| Включить страницу | ||||
|---|---|---|---|---|
|
| Отображение дочерних |
|---|
| Оглавление |
|---|
Настройка безопасной конфигурации компьютера для работы с ОС Astra Linux
Перед установкой ОС
...
Установить "взломостойкий" пароль на BIOS компьютера.
| Информация | ||
|---|---|---|
| ||
"Взломостойкий" пароль это пароль:
|
...
Исключить использование беспроводных периферийных устройств вода (мыши, клавиатуры, тачпады и пр.).
Отключить по возможности беспроводные системы передачи данных (WiFi, Bluetooth).
При необходимости использования WiFi - по возможности использовать для защиты данных сети VPN.
...
При установке ОС
Создать отдельные дисковые разделы
| Информация |
|---|
/ /boot /home /tmp /var/tmp |
Создать отдельные дисковые разделы
...
Рекомендуется использовать файловую систему ext4.
...
| Информация |
|---|
Для всех перечисленных дисковых разделов рекомендуется использовать файловую системы ext4. |
...
После установки ОС
...
Установить на устройства - жесткие диски максимальный уровень конфиденциальности (на ОС СН Смоленск 1.6 устанавливается автоматически):
| Информация |
|---|
| /dev/sd* /dev/hd* /dev/vd* |
Отключить доступ к консоли пользователям (данный пункт актуален для ОС СН Смоленск 1.5, так как для ОС СН Смоленск 1.6 правила работают "из коробки"):
Добавить группу astra-console выполнив команду:
| Информация |
|---|
addgroup --gid 333 astra-console |
Создать файл /etc/rc.local со следующим содержимым:
| Информация |
|---|
#!/bin/sh -e |
Добавить правило в файл /etc/security/access.conf командой:
| Command |
|---|
| echo "-:ALL EXCEPT astra-console :LOCAL" >> /etc/security/access.conf |
Включить в /etc/pam.d/login обработку заданных правил командой
| Command |
|---|
| sed -i 's|.*account.*pam_access.*|account required pam_access.so|' /etc/pam.d/login |
...
Включить блокировку установки бита исполнения командами
| Command |
|---|
| echo 1 > /parsecfs/nochmodx echo 1 > /etc/parsec/nochmodx |
или командой
| Command |
|---|
| astra-nochmodx-lock enable |
...
По возможности, включить блокировку макросов с помощью графического инструмента fly-admin-smc или инструмента командной строки astra-macros-lock:
| Command |
|---|
| astra-macros-lock enable |
...
Включить контроль цифровой подписи в исполняемых файлах (ELF-файлах) и в xattr всех файлов (Режим Замкнутой Программной Среды).
Для этого сгенерируйте ключи и подпишите цифровой подписью в xattr все основные файлы и каталоги в корневой ФС.
Рекомендуется подписывать только каталоги, содержащие неизменяемые (между обновлениями) файлы, а также файлы, содержимое которых изменяет только сам пользователь.
Примерный список каталогов для подписи:
| Информация |
|---|
/bin |
для включения механизмов контроля подписи в исполняемых файлах (ELF-файлах) и в xattr всех файлов можно использовать графический инструмен fly-admin-smc,
или установить в файле /etc/digsig/digsig_initramfs.conf (подробности см. в соответствующем "Руководстве по КСЗ"):
| Информация |
|---|
Для ОС СН Смоленск 1.6 (см. РУК КСЗ п.16.1): |
после чего выполнить команду:
| Command |
|---|
| update-initramfs -u -k all |
и перезагрузить ПК
...
Установить мандатный контроль целостности (МКЦ > 0) на всеx основных файлах и каталогах в корневой файловой системе.
(в Смоленск 1.6 и в Смоленск 1.5 на апдейтах позже 27-10-2017)
Для этого в графическом инструменте fly-admin-smc «Политика безопасности» -> «мандатный контроль целостности» -> «целостность файловой системы» -> установить «высокий 63», или в консоли set-fs-ilev.
| Предупреждение |
|---|
| Установку МКЦ рекомендуется проводить после всех настроек безопасности, так как дальнейшее администрирование возможно только под высоким уровнем целостности, и после снятия МКЦ с файловой системы командой unset-fs-ilev |
...
Установить "взломостойкие" пароли на все учетные записи в ОС
| Информация | ||
|---|---|---|
| ||
"взломостойкий" пароль это пароль
|
...
Настроить ограничения ОС (так называемые ulimits).
Рекомендуемые настройки /etc/security/limits.conf:
| Информация |
|---|
#размер дампа ядра #максимальный размер создаваемого файла #блокировка форк-бомбы(большого количества процессов) |
Отключить все неиспользуемые сервисы (в т.ч. сетевые) которые запускаются при старте ОС:
| Информация |
|---|
В ОС СН Смоленск 1.6 командой systemdgenie или В ОС СН Смоленск 1.5 командами chkconfig и fly-admin-runlevel |
Включить межсетевой экран ufw и настроить iptables в минимально необходимой конфигурации, необходимой для работы:
по умолчанию все запрещено, кроме необходимых исключений
| Информация |
|---|
В ОС СН Смоленск 1.6 командами
В ОС СН Смоленск 1.5 командами
|
Настроить параметры ядра в /etc/sysctl.conf (можно использовать графический инструмент fly-admin-smc или добавить соответствующие строки в файл /etc/sysctl.conf:
| Информация |
|---|
| fs.suid_dumpable=0 kernel.randomize_va_space=2 kernel.sysrq=0 net.ipv4.ip_forward=0 net.ipv4.conf.all.send_redirects=0 net.ipv4.conf.default.send_redirects=0 |
после внесения изменений перезагрузить компьютер, и убедиться, что все параметры сохранены правильно.
Сделать проверку можно командой:
| Command |
|---|
| sudo sysctl -a | more |
...