Включить страницу | ||||
---|---|---|---|---|
|
Отображение дочерних |
---|
Оглавление |
---|
Настройка безопасной конфигурации компьютера для работы с ОС Astra Linux
Перед установкой ОС
...
Установить "взломостойкий" пароль на BIOS компьютера.
Информация | ||
---|---|---|
| ||
"Взломостойкий" пароль это пароль:
|
...
Исключить использование беспроводных периферийных устройств вода (мыши, клавиатуры, тачпады и пр.).
Отключить по возможности беспроводные системы передачи данных (WiFi, Bluetooth).
При необходимости использования WiFi - по возможности использовать для защиты данных сети VPN.
...
Для Intel платформ необходимо устранить уязвимости Intel-SA-00086 в Intel Management Engine (если он инегрирован в процессор)
посредством установки обновления микропрограммы Intel Management Engine
(производитель оборудования должен обеспечить данную возможность - это либо обновления BIOS, либо ПО для интеграции обновлений).
Для частичных проверок используйте: Intel-SA-00086 Detection Tool.
Более подробно: https://www.intel.ru/content/www/ru/ru/support/articles/000025619/software.html
...
При установке ОС
Создать отдельные дисковые разделы
Информация |
---|
/ /boot /home /tmp /var/tmp |
Создать отдельные дисковые разделы
...
Информация |
---|
Для всех перечисленных дисковых разделов рекомендуется использовать файловую системы ext4. |
...
После установки ОС
...
Установить все доступные обновления безопасности ОС Astra Linux:
для ОС СН Смоленск: http://astralinux.ru/update.html
...
Установить на устройства - жесткие диски максимальный уровень конфиденциальности (на ОС СН Смоленск 1.6 устанавливается автоматически):
Информация |
---|
/dev/sd* /dev/hd* /dev/vd* |
Отключить доступ к консоли пользователям (данный пункт актуален для ОС СН Смоленск 1.5, так как для ОС СН Смоленск 1.6 правила работают "из коробки"):
Добавить группу astra-console выполнив команду:
Информация |
---|
addgroup --gid 333 astra-console |
Создать файл /etc/rc.local со следующим содержимым:
Информация |
---|
#!/bin/sh -e |
Добавить правило в файл /etc/security/access.conf командой:
Command |
---|
echo "-:ALL EXCEPT astra-console :LOCAL" >> /etc/security/access.conf |
Включить в /etc/pam.d/login обработку заданных правил командой
Command |
---|
sed -i 's|.*account.*pam_access.*|account required pam_access.so|' /etc/pam.d/login |
...
Включить блокировку установки бита исполнения командами
Command |
---|
echo 1 > /parsecfs/nochmodx echo 1 > /etc/parsec/nochmodx |
или командой
Command |
---|
astra-nochmodx-lock enable |
...
По возможности, включить блокировку макросов с помощью графического инструмента fly-admin-smc или инструмента командной строки astra-macros-lock:
Command |
---|
astra-macros-lock enable |
...
Включить контроль цифровой подписи в исполняемых файлах (ELF-файлах) и в xattr всех файлов (Режим Замкнутой Программной Среды).
Для этого сгенерируйте ключи и подпишите цифровой подписью в xattr все основные файлы и каталоги в корневой ФС.
Рекомендуется подписывать только каталоги, содержащие неизменяемые (между обновлениями) файлы, а также файлы, содержимое которых изменяет только сам пользователь.
Примерный список каталогов для подписи:
Информация |
---|
/bin |
для включения механизмов контроля подписи в исполняемых файлах (ELF-файлах) и в xattr всех файлов можно использовать графический инструмен fly-admin-smc,
или установить в файле /etc/digsig/digsig_initramfs.conf (подробности см. в соответствующем "Руководстве по КСЗ"):
Информация |
---|
Для ОС СН Смоленск 1.6 (см. РУК КСЗ п.16.1): |
после чего выполнить команду:
Command |
---|
update-initramfs -u -k all |
и перезагрузить ПК
...
Установить мандатный контроль целостности (МКЦ > 0) на всеx основных файлах и каталогах в корневой файловой системе.
(в Смоленск 1.6 и в Смоленск 1.5 на апдейтах позже 27-10-2017)
Для этого в графическом инструменте fly-admin-smc «Политика безопасности» -> «мандатный контроль целостности» -> «целостность файловой системы» -> установить «высокий 63», или в консоли set-fs-ilev.
Предупреждение |
---|
Установку МКЦ рекомендуется проводить после всех настроек безопасности, так как дальнейшее администрирование возможно только под высоким уровнем целостности, и после снятия МКЦ с файловой системы командой unset-fs-ilev |
...
Установить "взломостойкие" пароли на все учетные записи в ОС
Информация | ||
---|---|---|
| ||
"взломостойкий" пароль это пароль
|
...
Настроить ограничения ОС (так называемые ulimits).
Рекомендуемые настройки /etc/security/limits.conf:
Информация |
---|
#размер дампа ядра #максимальный размер создаваемого файла #блокировка форк-бомбы(большого количества процессов) |
Отключить все неиспользуемые сервисы (в т.ч. сетевые) которые запускаются при старте ОС:
Информация |
---|
В ОС СН Смоленск 1.6 командой systemdgenie или В ОС СН Смоленск 1.5 командами chkconfig и fly-admin-runlevel |
Включить межсетевой экран ufw и настроить iptables в минимально необходимой конфигурации, необходимой для работы:
по умолчанию все запрещено, кроме необходимых исключений
Информация |
---|
В ОС СН Смоленск 1.6 командами
В ОС СН Смоленск 1.5 командами
|
Настроить параметры ядра в /etc/sysctl.conf:
Отключить механизм SysRq, для чего использовать графический инструмент fly-admin-smc, или в /etc/sysctl.conf добавить строку
Информация |
---|
kernel.sysrq = 0 |
после чего перезагрузить ПК, и проверить, что установлено значение 0, командой:
Command |
---|
cat /proc/sys/kernel/sysrq |
Дополнительные рекомендуемые параметры ядра (также могут быть установлены или изменены с помощью графического инструмента fly-admin-smc):
Информация |
---|
fs.suid_dumpable=0 kernel.randomize_va_space=2 net.ipv4.ip_forward=0 net.ipv4.conf.all.send_redirects=0 net.ipv4.conf.default.send_redirects=0 |
...
По возможности, запретить пользователям подключение сменных носителей, к которым может быть осуществлён любой несанкционированный доступ:
В Смоленск 1.6 такой доступ запрещен по умолчанию.
В Смоленск 1.5 см. информацию по обновлению безопасности БЮЛЛЕТЕНЬ № 27082018SE15
...