Методика безопасности, нейтрализующая угрозы эксплуатации уязвимостей
Предупреждение | ||
---|---|---|
| ||
Применение методических указаний необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности. На время выполнения действий по применению методических указаний необходимо снять запрет на установку бита исполнения в политиках безопасности. |
Настоящая методика предназначена для нейтрализации угрозы эксплуатации уязвимостей, перечисленных в Списке уязвимостей, закрываемых обновлением №20210128SE16MD путём обновления пакетов, подверженных уязвимостям. Для реализации настоящей методики предоставляется архив репозитория пакетов, содержащий обновлённые пакеты. Обновление пакетов может выполняться как централизованно из общего репозитория, так и индивидуально из локальных репозиториев. Настройку использования репозиториев следует выполнить в соответствии с указаниями Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов а также Создание локального репозитория.
Порядок применения методики безопасности
Информация |
---|
Для минимизации угроз безопасности рекомендуется проверить корректность задания уровней целостности для непривилегированных пользователей (пользователей, не являющихся администраторами системы), вход в систему которым должен быть разрешен только на низком уровне целостности. Любые действия по администрированию системы, не требующие высокого уровня целостности, должны производиться на низком уровне целостности. В качестве дополнительной меры защиты рекомендуется включить блокировку консоли для пользователей и блокировку интерпретаторов. (см. руководство по КСЗ. Часть 1, раздел 16.5). |
1. Загрузить архив по ссылке: Cсылка. При наличии подключения к Интернет это можно сделать с помощью браузера или командой:
Command |
---|
wget https://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.6/20210128se16md/20210128se16md.tar.gz |
2. Проверить соответствие контрольной суммы полученного архива, выполнив команду:
Command |
---|
gostsum 20210128se16md.tar.gz |
Контрольная сумма:
Информация | ||
---|---|---|
| ||
91ef40679c0240f2a528ee9ad606c3ae419021d4552c28f3bce0630db3cdfe7a 20210128se16md.tar.gz |
Подсказка |
---|
Архив подписан усиленной квалифицированной электронной подписью ООО "РусБИТех-Астра" с использованием ключевого комплекта, выданного удостоверяющим центром Министерства Обороны Российской Федерации (Скачать). Для проверки подписи необходимо добавить в локальное хранилище сертификаты головного удостоверяющего центра и списки отозванных сертификатов, доступные по ссылке: https://zgt.mil.ru/Udostoveryayushchij-centr/Kornevye-i-otozvannye-sertifikaty |
Предупреждение | ||
---|---|---|
В архиве содержатся файлы для обновления двух несовместимых пакетов: пакета sudo и пакета sudo-ldap. Обновлять следует только тот пакет, который уже установлен в системе. Обычно в ОС Astra Linux установен пакет sudo. Проверить какой именно пакет установлен можно командой:
|
3. Распаковать архив, выполнив команду:
Command |
---|
tar xzf 20210128se16md.tar.gz |
После распаковки архива для установки будут доступны два файла обновлений для двух пакетов:
- файл sudo_1.8.19p1-2.1+deb9u3_amd64.deb для обновления пакета sudo;
- файл sudo-ldap_1.8.19p1-2.1+deb9u3_amd64.deb для обновления пакета sudo-ldap.
4. После распаковки архива обновление можно выполнить одной из команд:
Обновление пакета sudo | Обновление пакета sudo-ldap |
---|---|
sudo dpkg -i sudo_1.8.19p1-2.1+deb9u3_amd64.deb | sudo dpkg -i sudo-ldap_1.8.19p1-2.1+deb9u3_amd64.deb |
Или обновить только установленный пакет командами:
Command |
---|
dpkg -s sudo && sudo dpkg -i sudo_1.8.19p1-2.1+deb9u3_amd64.deb |
Предупреждение | ||
---|---|---|
| ||
Обновление пакетов необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности. На время установки обновления необходимо снять запрет на установку бита исполнения в политиках безопасности. |
Организационные мероприятия по снижению угрозы эксплуатации уязвимости
Если не был активирован Мандатный Контроль Целостности (МКЦ), то активировать его, после чего перезагрузить машину:
Command sudo astra-mic-control enable При включенном МКЦ проверить корректность задания уровней целостности для непривилегированных пользователей (пользователей, не являющихся администратором системы), вход в систему которым должен быть разрешен только на низком уровне целостности. Проверить уровень целостности пользователей можно с помощью графического инструмента fly-admin-smc или выполнив для каждого пользоваетля команду:
Command pdp-id -i имя_пользователя Включить блокировку консоли для пользователей, не входящих в группу astra-console:
Command sudo astra-console-lock enable
sudo astra-interpretes-lock enableПроверить список пользователей, входящих в группу astra-console графического инструмента fly-admin-smc или с помощью команды:
Command getent group | grep astra-console и исключить из группы astra-console всех недоверенных пользователей с помощью графического инструмента fly-admin-smc или выполнив для каждого такого пользователя команду:
Command gpasswd -d имя_пользователя astra-console