Включить страницу | ||||
---|---|---|---|---|
|
Настройка безопасной конфигурации компьютера для работы с ОС Astra Linux
Перед установкой ОС
...
Установить "взломостойкий" пароль на BIOS компьютера.
Информация | ||
---|---|---|
| ||
"взломостойкий" пароль это пароль:
|
...
При установке ОС
...
Создать отдельные дисковые разделы /
/boot
/home
/tmp
/var/tmp
...
Раздел /boot
рекомендуется монтировать с опциями ro
(перед обновлением ядра смонтировать в rw
)
...
Разделы /home /tmp /var/tmp рекомендуется монтировать с опциями noexec,nodev,nosuid
После установки ОС
...
Установить на устройства - жесткие диски максимальный уровень конфиденциальности (на ОС СН Смоленск 1.6 устанавливаются автоматически):
Информация |
---|
/dev/sd* /dev/hd* /dev/vd* |
Отключить доступ к консоли пользователям (данный пункт актуалена для ОС СН Смоленск 1.5, как для ОС СН Смоленск 1.6 правила работают из коробки):
Добавить группу astra-console выполнив команду:
Информация |
---|
addgroup --gid 333 astra-console |
Создать файл /etc/rc.local со следующим содержимым:
Информация |
---|
#!/bin/sh -e |
Добавить правило в файл /etc/security/access.conf командой:
Command |
---|
echo "-:ALL EXCEPT astra-console :LOCAL" >> /etc/security/access.conf |
Включить в /etc/pam.d/login обработку заданных правил командой
Command |
---|
sed -i 's|.*account.*pam_access.*|account required pam_access.so|' /etc/pam.d/login |
...
Включить блокировку установки бита исполнения
Command |
---|
echo 1 > /parsecfs/nochmodx echo 1 > /etc/parsec/nochmodx |
или командой
Command |
---|
astra-nochmodx-lock enable |
см. РУК КСЗ п.16.5.1
...
В Libreoffice
В VLC
Command |
---|
find /usr/lib/ -type f -name "liblua_plugin*" -exec sudo dpkg-statoverride --update --add root root 640 {} \; |
...
Включить контроль цифровой подписи в ELF файлах и в xattr всех файлов (Режим Замкнутой Программной Среды).
Для этого сгенерируйте ключи и подпишите цифровой подписью в xattr все основные файлы и каталоги в корневой ФС.
Рекомендуемые каталоги для подписи:
Информация |
---|
/etc /lib /lib64 /lib32 /bin /sbin /boot /root /opt /srv /usr |
для включения механизма контроля подписи в ELF установить в файле /etc/digsig/digsig_initramfs.conf:
Информация |
---|
DIGSIG_ENFORCE=1 DIGSIG_LOAD_KEYS=1 |
после чего выполнить команду:
Command |
---|
update-initramfs -u -k all |
...
Предупреждение |
---|
Установку МКЦ рекомендуется проводить после всех настроек безопасности, так как дальнейшее администрирование возможно только войдя под высоким уровнем целостности, или после снятия МКЦ с файловой системы командой unset-fs-ilev |
...
Установить "взломостойкие" пароли на все учетные записи в ОС
Информация | ||
---|---|---|
| ||
"взломостойкий" пароль это пароль
|
...
Настроить ограничения ОС (так называемые ulimits).
Рекомендуемые настройки /etc/security/limits.conf:
Информация |
---|
#размер дампа ядра #максимальный размер создаваемого файла #блокировка форк-бомбы(большого количества процессов) |
Отключить все неиспользуемые сервисы (в т.ч. сетевые) которые запускаются при старте ОС:
Информация |
---|
командой systemdgenie в Смоленск 1.6 иликомандами chkconfig и fly-admin-runlevel в Смоленск 1.5 |
Найстроить iptables в минимально необходимой конфигурации, необходимой для работы:
(по умолчанию все запрещено, кроме необходимых исключений)
Информация |
---|
командой iptables ufw gufw в ОССН Смоленск 1.6 иликомандой iptables ufw в ОССН Смоленск 1.5 |
...
Информация |
---|
kernel.sysrq = 0 |
после чего перезагрузить ПК, и проверить, что уcтановлено значение 0, командой:
Информация |
---|
cat /proc/sys/kernel/sysrq |
Дополнительные рекомендуемые параметры ядра:
Информация |
---|
fs.suid_dumpable=0 kernel.randomize_va_space=2 net.ipv4.ip_forward=0 net.ipv4.conf.all.send_redirects=0 net.ipv4.conf.default.send_redirects=0 |
Заблокировать исполнение модулей python с расширенным функционалом:
Command |
---|
find /usr/lib/python* -type f -name "_ctype*" -exec sudo dpkg-statoverride --update --add root root 640 {} \; |
...