...
1.9. Включить secureboot на платформах где это возможно согласно инструкции.
2. Для Intel платформ
2.1 Необходимо устранить уязвимости Intel-SA-00086 в Intel Management Engine(если он инегрирован в процессор) посредством установки обновления микропрограммы Intel Management Engine (производитель оборудования должен обеспечить данную возможность - это либо обновления BIOS, либо ПО для интеграции обновлений). Для частичных проверок используйте: Intel-SA-00086 Detection Tool.
Более подробно:
https://www.intel.ru/content/www/ru/ru/support/articles/000025619/software.html
...
1.10. Устранить известные уязвимости аппаратной платформы (процессоров, контроллеров, BIOS и пр.). Обычно выполняется обновлением BIOS и микропрограмм устройств или, до получения нейтрализующих обновлений, отключением опций, подверженных уязвимостям. См. эксплуатационную документацию на используемые компоненты аппаратной платформы. В процессе эксплуатации устранять уязвимости аппаратной платформы по мере их выявления.
3. Установить все доступные оперативные обновления ОС Astra Linux
Оперативные обновления для Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5)
4.
...
Настроть загрузчик на загрузку ядра GENERIC и
...
уберать из меню все другие варианты загрузки, включая режимы восстановления.
4.1 Установите Установить "взломостойкий" пароль на загрузчик Grub (устанавливается по умолчанию при установке ОС).
4.2 При использовании архитектур отличных от Intel
установите установить пароль на загрузчик согласно документации.
...
Разделы /home /tmp /var/tmp рекомендуется монтировать с опциями noexec,nodev,nosuid
6.
...
Установить "взломостойкий" пароли на всех учетных записях в ОС.
6.1 настройте Настроить pam_tally
на блокировку учетных записей при попытках подбора паролей. (настроено по умолчанию при установке ОС)
7.
...
Настроить дисковые квоты в ОС
Для этого установите настройки дисковых квот:
- установить пакет
quota
...
- ;
- настроить /etc/fstab
...
- ;
- использовать инструмент
edquota
для установки квот.
8.
...
Настроить ограничения ОС: ulimits
рекомендуемые Рекомендуемые настройки (файл /etc/security/limits.conf):
Блок кода | ||||
---|---|---|---|---|
| ||||
#размер дампа ядра * hard core 0 #максимальный размер создаваемого файла * hard fsize 50000000 #блокировка форк-бомбы(большого количества процессов) * hard nproc 1000 |
9.
...
Отключить все неиспользуемые сервисы (в т.ч. сетевые) которые запускаются при старте ОС
...
Для поиска неиспользуемых сервисов можно применить командыпрограммы chkconfig
и fly-admin-runlevel
в 1.5systemctl systemdgenie
в 1.6
10.
...
Настроить iptables в минимально необходимой конфигурации необходимой для работы
(по умолчанию все запрещено, кроме необходимых исключений)
в 1.5 iptables ufw
в 1.6 iptables ufw gufw
11.
...
Настроить параметры ядра в /etc/sysctl.conf:
11.1 Отключите механизм SysRq
...
Блок кода | ||
---|---|---|
| ||
kernel.sysrq = 0 |
Перезагрузите ПК, проверьте Перезагрузить компьютер и убедиться, что установлено значение 0, командой. Команда:
Command |
---|
cat /proc/sys/kernel/sysrq |
11.2 Установить дополнтельные рекомендуемые параметры
Блок кода | ||
---|---|---|
| ||
fs.suid_dumpable=0 kernel.randomize_va_space=2 net.ipv4.ip_forward=0 net.ipv4.conf.all.send_redirects=0 net.ipv4.conf.default.send_redirects=0 |
12.
...
Заблокировать исполнение модулей python с расширенным функционалом:
Command |
---|
find /usr/lib/python* -type f -name "_ctype*" -exec sudo dpkg-statoverride --update --add root root 640 {} \; |
13.
...
