История страницы

...

2. Для Intel платформ

Необходимо обязательно отключить устранить уязвимости Intel-SA-00086 в Intel Management Engine, (если он интегрирован инегрирован в процессор. )  посредством установки обновления микропрограммы Intel Management Engine (производитель оборудования должен обеспечить данную возможность - это либо обновления BIOS, либо ПО для интеграции обновлений).

3. При установке рекомендуется создать отдельные разделы / /boot /home /tmp /var/tmp

Раздел /boot рекомендуется монтировать с опциями ro (перед обновлением ядра смонтировать в rw)

Разделы /home /tmp /var/tmp рекомендуется монтировать с опциями noexec,nodev,nosuid

...

Для частичных проверок используйте: Intel-SA-00086 Detection Tool.
Более подробно:
https://www.intel.ru/content/www/ru/ru/support/articles/000025619/software.html

3. Установите все доступные обновления безопасности ОС Astra Linux

для SE:

http://astra-linux.ru/update.html

...

http://mirror.yandex.ru/astra/stable/orel/latest/repository-update/

...

4. Настройте загрузчик на загрузку ядра

...

GENERIC и уберите из меню все другие варианты загрузки, включая режимы восстановления.

5.1. Если есть необходимое ПО которое не работает под PAX ядром добавьте его бинарные файлы и библиотеки в исключения с помощью paxctl(по умолчанию не установлен). После настройки удалите пакет paxctl.

5.2 4.1 Установите "взломостойкий" пароль на загрузчик Grub (устанавливается по умолчанию при установке ОС).

54.3 2 При использовании архитектур отличных от Intel установите пароль на загрузчик согласно документации.

5. При установке рекомендуется создать отдельные разделы / /boot /home /tmp /var/tmp

Раздел /boot рекомендуется монтировать с опциями ro (перед обновлением ядра смонтировать в rw)

Разделы /home /tmp /var/tmp рекомендуется монтировать с опциями noexec,nodev,nosuid

6. Установите "взломостойкий" пароли на всех учетных записях в ОС.

...

13. Заблокируйте макросы в VLC

find /usr/lib/*/vlc -type f -name "liblua_plugin*" -exec sudo dpkg-statoverride--update --add root root 640 {} \;

14. При возможности заблокируйте макросы в Libreoffice

15. Обязательно отключите доступ к консоли пользователям:

(Инструкция для Смоленск 1.5, для 1.6 правила работают из коробки)

...

Для включения доступа к консоли администраторам необходимо добавить их в группу astra-console.

...

16. Включите контроль цифровой подписи в ELF файлах и в xattr всех файлов,(Режим Замкнутой Программной Среды)

для этого сгенерируйте ключи и подпишите цифровой подписью в xattr все основные файлы и каталоги в корневой ФС.

рекомендуемые каталоги для подписи: /etc /lib /lib64 /lib32 /bin /sbin /boot /root /opt /srv /usr

1416.1 Для включения механизма контроля подписи в ELF:

...

перезагрузите ПК.

1416.2 Для включения механизма контроля подписи в xattr см. РУК КСЗ п.13.5.2

...

17. При возможности используйте шифрование домашних каталогов с помощью допустимых средств шифрования, или используйте хранение информации на сетевых дисках или сменных носителях.

...

18. При возможности настройте двухуровневый киоск для пользователя.

см. РУК КСЗ п.15

Как минимум, нужно настроить высокоуровневый киоск для пользователя с помощью утилиты fly-kiosk:

см. РУК КСЗ п.15.6

...

19. При возможности запретите пользователю подключение сменных носителей.

...

20. Установите запрет установки исполняемого бита:

см. РУК КСЗ п.16

...

21. Настройте систему аудита на сохранение логов на удаленной машине.

Если возможно используйте систему централизованного протоколирования ossec.

см. РУК АДМИН п.15

...

22. Установите МКЦ > 0 на всеx основных файлах и каталогах в корневой ФС. (set-fs-ilev)

(в 1.6 и в 1.5 на апдейтах позже 27-10-2017)

...