Сравнение версий

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Включить страницу
Рекомендации по безопасной установке и эксплуатации Astra Linux
Рекомендации по безопасной установке и эксплуатации Astra Linux

                                Настройка безопасной конфигурации компьютера для работы с ОС Astra Linux

Перед установкой ОС

...

Установить "взломостойкий" пароль на BIOS компьютера.

Информация
titleP.S.

"взломостойкий" пароль это пароль:

  • Содержащий не менее 8 символов;
  • Не содержащий в себе никакик осмысленных слов (ни в каких раскладках);
  • Содержащий в себе буквы в различных регистрах, цифры и спецсимволы.

...

При установке ОС

...

Создать отдельные дисковые разделы  
/
/boot
/home
/tmp
/var/tmp

...

Раздел /boot рекомендуется монтировать с опциями ro (перед обновлением ядра смонтировать в rw)

...

Разделы /home /tmp /var/tmp рекомендуется монтировать с опциями noexec,nodev,nosuid

После установки ОС

...

Установить на устройства - жесткие диски максимальный уровень конфиденциальности (на ОС СН Смоленск 1.6 устанавливаются автоматически):

Информация
/dev/sd*
/dev/hd*
/dev/vd*

Отключить доступ к консоли пользователям (данный пункт актуалена для ОС СН Смоленск 1.5,  как для ОС СН Смоленск 1.6 правила работают из коробки):

Добавить группу astra-console выполнив команду:

Информация

addgroup --gid 333 astra-console

Создать файл /etc/rc.local со следующим содержимым:

Информация

#!/bin/sh -e
chown root:astra-console /dev/{pts,pts/*,ptmx,tty*}
chmod g+rx /dev/{pts,pts/*,ptmx,tty*}
chmod o-rx /dev/{pts,pts/*,ptmx,tty*}
exit 0

Добавить правило в файл /etc/security/access.conf командой:

Command
echo "-:ALL EXCEPT astra-console :LOCAL" >> /etc/security/access.conf

Включить в /etc/pam.d/login обработку заданных правил командой

Command
sed -i 's|.*account.*pam_access.*|account required pam_access.so|' /etc/pam.d/login

...

Включить блокировку установки бита исполнения

Command
echo 1 > /parsecfs/nochmodx
echo 1 > /etc/parsec/nochmodx

или командой

Command
astra-nochmodx-lock enable

см.  РУК КСЗ п.16.5.1

...

В Libreoffice

В VLC

Command
find /usr/lib/ -type f -name "liblua_plugin*" -exec sudo dpkg-statoverride --update --add root root 640 {} \;

...

Включить контроль цифровой подписи в ELF файлах и в xattr всех файлов (Режим Замкнутой Программной Среды).
Для этого сгенерируйте ключи и подпишите цифровой подписью в xattr все основные файлы и каталоги в корневой ФС.
Рекомендуемые каталоги для подписи:

Информация
 /etc
/lib
/lib64
/lib32
/bin
/sbin
/boot
/root
/opt
/srv
/usr

для включения механизма контроля подписи в ELF установить в файле /etc/digsig/digsig_initramfs.conf:

Информация
DIGSIG_ENFORCE=1
DIGSIG_LOAD_KEYS=1

после чего выполнить команду:

Command
update-initramfs -u -k all

...

Предупреждение
Установку МКЦ рекомендуется проводить после всех настроек безопасности,
так как дальнейшее администрирование возможно только войдя под высоким уровнем целостности,
или после снятия МКЦ с файловой системы командой unset-fs-ilev

...

Установить "взломостойкие" пароли на все учетные записи в ОС

Информация
titleP.S.

"взломостойкий" пароль это пароль

  • Содержащий не менее 8 символов;
  • Не содержащий в себе никакик осмысленных слов (ни в каких раскладках);
  • Содержащий в себе буквы в различных регистах, цифры и спецсимволы.

...

Настроить ограничения ОС (так называемые ulimits).
Рекомендуемые настройки /etc/security/limits.conf:

Информация

#размер дампа ядра
* hard core 0

#максимальный размер создаваемого файла
* hard fsize 50000000

#блокировка форк-бомбы(большого количества процессов)
* hard nproc 1000

Отключить все неиспользуемые сервисы (в т.ч. сетевые) которые запускаются при старте ОС:

Информация
командой systemdgenie в Смоленск 1.6 или
командами chkconfig и fly-admin-runlevel в Смоленск 1.5

Найстроить iptables в минимально необходимой конфигурации, необходимой для работы:
(по умолчанию все запрещено, кроме необходимых исключений)

Информация
командой iptables ufw gufw в ОССН Смоленск 1.6 или
командой iptables ufw               в ОССН Смоленск 1.5 

...

Информация
kernel.sysrq = 0

после чего перезагрузить ПК, и проверить, что уcтановлено значение 0, командой:

Информация
cat /proc/sys/kernel/sysrq

Дополнительные рекомендуемые параметры ядра:

Информация
fs.suid_dumpable=0
kernel.randomize_va_space=2
net.ipv4.ip_forward=0
net.ipv4.conf.all.send_redirects=0
net.ipv4.conf.default.send_redirects=0

Заблокировать исполнение модулей python с расширенным функционалом:

Command
find /usr/lib/python* -type f -name "_ctype*" -exec sudo dpkg-statoverride --update --add root root 640 {} \;

...