Подробный гайд: повышение конфиденциальности в Astra Linux 1.6 без прав администратора

Гайд по приватности в Astra Linux 1.6 без root: очистка истории, ecryptfs, браузер, блокировка экрана, права файлов. Пошаговая инструкция для пользователя.

Подробный гайд: повышение конфиденциальности в Astra Linux 1.6 без прав администратора

Важно:

Без прав sudo/root вы можете настроить только пользовательский уровень защиты. Системные параметры, мандатное управление доступом (МРД) и политики безопасности изменяются только администратором.

Что можно настроить самостоятельно

1. Настройка окружения и истории команд

Редактируйте `~/.bashrc` или `~/.bash_profile`:

# Ограничение истории команд
export HISTSIZE=100          # Макс. команд в памяти
export HISTFILESIZE=50       # Макс. команд в файле
export HISTCONTROL=ignoredups:erasedups  # Не дублировать команды

# Автоматическая очистка чувствительных команд
shopt -s histreedit          # Разрешить редактирование истории
shopt -s cmdhist             # Сохранять многострочные команды как одну

# Запрет записи чувствительных команд в историю
export HISTIGNORE="*password*:*secret*:*key*:*token*"

# Очистка истории при выходе
trap 'history -c; history -w' EXIT

Файл .bash_history можно сделать доступным только для чтения: chmod 400 ~/.bash_history

2. Шифрование личных файлов (ecryptfs)

Если установлен `ecryptfs-utils`, можно зашифровать приватную папку:

# Создание зашифрованной директории
mkdir ~/.private
mount -t ecryptfs ~/.private ~/.private

# Параметры при первом монтировании:
# - passphrase: ваш пароль
# - cipher: aes
# - key type: passphrase
# - plaintext: no
# - enable filename encryption: yes

Требуется предварительная установка пакета администратором. После монтирования все файлы в ~/.private автоматически шифруются.

3. Настройка браузера для приватности

Firefox/Chromium в Astra Linux:

// Создайте ~/.mozilla/firefox/xxxx.default/user.js
user_pref("privacy.trackingprotection.enabled", true);
user_pref("privacy.donottrackheader.enabled", true);
user_pref("privacy.resistFingerprinting", true);
user_pref("network.cookie.cookieBehavior", 1);
user_pref("browser.privatebrowsing.autostart", true);

Дополнительно:

Установите расширения: uBlock Origin, Privacy Badger, HTTPS Everywhere
Используйте режим инкогнито по умолчанию
Отключите сохранение паролей и автозаполнение

4. Блокировка сессии и экрана

Настройка автоматической блокировки:

# Для графической сессии Fly (Astra Linux):
gsettings set org.gnome.desktop.screensaver lock-enabled true
gsettings set org.gnome.desktop.screensaver idle-activation-enabled true
gsettings set org.gnome.desktop.session idle-delay 300  # 5 минут

# Горячая клавиша блокировки: Ctrl+Alt+L

В Astra Linux доступен инструмент astra-shutdown-lock для блокировки при завершении работы.

5. Управление файлами и правами доступа

Приватные файлы в домашней директории:

# Ограничение доступа к личным файлам
chmod 700 ~/Документы/конфиденциальное
chmod 600 ~/.ssh/* 2>/dev/null
chmod 600 ~/.gnupg/* 2>/dev/null

# Проверка прав
find ~ -perm -o+r -type f 2>/dev/null  # Поиск файлов, доступных другим

В Astra Linux с включённым МРД пользователь с нулевым уровнем не сможет читать файлы с более высоким уровнем конфиденциальности.

6. Очистка метаданных и следов

Скрипт для очистки (`~/bin/clean-traces.sh`):

#!/bin/bash
# Очистка истории команд
history -c && history -w

# Очистка кэша приложений
rm -rf ~/.cache/mozilla/firefox/*/cache2/*
rm -rf ~/.cache/chromium/*/Cache/*

# Удаление временных файлов
find ~/.local/share/Trash -type f -delete 2>/dev/null
find /tmp -user $USER -type f -delete 2>/dev/null

# Очистка ~/.recently-used.xbel
> ~/.local/share/recently-used.xbel

7. Работа с мандатными атрибутами (только просмотр)

Просмотр своих мандатных атрибутов:

# Текущий контекст безопасности
pdp-id

# Просмотр меток файлов (если доступны)
pdpl-file -g ~/Документы/важный_файл

# Запуск программ с определённым уровнем (если разрешено)
pdp-exec -l 1 -- программа  # Только если у пользователя есть права

Изменение мандатных атрибутов (pdpl-file -s) требует привилегий или прав администратора.

Что НЕЛЬЗЯ сделать без прав администратора

Функция	Почему недоступно
Включение МКЦ на ФС	Требует `pdp-init-fs` от root
Изменение политик МРД	Настраивается в `/usr/sbin/pdp-init-fs`
Настройка `ufw`/`iptables`	Требует доступа к сетевому стеку
Установка пакетов	Требуется `apt` с правами суперпользователя
Изменение `/etc/` конфигов	Системные файлы защищены от записи
Назначение уровней целостности	Управляется через `fly-admin-smc`

Чек-лист быстрой настройки

# 1. Приватность истории
echo 'export HISTCONTROL=ignoredups:erasedups' >> ~/.bashrc
echo 'export HISTIGNORE="*password*:*secret*"' >> ~/.bashrc

# 2. Права на файлы
chmod 700 ~/Документы ~/Загрузки
find ~ -name "*.key" -o -name "*.pem" | xargs chmod 600 2>/dev/null

# 3. Автоблокировка экрана
gsettings set org.gnome.desktop.screensaver lock-enabled true 2>/dev/null

# 4. Очистка кэша при выходе
echo 'rm -rf ~/.cache/mozilla/firefox/*/cache2/* 2>/dev/null' >> ~/.bash_logout

# 5. Проверка настроек
pdp-id  # Убедитесь, что уровень конфиденциальности установлен корректно

Если нужны дополнительные возможности

1. Обратитесь к администратору с запросом на:

Включение МКЦ на домашний каталог
Настройку ecryptfs для автоматического шифрования $HOME
Предоставление прав через sudoers на конкретные команды

2. Используйте контейнеры (если разрешено):

   # Запуск изолированного окружения (если firejail установлен)
   firejail --private=~/secure_folder программа

Документируйте запросы на повышение уровня доступа — в защищённых системах это стандартная процедура.