...
- При возможности - установить и настроить на компьютере аппаратно-программный модуль доверенной загрузки (АПМДЗ)
Установить "взломостойкий" пароль на BIOS компьютера.
Информация title P.S. "взломостойкий" пароль это пароль
- не менее 8 символов,
- не содержащий в себе никакик осмысленных слов (ни в каких раскладках),
- и содержащий в себе буквы в различных регистах, цифры и спецсимволы.
При наличии опций для процессоров Intel Execute Disable Bit (XD-Bit) и для процессоров AMD No Execute Bit (NX-Bit) включите их.
При наличии на серверах "не доверенных" систем контроля и управления типа ILO,RSA,iDRAC,ThinkServer EasyManage,AMT,iMana - их необходимо отключить, и использовать, при необходимости, альтенативные решения типа IP KVM.
Для Intel платформ необходимо устранить уязвимости Intel-SA-00086 в Intel Management Engine (если он инегрирован в процессор)
посредством установки обновления микропрограммы Intel Management Engine
(производитель оборудования должен обеспечить данную возможность - это либо обновления BIOS, либо ПО для интеграции обновлений).
Для частичных проверок используйте: Intel-SA-00086 Detection Tool.
Более подробно: https://www.intel.ru/content/www/ru/ru/support/articles/000025619/software.html- Установить ОССН (обязательно с включенным защитным преобразованием диска),
и по возможность обеспечить невозможность физического доступа к жесткому диску, на котором установлена ОС
...
Установите все доступные обновления безопасности ОС Astra Linux
для ОС СН Смоленск: http://astralinux.ru/update.html и Обновления безопасности Astra Linux Special Edition 1.5
для ОС ОН Орёл: http://mirror.yandex.ru/astra/stable/orel/latest/repository-update/Настройте загрузчик на загрузку ядра GENERIC, и уберите из меню все другие варианты загрузки, включая режимы восстановления.
При использовании архитектур отличных от Intel, установите пароль на загрузчик согласно документации.- Установите единственным устройством для загрузки ОС - жесткий диск, на который была произведена установка ОС
- Включить режим загрузки secureboot на своих ключах (создать usb-flash носитель с помощью astra-secureboot, и, далее, ключи импортировать в BIOS). инструкции
- Включить блокировку консоли
- Включить блокировку интерпретаторов
- Включить Блокировку установки бита исполнения nochmodx
- Включить По возможности, включить блокировку макросов
В Libreoffice
В VLC
Информация find /usr/lib/ -type f -name "liblua_plugin*" -exec sudo dpkg-statoverride --update --add root root 640 {} \;
- Включить блокировку трассировки ptrace
- Включить ЗПС
- Включить гарантированное удаление файлов и папок
- Включить межсетевой экран ufw
- Включить системные ограничения ulimits
- Включить, при наличии возможности, графический киоск для пользователя.
- Включить, при наличии возможности, системный киоск.
- Включить, при наличии возможности, второй уровень контроля подписей в расширенных атрибутах (xattr).
(Это можно выполнить в программе fly-admin-smc). - Установить мандатный контроль целостности (МКЦ на ФС. > 0) на всеx основных файлах и каталогах в корневой файловой системе.
(в Смоленск 1.6 и в Смоленск 1.5 на апдейтах позже 27-10-2017)
Для этого в графическом инструменте fly-admin-smc «Политика безопасности» -> «мандатный контроль целостности» -> «целостность файловой системы» -> установить «высокий 63», или в консоли set-fs-ilev.
Установку МКЦ рекомендуется проводить после всех настроек безопасности,
так как дальнейшее администрирование возможно только войдя под высоким уровнем целостности,
или после снятия МКЦ с файловой системы командой unset-fs-ilev Установка МКЦ на 1.5 апдейт 27-10-2017: см. Мандатный контроль целостности - Работу с конфиденциальной информацией под "уровнями конфиденциальности" нужно проводить, используя защитное преобразование файлов
(возможность встроена в Файловый менеджер fly-fm). - Работу с конфиденциальной информацией в сети необходимо производить, используя защитное преобразование пакетов с помощью создания доверенной VPN сети
(средства встроены в ОС). - Работу с конфиденциальной информацией при обмене почтой необходимо производить, используя защитные GPG-преобразования писем с помощью плагина для Thunderbird Enigmail
- (средства встроены в ОС)
Установите "взломостойкие" пароли на все учетные записи в ОС
Информация title P.S. "взломостойкий" пароль это пароль
- не менее 8 символов,
- не содержащий в себе никакик осмысленных слов (ни в каких раскладках),
- и содержащий в себе буквы в различных регистах, цифры и спецсимволы.
