Включить страницу | ||
---|---|---|
|
...
|
...
Содержание
Оглавление | ||
---|---|---|
|
Информация |
---|
Методические указания не являются кумулятивными. При выполнении методических указаний другие виды обновлений автоматически не применяются и должны быть установлены отдельно. |
Предупреждение | ||
---|---|---|
| ||
При включенном защитном механизме «Мандатный контроль целостности» применение методических указаний необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности. На время выполнения действий по применению методических указаний необходимо снять запрет на установку бита исполнения в политиках безопасности. |
...
|
...
title | Список программных пакетов и нейтрализованных угроз безопасности: |
---|
...
inverse | false,false |
---|---|
sparkName | Sparkline |
hidePane | Filtration panel |
separator | Point (.) |
labels | Название пакета‚Угрозы |
ddSeparators | true |
default | , |
cell-width | 150,150 |
userfilter | Название пакета,Угрозы |
datepattern | dd.mm.yy |
id | 1630320062581_-1517280035 |
worklog | 365|5|8|y w d h m|y w d h m |
isOR | AND |
order | 0,1 |
...
apache2
...
CVE-2021-26691
...
binutils
...
CVE-2017-13716
...
imagemagick
...
CVE-2021-20244
...
libtasn1-6
...
CVE-2018-1000654
...
libx11
...
CVE-2006-4447
...
xtrans
...
libxml2
...
CVE-2021-3517
...
snmptt
...
CVE-2020-24361
...
squid
...
CVE-2021-28662
...
sysstat
...
CVE-2019-19725
...
glibc
...
CVE-2021-33574
...
exim
...
CVE-2020-28009
...
Для нейтрализации угрозы эксплуатации уязвимостей пакетов, перечисленных в таблице выше, необходимо соблюдать следующие рекомендации:
...
Запускать программное обеспечение (ПО) в изолированной программной среде с применением инструмента Firejail;
Информация |
---|
Изоляция приложений с использованием инструмента Firejail описана в документе РУСБ.10152-02 97 01-1 «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1». |
панель |
---|
|
панель |
---|
|
...
Для непривилегированных пользователей активировать блокировку интерпретаторов, в том числе, если возможно — интерпретатора bash;
Информация |
---|
Блокировка интерпретатора bash может ограничить функционал некоторых программ и служб, не очевидным образом использующих bash, что приведет к нарушению штатной работы ОС. |
Предупреждение |
---|
После блокировки интерпретатора bash консольный вход пользователей с оболочкой bash будет невозможен. |
панель | ||
---|---|---|
| ||
Блокировку интерпретаторов можно включить используя графическую утилиту fly-admin-smc. Для этого:
|
...
title | Без использования графического интерфейса |
---|
...
Для блокировки интерпретаторов (кроме интерпретатора bash) необходимо выполнить в терминале команду:
Command |
---|
sudo astra-interpreters-lock enable |
Для того чтобы проверить состояние блокировки интерпретаторов, необходимо в терминале выполнить команду:
Command |
---|
sudo astra-interpreters-lock status |
Если блокировка включена, то результатом выполнения команды будет вывод сообщения:
Блок кода |
---|
АКТИВНО |
...
Для блокировки интерпретатора bash необходимо выполнить в терминале команду:
Command |
---|
sudo astra-bash-lock enable |
Для того чтобы проверить состояние блокировки интерпретатора bash, необходимо в терминале выполнить команду:
Command |
---|
sudo astra-bash-lock status |
Если блокировка включена, то результатом выполнения команды будет вывод сообщения:
Блок кода |
---|
АКТИВНО |
...
- Мандатный контроль целостности (МКЦ);
- Замкнутая программная среда (ЗПС);
...
title | В графической утилите «Управление политикой безопасности» |
---|
Функции подсистемы безопасности можно включить используя графическую утилиту fly-admin-smc. Для этого:
...
Примечание |
---|
После включения МКЦ и ЗПС необходимо перезагрузить ОС. |
...
title | Без использования графического интерфейса |
---|
...
Для включения функции подсистемы безопасности МКЦ необходимо выполнить в терминале команду:
Command |
---|
sudo astra-mic-control enable |
Примечание |
---|
После включения МКЦ необходимо перезагрузить ОС. |
Для того чтобы проверить состояние функции подсистемы безопасности МКЦ, необходимо в терминале выполнить команду:
Command |
---|
sudo astra-mic-control status |
Если функция подсистемы безопасности МКЦ включена, то результатом выполнения команды будет вывод сообщения:
Блок кода |
---|
АКТИВНО |
...
