Справочный центр

Дерево страниц

Сравнение версий

Старая версия 36

changes.mady.by.user Александр Левдонский

Сохранено

по сравнению с

Новая версия 37

changes.mady.by.user Александр Левдонский

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Настройка безопасной конфигурации компьютера для работы с ОС Astra Linux CE 2.12

Отображение дочерних

Оглавление

Перед установкой ОС

  • При возможности - установить и настроить на компьютере аппаратно-программный модуль доверенной загрузки (АПМДЗ)

  • Установить "взломостойкий" пароль на BIOS компьютера.


  • Отключить в BIOS-е механизм Intel SGX (в связи с обнаруженной уязвимостью в этом механизме).

  • Обеспечить защиту от "незаметного" вскрытия корпуса и встраивания "имплантов" в соединительные кабели периферийных устройств".
    Для обеспечения защиты могут использоваться специальные корпуса, защитные крышки, пломбы, пломбировочные ленты, для усложнения скрытной установки "имплантов" рекомендуется использование ПК в форм-факторе ноутбук или моноблок.

  • Исключить использование беспроводных периферийных устройств вода (мыши, клавиатуры, тачпады и пр.).
    Отключить по возможности беспроводные системы передачи данных (WiFi, Bluetooth).
    При необходимости использования WiFi - по возможности использовать для защиты данных сети VPN.

  • При наличии опций для процессоров Intel Execute Disable Bit (XD-Bit) и для процессоров AMD No Execute Bit (NX-Bit) включить их.

  • При наличии на серверах "не доверенных" систем контроля и управления типа ILO, RSA, iDRAC, ThinkServer EasyManage, AMT, iMana - их необходимо отключить, и использовать, при необходимости, альтернативные решения типа IP KVM.

  • Для Intel платформ необходимо устранить уязвимости Intel-SA-00086 в Intel Management Engine (если он инегрирован в процессор)
    посредством установки обновления микропрограммы Intel Management Engine
    (производитель оборудования должен обеспечить данную возможность - это либо обновления BIOS, либо ПО для интеграции обновлений).
    Для частичных проверок используйте: Intel-SA-00086 Detection Tool.
    Более подробно: https://www.intel.ru/content/www/ru/ru/support/articles/000025619/software.html


Информация
titleP.S.

"Взломостойкий" пароль это пароль:

  • Содержащий не менее 8 символов;
  • Не содержащий в себе никаких осмысленных слов (ни в каких раскладках);
  • Содержащий в себе буквы в различных регистрах, цифры и спецсимволы.


При установке ОС

  • Обязательно использовать при установке ОС защитное преобразование дисков,
    и по возможности обеспечить невозможность физического доступа к жесткому диску, на котором установлена ОС 

  • Создать отдельные дисковые разделы 

    РазделРекомендации по установке/настройке
    /С защитным преобразованием (при условии, что /boot размещен в отдельном дисковом разделе).
    Рекомендуется использовать файловую систему ext4.
    /bootБез защитного преобразования.
    Допускается использовать файловую систему ext2, ext3, ext4.
    /homeС защитным преобразованием.
    Рекомендуется использовать файловую систему ext4.
    Рекомендуется монтировать с опциями noexec,nodev,nosuid.
    /tmpС защитным преобразованием.
    Рекомендуется использовать файловую систему ext4.
    Рекомендуется монтировать с опциями noexec,nodev,nosuid.
    /var/tmpС защитным преобразованием.
    Рекомендуется использовать файловую систему ext4.
    Рекомендуется монтировать с опциями noexec,nodev,nosuid.
    swapОпционально. С защитным преобразованием.



  • Разделы /home /tmp /var/tmp рекомендуется монтировать с опциями noexec,nodev,nosuid

  • В разделе "Дополнительные настройки ОС" включить:
    1. Использовать по умолчанию ядро Hardened;
    2. Включить блокировку консоли;
    3. Включить блокировку интерпретаторов;
    4. Включить межсетевой экран ufw;
    5. Включить системные ограничения ulimits;
    6. Отключить возможность трассировки ptrace;
    7. Запретить установку бита исполнения;
    8. Включить использование sudo с паролем;


Информация

При выборе размера дисковых разделов следует помнить, что при размере раздела /tmp менее 250МБ весьма вероятно возникновение ошибок при работе с графикой или с большими объёмами данных.


После установки ОС


Политика консоли и интерпретаторов

С помощью графического инструмента fly-admin-smc

Информация
"Пуск" - "Панель управления" - "Безопасность" - "Политика безопасности" - "Настройки безопасности" - "Политика консоли и интерпретаторов"

включить (если они не были включены при установке ОС)

  • Блокировку консоли для пользователей не входящих в группу astra-console;
  • Блокировку интерпретаторов;

Информация
После изменения состояния переключателей не забудьте сохранить изменения.


Информация

Дополнительно, для того, чтобы пароль не запоминался для выполнения последующих команд и запрашивался для каждой команды, в файл /etc/sudoers добавить строку

Информация
Defaults timestamp_timeout=0



Информация
После этого для включения доступа отдельных пользователей к консоли необходимо добавить их в группу astra-console.


