...
Настроить монтирование раздела
/boot
с опциямиro
(перед обновлением ядра перемонтировать вrw
).Установить все доступные обновления безопасности ОС Astra Linux:
для ОС СН Смоленск: http://astralinux.ru/update.html и Обновления безопасности Astra Linux Special Edition 1.5
для ОС ОН Орёл обновления доступны по мере их выхода: http://mirror.yandex.ru/astra/stable/orelНастроить загрузчик на загрузку ядра HARDENED, и убрать из меню все другие варианты загрузки, включая режимы восстановления.
При использовании архитектур, отличных от Intel, установить пароль на загрузчик согласно документации.
- Установить единственным устройством для загрузки ОС жесткий диск, на который была произведена установка ОС
- Включить режим загрузки secureboot на своих ключах (создать usb-flash носитель с помощью astra-secureboot, и, далее, ключи импортировать в BIOS) в соответствии с инструкцией
Установить на устройства - жесткие диски максимальный уровень конфиденциальности (на ОС СН Смоленск 1.6 устанавливается автоматически):
Информация /dev/sd*
/dev/hd*
/dev/vd*Отключить доступ к консоли пользователям (данный пункт актуален для ОС СН Смоленск 1.5, так как для ОС СН Смоленск 1.6 правила работают "из коробки"):
Добавить группу astra-console выполнив команду:
Информация addgroup --gid 333 astra-console
Создать файл /etc/rc.local со следующим содержимым:
Информация #!/bin/sh -e
chown root:astra-console /dev/{pts,pts/*,ptmx,tty*}
chmod g+rx /dev/{pts,pts/*,ptmx,tty*}
chmod o-rx /dev/{pts,pts/*,ptmx,tty*}
exit 0Добавить правило в файл /etc/security/access.conf командой:
Command echo "-:ALL EXCEPT astra-console :LOCAL" >> /etc/security/access.conf Включить в /etc/pam.d/login обработку заданных правил командой
Command sed -i 's|.*account.*pam_access.*|account required pam_access.so|' /etc/pam.d/login Для включения доступа к консоли администраторам необходимо добавить их в группу astra-console.
Включить блокировку интерпретаторов
Включить блокировку установки бита исполнения командами
Command echo 1 > /parsecfs/nochmodx
echo 1 > /etc/parsec/nochmodxили командой
Command astra-nochmodx-lock enable или через графический инструмент fly-admin-smc. Подробности см. РУК КСЗ п.16.5.1
По возможности, включить блокировку макросов с помощью графического инструмента fly-admin-smc или инструмента командной строки astra-macros-lock.
Дополнительно, включить блокировку макросов в Libreoffice.
Дополнительно, включить блокировку макросов в VLС:Информация find /usr/lib/ -type f -name "liblua_plugin*" -exec sudo dpkg-statoverride --update --add root root 640 {} \; - Включить блокировку трассировки ptrace
Включить контроль цифровой подписи в исполняемых файлах (ELF-файлах) и в xattr всех файлов (Режим Замкнутой Программной Среды).
Для этого сгенерируйте ключи и подпишите цифровой подписью в xattr все основные файлы и каталоги в корневой ФС.
Рекомендуемые каталоги для подписи:Информация /etc
/lib
/lib64
/lib32
/bin
/sbin
/boot
/root
/opt
/srv
/usrдля включения механизмов контроля подписи в исполняемых файлах (ELF-файлах) и в xattr всех файлов можно использовать графический инструмен fly-admin-smc,
или установить в файле /etc/digsig/digsig_initramfs.conf (подробности см. в соответствующем "Руководстве по КСЗ"):Информация Для ОС СН Смоленск 1.6 (см. РУК КСЗ п.16.1):
DIGSIG_ELF_MODE=1
DIGSIG_XATTR+MODE=1
Для ОС СН Смоленск 1.5 (см. РУК КСЗ п.13.5):
DIGSIG_ENFORCE=1
DIGSIG_LOAD_KEYS=1
DIGSIG_USE_XATTR=1после чего выполнить команду:
Command update-initramfs -u -k all и перезагрузить ПК
Информация Примечание:
Включение ЗПС крайне рекомендуется сочетать с блокировкой интерпретаторов
Блокировку интерпретаторов крайне рекомендуется сочетать с включенным МКЦ- Включить гарантированное удаление файлов и папок
- Включить, при наличии возможности, режим киоска для пользователя.
- Киоск можно настроить с помощью графического инструмента командной строки fly-admin-kiosk (РУК КСЗ п.16.3.1).