- Настройте
pam_tally
на блокировку учетных записей при попытках подбора паролей (настроено по умолчанию при установке ОС). - Настройте дисковые квоты в ОС
Для этого установите пакетquota,
настройте /etc/fstab, и используйтеedquota
для установки квот. - Настройте ограничения ОС (так называемые ulimits).
Рекомендуемые настройки /etc/security/limits.conf:
...
language | bash |
---|---|
title | /etc/security/limits.conf |
...
Информация #размер дампа ядра
* hard core 0#максимальный размер создаваемого файла
* hard fsize 50000000#блокировка форк-бомбы(большого
...
количества
...
процессов)
...
*
...
hard
...
nproc
...
1000
Отключите все неиспользуемые сервисы (в т.ч. сетевые) которые запускаются при старте ОС
...
:
Информация командой systemdgenie
в Смоленск 1.6
...
или
командамиchkconfig
иfly-admin-runlevel
в Смоленск 1.5
...
Найстройте iptables в минимально необходимой конфигурации, необходимой для работы:
(по умолчанию все запрещено, кроме необходимых исключений)
...
Информация командой iptables ufw gufw
в ОССН Смоленск 1.6
...
или
командойiptables ufw
в ОССН Смоленск 1.
...
5 Настройте параметры ядра в /etc/sysctl.conf:
Отключите механизм SysRq
...
, для чего в /etc/sysctl.conf добавьте строку
...
title | /etc/sysctl.conf |
---|
Информация kernel.sysrq
...
=
...
0
...
после чего перезагрузите ПК, и проверьте что уcтановлено значение 0, командой:
...
Информация cat /proc/sys/kernel/sysrq дополнтельные рекомендуемые параметры
...
ядра:
Информация
...
fs.suid_dumpable=0
...
kernel.randomize_va_space=2
...
net.ipv4.ip_forward=0
...
net.ipv4.conf.all.send_redirects=0
...
net.ipv4.conf.default.send_redirects=0Заблокируйте исполнение модулей python с расширенным функционалом:
...
Информация find /usr/lib/python* -type f -name "_ctype
...
13. Заблокируйте макросы в VLC
...
*" -exec sudo dpkg-statoverride --update --add root root 640 {} \;
...
15. Обязательно отключите доступ к консоли пользователям:
(Инструкция для Смоленск 1.5, для 1.6 правила работают из коробки)
Добавьте группу astra-console выполнив команду:
...
Создайте файл /etc/rc.local со следующим содержимым:
Блок кода | ||
---|---|---|
| ||
#!/bin/sh -e chown root:astra-console /dev/{pts,pts/*,ptmx,tty*} chmod g+rx /dev/{pts,pts/*,ptmx,tty*} chmod o-rx /dev/{pts,pts/*,ptmx,tty*} exit 0 |
Создайте файл /etc/rc.local со следующим содержимым:
Добавьте правило в файл /etc/security/access.conf командой:
...
Если возможно используйте систему централизованного протоколирования ossec
.
см. РУК АДМИН п.15
22. Установите мандатный контроль целостности (МКЦ > 0) на всеx основных файлах и каталогах в корневой файловой системе. (set-fs-ilev)
(в Смоленск 1.6 и в Смоленск 1.5 на апдейтах позже 27-10-2017)
Установку МКЦ рекомендуется проводить после всех настроек безопасности, дальнейшее
администрирование возможно только войдя под высоким уровнем целостности или после снятия МКЦ с файловой системы командой unset-fs-ilev
Установка МКЦ на 1.5 апдейт 27-10-2017:
см. Мандатный контроль целостности
...
title | P.S. |
---|
"взломостойкий" пароль это пароль
...