Заблокировать макросы в VLC
Command |
---|
find /usr/lib/ -type f -name "liblua_plugin*" -exec sudo dpkg-statoverride --update --add root root 640 {} \; |
14. При возможности
...
заблокировать макросы в Libreoffice
15.
...
Отключить доступ к консоли пользователям:
(Инструкция для Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5), для оперативного обновления 1.6 правила работают из коробки)
Добавьте Добавить группу astra-console выполнив команду:
Command |
---|
addgroup --gid 333 astra-console |
Создайте Создать файл /etc/rc.local со следующим содержимым:
Блок кода | ||
---|---|---|
| ||
#!/bin/sh -e chown root:astra-console /dev/{pts,pts/*,ptmx,tty*} chmod g+rx /dev/{pts,pts/*,ptmx,tty*} chmod o-rx /dev/{pts,pts/*,ptmx,tty*} exit 0 |
Добавьте Добавить правило в файл /etc/security/access.conf командой:
Command |
---|
echo "-:ALL EXCEPT astra-console :LOCAL" >> /etc/security/access.conf |
Включите Включить в /etc/pam.d/login обработку заданных правил командой
...
Для включения доступа к консоли администраторам необходимо добавить их в группу astra-console.
16.
...
Включить контроль цифровой подписи в ELF файлах и в xattr всех файлов,(Режим Замкнутой Программной Среды)
для этого сгенерируйте Для включения цифровой подписи сгенерировать ключи и подпишите подписать цифровой подписью в xattr все основные файлы и каталоги в корневой ФС. рекомендуемые Рекомендуемые каталоги для подписи: /etc /lib /lib64 /lib32 /bin /sbin /boot /root /opt /srv /usr
16.1 Для включения механизма контроля подписи в ELF:
Установите Установить в файле /etc/digsig/digsig_initramfs.conf:
Блок кода | ||
---|---|---|
| ||
DIGSIG_ENFORCE=1
DIGSIG_LOAD_KEYS=1 |
выполните Выполнить команду:
Command |
---|
update-initramfs -u -k all |
перезагрузите ПКПерезагрузить компьютер.
16.2 Для включения механизма контроля подписи в xattr
см. РУК КСЗ п.13.5.2
17. При возможности
...
использовать защитное преобразование данных домашних каталогов пользователей с помощью допустимых средств преобразования
...
.
18. При возможности
...
настроить двухуровневый киоск для пользователя.
см. РУК КСЗ п.15
Как минимум, нужно настроить высокоуровневый киоск для пользователя с помощью утилиты fly-kiosk:
см. РУК КСЗ п.15.6
19. При возможности
...
запретить пользователям подключение сменных носителей.
20.
...
Установить запрет установки исполняемого бита:
Command |
---|
echo 1 > /parsecfs/nochmodx |
см. РУК КСЗ п.16
21.
...
Настроить систему аудита на сохранение
...
журналов на удаленной машине.
Если возможно используйте использовать систему централизованного протоколирования ossec
., см. РУК АДМИН п.15
22.
...
Установить МКЦ > 0 на всеx основных файлах и каталогах в корневой ФС. (set-fs-ilev)
(в 1.6 и в 1.5 на апдейтах позже 27-10-2017)
Установку МКЦ рекомендуется проводить после всех настроек безопасности, так как дальнейшее администрирование будет возможно только войдя после входа под высоким уровнем целостности или после снятия МКЦ с ФС командой unset-fs-ilev
Установка МКЦ на 1.5 апдейт 27-10-2017: см. Мандатный контроль целостности
Информация | ||
---|---|---|
| ||
"Взломостойкий" пароль - это пароль не менее 8 символов, не содержащий в себе никаких осмысленных слов(ни в каких раскладках) и содержащий в себе буквы в различных регистрах, цифры и спецсимволы. |
23. Включите Включить запрос пароля при каждом выполнении команды sudo, для чего внесите внести следующие изменения в файл /etc/sudoers:
...