Справочный центр

Дерево страниц

Сравнение версий

Старая версия 35

changes.mady.by.user Александр Левдонский

Сохранено

по сравнению с

Новая версия 36

changes.mady.by.user Александр Левдонский

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Настройка безопасной конфигурации компьютера для работы с ОС Astra Linux CE 2.12

Отображение дочерних

Оглавление

Перед установкой ОС

  • При возможности - установить и настроить на компьютере аппаратно-программный модуль доверенной загрузки (АПМДЗ)

  • Установить "взломостойкий" пароль на BIOS компьютера.


  • Отключить в BIOS-е механизм Intel SGX (в связи с обнаруженной уязвимостью в этом механизме).

  • Обеспечить защиту от "незаметного" вскрытия корпуса и встраивания "имплантов" в соединительные кабели периферийных устройств".
    Для обеспечения защиты могут использоваться специальные корпуса, защитные крышки, пломбы, пломбировочные ленты, для усложнения скрытной установки "имплантов" рекомендуется использование ПК в форм-факторе ноутбук или моноблок.

  • Исключить использование беспроводных периферийных устройств вода (мыши, клавиатуры, тачпады и пр.).
    Отключить по возможности беспроводные системы передачи данных (WiFi, Bluetooth).
    При необходимости использования WiFi - по возможности использовать для защиты данных сети VPN.

  • При наличии опций для процессоров Intel Execute Disable Bit (XD-Bit) и для процессоров AMD No Execute Bit (NX-Bit) включить их.

  • При наличии на серверах "не доверенных" систем контроля и управления типа ILO, RSA, iDRAC, ThinkServer EasyManage, AMT, iMana - их необходимо отключить, и использовать, при необходимости, альтернативные решения типа IP KVM.

  • Для Intel платформ необходимо устранить уязвимости Intel-SA-00086 в Intel Management Engine (если он инегрирован в процессор)
    посредством установки обновления микропрограммы Intel Management Engine
    (производитель оборудования должен обеспечить данную возможность - это либо обновления BIOS, либо ПО для интеграции обновлений).
    Для частичных проверок используйте: Intel-SA-00086 Detection Tool.
    Более подробно: https://www.intel.ru/content/www/ru/ru/support/articles/000025619/software.html


Информация
titleP.S.

"Взломостойкий" пароль это пароль:

  • Содержащий не менее 8 символов;
  • Не содержащий в себе никаких осмысленных слов (ни в каких раскладках);
  • Содержащий в себе буквы в различных регистрах, цифры и спецсимволы.


При установке ОС

  • Обязательно использовать при установке ОС защитное преобразование дисков,
    и по возможности обеспечить невозможность физического доступа к жесткому диску, на котором установлена ОС 

  • Создать отдельные дисковые разделы 

    РазделРекомендации по установке/настройке
    /С защитным преобразованием (при условии, что /boot размещен в отдельном дисковом разделе).
    Рекомендуется использовать файловую систему ext4.
    /bootБез защитного преобразования.
    Допускается использовать файловую систему ext2, ext3, ext4.
    /homeС защитным преобразованием.
    Рекомендуется использовать файловую систему ext4.
    Рекомендуется монтировать с опциями noexec,nodev,nosuid.
    /tmpС защитным преобразованием.
    Рекомендуется использовать файловую систему ext4.
    Рекомендуется монтировать с опциями noexec,nodev,nosuid.
    /var/tmpС защитным преобразованием.
    Рекомендуется использовать файловую систему ext4.
    Рекомендуется монтировать с опциями noexec,nodev,nosuid.
    swapОпционально. С защитным преобразованием.



  • Разделы /home /tmp /var/tmp рекомендуется монтировать с опциями noexec,nodev,nosuid

  • В разделе "Дополнительные настройки ОС" включить:
    1. Использовать по умолчанию ядро Hardened;
    2. Включить блокировку консоли;
    3. Включить блокировку интерпретаторов;
    4. Включить межсетевой экран ufw;
    5. Включить системные ограничения ulimits;
    6. Отключить возможность трассировки ptrace;
    7. Запретить установку бита исполнения;
    8. Включить использование sudo с паролем;


Информация

При выборе размера дисковых разделов следует помнить, что при размере раздела /tmp менее 250МБ весьма вероятно возникновение ошибок при работе с графикой или с большими объёмами данных.


