| Информация |
|---|
| Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6), далее по тексту - Astra Linux, в информационных системах. |
| Информация |
|---|
Методические указания не являются кумулятивными. При выполнении методических указаний другие виды обновлений автоматически не применяются и должны быть установлены отдельно. |
| Информация |
|---|
Настоящее методические указания предназначены для нейтрализации угрозы эксплуатации уязвимости в Astra Linux с установленным оперативным обновлением 12 (бюллетень Перед выполнением действий настоящей методики безопасности необходимо установить оперативное обновление 12 (БЮЛЛЕТЕНЬ № 20221220SE16). |
| Подсказка |
|---|
Обновленные пакеты, в которых устранена угроза эксплуатации уязвимости, будут включены в состав следующего оперативного обновления. |
Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости
ядра linuxслужбы сервера FreeIPA
| Примечание |
|---|
Информация о об уязвимости, закрываемой при выполнении настоящих методических указаний, предоставляется после соответствующего обращения на портале технической поддержки. |
| Подсказка |
В данной методике безопасности представлены методические рекомендации по устранению уязвимости. Обновлённые пакеты ядра Linux, в которых устранена уязвимость, предоставлены в бюллетене №20220318SE16MDв техническую поддержку. |
| Предупреждение | ||
|---|---|---|
| ||
Применение методических указаний необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности. |
Для нейтрализации угрозы эксплуатации уязвимости ядра linux необходимо запретить непривилегированным пользователям создавать новые пространства имен пользователей, установив значение параметра ядра kernel.unprivileged_userns_clone равным "0". Чтобы проверить текущее значение параметра ядра необходимо выполнить команду:
| Command |
|---|
sudo sysctl kernel.unprivileged_userns_clone |
Параметр ядра kernel.unprivileged_userns_clone может принимать следующие значения:
- 0 — в случае, когда непривилегированным пользователям запрещено создавать новые пространства имен пользователей;
- 1 — в случае, когда непривилегированным пользователям разрешено создавать новые пространства имен пользователей.
Для того чтобы временно (до перезагрузки системы) запретить непривилегированным пользователям создавать новые пространства имен пользователей, необходимо выполнить команду:
| Command |
|---|
sudo sysctl -w kernel.unprivileged_userns_clone=0 |
Для того чтобы установленное значение параметра ядра сохранилось после перезагрузки, необходимо:
Добавить в файл /etc/sysctl.d/999-astra.conf следующую строку:
| Блок кода |
|---|
kernel.unprivileged_userns_clone = 0 |
Это можно сделать следующей командой:
| Command |
|---|
| echo "kernel.unprivileged_userns_clone = 0" | sudo tee -a /etc/sysctl.d/999-astra.conf |
службы сервера FreeIPA на каждом сервере (реплике) необходимо выполнить действия, описанные ниже.
Уточнить наименование домена командой:
Command astra-freeipa-server -i
Пример вывода после выполнения команды:
Блок кода Обнаружен настроенный домен my.domain.local WEB: https://dc.my.domain.local- Изменить ACL (список прав доступа) атрибута
userPasswordсanyone(все пользователи) наall(только аутентифицированные пользователи), для чего использовать команду ldapmodify. Например, в интерактивном режиме:Запустить инструмент командной строки
ldapmodify:Command ldapmodify -D "cn=Directory Manager" -W
Ввести пароль администратора домена;
Информация После успешной аутентификации никакие сообщения, включая приглашение для ввода, не выводятся. Ввести следующие строки:
Блок кода dn: <компоненты_наименования_домена> changetype: modify delete: aci aci: (targetattr = "userPassword")(version 3.0; acl "Users can read attr userPassword"; allow (read, compare,search) groupdn = "ldap:///anyone";) - add: aci aci: (targetattr = "userPassword")(version 3.0; acl "Users can read attr userPassword"; allow (read, compare,search) groupdn = "ldap:///all";) -где <компоненты_наименования_домена> - запись вида:
Блок кода dc=<N-й_компонент_наименования_домена>,...,dc=<2-й_компонент_наименования_домена>,dc=<1-й_компонент_наименования_домена>для примера, приведенного выше (имя домена my.domain.local), строка будет иметь вид:
Блок кода dn: dc=my,dc=domain,dc=localНажать клавишу <ENTER> (дважды) . О внесении изменений в настройки свидетельствует следующее сообщение:
Блок кода modifying entry "<компоненты_наименования_домена>"Завершить работу инструмента командной строки
ldapmodify, например, нажав комбинацию клавиш <Ctrl+D>.
| Примечание |
|---|
Независимо от применения настоящей методики рекомендуется установить настройки сложности пароля не ниже, чем:
После применения настоящей методики рекомендуется сменить пароли пользователей |
Перезагрузить параметры ядра, выполнив команду:
| Command |
|---|
sudo sysctl --system |
| Примечание |
|---|
При применении настоящей методики не будут функционировать любые сервисы в конфигурациях, требующих создание пространства имен пользователей непривилегированным пользователем. Такие сервисы чаще всего входят в состав средств управления контейнерами. В состав следующего оперативного обновления войдут обновлённые пакеты, в которых будет устранена угроза эксплуатации уязвимости без необходимости запрета создания пространства имен пользователей непривилегированным пользователем. |