Для включения функции подсистемы безопасности ЗПС необходимо выполнить в терминале команду:
Command |
---|
sudo astra-digsig-control enable |
Примечание |
---|
После включения ЗПС необходимо перезагрузить ОС. |
Для того чтобы проверить состояние функции подсистемы безопасности ЗПС, необходимо в терминале выполнить команду:
Command |
---|
sudo astra-digsig-control status |
Если функция подсистемы безопасности ЗПС включена, то результатом выполнения команды будет вывод сообщения:
Блок кода |
---|
АКТИВНО |
панель |
---|
|
...
Для уровней защищенности «Усиленный» и «Максимальный» активировать режим запуска программных сервисов apache2 и exim4 на первом уровне целостности (предварительно должен быть включен МКЦ). Для этого необходимо выполнить в терминале команду:
Command |
---|
sudo astra-ilev1-control enable |
Для того чтобы проверить состояние режима запуска сервисов apache2 и exim4, необходимо в терминале выполнить команду:
Command |
---|
sudo astra-ilev1-control status |
Если режим запуска сервисов apache2 и exim на первом уровне целостности активирован, то результатом выполнения команды будет вывод сообщения:
Блок кода |
---|
АКТИВНО |
...
Методика безопасности, нейтрализующая угрозу эксплуатации уязвимостей программного обеспечения avahi
Информация | ||
---|---|---|
| ||
|
Для нейтрализации угрозы эксплуатации уязвимостей необходимо с помощью межсетевого экрана отключить возможность выхода ПО avahi вне локальной сети (заблокировать UDP порт 5353). Для этого:
...
title | С помощью iptables |
---|
добавить правило, выполнив в терминале команду, например такого вида:
Command |
---|
sudo iptables -A INPUT -p udp --dport 5353 -j DROP |
Примечание |
---|
После добавления правила необходимо удостоверится в том, что изменения будут сохранены после перезагрузки ОС. Подробнее — см. Сохранение и восстановление правил iptables. |
...
title | С помощью межсетевого экрана ufw |
---|
добавить правило, выполнив в терминале следующую команду:
Command |
---|
sudo ufw deny 5353/udp |
...
Методика безопасности, нейтрализующая угрозу эксплуатации уязвимостей программного обеспечения firefox
Информация | ||
---|---|---|
| ||
|
Примечание |
---|
В процессе эксплуатации ОС вместо ПО firefox рекомендуется использовать ПО chromium. |
Для нейтрализации угрозы эксплуатации уязвимостей необходимо следовать общим рекомендациям, представленным выше (см. Общая методика безопасности, нейтрализующая угрозу эксплуатации ряда уязвимостей ).
Кроме того, необходимо выполнить следующие дополнительные действия:
панель |
---|
Методика безопасности, нейтрализующая угрозу эксплуатации CVE-2021-23958Для нейтрализации угрозы эксплуатации уязвимости необходимо отключить компонент WebRTC (если он включен), для этого:
|
панель |
---|
Методика безопасности, нейтрализующая угрозу эксплуатации CVE-2021-23954 и CVE-2021-23960Для нейтрализации угрозы эксплуатации уязвимости необходимо отключить компонент JavaScript (если он включен), для этого:
|
панель |
---|
Методика безопасности, нейтрализующая угрозу эксплуатации CVE-2021-23994Для нейтрализации угрозы эксплуатации уязвимости необходимо отключить компонент WebGL (если он включен), для этого:
|
панель |
---|
Методика безопасности, нейтрализующая угрозу эксплуатации CVE-2021-23995Для нейтрализации угрозы эксплуатации уязвимости необходимо отключить режим адаптивного дизайна (если он активен), для этого:
|
панель |
---|
Методика безопасности, нейтрализующая угрозу эксплуатации CVE-2021-23997Для нейтрализации угрозы эксплуатации уязвимости необходимо отключить функцию кэширования страниц, для этого:
|
панель |
---|
Методика безопасности, нейтрализующая угрозу эксплуатации CVE-2021-29952Для нейтрализации угрозы эксплуатации уязвимости необходимо отключить компонент WebRender (если он включен), для этого:
|
панель |
---|
Методика безопасности, нейтрализующая угрозу эксплуатации CVE-2021-29970Для нейтрализации угрозы эксплуатации уязвимости необходимо отключить функцию специальные возможности (Accessibility features), для этого:
|
панель |
---|
Методика безопасности, нейтрализующая угрозу эксплуатации CVE-2021-30547Для нейтрализации угрозы эксплуатации уязвимости необходимо отключить модуль ANGLE (если он включен), для этого:
|
...
