Справочный центр

Дерево страниц

Сравнение версий

Старая версия 17

changes.mady.by.user Александр Левдонский

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Александр Левдонский

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

                                Настройка безопасной конфигурации ПК и ОС Astra Linux

...

Перед установкой ОС

  1. Настроить BIOS (с целью предотвратить загрузку с внешнего носителя) 

...

  1. Установить единственным устройством для загрузки ОС - жесткий диск куда была произведена установка ОС.

...

  1. Установить "взломостойкий" пароль на BIOS ПК.

1.3 Отключить в BIOS-е Intel SGX (в связи с обнаруженной уязвимостью в механизме).

...

  1. Обеспечить защиту от "незаметного" вскрытия корпуса и встраивания "имплантов" в соединительные кабели периферийных устройств".

...

  1. Для обеспечения защиты могут использоваться специальные корпуса, защитные крышки, пломбы, пломбировочные ленты, для усложнения скрытной установки "имплантов" рекомендуется использование ПК в форм-факторе ноутбук или моноблок.

...

  1. При возможности -

...

  1. установить и

...

  1. настроить АПМДЗ на ПК.

...

  1. Обеспечить невозможность физического доступа к жесткому диску на котором установлена ОС, или  используйте доступные средства защитного преобразования всего содержимого диска.

...

  1. При наличии опций для процессоров Intel Execute Disable Bit (XD-Bit) и для процессоров AMD No Execute Bit (NX-Bit)

...

  1. включить их.

...

  1. При наличии на серверах "не доверенных" систем контроля и управления типа ILO,RSA,iDRAC,ThinkServer EasyManage,AMT,iMana - отключить их

...

  1. , и использовать при необходимости альтернативные решения типа IP KVM.

...

  1. Включить secureboot на платформах где это возможно согласно инструкции.

2. Для Intel платформ

2.1 Необходимо устранить уязвимости Intel-SA-00086 в Intel Management Engine(если он инегрирован в процессор) посредством установки обновления микропрограммы Intel Management Engine (производитель оборудования должен обеспечить данную возможность - это либо обновления BIOS, либо ПО для интеграции обновлений). Для частичных проверок используйте: Intel-SA-00086 Detection Tool.

Более подробно:

https://www.intel.ru/content/www/ru/ru/support/articles/000025619/software.html

3. Установите все доступные обновления безопасности ОС Astra Linux

для Astra Linux SE (ОС СН Смоленск):

http://astralinux.ru/update.html

Обновления безопасности и методические указания Astra Linux Special Edition 1.5

...

  1. Устранить известные уязвимости аппаратной платформы (процессоров, контроллеров, BIOS и пр.). Обычно выполняется обновлением BIOS и микропрограмм устройств или, до получения нейтрализующих обновлений, отключением опций, подверженных уязвимостям. См. эксплуатационную документацию на используемые компоненты аппаратной платформы. В процессе эксплуатации устранять уязвимости аппаратной платформы по мере их выявления.

При установке ОС

  1. 5. При установке рекомендуется создать отдельные разделы / /boot /home /tmp /var/tmp.Раздел /boot рекомендуется монтировать с опциями ro (перед обновлением ядра смонтировать в rw). Разделы /home /tmp /var/tmp рекомендуется монтировать с опциями noexec,nodev,nosuid

После установки ОС

  1. Настроить BIOS, исключив загрузку с внешнего носителя

  2. Установить все доступные оперативные обновления ОС Astra Linux:Оперативные обновления для Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5)
  3. Настроить загрузчик на загрузку ядра GENERIC и

...

  1. убрать из меню все другие варианты загрузки, включая режимы восстановления.

...

  1. Установить "взломостойкий" пароль на загрузчик Grub (устанавливается по умолчанию при установке ОС).

...

  1. При использовании архитектур отличных от Intel

...

  1. установить пароль на загрузчик согласно документации.

