Свободное место ≥50 МБ на системном диске (структура GPT)
Права Доступ root для установки и настройки

2. Установка ПО «Соболь 4»

Шаг 2.1: Подготовка

  1. Убедитесь, что плата «Соболь» ещё не установлена в ПК (рекомендуется устанавливать драйвер до физической установки карты).
  2. Скопируйте установочные .deb-пакеты с диска поставки в локальную директорию,

например:

   mkdir ~/sobol_install && cd ~/sobol_install
   # скопируйте файлы: sobol_4.4-XX-astra1.X_amd64.deb и sobol-scheck_4.4-XX-astra1.X_amd64.deb

Шаг 2.2: Установка драйвера платы

# Установка основного пакета драйвера
sudo dpkg -i sobol_4.4-*-astra*.deb

# При необходимости установите зависимости
sudo apt-get install -f

# Загрузка модуля ядра
sudo modprobe sobol

# Проверка загрузки модуля
lsmod | grep sobol
# Должно вывести: sobol  XXXXX  0

Модуль драйвера:

/lib/modules/$(uname -r)/kernel/drivers/char/sobol.ko

Шаг 2.3: Установка утилиты управления (scheck)

# Установка пакета управления шаблонами КЦ
sudo dpkg -i sobol-scheck_4.4-*-astra*.deb

# Проверка установки
which scheck
# Должно вывести: /usr/bin/scheck

3. Настройка контроля целостности (КЦ)

Вариант А: Через командную строку (утилита scheck)

Все команды scheck выполняются от имени root!

Просмотр текущих настроек

# Показать пути к файлам шаблонов КЦ
scheck --ls-path

# Показать список контролируемых файлов
scheck --ls-files

# Показать список контролируемых секторов
scheck --ls-sectors

# Показать информацию о дисках и разделах
scheck --ls-drives

Добавление файлов в контроль целостности

# Добавить один файл
scheck --add-file /путь/к/файлу

# Пример: добавить конфигурационный файл SSH
scheck --add-file /etc/ssh/sshd_config

# Добавить несколько файлов из списка
# Формат файла списка: каждая строка — полный путь к файлу
scheck --add-ls-files /путь/к/файлу_со_списком.txt

Добавление секторов диска

# Добавить сектор (нумерация с 0)
scheck --add-sector sda:0          # загрузочный сектор диска sda
scheck --add-sector sda1:0         # первый сектор раздела sda1

# Добавить несколько секторов из файла
# Формат: устройство:номер_сектора
scheck --add-ls-sectors /путь/к/секторам_списка.txt

Удаление объектов из контроля

# Удалить файл
scheck --rm-file /путь/к/файлу

# Удалить сектор
scheck --rm-sector sda:0

# Очистить все списки
scheck --clear-files
scheck --clear-sectors

# Восстановить шаблоны по умолчанию
scheck --reset-files
scheck --reset-sectors

Экспорт логов и резервное копирование

# Создать CSV-файл с логами (указать количество записей)
scheck --create-csvfile /tmp/sobol_log.csv --record-count 1000

# Сохранить UEFI Option ROM в файл
scheck --create-romfile /tmp/sobol_pcie.bin

Вариант Б: Через графический интерфейс (gtk-scheck)

# Запуск GUI-утилиты (требуется графическая сессия)
sudo gtk-scheck

Интерфейс позволяет визуально добавлять файлы, секторы, создавать отчёты.

4. Инициализация «Соболь» (первичная настройка)

Выполняется до включения механизма КЦ, через меню загрузки «Соболь».

  1. Перезагрузите ПК → до загрузки ОС появится меню «Соболь».
  2. Войдите как администратор (по умолчанию требуется токен: iButton/Рутокен).
3. Пройдите шаги мастера:
  • System Settings: проверка времени, портов, серийного номера.
  • General Settings: выбор криптографического ядра (рекомендуется 2015/2018 — алгоритм «Магма»).
  • Password Settings: настройка сложности паролей.
  • Log Settings: параметры журналирования.
  • Administrator Account: регистрация токена администратора + создание резервных копий.
  • Integrity Check: поиск шаблонов КЦ → Start для расчёта контрольных сумм.

Перед инициализацией отключите все USB-накопители, CD/DVD-приводы.

5. Ввод в эксплуатацию

После инициализации:

Тип карты Действие
PCIe Выключить ПК → переключить SW1-1 в положение ON → установить карту в слот → подключить iButton-ридер (при необходимости)
Mini PCIe Half / M.2 Выключить ПК → переключить S1-1/SW1-1 в ON → установить карту

После включения ПК «Соболь» начнёт работу:

  • проверка целостности, аутентификация, защита загрузки.

6. Диагностика и устранение проблем

# Проверка статуса модуля ядра
dmesg | grep -i sobol
journalctl -k | grep sobol

# Проверка прав доступа к устройству
ls -l /dev/sobol*

# Тест связи с платой (через scheck)
scheck --version

# Просмотр логов «Соболь» (через GUI или экспорт в CSV)

Частые ошибки scheck:

Ошибка Причина Решение
Only root can run this program Запуск не от root Выполнять через sudo или под root
file <PATH> is not found Неверный путь или файл удалён Проверить путь, использовать --rm-file для очистки шаблона
sector <DEV>:<NUM> is not found Неверный номер сектора/устройства Проверить через --ls-drives, указать корректные параметры

Полезные ссылки и документация

  • Официальная документация: docs.securitycode.ru

Рекомендации:

  1. Перед изменением шаблонов КЦ создайте резервную копию: scheck --ls-files > backup_files.txt.
  2. При обновлении ядра Astra Linux может потребоваться перекомпиляция модуля sobol.ko — следите за совместимостью версий.
  3. Для работы в режиме «совместного использования» с Astra Linux 1.7+ требуется дополнительная проверка совместимости — на данный момент режим не гарантирован.

При возникновении вопросов обращайтесь в техническую поддержку вендора или в сообщество пользователей Astra Linux. Удачи в настройке!

×

Полный размер Слайдшоу Предыдущий Следующий