Настройка безопасной конфигурации
...
компьютра для работы с ОС Astra Linux
1. Настройте BIOS (с целью предотвратить загрузку с внешнего носителя)
...
:
1.1. Установите единственным устройством для загрузки ОС - жесткий диск куда , на который была произведена установка ОС.
1.2. Установите "взломостойкий" пароль на BIOS ПКкомпьютера.
1.3 При возможности - установите и настройте АПМДЗ на ПКна компьютере аппаратно-программный модуль доверенной загрузки (АПМДЗ).
1.4 Обеспечьте невозможность физического доступа к жесткому диску, на котором установлена ОС, или используйте доступные средства шифрования защитного преобразования всего содержимого диска.
1.5 При наличии опций для процессоров Intel Execute Disable Bit (XD-Bit) и для процессоров AMD No Execute Bit (NX-Bit) включите их.
1.6 При наличии на серверах "не доверенных" систем контроля и управления типа ILO,RSA,iDRAC,ThinkServer EasyManage,AMT,iMana - их необходимо отключить, и использовать, при необходимости, альтенативные решения типа IP KVM.
1.7 Включите secureboot на платформах, где это возможно, согласно инструкции.
2. Для Intel платформ
...
3. Установите все доступные обновления безопасности ОС Astra Linux
для SEОС СН:
http://astralinux.ru/update.html
Обновления безопасности Astra Linux Special Edition 1.5
для CEОС ОН:
http://mirror.yandex.ru/astra/stable/orel/latest/repository-update/
4. Настройте загрузчик на загрузку ядра GENERIC, и уберите из меню все другие варианты загрузки, включая режимы восстановления.
4.1 Установите "взломостойкий" пароль на загрузчик Grub (устанавливается по умолчанию при установке ОС).
4.2 При использовании архитектур отличных от Intel, установите пароль на загрузчик согласно документации.
...
Разделы /home /tmp /var/tmp рекомендуется монтировать с опциями noexec,nodev,nosuid
6. Установите "
...
взломостойкие" пароли на всех учетных записях в ОС.
6.1 настройте pam_tally на блокировку учетных записей при попытках подбора паролей . (настроено по умолчанию при установке ОС).
7. Настройте дисковые квоты в ОС
Для этого установите пакет quota, настройте /etc/fstab, и используйте edquota для установки квот.
...
9. Отключите все неиспользуемые сервисы (в т.ч. сетевые) которые запускаются при старте ОС, используя программы:
systemdgenie в Смоленск 1.6 (chkconfig и fly-admin-runlevel в Смоленск 1.5systemdgenie в 1.6)
10. Найстройте iptables в минимально необходимой конфигурации, необходимой для работы:
(по умолчанию все запрещено, кроме необходимых исключений)
...
| Command |
|---|
find /usr/lib/ -type f -name "liblua_plugin*" -exec sudo dpkg-statoverride --update --add root root 640 {} \; |
14. При возможности заблокируйте, макросы в Libreoffice
15. Обязательно отключите доступ к консоли пользователям:
...
16.2 Для включения механизма контроля подписи в xattr см. РУК КСЗ п.13.5.2
17. При возможности используйте
...
защитное преобразование домашних каталогов с помощью допустимых средств
...
или используйте хранение информации на сетевых дисках или сменных носителях.
18. При возможности настройте двухуровневый киоск для пользователя.
...
Если возможно используйте систему централизованного протоколирования ossec.
см. РУК АДМИН п.15
22. Установите мандатный контроль целостности (МКЦ > 0) на всеx основных файлах и каталогах в корневой
...
файловой системе. (set-fs-ilev)
(в Смоленск 1.6 и в Смоленск 1.5 на апдейтах позже 27-10-2017)
...
администрирование возможно только войдя под высоким уровнем целостности или после снятия МКЦ с ФС файловой системы командой unset-fs-ilev
Установка МКЦ на 1.5 апдейт 27-10-2017:
...