...
Настройка безопасной конфигурации компьютера для работы с ОС Astra Linux
Перед установкой ОС
- Если планируется использовать ОС в рекомендованном режиме очистки освобождающихся дисковых ресурсов, то исключить использование дисков SSD.
- При возможности - установить и настроить на компьютере аппаратно-программный модуль доверенной загрузки (АПМДЗ).
Установить "взломостойкий" пароль на BIOS компьютера.
Информация title P.S. "Взломостойкий" пароль это пароль:
- Содержащий не менее 8 символов;
- Не содержащий в себе никаких осмысленных слов (ни в каких раскладках);
- Содержащий в себе буквы в различных регистрах, цифры и спецсимволы.
- Отключить в BIOS-е Intel SGX (в связи с обнаруженной уязвимостью в механизме).
Необходимо обеспечить защиту от "незаметного" вскрытия корпуса и встраивания "имплантов" в соединительные кабели периферийных устройств".
Для обеспечения защиты могут использоваться специальные корпуса, защитные крышки, пломбы, пломбировочные ленты, для усложнения скрытной установки "имплантов" рекомендуется использование ПК в форм-факторе ноутбук или моноблок.Исключить использование беспроводных периферийных устройств вода (мыши, клавиатуры, тачпады и пр.).
Отключить по возможности беспроводные системы передачи данных (WiFi, Bluetooth).
При необходимости использования WiFi - по возможности использовать для защиты данных сети VPN.При наличии опций для процессоров Intel Execute Disable Bit (XD-Bit) и для процессоров AMD No Execute Bit (NX-Bit) включить их.
При наличии на серверах "не доверенных" систем контроля и управления типа ILO, RSA, iDRAC, ThinkServer EasyManage, AMT, iMana - их необходимо отключить, и использовать, при необходимости, альтернативные решения типа IP KVM.
Для Intel платформ необходимо устранить уязвимости Intel-SA-00086 в Intel Management Engine (если он инегрирован в процессор)
посредством установки обновления микропрограммы Intel Management Engine
(производитель оборудования должен обеспечить данную возможность - это либо обновления BIOS, либо ПО для интеграции обновлений).
Для частичных проверок используйте: Intel-SA-00086 Detection Tool.
Более подробно: https://www.intel.ru/content/www/ru/ru/support/articles/000025619/software.html- Установить ОС СН (обязательно включенным защитным преобразованием диска),
и по возможности обеспечить невозможность физического доступа к жесткому диску, на котором установлена ОС
...
Создать отдельные дисковые разделы
Информация /
/boot
/home
/tmp
/var/tmp
Создать отдельные дисковые разделы
Раздел Рекомендации по установке/настройке / Без защитного преобразования!!!
Рекомендуется использовать файловую систему ext4./boot Без защитного преобразования!!!
Рекомендуется использовать файловую систему ext4./home С защитным преобразованием.
Рекомендуется использовать файловую систему ext4.
Рекомендуется монтировать с опциямиnoexec,nodev,nosuid
./tmp С защитным преобразованием.
Рекомендуется использовать файловую систему ext4.
Рекомендуется монтировать с опциямиnoexec,nodev,nosuid
./var/tmp С защитным преобразованием.
Рекомендуется использовать файловую систему ext4.
Рекомендуется монтировать с опциямиnoexec,nodev,nosuid
.swap Опционально. С защитным преобразованием. Информация Для всех перечисленных дисковых разделов рекомендуется использовать файловую системы ext4.
При выборе размера дисковых размеров следует помнить, что при размере раздела /tmp менее 250МБ весьма вероятно возникновение ошибок при работе с графикой или с большими объёмами данных.Разделы /home /tmp /var/tmp рекомендуется монтировать с опциями
noexec,nodev,nosuid
- В разделе установщика "Дополнительные настройки ОС" включить:
- Включить режим замкнутой программной среды;
- Запретить установку бита исполнения;
- Использовать по умолчанию ядро Hardened;
- Запретить вывод меню загрузчика;
- Включить очистку разделов страничного обмена (помнить, что очистка освобождаемых ресурсов как правило не работает на SSD-дисках);
- Включить очистку освобождаемых областей для EXT-разделов (помнить, что очистка освобождаемых ресурсов как правило не работает на SSD-дисках);
- Включить блокировку консоли;
- Включить блокировку интерпретаторов;
- Включить межсетевой экран ufw;
- Включить системные ограничения ulimits;
- Отключить возможность трассировки ptrace;
- Установить "взломостойкий" пароль на загрузчик Grub (устанавливается по умолчанию при установке ОС). Инструкция по смене пароля загрузчика.
...