Уровень сложности:
Длительность курса: 40 ак.ч.
График обучения: 40 ак. часов, 5 занятий по 8 ак. часов или 10 занятий по 4 ак. часов
Аннотация
Целью изучения дисциплины «SEC-LINUX. Обеспечение безопасности ОС Linux» является формирование у слушателей знаний и навыков, необходимых для обеспечения информационной безопасности при использовании операционных систем семейства Linux. Выпускник курса будет способен настраивать систему безопасности Linux-серверов и рабочих станций, используя весь спектр доступных механизмов — от базового разграничения прав доступа и аутентификации до систем мандатного контроля и обеспечения целостности.
Знания и умения, полученные в результате обучения
Знания
- Принципы дискреционного разграничения доступа (DAC). Биты доступа (rwx) для владельца, группы и остальных. Назначение и риски использования атрибутов SUID/SGID. Специальные атрибуты файлов (например, immutable). Концепция Linux-привилегий (Capabilities) как альтернатива SUID.
- Архитектура и компоненты PAM (Pluggable Authentication Modules). Назначение ключевых модулей PAM (pam_pwquality, pam_faillock и др.). Принципы работы и отличия механизмов повышения полномочий su, sudo и PolKit.
- Ограничения DAC и необходимость мандатного контроля доступа (MAC). Основные реализации MAC: AppArmor, SELinux и PARSEC. Модель безопасности Белла-Лападулы. Принципы многоуровневой (MLS) и многокатегорийной (MCS) безопасности в SELinux и PARSEC.
- Уязвимости процесса загрузки ОС и методы их устранения. Роль и настройки загрузчика GRUB2 для обеспечения безопасности. Принципы шифрования данных на уровне разделов диска и файловых систем.
- Принципы изоляции процессов: пространства имен (namespaces), контрольные группы (cgroups), фильтрация системных вызовов (seccomp). Эволюция от chroot к современным инструментам изоляции. Концепция систем-киосков.
- Подходы и инструменты для контроля целостности файловых систем (HIDS). Принципы работы и отличия инструментов AIDE, AFICK и osec. Интеграция контроля целостности в комплексные системы мониторинга (SIEM).
- Понятие и цели создания Замкнутой Программной Среды (ЗПС). Роль и принципы работы технологий Integrity Measurement Architecture (IMA) и Extended Verification Module (EVM).
- Риски, связанные с использованием съемных носителей и внешних устройств. Принципы контроля доступа на уровне подсистемы ядра.
Умения
- Настройка доступа с помощью POSIX ACL (Access Control Lists). Управление привилегиями процессов с использованием Capabilities. Практическое применение команд setfacl/getfacl, chattr.
- Настройка политик паролей: срок действия, сложность, блокировка учетной записи после неудачных попыток входа. Конфигурирование прав пользователей через sudo и PolKit.
- Настройка профилей AppArmor для ограничения возможностей приложений. Базовая настройка и управление политиками SELinux (работа с контекстами, портами, булевыми переменными). Реализация многоуровневой и многокатегорийной безопасности.
- Защита процесса загрузки (установка пароля на GRUB2, безопасная конфигурация). Создание и управление зашифрованными разделами с помощью LUKS (Linux Unified Key Setup).
- Создание изолированных окружений с помощью firejail и bubblewrap (bwrap). Настройка системы-киоска для ограничения среды пользователя.
- Развертывание, настройка и использование систем контроля целостности AIDE, AFICK и osec. Анализ отчетов и реагирование на нарушения целостности.
- Настройка контроля доступа к USB-устройствам с помощью USBGuard (создание политик, белых и черных списков).
Курсы, в освоении которых помогут приобретенные знания
Курсы связанных направлений
Программы профессиональной переподготовки
| Даты занятий | Расписание занятий |
|
01.10.2025 - 13.07.2026
18:00 - 21:20
онлайн
Занятия в этой группе уже начались!
Группа:
ПП.Защита информации [осень 2025-9]
|
|
|
03.03.2026 - 30.06.2026
19:00 - 21:20
онлайн
Занятия в этой группе уже начались!