Методика безопасности, нейтрализующая угрозу эксплуатации общих уязвимостей программного обеспечения firefox и thunderbird
Информация | ||
---|---|---|
| ||
|
Примечание |
---|
В процессе эксплуатации ОС вместо ПО firefox рекомендуется использовать ПО chromiun. |
Для нейтрализации угрозы эксплуатации уязвимостей необходимо следовать общим рекомендациям, представленным выше (см. Общая методика безопасности, нейтрализующая угрозу эксплуатации ряда уязвимостей ).
Кроме того, для нейтрализации угрозы эксплуатации уязвимостей необходимо добавить правило блокировки следующих портов для TCP-пакетов:
6566 (используется протоколом SANE);
- 10080 (используется протоколом Amanda);
- 69 (используется протоколом TFTP);
- 161 (используется протоколом SNMP);
- 1719 (используется протоколом H323 (RAS));
- 137 (используется протоколом NetBIOS).
Для этого:
...
title | С помощью iptables |
---|
добавить правила, выполнив в терминале команды, например такого вида:
Command |
---|
sudo iptables -A INPUT -p tcp --dport 6566 -j DROP sudo iptables -A INPUT -p tcp --dport 10080 -j DROP sudo iptables -A INPUT -p tcp --dport 69 -j DROP sudo iptables -A INPUT -p tcp --dport 161 -j DROP sudo iptables -A INPUT -p tcp --dport 1719 -j DROP sudo iptables -A INPUT -p tcp --dport 137 -j DROP |
Примечание |
---|
После добавления правила необходимо удостоверится в том, что изменения будут сохранены после перезагрузки ОС. Подробнее — см. Сохранение и восстановление правил iptables. |
...
title | С помощью межсетевого экрана ufw |
---|
добавить правила, выполнив в терминале следующие команды:
Command |
---|
sudo ufw deny 6566/tcp sudo ufw deny 10080/tcp sudo ufw deny 69/tcp sudo ufw deny 161/tcp sudo ufw deny 1719/tcp sudo ufw deny 137/tcp |
...
Методика безопасности, нейтрализующая угрозу эксплуатации уязвимостей программного обеспечения glibc
Информация | ||
---|---|---|
| ||
|
Для нейтрализации угрозы эксплуатации уязвимостей необходимо отключить (если активна) поддержку корейской кодировки EUC-KR.
...
Для того чтобы просмотреть установленные локали, необходимо терминале выполнить команду:
Command |
---|
locale -a |
Результатом выполнения команды будет вывод строк с поддерживаемыми кодировками. Если в ОС поддерживается корейская кодировка EUC-KR, то в терминале среди прочих отобразится строка следующего вида:
Блок кода |
---|
ko_KR.euckr |
панель | ||
---|---|---|
Для удаления локалей используется утилита localepurge. Для её установки необходимо в терминале выполнить команду:
Во время установки утилиты во вкладке Файлы локалей, которые нужно оставить в системе, необходимо снять флаг ko_KR.EUC-KR (см. рисунок ниже). |
...
Методика безопасности, нейтрализующая угрозу эксплуатации уязвимостей программного обеспечения imagemagick
Информация | ||
---|---|---|
| ||
|
Для нейтрализации угрозы эксплуатации уязвимостей необходимо в конфигурационном файле /etc/ImageMagick-6/policy.xml
установить следующие значения:
Блок кода |
---|
<policy domain="resource" name="width" value="10KP"/>
<policy domain="resource" name="height" value="10KP"/> |
...
Методика безопасности, нейтрализующая угрозу эксплуатации уязвимостей технологии iptables
Информация | ||
---|---|---|
| ||
|
Для нейтрализации угрозы эксплуатации уязвимости необходимо при формировании правил iptables
соблюдать следующие рекомендации:
панель |
---|
|
...
добавить правило сброса TCP-пакетов, в которых одновременно установлены флаги SYN
и FIN
;
...
title | Пример команды добавления правила |
---|
Command |
---|
sudo iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j REJECT |
Примечание |
---|
После добавления правила необходимо удостоверится в том, что изменения будут сохранены после перезагрузки ОС. Подробнее — см. Сохранение и восстановление правил iptables. |
...
Методика безопасности, нейтрализующая угрозу эксплуатации уязвимостей программного обеспечения linuxptp
Информация | ||
---|---|---|
| ||
|
Для нейтрализации угрозы эксплуатации уязвимостей необходимо:
...