После установки ОС

Отключить доступ к консоли пользователям, если он не был отключен при установке ОС:


Политика консоли и интерпретаторов

С помощью графического инструмента fly-admin-smc

:

Информация
"Пуск" - "Панель управления" - "Безопасность" - "Политика безопасности" - "Настройки безопасности" - "Политика консоли и интерпретаторов"
.

С помощью командной строки:
Создать файл /etc/rc.local со следующим содержимым:

Информация

#!/bin/sh -e
chown root:astra-console /dev/{pts,pts/*,ptmx,tty*}
chmod g+rx /dev/{pts,pts/*,ptmx,tty*}
chmod o-rx /dev/{pts,pts/*,ptmx,tty*}
exit 0

Добавить правило в файл /etc/security/access.conf командой:

Command
echo "-:ALL EXCEPT astra-console :LOCAL" >> /etc/security/access.conf

Включить в /etc/pam.d/login обработку заданных правил командой

включить (если они не были включены при установке ОС)

  • Блокировку консоли для пользователей не входящих в группу astra-console;
  • Блокировку интерпретаторов;

Информация
После изменения состояния переключателей не забудьте сохранить изменения.


Информация

Дополнительно, для того, чтобы пароль не запоминался для выполнения последующих команд и запрашивался для каждой команды, в файл /etc/sudoers добавить строку

Информация
Defaults timestamp_timeout=0



Информация
Commandsed -i 's|.*account.*pam_access.*|account required pam_access.so|' /etc/pam.d/login
После этого для включения доступа отдельных пользователей к консоли необходимо добавить их в группу astra-console.
Включить блокировку интерпретаторов, если она не была включена при установке ОС:

Image Added

Системные параметры

С помощью графического инструмента fly-admin-smc

:

Информация
"Пуск" - "Панель управления" - "Безопасность" - "Политика безопасности" - "Настройки безопасности" - "Системные параметры"

включить (если они не были включены при установке ОС):

  • Запрет установки бита исполнения;
  • Блокировку макросов;
  • Блокировку трассировки ptrace;
  • Включение системных ограничений ulimits;
  • Блокировку выключения/перезагрузки ПК для пользователей (по возможности);
  • Блокировку системных команд для пользователей;
  • Межсетевой экран;
  • Запрет монтирования носителей непривилегированными пользователями (по возможности);


Информация
После изменения состояния переключателей не забудьте сохранить изменения.


Информация

Рекомендуемые настройки ограничений ОС (файл /etc/security/limits.conf):

Информация

#размер дампа ядра
* hard core 0

#максимальный размер создаваемого файла
* hard fsize 50000000

#блокировка форк-бомбы(большого количества процессов)
* hard nproc 1000


Image Added

  • Работу с конфиденциальной информацией
Политика консоли и интерпретаторов".

По возможности, включить блокировку макросов

с помощью инструмента командной строки astra-macros-lock:

Command
astra-macros-lock enable
Включить блокировку трассировки ptrace, если она не была включена при установке ОС
Включить гарантированное удаление файлов и папок
Включить, при наличии возможности, режим киоска для пользователя.
Работу с конфиденциальной информацией нужно
  • проводить, используя защитное преобразование файлов.

  • Работу с конфиденциальной информацией в сети необходимо производить, используя защитное преобразование пакетов с помощью создания доверенной VPN сети

  • (средства встроены в ОС).

  • Работу с конфиденциальной информацией при обмене почтой необходимо производить, используя защитные GPG-преобразования писем с помощью плагина для Thunderbird Enigmail
    (средства встроены в ОС)

  • Включить гарантированное удаление файлов и папок

  • Включить, при наличии возможности, режим киоска для пользователя.


  • Установить "взломостойкие" пароли на все учетные записи в ОС
Информация
titleP.S.