5. При установке рекомендуется создать отдельные разделы / /boot /home /tmp /var/tmp

Раздел /boot рекомендуется монтировать с опциями ro (перед обновлением ядра смонтировать в rw)

Разделы /home /tmp /var/tmp рекомендуется монтировать с опциями noexec,nodev,nosuid

...

  1. Установить "взломостойкий" пароли на всех учетных записях в ОС.

...

  1. Настроить pam_tally на блокировку учетных записей при попытках подбора паролей. (настроено по умолчанию при установке ОС)

...

  1. Настроить дисковые квоты в ОС

...

  1. .Для настройки дисковых квот:
    1. установить пакет quota;
    2. настроить /etc/fstab

...

    1. ;
    2. использовать инструмент edquota для установки квот.

...

  1. Настроить ограничения ОС: ulimits

...

  1. .Рекомендуемые настройки (файл /etc/security/limits.conf):

    Блок кода
    languagebash
    title/etc/security/limits.conf
    #размер дампа ядра

...

  1. 
* hard core 0

...

  1. 
#максимальный размер создаваемого файла

...

  1. * hard fsize 50000000

...

  1. #блокировка форк-бомбы(большого количества процессов)

...

  1. * hard nproc 1000

...



  2. Отключить все неиспользуемые сервисы (в т.ч. сетевые) которые запускаются при старте ОС

...

  1. .Для поиска неиспользуемых сервисов можно применить команды chkconfig и fly-admin-runlevel

...

  2. Настроить

systemctl systemdgenie в 1.6

...

  1. iptables в минимально необходимой конфигурации необходимой для работы

...

  1. (по умолчанию все запрещено, кроме необходимых исключений)

...

  1. .

...

  1. Команда: iptables ufw

в 1.6 iptables ufw gufw

...

  1. Настроить параметры ядра в /etc/sysctl.conf:

...

    1. Отключить механизм SysRq

...

    1. , для чего в файл /etc/sysctl.conf

...

    1. добавить строку

      Блок кода
      title/etc/sysctl.conf
      kernel.sysrq = 0

...

    1. Перезагрузить компьютер и убедиться, что установлено значение 0

...

    1. . Команда:

      Command

      cat /proc/sys/kernel/sysrq

...


    2. Установить дополнительные рекомендуемые параметры ядра:

      Блок кода
      title/etc/sysctl.conf
      fs.suid_dumpable=0

...

    1. kernel.randomize_va_space=2

...

    1. 
net.ipv4.ip_forward=0

...

    1. 
net.ipv4.conf.all.send_redirects=0

...

    1. net.ipv4.conf.default.send_redirects=0

...


  2. Заблокировать исполнение модулей python с расширенным функционалом:

    Command

    find /usr/lib/python* -type f -name "_ctype*" -exec sudo dpkg-statoverride --update --add root root 640 {} \;

...


  2. Заблокировать макросы в VLC:

    Command

    find /usr/lib/ -type f -name "liblua_plugin*" -exec sudo dpkg-statoverride --update --add root root 640 {} \;

...


  2. При возможности

...

  1. заблокировать макросы в Libreoffice

...

  1. Отключить доступ к консоли пользователям

...

  1. (Инструкция для

...

  1. Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5), для очередного обновления 1.6 правила работают

...

  1. по умолчанию):

...

    1. Добавить группу astra-console выполнив команду:

      Command
      addgroup --gid 333 astra-console

...


    2. Создать файл /etc/rc.local со следующим содержимым:

      Блок кода
      title/etc/rc.local
      #!/bin/sh -e
chown root:astra-console /dev/{pts,pts/*,ptmx,tty*}
chmod g+rx /dev/{pts,pts/*,ptmx,tty*}
chmod o-rx /dev/{pts,pts/*,ptmx,tty*}
exit 0

...


    2. Добавить правило в файл /etc/security/access.conf командой:

      Command
      echo "-:ALL EXCEPT astra-console :LOCAL" >> /etc/security/access.conf

...