Группа:
ПП.Защита информации [весна 2026-9]
|
| Дата | Время | Аудитория | Преподаватель |
03.03.2026
вторник
|
19:00 - 20:00
|
_Онлайн
|
Орлов Егор Сергеевич
|
04.03.2026
среда
|
18:00 - 21:20
|
Дистанционно
|
|
06.03.2026
пятница
|
18:00 - 21:20
|
_Онлайн
|
Мурзинцев Степан Витальевич
|
10.03.2026
вторник
|
18:00 - 21:20
|
Дистанционно
|
|
12.03.2026
четверг
|
18:00 - 21:20
|
Дистанционно
|
|
17.03.2026
вторник
|
18:00 - 21:20
|
Дистанционно
|
|
19.03.2026
четверг
|
18:00 - 21:20
|
_Онлайн
|
Мурзинцев Степан Витальевич
|
26.03.2026
четверг
|
18:00 - 21:20
|
Дистанционно
|
|
31.03.2026
вторник
|
18:00 - 21:20
|
_Онлайн
|
Орлов Егор Сергеевич
|
02.04.2026
четверг
|
18:00 - 21:20
|
Дистанционно
|
|
07.04.2026
вторник
|
18:00 - 21:20
|
_Онлайн
|
Орлов Егор Сергеевич
|
09.04.2026
четверг
|
18:00 - 21:20
|
Дистанционно
|
|
14.04.2026
вторник
|
18:00 - 21:20
|
_Онлайн
|
Орлов Егор Сергеевич
|
16.04.2026
четверг
|
18:00 - 21:20
|
Дистанционно
|
|
21.04.2026
вторник
|
18:00 - 21:20
|
_Онлайн
|
Орлов Егор Сергеевич
|
30.04.2026
четверг
|
18:00 - 21:20
|
_Онлайн
|
Орлов Егор Сергеевич
|
07.05.2026
четверг
|
18:00 - 21:20
|
_Онлайн
|
Орлов Егор Сергеевич
|
08.05.2026
пятница
|
18:00 - 21:20
|
Дистанционно
|
|
12.05.2026
вторник
|
18:00 - 21:20
|
Дистанционно
|
|
15.05.2026
пятница
|
18:00 - 21:20
|
Дистанционно
|
|
19.05.2026
вторник
|
18:00 - 21:20
|
_Онлайн
|
Мурзинцев Степан Витальевич
|
22.05.2026
пятница
|
18:00 - 21:20
|
_Онлайн
|
Мурзинцев Степан Витальевич
|
26.05.2026
вторник
|
18:00 - 21:20
|
Дистанционно
|
|
29.05.2026
пятница
|
18:00 - 21:20
|
_Онлайн
|
Мурзинцев Степан Витальевич
|
03.06.2026
среда
|
18:00 - 21:20
|
Дистанционно
|
|
04.06.2026
четверг
|
18:00 - 21:20
|
Дистанционно
|
|
09.06.2026
вторник
|
18:00 - 21:20
|
_Онлайн
|
Орлов Егор Сергеевич
|
10.06.2026
среда
|
18:00 - 21:20
|
Дистанционно
|
|
11.06.2026
четверг
|
18:00 - 21:20
|
Дистанционно
|
|
16.06.2026
вторник
|
18:00 - 21:20
|
_Онлайн
|
Орлов Егор Сергеевич
|
17.06.2026
среда
|
18:00 - 21:20
|
Дистанционно
|
|
18.06.2026
четверг
|
18:00 - 21:20
|
Дистанционно
|
|
23.06.2026
вторник
|
18:00 - 21:20
|
_Онлайн
|
Орлов Егор Сергеевич
|
30.06.2026
вторник
|
18:00 - 21:20
|
_Онлайн
|
Орлов Егор Сергеевич
|
|
40 000 ₽
Расчёт стоимости с учётом возможных скидок
40 000 ₽
Скидки предоставляются в зависимости от количества слушателей, суммы договора и других условий, оговариваемых с Заказчиком.
Расчёт стоимости с учётом возможных скидок представлен как справочная информация.
Фактический размер скидки может несколько отличаться из-за округления значения суммы.
Внимательно ознакомьтесь с условиями действующих
акций и скидок...
Слушатели программы должны обладать пользовательскими навыками и базовыми навыками администрирования ОС Linux.