- Включить, при наличии возможности, графический киоск Fly
Киоск можно настроить с помощью графического инструмента fly-admin-smc (см. РУК КСЗ п.16.3.3) - Включить, при наличии возможности, второй уровень контроля подписей в расширенных атрибутах (xattr).
(Это можно выполнить в программе fly-admin-smc). (см. РУК КСЗ п.16.1) Установить мандатный контроль целостности (МКЦ > 0) на всеx основных файлах и каталогах в корневой файловой системе.
(в Смоленск 1.6 и в Смоленск 1.5 на апдейтах позже 27-10-2017)
Для этого в графическом инструменте fly-admin-smc «Политика безопасности» -> «мандатный контроль целостности» -> «целостность файловой системы» -> установить «высокий 63», или в консоли set-fs-ilev.Предупреждение Установку МКЦ рекомендуется проводить после всех настроек безопасности,
так как дальнейшее администрирование возможно только под высоким уровнем целостности,
и после снятия МКЦ с файловой системы командой unset-fs-ilevУстановка МКЦ на 1.5 апдейт 27-10-2017: см. Мандатный контроль целостности
- Работу с конфиденциальной информацией под "уровнями конфиденциальности" нужно проводить, используя защитное преобразование файлов
(возможность встроена в Файловый менеджер fly-fm). - Работу с конфиденциальной информацией в сети необходимо производить, используя защитное преобразование пакетов с помощью создания доверенной VPN сети
(средства встроены в ОС). - Работу с конфиденциальной информацией при обмене почтой необходимо производить, используя защитные GPG-преобразования писем с помощью плагина для Thunderbird Enigmail
(средства встроены в ОС) Установить "взломостойкие" пароли на все учетные записи в ОС
Информация title P.S. "взломостойкий" пароль это пароль
- Содержащий не менее 8 символов;
- Не содержащий в себе никакик осмысленных слов (ни в каких раскладках);
- Содержащий в себе буквы в различных регистахрегистрах, цифры и спецсимволы.
- Убедиться, что
pam_tally
настроен на блокировку учетных записей при попытках подбора паролей (настроено по умолчанию при установке ОС). - Настроить дисковые квоты в ОС
Для этого установить пакетquota,
настроить /etc/fstab, и использоватьedquota
для установки квот. Настроить ограничения ОС (так называемые ulimits).
Рекомендуемые настройки /etc/security/limits.conf:Информация #размер дампа ядра
* hard core 0#максимальный размер создаваемого файла
* hard fsize 50000000#блокировка форк-бомбы(большого количества процессов)
* hard nproc 1000Отключить все неиспользуемые сервисы (в т.ч. сетевые) которые запускаются при старте ОС:
Информация В ОС СН Смоленск 1.6 командой systemdgenie
или
В ОС СН Смоленск 1.5 командамиchkconfig
иfly-admin-runlevel
Включить межсетевой экран ufw и настроить iptables в минимально необходимой конфигурации, необходимой для работы:
по умолчанию все запрещено, кроме необходимых исключенийИнформация В ОС СН Смоленск 1.6 командами
iptables
ufw
gufw
В ОС СН Смоленск 1.5 командами
iptables
ufw
Настроить параметры ядра в /etc/sysctl.conf:
Отключить механизм SysRq, для чего использовать графический инструмент fly-admin-smc, или в /etc/sysctl.conf добавить строкуИнформация kernel.sysrq = 0 после чего перезагрузить ПК, и проверить, что уcтановлено значение 0, командой:
Command cat /proc/sys/kernel/sysrq Дополнительные рекомендуемые параметры ядра (также могут быть установлены или изменены с помощью графического инструмента fly-admin-smc):
Информация fs.suid_dumpable=0
kernel.randomize_va_space=2
net.ipv4.ip_forward=0
net.ipv4.conf.all.send_redirects=0
net.ipv4.conf.default.send_redirects=0Заблокировать исполнение модулей python с расширенным функционалом:
Command find /usr/lib/python* -type f -name "_ctype*" -exec sudo dpkg-statoverride --update --add root root 640 {} \; При возможности, использовать защитное преобразование домашних каталогов пользователей с помощью допустимых средств,
или использовать хранение информации на сетевых дисках или на защищенных от несанкционированного доступа сменных носителях.По возможности, запретить пользователям подключение сменных носителей, к которым может быть осуществлён любой несанкционированный доступ:
В Смоленск 1.6 такой доступ запрещен по умолчанию.
В Смоленск 1.5 см. информацию по обновлению безопасности БЮЛЛЕТЕНЬ № 27082018SE15- Настроить систему аудита на сохранение логов на удаленной машине.
Если возможно, использовать систему централизованного протоколирования.
см. РУК АДМИН п.15
...