Настройка "безопасной" конфигурации ПК и ОС Astra Linux
1. Настройте BIOS (с целью предотвратить загрузку с внешнего носителя)
...
1.1. Установите единственным устройством для загрузки ОС - жесткий диск куда была произведена установка ОС.
1.2. Установите "взломостойкий" пароль на BIOS ПК.
1.3 При возможности - установите и настройте АПМДЗ на ПК.
1.4 Обеспечьте невозможность физического доступа к жесткому диску на котором установлена ОС, или
используйте доступные средства шифрования всего содержимого диска.
1.5 При наличии опций для процессоров Intel Execute Disable Bit (XD-Bit) и для процессоров AMD No Execute Bit (NX-Bit) включите их.
2. Для Intel платформ
Необходимо обязательно отключить Intel Management Engine
, если он интегрирован в процессор. (производитель оборудования должен обеспечить данную возможность).
3. При установке рекомендуется создать отдельные разделы / /boot /home /tmp /var/tmp
Раздел /boot рекомендуется монтировать с опциями ro
(перед обновлением ядра смонтировать в rw
)
Разделы /home /tmp /var/tmp рекомендуется монтировать с опциями noexec,nodev,nosuid
4. Установите все доступные обновления безопасности ОС Astra Linux
для SE:
http://astra-linux.ru/update.html
Обновления безопасности Astra Linux Special Edition 1.5
для CE:
http://mirror.yandex.ru/astra/stable/orel/latest/repository-update/
5. Настройте загрузчик на загрузку ядра PAX и уберите из меню все другие варианты загрузки, включая режимы восстановления.
25.1. Если есть необходимое ПО которое не работает под PAX ядром добавьте его бинарныефайлы бинарные файлы и библиотеки в исключения с помощью paxctl(по умолчанию не установлен). После настройки удалите пакет paxctl.
25.2 Установите "взломостойкий" пароль на загрузчик Grub
(устанавливается по умолчаниюпри умолчанию при установке ОС).
5.3 При использовании архитектур отличных от Intel
установите пароль на загрузчик согласно документации.
6. Установите "
...
взломостойкий" пароли на всех учетных записях в ОС.
36.1 настройте pam_tally
на блокировку учетных записей при попытках подбора паролей. (настроено по умолчанию при установке ОС)
...
7. Настройте дисковые квоты в ОС
Для этого установите пакет quota
настройте /etc/fstab и используйте edquota
для установки квот.
8. Настройте ограничения ОС: ulimits
рекомендуемые настройки /etc/security/limits.conf:
Блок кода | ||||
---|---|---|---|---|
| ||||
#размер дампа ядра
* hard core 0
#максимальный размер создаваемого файла
* hard fsize 50000000
#блокировка форк-бомбы(большого количества процессов)
* hard nproc 1000 |
9. Отключите все неиспользуемые сервисы (в т.ч. сетевые) которые запускаются при старте ОС,
...
используя программы:
chkconfig
и fly-admin-runlevel
в 1.5
systemctl systemdgenie
в 1.6
...
10. Найстройте iptables в минимально необходимой конфигурации необходимой для работы
(по умолчанию все запрещено, кроме необходимых исключений)
в 1.5 iptables ufw
в 1.6 iptables ufw gufw
...
11. Настройте параметры ядра в /etc/sysctl.conf:
11.1 Отключите механизм SysRq
в /etc/sysctl.conf добавьте строку
Блок кода | ||||
---|---|---|---|---|
| ||||
kernel.sysrq = 0 |
Перезагрузите ПК, проверьте что уcтановлен уcтановлено значение 0, командой:
Command |
---|
cat /proc/sys/kernel/sysrq |
...
11.2 дополнтельные рекомендуемые параметры
Блок кода | ||
---|---|---|
| ||
fs.suid_dumpable=0
kernel.randomize_va_space=2
net.ipv4.ip_forward=0
net.ipv4.conf.all.send_redirects=0
net.ipv4.conf.default.send_redirects=0 |
12. Отключите вход в системной
...
косноли без графики
в файле /etc/inittab закомментируйте символом # следующие строки:
Блок кода | ||||
---|---|---|---|---|
| ||||
#1:2345:respawn:/sbin/getty 38400 tty1 #2:23:respawn:/sbin/getty 38400 tty2 #3:23:respawn:/sbin/getty 38400 tty3 #4:23:respawn:/sbin/getty 38400 tty4 #5:23:respawn:/sbin/getty 38400 tty5 #6:23:respawn:/sbin/getty 38400 tty6 |
...
13. Включите контроль цифровой подписи в ELF файлах и в xattr всех файлов
...
,(Режим Замкнутой Программной Среды)
для Для этого сгенерируйте ключи и подпишите цифровой подписью в xattr все основные файлы и каталоги в корневой ФС.
рекомендуемые каталоги для подписи: /etc /lib /lib64 /lib32 /bin /sbin /boot /root /opt /srv /usr
13.1 Для включения механизма контроля подписи в ELF:
Установите в файле /etc/digsig/digsig_initramfs.conf:
Блок кода | ||
---|---|---|
| ||
DIGSIG_ENFORCE=1
DIGSIG_LOAD_KEYS=1 |
выполните команду:
Command |
---|
update-initramfs -u -k all |
перезагрузите ПК.
13.2 Для включения механизма контроля подписи в xattr
для 1.5 см. РУК КСЗ п.13.5.2
...
14. При возможности используйте шифрование домашних каталогов
...
с помощью допустимых средств шифрования, или используйте хранение информации на сетевых дисках или сменных носителях.
...
15. При возможности настройте двухуровневый киоск для пользователя.
см. РУК КСЗ п.15
Как минимум, нужно настроить высокоуровневый киоск для пользователя с помощью утилиты fly-kiosk:
см. РУК КСЗ п.15.6
...
16. При возможности запретите пользователю подключение сменных носителей.
...
17. Установите запрет установки исполняемого бита:
Command |
---|
echo 1 > /parsecfs/nochmodx |
см. РУК КСЗ п.16
...
18. Настройте систему аудита на сохранение логов на удаленной машине.
Если возможно используйте систему централизованного протоколирования ossec
.
см. РУК АДМИН п.15
...
19. Установите МКЦ > 0 на всеx основных файлах и каталогах в корневой ФС. (set-fs-ilev)
(в 1.6 и в 1.5 на апдейтах позже 27-10-2017)
Установку МКЦ рекомендуется проводить после всех настроек безопасности, дальнейшее
администрирование дальнейшееадминистрирование возможно только войдя под высоким уровнем целостности или после снятия МКЦ с ФС командой unset-fs-ilev
Установка МКЦ на 1.5 апдейт 27-10-2017:
см. Мандатный контроль целостности
Информация | ||
---|---|---|
| ||
"взломостойкий" пароль это пароль не менее 8 символов, не содержащий в себе никакик осмысленных слов(ни в каких раскладках) ии содержащий в себе буквы в различных регистах, цифры и спецсимволы. |
...
Дополнительные средства защиты в 1.6:
...
- ролевое разграничение доступа
...
- отсутствие прямого доступа к терминалу (по умолчанию)