Курсы, обеспечивающие достаточный начальный уровень знаний
Вступительное тестирование
Тест № ВКТ-140 Вступительное тестирование на курсы по архитектуре и администрированию Linux
- Ключевые директории согласно стандарта FHS
- Важнейшие утилиты командного интерпретатора
- Монтирование файловых систем и опции монтирования
- Механизмы безопасности, права доступа к объектам файловой системы
- Менеджеры пакетов и зависимостей в различных дистрибутивах
- Учетные записи для пользователей, групп и служб
- Загрузка и система инициализации ОС
- Ключевые конфигурационные файлы сетевых служб
- Работа с подсистемами RAID, LVM, UDEV, Device Mapper
- Конфигурация ядра и управление модулями ядра
- Решение типовых проблем функционирования и загрузки ОС Linux
Модуль 1. Дискреционное разграничение доступа в Linux.
- Принципы дискреционного разграничения доступа.
- Биты доступа UNIX.
- Атрибуты SUID/SGID.
- Списки контроля доступа (Posix ACL - Access Control Lists).
- Специальные атрибуты (флаги) файлов.
- Привилегии Linux.
Лабораторная работа 1.
- Настройка списков контроля доступа в Linux (Posix ACL).
- Управление привилегиями процессов.
Модуль 2. Управление подсистемой аутентификации. Подключаемые модули аутентификации (PAM)
- Аутентификация и авторизация в ОС Linux.
- Структура PAM - Pluggable Authentication Modules.
- Назначение основных модулей PAM.
- Механизмы повышения полномочий - su/sudo.
- Механизм PolKit (PolicyKit)
Лабораторная работа 2.
- Настройка временных ограничений паролей учетных записей пользователей.
- Настройка требований стойкости для вводимых паролей.
- Создание стойких ко взлому паролей.
- Настройка блокировок учетных записей при неправильном вводе паролей.
Модуль 3. Мандатное разграничение доступа (AppArmor, SELinux, PARSEC).
- Необходимость мандатного разграничения доступа.
- Основные реализации мандатного доступа и их особенности.
- Мандатный доступ средствами AppArmor
- Целевая (targeted) политика SELinux
- Модель Белла-Лападулы.
- Многоуровневая и многокатегорийная безопасность в SELinux и PARSEC
Лабораторная работа 3.
- Настройка Apparmor, блокировка возможности приложений.
- Настройка SELinux.
- Многоуровневая безопасность средствами SELinux/PARSEC.
Модуль 4. Ограничение доступа к узлам с ОС Linux.
- Обход защитных механизмов системы при физическом доступе к узлу.
- Обеспечение безопасности процесса загрузки ОС Linux.
- Настройки загрузчика GRUB2.
- Инструменты обеспечения доверенной загрузки.
- Шифрование данных и разделов системы.
- Контроль доступа к съемным носителям и внешним устройствам.
Лабораторная работа 4.
- Обеспечение безопасности загрузки ОС Linux.
- Настройка шифрования разделов системы средствами LUKS.
- USBGuard. Настройка контроля доступа к отчуждаемым магнитным носителям.
Модуль 5. Использование механизмов изоляции (chroot/namespaces, seccomp, cgroups). Системы-киоски
- Принципы работы изоляции на файловой системе.
- Применение Namespaces в Linux.
- Фильтрация системных вызовов средствами seccomp.
- Инструменты создания изолированных окружений.
- Ограничения доступных пользователю приложений (системы-киоски)
Лабораторная работа 5.
- Настройка изоляции средствами firejail и bwrap
- Настройка системы-киоска в Linux.
Модуль 6. Контроль целостности системы.
- Контроль целостности системы и системных файлов. Основные подходы и инструменты.
- Контроль целостности системы средствами AFICK.
- Контроль целостности системы средствами AIDE.
- Контроль целостности системы средствами osec.
- Контроль целостности системы в комплексных HIDS/SIEM-системах.
- Технологии создания замкнутой программной среды (ЗПС) в ОС на основе ядра Linux.
Лабораторная работа 6.
- Использование инструментов AIDE, osec, AFICK для контроля целостности системы.
- Создание собственного инструментария контроля целостности системы.