Вы просматриваете старую версию данной страницы. Смотрите текущую версию.

Сравнить с текущим просмотр истории страницы

« Предыдущий Версия 45 Следующий »

                                Настройка безопасной конфигурации компьютера для работы с ОС Astra Linux

Перед установкой ОС

  1. При возможности - установить и настроить на компьютере аппаратно-программный модуль доверенной загрузки (АПМДЗ)

  2. Установить "взломостойкий" пароль на BIOS компьютера.

    P.S.

    "Взломостойкий" пароль это пароль:

    • Содержащий не менее 8 символов;
    • Не содержащий в себе никакик осмысленных слов (ни в каких раскладках);
    • Содержащий в себе буквы в различных регистрах, цифры и спецсимволы.
  3. При наличии опций для процессоров Intel Execute Disable Bit (XD-Bit) и для процессоров AMD No Execute Bit (NX-Bit) включить их.

  4. При наличии на серверах "не доверенных" систем контроля и управления типа ILO, RSA, iDRAC, ThinkServer EasyManage, AMT, iMana - их необходимо отключить, и использовать, при необходимости, альтенативные решения типа IP KVM.

  5. Для Intel платформ необходимо устранить уязвимости Intel-SA-00086 в Intel Management Engine (если он инегрирован в процессор)
    посредством установки обновления микропрограммы Intel Management Engine
    (производитель оборудования должен обеспечить данную возможность - это либо обновления BIOS, либо ПО для интеграции обновлений).
    Для частичных проверок используйте: Intel-SA-00086 Detection Tool.
    Более подробно: https://www.intel.ru/content/www/ru/ru/support/articles/000025619/software.html

  6. Установить ОС СН (обязательно с включенным защитным преобразованием диска),
    и по возможность обеспечить невозможность физического доступа к жесткому диску, на котором установлена ОС 

При установке ОС

  1. Установить "взломостойкий" пароль на загрузчик Grub (устанавливается по умолчанию при установке ОС).

  2. Создать отдельные дисковые разделы  
    /
    /boot
    /home
    /tmp
    /var/tmp

  3. Разделы /home /tmp /var/tmp рекомендуется монтировать с опциями noexec,nodev,nosuid

После установки ОС

  1. Настроить монтирование раздела /boot с опциями ro (перед обновлением ядра пересмонтировать в rw).

  2. Установить все доступные обновления безопасности ОС Astra Linux

    для ОС СН Смоленск: http://astralinux.ru/update.html  и Обновления безопасности Astra Linux Special Edition 1.5
    для ОС ОН Орёл обновления доступны по мере выхода: http://mirror.yandex.ru/astra/stable/orel

  3. Настроить загрузчик на загрузку ядра HARDENED, и убрать из меню все другие варианты загрузки, включая режимы восстановления.

  4. При использовании архитектур, отличных от Intel, установить пароль на загрузчик согласно документации.

  5. Установить единственным устройством для загрузки ОС жесткий диск, на который была произведена установка ОС

  6. Включить режим загрузки secureboot на своих ключах (создать usb-flash носитель с помощью astra-secureboot, и, далее, ключи импортировать в BIOS) в соответствии с инструкцией
  7. Установить на устройства - жесткие диски максимальный уровень конфиденциальности (на ОС СН Смоленск 1.6 устанавливается автоматически):

    /dev/sd*
    /dev/hd*
    /dev/vd*
  8. Отключить доступ к консоли пользователям (данный пункт актуален для ОС СН Смоленск 1.5, так как для ОС СН Смоленск 1.6 правила работают "из коробки"):

    Добавить группу astra-console выполнив команду:

    addgroup --gid 333 astra-console

    Создать файл /etc/rc.local со следующим содержимым:

    #!/bin/sh -e
    chown root:astra-console /dev/{pts,pts/*,ptmx,tty*}
    chmod g+rx /dev/{pts,pts/*,ptmx,tty*}
    chmod o-rx /dev/{pts,pts/*,ptmx,tty*}
    exit 0

    Добавить правило в файл /etc/security/access.conf командой:

    echo "-:ALL EXCEPT astra-console :LOCAL" >> /etc/security/access.conf
    Включить в /etc/pam.d/login обработку заданных правил командой
    sed -i 's|.*account.*pam_access.*|account required pam_access.so|' /etc/pam.d/login
    Для включения доступа к консоли администраторам необходимо добавить их в группу astra-console.

  9. Включить блокировку интерпретаторов

  10. Включить блокировку установки бита исполнения командами

    echo 1 > /parsecfs/nochmodx
    echo 1 > /etc/parsec/nochmodx

    или командой

    astra-nochmodx-lock enable
    или через графический инструмент fly-admin-smc. Подробности см.  РУК КСЗ п.16.5.1

  11. По возможности, включить блокировку макросов
    1. В Libreoffice

    2. В VLC

      find /usr/lib/ -type f -name "liblua_plugin*" -exec sudo dpkg-statoverride --update --add root root 640 {} \;

  12. Включить блокировку трассировки ptrace

  13. Включить контроль цифровой подписи в ELF файлах и в xattr всех файлов (Режим Замкнутой Программной Среды).
    Для этого сгенерируйте ключи и подпишите цифровой подписью в xattr все основные файлы и каталоги в корневой ФС.
    Рекомендуемые каталоги для подписи:

     /etc
    /lib
    /lib64
    /lib32
    /bin
    /sbin
    /boot
    /root
    /opt
    /srv
    /usr

