Настройка безопасной конфигурации компьютра для работы с ОС Astra Linux
1. Настройте BIOS (с целью предотвратить загрузку с внешнего носителя) :
1.1. Установите единственным устройством для загрузки ОС - жесткий диск, на который была произведена установка ОС.
1.2. Установите "взломостойкий" пароль на BIOS компьютера.
...
Перед установкой ОС
- При возможности - установить и настроить на компьютере аппаратно-программный модуль доверенной загрузки (АПМДЗ)
...
1.4 Обеспечьте невозможность физического доступа к жесткому диску, на котором установлена ОС, или используйте доступные средства защитного преобразования всего содержимого диска.
...
- Установить "взломостойкий" пароль на BIOS компьютера.
При наличии опций для процессоров Intel Execute Disable Bit (XD-Bit) и для процессоров AMD No Execute Bit (NX-Bit) включите их.
...
При наличии на серверах "не доверенных" систем контроля и управления типа ILO,RSA,iDRAC,ThinkServer EasyManage,AMT,iMana - их необходимо отключить, и использовать, при необходимости, альтенативные решения типа IP KVM.
1.7 Включите secureboot на платформах, где это возможно, согласно инструкции.
...
Для Intel платформ
...
необходимо устранить уязвимости Intel-SA-00086 в Intel Management Engine (если он инегрирован в процессор)
...
посредством установки обновления микропрограммы Intel Management Engine
(производитель оборудования должен обеспечить данную возможность - это либо обновления BIOS, либо ПО для интеграции обновлений).
Для частичных проверок используйте: Intel-SA-00086 Detection Tool.
Более подробно:
...
...
- Установить ОССН (обязательно с включенным защитным преобразованием диска),
и по возможность обеспечить невозможность физического доступа к жесткому диску, на котором установлена ОС
При установке ОС
- Установите "взломостойкий" пароль на загрузчик Grub (устанавливается по умолчанию при установке ОС).
Создать отдельные дисковые разделы
/
/boot
/home
/tmp
/var/tmp
Раздел
/boot
рекомендуется монтировать с опциямиro
(перед обновлением ядра смонтировать вrw
)Разделы /home /tmp /var/tmp рекомендуется монтировать с опциями
noexec,nodev,nosuid
После установки ОС
...
Установите все доступные обновления безопасности ОС Astra Linux
для ОС СН Смоленск:
...
...
...
...
Настройте загрузчик на загрузку ядра GENERIC, и уберите из меню все другие варианты загрузки, включая режимы восстановления.
4.1 Установите "взломостойкий" пароль на загрузчик Grub (устанавливается по умолчанию при установке ОС).
...
При использовании архитектур отличных от Intel, установите пароль на загрузчик согласно документации.
5. При установке рекомендуется создать отдельные разделы / /boot /home /tmp /var/tmp
Раздел /boot рекомендуется монтировать с опциями ro
(перед обновлением ядра смонтировать в rw
)
Разделы /home /tmp /var/tmp рекомендуется монтировать с опциями noexec,nodev,nosuid
6. Установите "взломостойкие" пароли на всех учетных записях в ОС.
...
- Установите единственным устройством для загрузки ОС - жесткий диск, на который была произведена установка ОС
- Включить режим загрузки secureboot на своих ключах (создать usb-flash носитель с помощью astra-secureboot, и, далее, ключи импортировать в BIOS). инструкции
- Включить блокировку консоли
- Включить блокировку интерпретаторов
- Включить Блокировку установки бита исполнения nochmodx
- Включить блокировку макросов
- Включить блокировку трассировки ptrace
- Включить ЗПС
- Включить гарантированное удаление файлов и папок
- Включить межсетевой экран ufw
- Включить системные ограничения ulimits
- Включить, при наличии возможности, графический киоск для пользователя.
- Включить, при наличии возможности, системный киоск.
- Включить, при наличии возможности, второй уровень контроля подписей в расширенных атрибутах (xattr).
(Это можно выполнить в программе fly-admin-smc). - Установить МКЦ на ФС.
Для этого в графическом инструменте fly-admin-smc «Политика безопасности» -> «мандатный контроль целостности» -> «целостность файловой системы» -> установить «высокий 63», или в консоли set-fs-ilev. - Работу с конфиденциальной информацией под "уровнями конфиденциальности" нужно проводить, используя защитное преобразование файлов
(возможность встроена в Файловый менеджер fly-fm). - Работу с конфиденциальной информацией в сети необходимо производить, используя защитное преобразование пакетов с помощью создания доверенной VPN сети
(средства встроены в ОС). - Работу с конфиденциальной информацией при обмене почтой необходимо производить, используя защитные GPG-преобразования писем с помощью плагина для Thunderbird Enigmail
(средства встроены в ОС) - Установите "взломостойкие" пароли на все учетные записи в ОС.
- Настройте
pam_tally
на блокировку учетных записей при попытках подбора паролей (настроено по умолчанию при установке ОС).
...
- Настройте дисковые квоты в ОС
Для этого установите пакетquota,
настройте /etc/fstab, и используйтеedquota
для установки квот.
...
- Настройте ограничения ОС
...
- (так называемые ulimits).
...
- Рекомендуемые настройки /etc/security/limits.conf:
Блок кода | ||||
---|---|---|---|---|
| ||||
#размер дампа ядра * hard core 0 #максимальный размер создаваемого файла * hard fsize 50000000 #блокировка форк-бомбы(большого количества процессов) * hard nproc 1000 |
...
Отключите все неиспользуемые сервисы (в т.ч. сетевые) которые запускаются при старте ОС, используя программы:
systemdgenie
в Смоленск 1.6 (chkconfig
и fly-admin-runlevel
в Смоленск 1.5)
10. Найстройте iptables в минимально необходимой конфигурации, необходимой для работы:
(по умолчанию все запрещено, кроме необходимых исключений)
в ОССН Смоленск 1.5 6 командой iptables ufw gufw
в 1ОССН Смоленск 1.6 5 командой iptables ufw gufw
...
Настройте параметры ядра в /etc/sysctl.conf:
11.1 Отключите механизм SysRq
в /etc/sysctl.conf добавьте строку
...
Command |
---|
cat /proc/sys/kernel/sysrq |
11.2 дополнтельные рекомендуемые параметры
Блок кода | ||
---|---|---|
| ||
fs.suid_dumpable=0 kernel.randomize_va_space=2 net.ipv4.ip_forward=0 net.ipv4.conf.all.send_redirects=0 net.ipv4.conf.default.send_redirects=0 |
...
Заблокируйте исполнение модулей python с расширенным функционалом:
Command |
---|
find /usr/lib/python* -type f -name "_ctype*" -exec sudo dpkg-statoverride --update --add root root 640 {} \; |
13. Заблокируйте макросы в VLC
Command |
---|
find /usr/lib/ -type f -name "liblua_plugin*" -exec sudo dpkg-statoverride --update --add root root 640 {} \; |
14. При возможности заблокируйте, макросы в Libreoffice
15. Обязательно отключите доступ к консоли пользователям:
(Инструкция для Смоленск 1.5, для 1.6 правила работают из коробки)
...
Информация | ||
---|---|---|
| ||
"взломостойкий" пароль это пароль
|