...
Создать отдельные дисковые разделы
Раздел Рекомендации по установке/настройке / С защитным преобразованием (при условии, что /boot размещен в отдельном дисковом разделе).
Рекомендуется использовать файловую систему ext4./boot Без защитного преобразования.
Допускается использовать файловую систему ext2, ext3, ext4./home С защитным преобразованием.
Рекомендуется использовать файловую систему ext4.
Рекомендуется монтировать с опциямиnoexec,nodev,nosuid./tmp С защитным преобразованием.
Рекомендуется использовать файловую систему ext4.
Рекомендуется монтировать с опциямиnoexec,nodev,nosuid./var/tmp С защитным преобразованием.
Рекомендуется использовать файловую систему ext4.
Рекомендуется монтировать с опциямиnoexec,nodev,nosuid.swap Опционально. С защитным преобразованием. Информация При выборе размера дисковых разделов следует помнить, что при размере раздела /tmp менее 250МБ весьма вероятно возникновение ошибок при работе с графикой или с большими объёмами данных.
Разделы /home /tmp /var/tmp рекомендуется монтировать с опциями
noexec,nodev,nosuid- В разделе "Дополнительные настройки ОС" включить:
- Использовать по умолчанию ядро Hardenedhardened. При невозможности использования ядра hardened использовать модуль lkrg ядра generic (см. Инструменты командной строки astra-safepolicy);
- Включить блокировку консоли;
- Включить блокировку интерпретаторов;
- Включить межсетевой экран ufw;
- Включить системные ограничения ulimits;
- Отключить возможность трассировки ptrace;
- Запретить установку бита исполнения;
- Включить использование sudo с паролем;
...
- Установить единственным устройством для загрузки ОС жесткий диск, на который была произведена установка ОС;
Установить "взломостойкий" пароль на загрузчик Grub. При использовании архитектур, отличных от Intel, установить пароль на загрузчик согласно документации;
- Использовать загрузку ядра HARDENED, и убрать из меню все другие варианты загрузки, включая режимы восстановления;
- Удалить модули ядра, ответственные за работу с Intel Management Engine (MEI). Инструкция по ссылке;
Установить все доступные обновления безопасности ОС Astra Linux:
Информация для Astra Linux Common Edition обновления доступны по мере их выхода: https://download.astralinux.ru/astra/current/orel/repository/ После установки ОС сразу настроена на работу с репозиторием, и при наличии доступа в интернет, обновление можно выполнить командами:
Информация sudo apt update && sudo apt upgrade Установить пакет управления функциями безопасности astra-safepolicy:
Command sudo apt install astra-safepolicy - Если каталог /boot расположен в отдельном дисковом разделе, то настроить монтирование этого раздела с опциями
ro(перед обновлением ядра такой раздел необходимо будут перемонтировать с опциямиrw); - Включить режим загрузки secureboot на своих ключах (создать usb-flash носитель с помощью astra-secureboot, и, далее, ключи импортировать в BIOS) в соответствии с инструкцией;
Отключить доступ к консоли пользователям, если он не был отключен при установке ОС. Если установлен пакет astra-safepolicy, то использовать команду:
Command sudo astra-console-lock enable или использовать графическую конссоль fly-admin-smc.
Для включения доступа к консоли администраторам необходимо добавить их в группу astra-console;
Включить блокировку интерпретаторов, если она не была включена при установке ОС. Если установлен пакет astra-safepolicy, то использовать команду:
Command sudo astra-interpreters-lock enable или использовать графическую конссоль fly-admin-smc;
По возможности, включить блокировку макросов с помощью инструмента командной строки astra-macros-lock:
Command astra-macros-lock enable или использовать графическую конссоль fly-admin-smc;
Включить блокировку трассировки ptrace, если она не была включена при установке ОС:
Command astra-ptrace-lock enable или использовать графическую конссоль fly-admin-smc;
- Включить, при наличии возможности, режим киоска для пользователя;
- Работу с конфиденциальной информацией нужно проводить, используя защитное преобразование файлов;
- Работу с конфиденциальной информацией в сети необходимо производить, используя защитное преобразование пакетов с помощью создания доверенной VPN сети (средства встроены в ОС);
- Работу с конфиденциальной информацией при обмене почтой необходимо производить, используя защитные GPG-преобразования писем с помощью плагина для Thunderbird Enigmail (средства встроены в ОС);
Установить "взломостойкие" пароли на все учетные записи в ОС.
