Архитектура безопасности SAIKYO OS

SAIKYO OS построена с учётом принципа "безопасность по умолчанию". Все компоненты системы настроены для обеспечения максимальной защиты без ущерба для удобства использования.

Уровни защиты

1. Защита ядра

• Кастомное ядро 6.12 — с патчами безопасности и hardening
• KASLR — рандомизация адресного пространства ядра
• SMEP/SMAP — защита от выполнения кода из пользовательского пространства
• Модули ГОСТ — криптографические модули ядра

2. Мандатный контроль доступа

• AppArmor — профили для изоляции приложений
• Capabilities — минимальные привилегии для процессов
• Namespaces — изоляция ресурсов

Подробнее: Настройка AppArmor

3. Сетевая безопасность

• nftables — современный firewall
• fail2ban — защита от брутфорса
• SSH hardening — усиленная конфигурация SSH

Подробнее: Настройка Firewall

4. Криптография

• ГОСТ Р 34.10-2012 — электронная подпись
• ГОСТ Р 34.11-2012 — хеширование (Стрибог)
• LUKS — шифрование дисков
• OpenSSL GOST — криптографический провайдер

Подробнее: ГОСТ криптография

5. Антивирусная защита

• SAIKYO AV — графический интерфейс
• ClamAV — антивирусный движок
• Автообновление — базы обновляются каждые 4 часа
• Сканирование по расписанию — автоматические проверки

Подробнее: Антивирус SAIKYO AV

6. Аудит и мониторинг

• auditd — журналирование событий безопасности
• rsyslog — централизованное логирование
• samhain — контроль целостности файлов

Подробнее: Аудит системы

Настройки по умолчанию

Включено

• ✅ AppArmor с базовыми профилями
• ✅ Firewall (nftables) — разрешён только исходящий трафик
• ✅ Автообновление антивирусных баз
• ✅ Аудит системных событий
• ✅ Блокировка root по SSH
• ✅ Ограничение sudo

Отключено (для удобства)

• ❌ SELinux (используется AppArmor)
• ❌ Полнодисковое шифрование (опционально при установке)
• ❌ Двухфакторная аутентификация (настраивается отдельно)

Рекомендации по усилению

Для рабочих станций

1. Включите шифрование домашнего каталога
2. Настройте автоблокировку экрана
3. Используйте менеджер паролей
4. Регулярно обновляйте систему

Для серверов

1. Используйте SSH-ключи вместо паролей
2. Настройте fail2ban
3. Ограничьте сетевой доступ через firewall
4. Включите полный аудит
5. Настройте мониторинг и алерты

Для работы с конфиденциальными данными

1. Используйте редакцию SAIKYO OS Secure
2. Включите полнодисковое шифрование LUKS
3. Настройте усиленные профили AppArmor
4. Используйте ГОСТ криптографию
5. Ведите журнал всех операций

Обновления безопасности

SAIKYO OS получает обновления безопасности из репозитория Debian и собственного репозитория SAIKYO. Рекомендуется настроить автоматические обновления:

# Установка unattended-upgrades
sudo apt install unattended-upgrades

# Включение автообновлений
sudo dpkg-reconfigure unattended-upgrades

Сообщить об уязвимости

Если вы обнаружили уязвимость в SAIKYO OS, пожалуйста, сообщите нам:

• Email: security@saikyo-os.ru
• Используйте PGP для шифрования сообщения
• Мы ответим в течение 48 часов