...
| Блок кода | ||
|---|---|---|
| ||
fs.suid_dumpable=0 kernel.randomize_va_space=2 net.ipv4.ip_forward=0 net.ipv4.conf.all.send_redirects=0 net.ipv4.conf.default.send_redirects=0 |
12.
...
Обязательно отключите доступ к консоли пользователям:
(Инструкция для Смоленск 1.5, для 1.6 правила работают из коробки)
Добавьте группу astra-console выполнив команду:
| Command |
|---|
| addgroup --gid 333 astra-console |
Создайте файл /etc/rc.local со следующим содержимымв файле /etc/inittab закомментируйте символом # следующие строки:
| Блок кода | ||||
|---|---|---|---|---|
| #1:2345:respawn:/sbin/getty 38400 tty1
#2:23:respawn:/sbin/getty 38400 tty2
#3:23:respawn:/sbin/getty 38400 tty3
#4:23:respawn:/sbin/getty 38400 tty4
#5:23:respawn:/sbin/getty 38400 tty5
#6:23:respawn:/sbin/getty 38400 tty6
| |||
#!/bin/sh -e
chown root:astra-console /dev/{pts,pts/*,ptmx,tty*}
chmod g+rx /dev/{pts,pts/*,ptmx,tty*}
chmod o-rx /dev/{pts,pts/*,ptmx,tty*}
exit 0
|
Добавьте правило в файл /etc/security/access.conf командой:
| Command |
|---|
| echo "-:ALL EXCEPT astra-console :LOCAL" >> /etc/security/access.conf |
Включите в /etc/pam.d/login обработку заданных правил командой
| Command |
|---|
sed -i 's|.*account.*pam_access.*|account required pam_access.so|' /etc/pam.d/login |
Для включения доступа к консоли администраторам необходимо добавить их в группу astra-console.
13. Включите контроль цифровой подписи в ELF файлах и в xattr всех файлов,(Режим Замкнутой Программной Среды)
...