    2. Включить в /etc/pam.d/login обработку заданных правил командой:

      Command

      sed -i 's|.*account.*pam_access.*|account required pam_access.so|' /etc/pam.d/login


    3. Для включения доступа к консоли администраторам

...

    1. добавить их в группу astra-console.

...

  1. Включить контроль цифровой подписи в ELF файлах и в xattr всех файлов

...

  1. (Режим Замкнутой Программной Среды, ЗПС)

...

  1. .

    1. Для включения цифровой подписи сгенерировать ключи и

...

    1. подписать цифровой подписью в xattr все основные файлы и каталоги в корневой

...

    1. файловой системе.

...

    1. Рекомендуемые каталоги для подписи: /etc /lib /lib64 /lib32 /bin /sbin /boot /root /opt /srv /usr

...

    1. Для включения механизма контроля подписи в ELF

...

    1. установить в файле /etc/digsig/digsig_initramfs.conf:

      Блок кода
      title /etc/digsig/digsig_initramfs.conf
      DIGSIG_ENFORCE=1

...

    1. DIGSIG_LOAD_KEYS=1

...


    2. Выполнить команду:

      Command

      update-initramfs -u -k all

...


    2. Перезагрузить компьютер.

...

    1. Для включения механизма контроля подписи в xattr см. РУК КСЗ п.13.5.2

...

  1. При возможности

...

  1. использовать защитное преобразование данных домашних каталогов пользователей с помощью допустимых средств преобразования

...

  1. .

...

  1. При возможности

...

  1. настроить двухуровневый киоск для пользователя.

...

  1. См. РУК КСЗ п.15

...

  1. . Как минимум,

...

  1. настроить высокоуровневый киоск для пользователя с помощью утилиты fly-kiosk

...

  1. .см. РУК КСЗ п.15.6

...

  1. При возможности

...

  1. запретить пользователям подключение сменных носителей.

...

  1. Установить запрет установки исполняемого бита:

    Command

    echo 1 > /parsecfs/nochmodx
    echo 1 > /etc/parsec/nochmodx

    см. РУК КСЗ п.16

...

  1. Настроить систему аудита на сохранение

...

  1. журналов на удаленной машине.

...

  1. Если возможно

...

  1. , то использовать систему централизованного протоколирования ossec

...

  1. , см. РУК АДМИН п.15

...

  1. Установить МКЦ > 0 на всеx основных файлах и каталогах в корневой

...

  1. файловой системе. (set-fs-ilev)

...

  1. (при установленных оперативных обновлениях, выпущенных позже 27-10-2017).
    Установку МКЦ

...

  1. проводить после всех настроек безопасности, так как дальнейшее

...

  1. администрирование будет возможно только

...

  1. после входа под высоким уровнем целостности или после снятия МКЦ с

...

  1. файловой системы командой unset-fs-ilev.
    Установка МКЦ на 1.5 апдейт 27-10-2017:

...

  1. смAstra Linux Special Edition 1.5 ⬝ Мандатный контроль целостности

...

  1. .

...

...

"Взломостойкий" пароль - это пароль не менее 8 символов, не содержащий в себе никаких осмысленных слов(ни в каких раскладках) и  содержащий в себе буквы в различных регистрах, цифры и спецсимволы.

...

  1. Включить запрос пароля при каждом выполнении команды sudo, для чего внести следующие изменения в файл /etc/sudoers:

  1. Для того, чтобы для выполнения первой команды sudo требовалось ввести пароль:
    удалить "NOPASSWD:" из строки:

    Информация
    %astra-admin ALL=(ALL:ALL) NOPASSWD: ALL


  2. Для того, чтобы пароль не запоминался для выполнения последующих команд и запрашивался для каждой команды

    3. :

  3. добавить строку:

    Информация
    Defaults timestamp_timeout=0