Информация title P.S. "Взломостойкий" пароль - это пароль
- Содержащий не менее 8 символов;
- Не содержащий в себе никаких осмысленных слов (ни в каких раскладках);
- Содержащий в себе буквы в различных регистрах, цифры и спецсимволы.
- Убедиться, что модуль
pam_tallyнастроен на блокировку учетных записей при попытках подбора паролей (настроено по умолчанию при установке ОС); - Настроить дисковые квоты в ОС с помощью графической консоли fly-admin-smc;
Включить ограничения ОС (так называемые ulimits), если они не были включены при установке ОС:
Command sudo astra-ulimits-control enable или использовать графическую конссоль fly-admin-smc;
Отключить все неиспользуемые сервисы (в т.ч. сетевые) которые запускаются при старте ОС:
Command systemdgenieВключить межсетевой экран ufw, если он не был включен при установке ОС.
Настроить iptables в минимально необходимой конфигурации, необходимой для работы: по умолчанию все запрещено, кроме необходимых исключенийCommand iptablesufwgufw
Настроить параметры ядра в /etc/sysctl.conf (можно использовать используя графический инструмент fly-admin-smc или добавить соответствующие строки в файл с любым именем и расширением .conf в каталоге /etc/sysctl.confd:
Информация fs.suid_dumpable=0
kernel.randomize_va_space=2
kernel.sysrq=0
net.ipv4.ip_forward=0
net.ipv4.conf.all.send_redirects=0
net.ipv4.conf.default.send_redirects=0после внесения изменений перезагрузить компьютер, и убедиться, что все параметры сохранены правильно.
Сделать проверку можно командой:Command sudo sysctl -a | more Заблокировать исполнение модулей python с расширенным функционалом:
Command find /usr/lib/python* -type f -name "_ctype*" -exec sudo dpkg-statoverride --update --add root root 640 {} \; При возможности, использовать защитное преобразование домашних каталогов пользователей с помощью допустимых средств,
или использовать хранение информации на сетевых дисках или на защищенных от несанкционированного доступа сменных носителях.По возможности, запретить пользователям подключение сменных носителей, к которым может быть осуществлен любой несанкционированный доступ:
Command sudo astra-mount-lock или использовать графическую конссоль fly-admin-smc;
- Настроить систему аудита на сохранение логов на удаленной машине.Если возможно, использовать систему централизованного протоколирования.
- Установить и настроить службу fail2ban.
Включить запрос пароля при выполнении команды sudo:
Command sudo astra-sudo-control enable Информация Дополнительно, для того, чтобы пароль не запоминался для выполнения последующих команд и запрашивался для каждой команды, в файл /etc/sudoers добавить строку
Информация Defaults timestamp_timeout=0 Информация Для снижения риска нарушения нормальной работы компьютера в результате ошибок при изменении файла /etc/sudoers редактирование этого файла следует выполнять с помощью команды:
Command sudo visudo Для предотвращения невозможности выполнения команд из-за накопления записей о неудачных вызовах при использовании sudo с паролем рекомендуется добавить строку в файл /etc/pam.d/sudo:
Command account required pam_tally.soИтоговое содержание файла /etc/pam.d/sudo:
Информация @include common-auth
@include common-account
@include common-sessionaccount required pam_tally.soСм. также Запрос пароля для каждого вызова sudo