    для включения механизма контроля подписи в ELF установить в файле /etc/digsig/digsig_initramfs.conf:

    DIGSIG_ENFORCE=1
    DIGSIG_LOAD_KEYS=1

    после чего выполнить команду:

    update-initramfs -u -k all
    и перезагрузить ПК

    Примечание:
    Включение ЗПС крайне рекомендуется сочетать с блокировкой интерпретаторов
    Блокировку интерпретаторов крайне рекомендуется сочетать с включенным МКЦ

  14. Включить гарантированное удаление файлов и папок

  15. Включить межсетевой экран ufw

  16. Включить системные ограничения ulimits

  17. Включить, при наличии возможности, режим киоска для пользователя.
    Киоск можно настроить с помощью графического инструмента командной строки fly-admin-kiosk (РУК КСЗ п.16.3.1).

  18. Включить, при наличии возможности, графический киоск Fly
    Киоск можно настроить с помощью графического инструмента fly-admin-smc (см. РУК КСЗ п.16.3.3)

  19. Включить, при наличии возможности, второй уровень контроля подписей в расширенных атрибутах (xattr).
    (Это можно выполнить в программе fly-admin-smc).  (см. РУК КСЗ п.16.1)

  20. Установить мандатный контроль целостности (МКЦ > 0) на всеx основных файлах и каталогах в корневой файловой системе.
    (в Смоленск 1.6 и в Смоленск 1.5 на апдейтах позже 27-10-2017)
    Для этого в графическом инструменте fly-admin-smc «Политика безопасности» -> «мандатный контроль целостности» -> «целостность файловой системы» -> установить «высокий 63», или в консоли set-fs-ilev.

    Установку МКЦ рекомендуется проводить после всех настроек безопасности,
    так как дальнейшее администрирование возможно только войдя под высоким уровнем целостности,
    или после снятия МКЦ с файловой системы командой unset-fs-ilev


    Установка МКЦ на 1.5 апдейт 27-10-2017: см. Мандатный контроль целостности

  21. Работу с конфиденциальной информацией под "уровнями конфиденциальности" нужно проводить, используя защитное преобразование файлов
    (возможность встроена в Файловый менеджер fly-fm).

  22. Работу с конфиденциальной информацией в сети необходимо производить, используя защитное преобразование пакетов с помощью создания доверенной VPN сети
    (средства встроены в ОС).

  23. Работу с конфиденциальной информацией при обмене почтой необходимо производить, используя защитные GPG-преобразования писем с помощью плагина для Thunderbird Enigmail
    (средства встроены в ОС)

  24. Установить "взломостойкие" пароли на все учетные записи в ОС

    P.S.

    "взломостойкий" пароль это пароль

    • Содержащий не менее 8 символов;
    • Не содержащий в себе никакик осмысленных слов (ни в каких раскладках);
    • Содержащий в себе буквы в различных регистах, цифры и спецсимволы.
  25. Настроить pam_tally на блокировку учетных записей при попытках подбора паролей (настроено по умолчанию при установке ОС).

  26. Настроить дисковые квоты в ОС
    Для этого установите пакет quota, настройте /etc/fstab, и используйте edquota для установки квот.

  27. Настроить ограничения ОС (так называемые ulimits).
    Рекомендуемые настройки /etc/security/limits.conf:

    #размер дампа ядра
    * hard core 0

    #максимальный размер создаваемого файла
    * hard fsize 50000000

    #блокировка форк-бомбы(большого количества процессов)
    * hard nproc 1000

  28. Отключить все неиспользуемые сервисы (в т.ч. сетевые) которые запускаются при старте ОС:

    командой systemdgenie в Смоленск 1.6 или
    командами chkconfig и fly-admin-runlevel в Смоленск 1.5
  29. Найстроить iptables в минимально необходимой конфигурации, необходимой для работы:
    (по умолчанию все запрещено, кроме необходимых исключений)

    командой iptables ufw gufw в ОССН Смоленск 1.6 или
    командой iptables ufw               в ОССН Смоленск 1.5 
  30. Настроить параметры ядра в /etc/sysctl.conf:

    Отключите механизм SysRq, для чего в /etc/sysctl.conf добавьте строку

    kernel.sysrq = 0

    после чего перезагрузить ПК, и проверить, что уcтановлено значение 0, командой:

    cat /proc/sys/kernel/sysrq

    Дополнительные рекомендуемые параметры ядра:

    fs.suid_dumpable=0
    kernel.randomize_va_space=2
    net.ipv4.ip_forward=0
    net.ipv4.conf.all.send_redirects=0
    net.ipv4.conf.default.send_redirects=0
  31. Заблокировать исполнение модулей python с расширенным функционалом:

    find /usr/lib/python* -type f -name "_ctype*" -exec sudo dpkg-statoverride --update --add root root 640 {} \;

  32. При возможности, использовать защитное преобразование домашних каталогов полььзователей с помощью допустимых средств,
    или использовать хранение информации на сетевых дисках или на защищенных от несанкционированного доступа сменных носителях.

  33. По возможности, запретить пользователям подключение сменных носителей, к которым может быть осуществлён любой несанкционированный доступ.

  34. Настроить систему аудита на сохранение логов на удаленной машине.
    Если возможно, использовать систему централизованного протоколирования.
    см. РУК АДМИН п.15




  • Нет меток