Системные параметры

С помощью графического инструмента fly-admin-smc

Информация
"Пуск" - "Панель управления" - "Безопасность" - "Политика безопасности" - "Настройки безопасности" - "Системные параметры"

включить (если они не были включены при установке ОС):

  • Запрет установки бита исполнения;
  • Блокировку макросов;
  • Блокировку трассировки ptrace;
  • Включение системных ограничений ulimits;
  • Блокировку выключения/перезагрузки ПК для пользователей (по возможности);
  • Блокировку системных команд для пользователей;
  • Межсетевой экран;
  • Запрет монтирования носителей непривилегированными пользователями (по возможности);


Информация
После изменения состояния переключателей не забудьте сохранить изменения.


Информация

Рекомендуемые настройки ограничений ОС (файл /etc/security/limits.conf):

Информация

#размер дампа ядра
* hard core 0

#максимальный размер создаваемого файла
* hard fsize 50000000

#блокировка форк-бомбы(большого количества процессов)
* hard nproc 1000



Параметры ядра

  • Настроить параметры ядра в /etc/sysctl.conf.
    Для этого можно можно использовать графический инструмент fly-admin-smc

    Информация
    "Пуск" - "Панель управления" - "Безопасность" - "Политика безопасности" - "Настройки безопасности" - "Параметры ядра"


    или добавить соответствующие строки в файл /etc/sysctl.conf:

    Информация

    fs.suid_dumpable=0
    kernel.randomize_va_space=2
    kernel.sysrq=0
    net.ipv4.ip_forward=0
    net.ipv4.conf.all.send_redirects=0
    net.ipv4.conf.default.send_redirects=0

    после внесения изменений перезагрузить компьютер, и убедиться, что все параметры сохранены правильно.
    Сделать проверку можно командой:

    Command
    sudo sysctl -a | more


Image Added

Иные мероприятия

  • Работу с конфиденциальной информацией проводить, используя защитное преобразование файлов.

  • Работу с конфиденциальной информацией в сети необходимо производить, используя защитное преобразование пакетов с помощью создания доверенной VPN сети (средства встроены в ОС).

  • Работу с конфиденциальной информацией при обмене почтой необходимо производить, используя защитные GPG-преобразования писем с помощью плагина для Thunderbird Enigmail
    (средства встроены в ОС)

  • Включить гарантированное удаление файлов и папок

  • Включить, при наличии возможности, режим киоска для пользователя.


  • Установить "взломостойкие" пароли на все учетные записи в ОС

  • Убедиться, что pam_tally  настроен на блокировку учетных записей при попытках подбора паролей (настроено по умолчанию при установке ОС).

  • Настроить дисковые квоты в ОС:
    - установить пакет quota;
    - настроить  /etc/fstab;
    - использовать edquota для установки квот.ампа ядра

  • Отключить все неиспользуемые сервисы (в т.ч. сетевые) которые запускаются при старте ОС:

    Command
    sudo systemdgenie



Информация
titleP.S.

"Взломостойкий" пароль это пароль:

  • Содержащий не менее 8 символов;
  • Не содержащий в себе никаких осмысленных слов (ни в каких раскладках);
  • Содержащий в себе буквы в различных регистрах, цифры и спецсимволы.


  • Настроить iptables в минимально необходимой конфигурации, необходимой для работы: по умолчанию все запрещено, кроме необходимых исключений

    Command
    • iptables
    • ufw
    • gufw

    Для выполнения этой настройки можно использовать графический инстремент gufw:

    Информация
    "Пуск" -  "Панель управления" - Прочее" - "Настройка межсетевого экрана"


Настроить параметры ядра в /etc/sysctl.conf.
Для этого можно можно использовать графический инструмент fly-admin-smc

Информация
"Пуск" - "Панель управления" - "Безопасность" - "Политика безопасности" - "Настройки безопасности" - "Параметры ядра"
или добавить соответствующие строки в файл /etc/sysctl.conf:
Информация

fs.suid_dumpable=0
kernel.randomize_va_space=2
kernel.sysrq=0
net.ipv4.ip_forward=0
net.ipv4.conf.all.send_redirects=0
net.ipv4.conf.default.send_redirects=0

после внесения изменений перезагрузить компьютер, и убедиться, что все параметры сохранены правильно.
Сделать проверку можно командой:

Command
sudo sysctl -a | more

Image Removed

  • При возможности, использовать защитное преобразование домашних каталогов пользователей с помощью допустимых средств,
    или использовать хранение информации на сетевых дисках или на защищенных от несанкционированного доступа сменных носителях.

  • По возможности, запретить пользователям подключение сменных носителей, к которым может быть осуществлён любой несанкционированный доступ.

  • Настроить систему аудита на сохранение логов на удаленной машине.
    Если возможно, использовать систему централизованного протоколирования.

  • Установить и настроить службу fail2ban.


  • Включить запрос пароля при каждом выполнении команды sudo, для чего внести следующие изменения в файл /etc/sudoers:

    1. Для того, чтобы для выполнения первой команды sudo требовалось ввести пароль:
      удалить "NOPASSWD:" из строки:

      Информация
      %astra-admin ALL=(ALL:ALL) NOPASSWD: ALL


    2. Для того, чтобы пароль не запоминался для выполнения последующих команд и запрашивался для каждой команды:
      добавить строку

      Информация
      Defaults timestamp_timeout=0