Сравнение версий

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Включить страницу
Рекомендации по безопасной установке и эксплуатации Astra Linux
Рекомендации по безопасной установке и эксплуатации Astra Linux

Отображение дочерних

Оглавление

Настройка безопасной конфигурации компьютера для работы с ОС Astra Linux

Перед установкой ОС

...

Установить "взломостойкий" пароль на BIOS компьютера.

Информация
titleP.S.

"Взломостойкий" пароль это пароль:

  • Содержащий не менее 8 символов;
  • Не содержащий в себе никаких осмысленных слов (ни в каких раскладках);
  • Содержащий в себе буквы в различных регистрах, цифры и спецсимволы.

...

Исключить использование беспроводных периферийных устройств вода (мыши, клавиатуры, тачпады и пр.).
Отключить по возможности беспроводные системы передачи данных (WiFi, Bluetooth).
При необходимости использования WiFi - по возможности использовать для защиты данных сети VPN.

...

Для Intel платформ необходимо устранить уязвимости Intel-SA-00086 в Intel Management Engine (если он инегрирован в процессор)
посредством установки обновления микропрограммы Intel Management Engine
(производитель оборудования должен обеспечить данную возможность - это либо обновления BIOS, либо ПО для интеграции обновлений).
Для частичных проверок используйте: Intel-SA-00086 Detection Tool.
Более подробно: https://www.intel.ru/content/www/ru/ru/support/articles/000025619/software.html

...

При установке ОС

Создать отдельные дисковые разделы 

Информация
/
/boot
/home
/tmp
/var/tmp

Создать отдельные дисковые разделы

...

Информация

Для всех перечисленных дисковых разделов рекомендуется использовать файловую системы ext4.
При выборе размера дисковых размеров следует помнить, что при размере раздела /tmp менее 250МБ весьма вероятно возникновение ошибок при работе с графикой или с большими объёмами данных.

...

После установки ОС

...

Установить все доступные обновления безопасности ОС Astra Linux:
для ОС СН Смоленск: http://astralinux.ru/update.html

...

Установить на устройства - жесткие диски максимальный уровень конфиденциальности (на ОС СН Смоленск 1.6 устанавливается автоматически):

Информация
/dev/sd*
/dev/hd*
/dev/vd*

Отключить доступ к консоли пользователям (данный пункт актуален для ОС СН Смоленск 1.5, так как для ОС СН Смоленск 1.6 правила работают "из коробки"):

Добавить группу astra-console выполнив команду:

Информация

addgroup --gid 333 astra-console

Создать файл /etc/rc.local со следующим содержимым:

Информация

#!/bin/sh -e
chown root:astra-console /dev/{pts,pts/*,ptmx,tty*}
chmod g+rx /dev/{pts,pts/*,ptmx,tty*}
chmod o-rx /dev/{pts,pts/*,ptmx,tty*}
exit 0

Добавить правило в файл /etc/security/access.conf командой:

Command
echo "-:ALL EXCEPT astra-console :LOCAL" >> /etc/security/access.conf

Включить в /etc/pam.d/login обработку заданных правил командой

Command
sed -i 's|.*account.*pam_access.*|account required pam_access.so|' /etc/pam.d/login

...

Включить блокировку установки бита исполнения командами

Command
echo 1 > /parsecfs/nochmodx
echo 1 > /etc/parsec/nochmodx

или командой

Command
astra-nochmodx-lock enable

...

По возможности, включить блокировку макросов с помощью графического инструмента fly-admin-smc или инструмента командной строки astra-macros-lock:

Command
astra-macros-lock enable

...

Включить контроль цифровой подписи в исполняемых файлах (ELF-файлах) и в xattr всех файлов (Режим Замкнутой Программной Среды).
Для этого сгенерируйте ключи и подпишите цифровой подписью в xattr все основные файлы и каталоги в корневой ФС.
Рекомендуется подписывать только каталоги, содержащие неизменяемые (между обновлениями) файлы, а также файлы, содержимое которых изменяет только сам пользователь.
Примерный список каталогов для подписи:

Информация

/bin
/lib
/lib32
/lib64
/sbin
/usr
Избранные файлы и каталоги из /etc
Избранные файлы и каталоги из /boot (например, конфиг grub)
Избранные файлы и каталоги из /home/<user>
Избранные файлы и каталоги из /opt
и т.д.