Если возможно, использовать только сетевой интерфейс внутренней сети (без доступа в Интернет). Пример команды запуска службы ptp4l
с использованием сетевого интерфейса eno1
:
Command |
---|
sudo ptp4l -i eno1 -m -S |
...
Если нет возможности использовать только сетевой интерфейс внутренней сети — с помощью межсетевого экрана блокировать входящие сообщения управления PTP, для этого:
...
title | С помощью iptables |
---|
Добавить правило, выполнив в терминале команду, например такого вида:
Command |
---|
sudo iptables -A INPUT -p udp --dport 320 -j DROP |
Примечание |
---|
После добавления правила необходимо удостоверится в том, что изменения будут сохранены после перезагрузки ОС. Подробнее — см. Сохранение и восстановление правил iptables. |
...
title | С помощью межсетевого экрана ufw |
---|
Добавить правило, выполнив в терминале следующую команду:
Command |
---|
sudo ufw deny 320/udp |
панель |
---|
|
Примечание |
---|
В процессе эксплуатации ОС вместо службы |
...
Методика безопасности, нейтрализующая угрозу эксплуатации уязвимостей службы ntp
Информация | ||
---|---|---|
| ||
|
Для нейтрализации угрозы эксплуатации уязвимостей необходимо:
...
Проверить корректность IP-адресов уже используемых NTP-серверов, для этого в терминале выполнить команду:
Command |
---|
sudo ntpdate -q <доменное имя NTP-сервера> |
В результате выполнения команды отобразится информация о NTP-серврере, в том числе и его IP-адрес.
Чтобы проверить, не является ли IP-адрес NTP-серверов поддельным, можно воспользоваться Whois-сервисом, например, на web-сайте https://2ip.ru/whois/.
...
title | Пример |
---|
Для того чтобы проверить корректность IP-адреса NTP-сервера ntp4.vniiftri.ru , необходимо:
в терминале выполнить команду:
Command |
---|
sudo ntpdate -q ntp4.vniiftri.ru |
пример вывода после выполнения команды:
Блок кода |
---|
server 89.109.251.24, stratum 1, offset 1.294563, delay 0.03233
5 Aug 13:42:09 ntpdate[1640]: step time server 89.109.251.24 offset 1.294563 sec |
- на web-сайте https://2ip.ru/whois/ в поле IP адрес или домен ввести доменное имя NTP-сервера и нажать на кнопку [Проверить].
...
|
...
...
Не использовать недоверенные, не прошедшие проверку подлинности NTP-серверы.
Информация |
---|
Рекомендуется использовать российские NTP-серверы ФГУП «ВНИИФТРИ», перечень которых доступен на официальном web-сайте ФГУП «ВНИИФТРИ» по ссылке: https://www.vniiftri.ru/catalog/services/sinkhronizatsiya-vremeni-cherez-ntp-servera/. |
Примечание |
---|
В процессе эксплуатации ОС вместо службы |
панель | |||||
---|---|---|---|---|---|
Методика безопасности, нейтрализующая угрозу эксплуатации уязвимостей программного обеспечения php
Для нейтрализации угрозы эксплуатации уязвимостей необходимо при разработке приложений с использованием SOAP-расширения для PHP указывать только доверенные SOAP-серверы. Для того чтобы проверить безопасность SOAP-сервера, можно воспользоваться специальным сервисом проверки, например, на web-сайте https://www.virustotal.com/gui/home/url. |
...
Методика безопасности, нейтрализующая угрозу эксплуатации уязвимостей программного обеспечения python
Информация | ||
---|---|---|
| ||
|
Для нейтрализации угрозы эксплуатации уязвимостей необходимо следовать общим рекомендациям, представленным выше (см. Общая методика безопасности, нейтрализующая угрозу эксплуатации ряда уязвимостей ).
Кроме того, при разработке скриптов в случае использования ctypes-функции PyCArg_repr необходимо убедиться, что длина строки, полученной в результате вывода sprintf, не превышает 256 байт. Для вычисления количества байт в строке, содержащей текст в кодировке, например, UTF-8, можно воспользоваться следующей функцией:
Command |
---|
def utf8len (text): return len(text.encode('utf-8')) |
...
Методика безопасности, нейтрализующая угрозу эксплуатации уязвимостей программного обеспечения rpm
Информация | ||
---|---|---|
| ||
|
Для нейтрализации угрозы эксплуатации уязвимостей необходимо отказаться от использования утилиты rpm. В процессе эксплуатации ОС в качестве пакетного менеджера необходимо применять утилиту apt. Для установки бинарных пакетов (файлов в формате DEB) необходимо использовать утилиту dpkg.