"Взломостойкий" пароль - это пароль

Содержащий не менее 8 символов;

  • Не содержащий в себе никаких осмысленных слов (ни в каких раскладках);
  • Содержащий в себе буквы в различных регистрах, цифры и спецсимволы.

    • Убедиться, что pam_tally  настроен на блокировку учетных записей при попытках подбора паролей (настроено по умолчанию при установке ОС).

    • Настроить дисковые квоты в ОС:
      - установить пакет quota;
      - настроить  /etc/fstab;
      - использовать edquota для установки квот.

    Включить ограничения ОС (так называемые ulimits), если они не были включены при установке ОС.
    Настроить ограничения ОС.
    Рекомендуемые настройки /etc/security/limits.conf:

    Информация

    #размер дампа ядра
    * hard core 0

    #максимальный размер создаваемого файла
    * hard fsize 50000000

    #блокировка форк-бомбы(большого количества процессов)
    * hard nproc 1000

    • ампа ядра

    • Отключить все неиспользуемые сервисы (в т.ч. сетевые) которые запускаются при старте ОС:

      Command
    systemdgenie

    Включить межсетевой экран ufw, если он не был включен при установке ОС:

    Commandsudo ufw enable
    • sudo systemdgenie



    Информация
    titleP.S.

    "Взломостойкий" пароль это пароль:

    • Содержащий не менее 8 символов;
    • Не содержащий в себе никаких осмысленных слов (ни в каких раскладках);
    • Содержащий в себе буквы в различных регистрах, цифры и спецсимволы.


    • Настроить iptables в минимально необходимой конфигурации, необходимой для работы: по умолчанию все запрещено, кроме необходимых исключений

      Command
      • iptables
      • ufw
      • gufw

      Для выполнения этой настройки можно использовать графический инстремент gufw:

      Информация
      "Пуск" -  "Панель управления" - Прочее" - "Настройка межсетевого экрана"


    Image Added

    • Настроить параметры ядра в /etc/sysctl.conf

    (

    • .
      Для этого можно можно использовать графический инструмент fly-admin-smc

      Информация
      "Пуск" - "Панель управления" - "Безопасность" - "Политика безопасности" - "Настройки безопасности" - "Параметры ядра"


      или добавить соответствующие строки в файл /etc/sysctl.conf:

      Информация

      fs.suid_dumpable=0
      kernel.randomize_va_space=2
      kernel.sysrq=0
      net.ipv4.ip_forward=0
      net.ipv4.conf.all.send_redirects=0
      net.ipv4.conf.default.send_redirects=0

      после внесения изменений перезагрузить компьютер, и убедиться, что все параметры сохранены правильно.
      Сделать проверку можно командой:

      Command
      sudo sysctl -a | more


    Image Added

    • При возможности, использовать защитное преобразование домашних каталогов пользователей с помощью допустимых средств,
      или использовать хранение информации на сетевых дисках или на защищенных от несанкционированного доступа сменных носителях.

    • По возможности, запретить пользователям подключение сменных носителей, к которым может быть осуществлён любой несанкционированный доступ.

    • Настроить систему аудита на сохранение логов на удаленной машине.
      Если возможно, использовать систему централизованного протоколирования.

    • Установить и настроить службу fail2ban.


    • Включить запрос пароля при каждом выполнении команды sudo, для чего внести следующие изменения в файл /etc/sudoers:

      1. Для того, чтобы для выполнения первой команды sudo требовалось ввести пароль:
        удалить "NOPASSWD:" из строки:

        Информация
        %astra-admin ALL=(ALL:ALL) NOPASSWD: ALL


      2. Для того, чтобы пароль не запоминался для выполнения последующих команд и запрашивался для каждой команды:
        добавить строку

        Информация
        Defaults timestamp_timeout=0
    Информация
    titleP.S.

    "Взломостойкий" пароль это пароль:

  • Содержащий не менее 8 символов;
  • Не содержащий в себе никаких осмысленных слов (ни в каких раскладках);
    • Содержащий в себе буквы в различных регистрах, цифры и спецсимволы.