Настройка безопасной конфигурации компьютра для работы с ОС Astra Linux

1. Настройте BIOS (с целью предотвратить загрузку с внешнего носителя) :

1.1. Установите единственным устройством для загрузки ОС - жесткий диск, на который была произведена установка ОС.

1.2. Установите "взломостойкий" пароль на BIOS компьютера.

...

Перед установкой ОС

1. При возможности - установить и настроить на компьютере аппаратно-программный модуль доверенной загрузки (АПМДЗ)

...

1.4 Обеспечьте невозможность физического доступа к жесткому диску, на котором установлена ОС, или  используйте доступные средства защитного преобразования всего содержимого диска.

...

1. 
   
   
2. Установить "взломостойкий" пароль на BIOS компьютера.
   
   

3. При наличии опций для процессоров Intel Execute Disable Bit (XD-Bit) и для процессоров AMD No Execute Bit (NX-Bit) включите их.
   

...

1. 
   

2. При наличии на серверах "не доверенных" систем контроля и управления типа ILO,RSA,iDRAC,ThinkServer EasyManage,AMT,iMana - их необходимо отключить, и использовать, при необходимости, альтенативные решения типа IP KVM.
   

1.7 Включите secureboot на платформах, где это возможно, согласно инструкции.

...

1. 
   

2. Для Intel платформ

...

1. необходимо устранить уязвимости Intel-SA-00086 в Intel Management Engine (если он инегрирован в процессор)

...

1. 
   посредством установки обновления микропрограммы Intel Management Engine
   (производитель оборудования должен обеспечить данную возможность - это либо обновления BIOS, либо ПО для интеграции обновлений).
   Для частичных проверок используйте: Intel-SA-00086 Detection Tool.
   Более подробно:

...

1.  https://www.intel.ru/content/www/ru/ru/support/articles/000025619/software.html

...

1. 
   
   

2. Установить ОССН (обязательно с включенным защитным преобразованием диска),
   и по возможность обеспечить невозможность физического доступа к жесткому диску, на котором установлена ОС 

При установке ОС

1. Установите "взломостойкий" пароль на загрузчик Grub (устанавливается по умолчанию при установке ОС).

2. Создать отдельные дисковые разделы  
   /
/boot
/home
/tmp
/var/tmp

3. Раздел /boot рекомендуется монтировать с опциями ro (перед обновлением ядра смонтировать в rw)
   

4. Разделы /home /tmp /var/tmp рекомендуется монтировать с опциями noexec,nodev,nosuid
   

После установки ОС

...

1. Установите все доступные обновления безопасности ОС Astra Linux
   
   для ОС СН Смоленск:

...

1.  http://astralinux.ru/update.html

...

1.   и Обновления безопасности Astra Linux Special Edition 1.5
   для ОС ОН Орёл:

...

1.  http://mirror.yandex.ru/astra/stable/orel/latest/repository-update/

...

2. Настройте загрузчик на загрузку ядра GENERIC, и уберите из меню все другие варианты загрузки, включая режимы восстановления.
   

4.1 Установите "взломостойкий" пароль на загрузчик Grub (устанавливается по умолчанию при установке ОС).

...

1. При использовании архитектур отличных от Intel, установите пароль на загрузчик согласно документации.
   

5. При установке рекомендуется создать отдельные разделы / /boot /home /tmp /var/tmp

Раздел /boot рекомендуется монтировать с опциями ro (перед обновлением ядра смонтировать в rw)

Разделы /home /tmp /var/tmp рекомендуется монтировать с опциями noexec,nodev,nosuid

6. Установите "взломостойкие" пароли на всех учетных записях в ОС.

...

1. 
   

2. Установите единственным устройством для загрузки ОС - жесткий диск, на который была произведена установка ОС
   
   
3. Включить режим загрузки secureboot на своих ключах (создать usb-flash носитель с помощью astra-secureboot, и, далее, ключи импортировать в BIOS). инструкции
   
   
4. Включить блокировку консоли
   
   
5. Включить блокировку интерпретаторов
   
   
6. Включить Блокировку установки бита исполнения nochmodx
   
   
7. Включить блокировку макросов
   
   
8. Включить блокировку трассировки ptrace
   
   
9. Включить ЗПС
   
   
10. Включить гарантированное удаление файлов и папок
    
    
11. Включить межсетевой экран ufw
    
    
12. Включить системные ограничения ulimits
    
    
13. Включить, при наличии возможности, графический киоск для пользователя.
    
    
14. Включить, при наличии возможности, системный киоск.
    
    
15. Включить, при наличии возможности, второй уровень контроля подписей в расширенных атрибутах (xattr).
    (Это можно выполнить в программе fly-admin-smc).
    
    
16. Установить МКЦ на ФС.
    Для этого в графическом инструменте fly-admin-smc «Политика безопасности» -> «мандатный контроль целостности» -> «целостность файловой системы» -> установить «высокий 63», или в консоли set-fs-ilev.
    
    
17. Работу с конфиденциальной информацией под "уровнями конфиденциальности" нужно проводить, используя защитное преобразование файлов
    (возможность встроена в Файловый менеджер fly-fm).
    
    
18. Работу с конфиденциальной информацией в сети необходимо производить, используя защитное преобразование пакетов с помощью создания доверенной VPN сети
    (средства встроены в ОС).
    
    
19. Работу с конфиденциальной информацией при обмене почтой необходимо производить, используя защитные GPG-преобразования писем с помощью плагина для Thunderbird Enigmail
    (средства встроены в ОС)
    
    
20. Установите "взломостойкие" пароли на все учетные записи в ОС.
    
    
21. Настройте pam_tally на блокировку учетных записей при попытках подбора паролей (настроено по умолчанию при установке ОС).
    

...

1. 
   
2. Настройте дисковые квоты в ОС
   Для этого установите пакет quota, настройте /etc/fstab, и используйте edquota для установки квот.
   

...

1. 
   
2. Настройте ограничения ОС

...

1. (так называемые ulimits).
   

...

1. Рекомендуемые настройки /etc/security/limits.conf:

#размер дампа ядра

* hard core 0

#максимальный размер создаваемого файла

* hard fsize 50000000

#блокировка форк-бомбы(большого количества процессов)

* hard nproc 1000

...

Отключите все неиспользуемые сервисы (в т.ч. сетевые) которые запускаются при старте ОС, используя программы:

systemdgenie в Смоленск 1.6 (chkconfig и fly-admin-runlevel в Смоленск 1.5)

10. Найстройте iptables в минимально необходимой конфигурации, необходимой для работы:
(по умолчанию все запрещено, кроме необходимых исключений)

в ОССН Смоленск 1.5 6 командой iptables ufw gufw


в 1ОССН Смоленск 1.6 5 командой iptables ufw gufw

...

Настройте параметры ядра в /etc/sysctl.conf:

11.1 Отключите механизм SysRq

в /etc/sysctl.conf добавьте строку

...

11.2 дополнтельные рекомендуемые параметры

fs.suid_dumpable=0

kernel.randomize_va_space=2

net.ipv4.ip_forward=0

net.ipv4.conf.all.send_redirects=0

net.ipv4.conf.default.send_redirects=0

...

Заблокируйте исполнение модулей python с расширенным функционалом:

13. Заблокируйте макросы в VLC

14. При возможности заблокируйте, макросы в Libreoffice

15. Обязательно отключите доступ к консоли пользователям:

(Инструкция для Смоленск 1.5, для 1.6 правила работают из коробки)

...