Для преобразования бинарных пакетов из формата RPM в формат DEB можно воспользоваться утилитой alien. Для её установки необходимо в терминале выполнить команду (потребуется диск со средствами разработки):
Command |
---|
sudo apt install alien |
Команда преобразования бинарных пакетов из формата RPM в формат DEB имеет следующий вид:
Command |
---|
sudo alien <наименование пакета>.rpm |
Результатом выполнения команды будет вывод сообщения:
Блок кода |
---|
<наименование пакета>.deb generated |
...
Методика безопасности, нейтрализующая угрозу эксплуатации уязвимостей службы rsyslog
Информация | ||
---|---|---|
| ||
|
Для нейтрализации угрозы эксплуатации уязвимостей необходимо отключить (если ранее были включены) модули парсинга pmcisconames
и pmaixforwardedfrom
. Для этого в файле /etc/rsyslog.conf
необходимо закомментировать (вставить символ "#" в начале строки) следующие строки:
Блок кода |
---|
module(load="pmcisconames")
module(load="pmaixforwardedfrom") |
...
Методика безопасности, нейтрализующая угрозу эксплуатации уязвимостей программного обеспечения sane-backends
Информация | ||
---|---|---|
| ||
|
Для нейтрализации угрозы эксплуатации уязвимостей необходимо отключить функцию auto-discovery, для этого следует в конфигурационном файле /etc/sane.d/epsonds.conf
закоментировать (вставить символ "#" в начале строки) следующую строку:
Блок кода |
---|
net autodiscovery |
...
Методика безопасности, нейтрализующая угрозу эксплуатации уязвимостей программного обеспечения screen
Информация | ||
---|---|---|
| ||
|
Для нейтрализации угрозы эксплуатации уязвимостей необходимо настроить терминал screen таким образом, чтобы в качестве кодировки по умолчанию не использовалась кодировка UTF-8. Например, для того чтобы в качестве кодировки по умолчанию установить KOI8-R (должна быть предварительно установлена в ОС), необходимо:
...
в открывшемся поле внизу окна терминала screen ввести следующую команду:
Command |
---|
defencoding KOI8-R |
...
Методика безопасности, нейтрализующая угрозу эксплуатации уязвимостей программного обеспечения squid
Информация | ||
---|---|---|
| ||
|
Для нейтрализации угрозы эксплуатации уязвимостей необходимо:
панель |
---|
|
...
Если возможно, полностью отключить доступ к Cache Manager. Для этого в конфигурационном файле /etc/squid/squid.conf
необходимо перед строками, содержащими "allow", добавить следующую строку:
Блок кода |
---|
http_access deny manager |
панель |
---|
|
...
Методика безопасности, нейтрализующая угрозу эксплуатации уязвимостей программного обеспечения tar
Информация | ||
---|---|---|
| ||
|
Для нейтрализации угрозы эксплуатации уязвимостей необходимо следовать общим рекомендациям, представленным выше (см. Общая методика безопасности, нейтрализующая угрозу эксплуатации ряда уязвимостей ).
При распаковке архивов, полученных из недоверенных источников, если для распаковки используются привилегии суперпользователя, то использовать опцию --no-same-permissions.
Кроме того, при распаковке архивов, полученных из недоверенных источников, выполнять следующие рекомендации:
...
если для распаковки используются привилегии суперпользователя, то использовать следующий параметр: --no-same-permissions
Command | ||
---|---|---|
| ||
sudo tar zxvf file.tar.gz --no-same-permissions |
...
Список нейтрализованных угроз безопасности
...
title | Раскрыть список |
---|
...
inverse | false,false |
---|---|
sparkName | Sparkline |
hidePane | Filtration panel |
separator | Point (.) |
labels | Название пакета‚Угрозы |
ddSeparators | true |
default | , |
cell-width | 150,150 |
userfilter | Название пакета,Угрозы |
datepattern | dd.mm.yy |
id | 1630652501309_253733366 |
worklog | 365|5|8|y w d h m|y w d h m |
isOR | AND |
order | 0,1 |
...
apache2
...
CVE-2021-26691
...
binutils
...
CVE-2017-13716
...
imagemagick
...
CVE-2021-20244
...
libtasn1-6
...
CVE-2018-1000654
...
libx11
...
CVE-2006-4447
...
xtrans
...
libxml2
...
CVE-2021-3517
...
snmptt
...
CVE-2020-24361
...
squid
...
CVE-2021-28662
...
sysstat
...
CVE-2019-19725
...
glibc
...
CVE-2021-33574
...
exim
...
CVE-2020-28009
...