...
Создать отдельные дисковые разделы
/
/boot
/home
/tmp
/var/tmp
Информация Для всех перечисленных дисковых разделов рекомендуется использовать файловую системы ext4.
При выборе размера дисковых разделов следует помнить, что при размере раздела /tmp менее 250МБ весьма вероятно возникновение ошибок при работе с графикой или с большими объёмами данных.Разделы /home /tmp /var/tmp рекомендуется монтировать с опциями
Выбрать вариант загрузки ядра HARDENED.noexec,nodev,nosuid
- В разделе "Дополнительные настройки ОС" включить:
- Использовать по умолчанию ядро Hardened;
- Включить блокировку консоли;
- Включить межсетевой экран ufw;
- Включить системные ограничения ulimits;
- Отключить возможность трассировки ptrace;
После установки ОС
- Установить единственным устройством для загрузки ОС жесткий диск, на который была произведена установка ОС
Установить "взломостойкий" пароль на загрузчик Grub. При использовании архитектур, отличных от Intel, установить пароль на загрузчик согласно документации.
- Использовать загрузку ядра HARDENED, и убрать из меню все другие варианты загрузки, включая режимы восстановления.
Установить все доступные обновления безопасности ОС Astra Linux:
Информация для ОС ОН Орёл обновления доступны по мере их выхода: https://download.astralinux.ru/astra/current/orel/repository/ - Настроить монтирование раздела
/boot
с опциямиro
(перед обновлением ядра перемонтировать вrw
). - Включить режим загрузки secureboot на своих ключах (создать usb-flash носитель с помощью astra-secureboot, и, далее, ключи импортировать в BIOS) в соответствии с инструкцией
Отключить доступ к консоли пользователям, если он не был отключен при установке ОС:
Создать файл /etc/rc.local со следующим содержимым:
Информация #!/bin/sh -e
chown root:astra-console /dev/{pts,pts/*,ptmx,tty*}
chmod g+rx /dev/{pts,pts/*,ptmx,tty*}
chmod o-rx /dev/{pts,pts/*,ptmx,tty*}
exit 0Добавить правило в файл /etc/security/access.conf командой:
Command echo "-:ALL EXCEPT astra-console :LOCAL" >> /etc/security/access.conf Включить в /etc/pam.d/login обработку заданных правил командой
Command sed -i 's|.*account.*pam_access.*|account required pam_access.so|' /etc/pam.d/login Для включения доступа к консоли администраторам необходимо добавить их в группу astra-console.
Включить блокировку интерпретаторов, если она не была включена при установке ОС
По возможности, включить блокировку макросов с помощью инструмента командной строки astra-macros-lock:
Command astra-macros-lock enable - Включить блокировку трассировки ptrace, если она не была включена при установке ОС
- Включить гарантированное удаление файлов и папок
- Включить, при наличии возможности, режим киоска для пользователя.
- Работу с конфиденциальной информацией нужно проводить, используя защитное преобразование файлов.
- Работу с конфиденциальной информацией в сети необходимо производить, используя защитное преобразование пакетов с помощью создания доверенной VPN сети
(средства встроены в ОС). - Работу с конфиденциальной информацией при обмене почтой необходимо производить, используя защитные GPG-преобразования писем с помощью плагина для Thunderbird Enigmail
(средства встроены в ОС) Установить "взломостойкие" пароли на все учетные записи в ОС
Информация title P.S. "Взломостойкий" пароль - это пароль
- Содержащий не менее 8 символов;
- Не содержащий в себе никаких осмысленных слов (ни в каких раскладках);
- Содержащий в себе буквы в различных регистрах, цифры и спецсимволы.
- Убедиться, что
pam_tally
настроен на блокировку учетных записей при попытках подбора паролей (настроено по умолчанию при установке ОС). - Настроить дисковые квоты в ОС
Для этого установить пакетquota,
настроить /etc/fstab, и использоватьedquota
для установки квот. Настроить Включить ограничения ОС (так называемые ulimits), если они не были включены при установке ОС.
Настроить ограничения ОС.
Рекомендуемые настройки /etc/security/limits.conf:Информация #размер дампа ядра
* hard core 0#максимальный размер создаваемого файла
* hard fsize 50000000#блокировка форк-бомбы(большого количества процессов)
* hard nproc 1000Отключить все неиспользуемые сервисы (в т.ч. сетевые) которые запускаются при старте ОС:
Command systemdgenie
Включить межсетевой экран ufw и настроить , если он не был включен при установке ОС.
Настроить iptables в минимально необходимой конфигурации, необходимой для работы:
по умолчанию все запрещено, кроме необходимых исключенийCommand iptables
ufw
gufw
Настроить параметры ядра в /etc/sysctl.conf:
Отключить механизм SysRq, для чего использовать графический инструмент fly-admin-smc, или в /etc/sysctl.conf добавить строкуИнформация kernel.sysrq = 0 после чего перезагрузить ПК, и проверить, что установлено значение 0, командой:
Command cat /proc/sys/kernel/sysrq Дополнительные рекомендуемые параметры ядра (также могут быть установлены или изменены с помощью графического инструмента fly-admin-smc):
Информация fs.suid_dumpable=0
kernel.randomize_va_space=2
net.ipv4.ip_forward=0
net.ipv4.conf.all.send_redirects=0
net.ipv4.conf.default.send_redirects=0Заблокировать исполнение модулей python с расширенным функционалом:
Command find /usr/lib/python* -type f -name "_ctype*" -exec sudo dpkg-statoverride --update --add root root 640 {} \; При возможности, использовать защитное преобразование домашних каталогов пользователей с помощью допустимых средств,
или использовать хранение информации на сетевых дисках или на защищенных от несанкционированного доступа сменных носителях.По возможности, запретить пользователям подключение сменных носителей, к которым может быть осуществлён любой несанкционированный доступ.
- Настроить систему аудита на сохранение логов на удаленной машине.
Если возможно, использовать систему централизованного протоколирования.
...