...
используйте доступные средства шифрования всего содержимого диска.
2. Настройте загрузчик на загрузку ядра PAX и уберите из меню все другие варианты загрузки,
...
включая режимы восстановления.
2.1. Если есть необходимое ПО которое не работает под PAX ядром добавьте его бинарные
файлы и библиотеки в исключения с помощью paxctl
(по умолчанию не установлен).
После настройки удалите пакет paxctl.
2.2 Установите "взломостойкий" пароль на загрузчик Grub(устанавливается по умолчанию
...
3. Установите "взломостойкий" пароли на всех учетных записях в ОС.
3.1 настройте pam_tally
на блокировку учетных записей при попытках подбора паролей.
...
4. Отключите все неиспользуемые сервисы (в т.ч. сетевые) которые запускаются при старте ОС,
используя программы:
chkconfig
и fly-admin-runlevel в 1.5
systemctl systemdgenie в 1.6
5. Найстройте iptables в минимально необходимой конфигурации необходимой для работы
(по умолчанию все запрещено, кроме необходимых исключений)
в 1.5 iptables ufw
в 1.6 iptables ufw gufw
6. Отключите механизм SysRq
в /etc/sysctl.conf добавьте строку
Блок кода | ||||
---|---|---|---|---|
| ||||
kernel.sysrq = 0 |
Перезагрузите ПК, проверьте что учтановлен уcтановлен 0 командой
Command |
---|
cat /proc/sys/kernel/sysrq |
7. Отключите вход в системной консоли без графики
в файле /etc/inittab закомментируйте символом # следующие строки:
Блок кода | ||||
---|---|---|---|---|
| ||||
#1:2345:respawn:/sbin/getty 38400 tty1 |
...
#2:23:respawn:/sbin/getty 38400 tty2 |
...
#3:23:respawn:/sbin/getty 38400 tty3 |
...
#4:23:respawn:/sbin/getty 38400 tty4 |
...
#5:23:respawn:/sbin/getty 38400 tty5 |
...
#6:23:respawn:/sbin/getty 38400 tty6 |
8. Включите контроль цифровой подписи в ELF файлах и в xattr всех файлов,
...
(в 1.6 и в 1.5 на апдейтах позже 27-10-2017)
Установку МКЦ рекомендуется проводить после всех настроек безопасности, дальнейшее
...
Установка МКЦ на 1.5 апдейт 27-10-2017:
см. Мандатный контроль целостности
...