...
Установите все доступные обновления безопасности ОС Astra Linux
для ОС СН Смоленск: http://astralinux.ru/update.html и Обновления безопасности Astra Linux Special Edition 1.5
для ОС ОН Орёл: http://mirror.yandex.ru/astra/stable/orel/latest/repository-update/Настройте загрузчик на загрузку ядра GENERIC, и уберите из меню все другие варианты загрузки, включая режимы восстановления.
При использовании архитектур отличных от Intel, установите пароль на загрузчик согласно документации.- Установите единственным устройством для загрузки ОС - жесткий диск, на который была произведена установка ОС
- Включить режим загрузки secureboot на своих ключах (создать usb-flash носитель с помощью astra-secureboot, и, далее, ключи импортировать в BIOS). инструкции
- Включить блокировку консоли
- Включить блокировку интерпретаторов
Включить Блокировку установки бита исполнения
Информация echo 1 > /parsecfs/nochmodx
echo 1 > /etc/parsec/nochmodxили командой
Информация astra-nochmodx-lock enable см. РУК КСЗ п.16
- По возможности, включить блокировку макросов
В Libreoffice
В VLC
Информация find /usr/lib/ -type f -name "liblua_plugin*" -exec sudo dpkg-statoverride --update --add root root 640 {} \;
- Включить блокировку трассировки ptrace
- Включить ЗПС
- Включить гарантированное удаление файлов и папок
- Включить межсетевой экран ufw
- Включить системные ограничения ulimits
- Включить, при наличии возможности, графический киоск режим киоска для пользователя.
Киоск можно настроить с помощью графического инструмента командной строки fly-kiosk (РУК КСЗ п.15.6). - Включить, при наличии возможности, системный киоск для пользователя (см. РУК КСЗ п.15)Fly
Киоск можно настроить с помощью графического инструмента командной строки fly-admin-kiosk smc (см. РУК КСЗ п.15.6). - Включить, при наличии возможности, второй уровень контроля подписей в расширенных атрибутах (xattr).
(Это можно выполнить в программе fly-admin-smc). - Установить мандатный контроль целостности (МКЦ > 0) на всеx основных файлах и каталогах в корневой файловой системе.
(в Смоленск 1.6 и в Смоленск 1.5 на апдейтах позже 27-10-2017)
Для этого в графическом инструменте fly-admin-smc «Политика безопасности» -> «мандатный контроль целостности» -> «целостность файловой системы» -> установить «высокий 63», или в консоли set-fs-ilev.
Установку МКЦ рекомендуется проводить после всех настроек безопасности,
так как дальнейшее администрирование возможно только войдя под высоким уровнем целостности,
или после снятия МКЦ с файловой системы командой unset-fs-ilev Установка МКЦ на 1.5 апдейт 27-10-2017: см. Мандатный контроль целостности - Работу с конфиденциальной информацией под "уровнями конфиденциальности" нужно проводить, используя защитное преобразование файлов
(возможность встроена в Файловый менеджер fly-fm). - Работу с конфиденциальной информацией в сети необходимо производить, используя защитное преобразование пакетов с помощью создания доверенной VPN сети
(средства встроены в ОС). - Работу с конфиденциальной информацией при обмене почтой необходимо производить, используя защитные GPG-преобразования писем с помощью плагина для Thunderbird Enigmail
- (средства встроены в ОС)
Установите "взломостойкие" пароли на все учетные записи в ОС
Информация title P.S. "взломостойкий" пароль это пароль
- не менее 8 символов,
- не содержащий в себе никакик осмысленных слов (ни в каких раскладках),
- и содержащий в себе буквы в различных регистах, цифры и спецсимволы.
- Настройте
pam_tally
на блокировку учетных записей при попытках подбора паролей (настроено по умолчанию при установке ОС). - Настройте дисковые квоты в ОС
Для этого установите пакетquota,
настройте /etc/fstab, и используйтеedquota
для установки квот. - Настройте ограничения ОС (так называемые ulimits).
Рекомендуемые настройки /etc/security/limits.conf:Информация #размер дампа ядра
* hard core 0#максимальный размер создаваемого файла
* hard fsize 50000000#блокировка форк-бомбы(большого количества процессов)
* hard nproc 1000 Отключите все неиспользуемые сервисы (в т.ч. сетевые) которые запускаются при старте ОС:
Информация командой systemdgenie
в Смоленск 1.6 или
командамиchkconfig
иfly-admin-runlevel
в Смоленск 1.5Найстройте iptables в минимально необходимой конфигурации, необходимой для работы:
(по умолчанию все запрещено, кроме необходимых исключений)Информация командой iptables ufw gufw
в ОССН Смоленск 1.6 или
командойiptables ufw
в ОССН Смоленск 1.5Настройте параметры ядра в /etc/sysctl.conf:
Отключите механизм SysRq, для чего в /etc/sysctl.conf добавьте строкуИнформация kernel.sysrq = 0 после чего перезагрузите ПК, и проверьте что уcтановлено значение 0, командой:
Информация cat /proc/sys/kernel/sysrq дополнтельные рекомендуемые параметры ядра:
Информация fs.suid_dumpable=0
kernel.randomize_va_space=2
net.ipv4.ip_forward=0
net.ipv4.conf.all.send_redirects=0
net.ipv4.conf.default.send_redirects=0Заблокируйте исполнение модулей python с расширенным функционалом:
Информация find /usr/lib/python* -type f -name "_ctype*" -exec sudo dpkg-statoverride --update --add root root 640 {} \; По возможности, запретите пользователям подключение сменных носителей.
- Настройте систему аудита на сохранение логов на удаленной машине.
Если возможно, используйте систему централизованного протоколированияossec
.
см. РУК АДМИН п.15
...