для включения механизмов контроля подписи в исполняемых файлах (ELF-файлах) и в xattr всех файлов можно использовать графический инструмен fly-admin-smc,
или установить в файле /etc/digsig/digsig_initramfs.conf (подробности см. в соответствующем "Руководстве по КСЗ"):

Информация

Для ОС СН Смоленск 1.6 (см. РУК КСЗ п.16.1):
DIGSIG_ELF_MODE=1
DIGSIG_XATTR_MODE=1
Для ОС СН Смоленск 1.5 (см. РУК КСЗ п.13.5):
DIGSIG_ENFORCE=1
DIGSIG_LOAD_KEYS=1
DIGSIG_USE_XATTR=1

после чего выполнить команду:

Command
update-initramfs -u -k all

и перезагрузить ПК

...

Установить мандатный контроль целостности (МКЦ > 0) на всеx основных файлах и каталогах в корневой файловой системе.
(в Смоленск 1.6 и в Смоленск 1.5 на апдейтах позже 27-10-2017)
Для этого в графическом инструменте fly-admin-smc «Политика безопасности» -> «мандатный контроль целостности» -> «целостность файловой системы» -> установить «высокий 63», или в консоли set-fs-ilev.

Предупреждение
Установку МКЦ рекомендуется проводить после всех настроек безопасности,
так как дальнейшее администрирование возможно только под высоким уровнем целостности,
и после снятия МКЦ с файловой системы командой unset-fs-ilev

...

Установить "взломостойкие" пароли на все учетные записи в ОС

Информация
titleP.S.

"взломостойкий" пароль это пароль

  • Содержащий не менее 8 символов;
  • Не содержащий в себе никаких осмысленных слов (ни в каких раскладках);
  • Содержащий в себе буквы в различных регистрах, цифры и спецсимволы.

...

Настроить ограничения ОС (так называемые ulimits).
Рекомендуемые настройки /etc/security/limits.conf:

Информация

#размер дампа ядра
* hard core 0

#максимальный размер создаваемого файла
* hard fsize 50000000

#блокировка форк-бомбы(большого количества процессов)
* hard nproc 1000

Отключить все неиспользуемые сервисы (в т.ч. сетевые) которые запускаются при старте ОС:

Информация
В ОС СН Смоленск 1.6 командой  systemdgenie   или
В ОС СН Смоленск 1.5 командами  chkconfig и fly-admin-runlevel

Включить межсетевой экран ufw и настроить iptables в минимально необходимой конфигурации, необходимой для работы:
по умолчанию все запрещено, кроме необходимых исключений

Информация

В ОС СН Смоленск 1.6 командами

  • iptables
  • ufw
  • gufw

В ОС СН Смоленск 1.5 командами

  • iptables
  • ufw

Настроить параметры ядра в /etc/sysctl.conf:
Отключить механизм SysRq, для чего использовать графический инструмент fly-admin-smc, или в /etc/sysctl.conf добавить строку

Информация
kernel.sysrq = 0

после чего перезагрузить ПК, и проверить, что установлено значение 0, командой:

Command
cat /proc/sys/kernel/sysrq

Дополнительные рекомендуемые параметры ядра (также могут быть установлены или изменены с помощью графического инструмента fly-admin-smc):

Информация
fs.suid_dumpable=0
kernel.randomize_va_space=2
net.ipv4.ip_forward=0
net.ipv4.conf.all.send_redirects=0
net.ipv4.conf.default.send_redirects=0

...

По возможности, запретить пользователям подключение сменных носителей, к которым может быть осуществлён любой несанкционированный доступ:
В Смоленск 1.6 такой доступ запрещен по умолчанию.
В Смоленск 1.5 см. информацию по обновлению безопасности БЮЛЛЕТЕНЬ № 27082018SE15

...