Справочный центр

Дерево страниц

Сравнение версий

Старая версия 1

changes.mady.by.user Алексей Федоров

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Алексей Федоров

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.


Информация
Методические указания по нейтрализации угроз эксплуатации уязвимостей операционных систем специального назначения «Astra Linux Special Edition» РУСБ.10015-01 (очередное обновление 1.7), РУСБ.10015-10, РУСБ.10015-37 (очередное обновление 7.7), далее по тексту - Astra Linux, в информационных системах.



Информация

Методические указания не являются кумулятивными. При выполнении методических указаний другие виды обновлений автоматически не применяются и должны быть установлены отдельно.


Подсказка

Обновленные пакеты, в которых устранена угроза эксплуатации уязвимостиуязвимостей, будут   включены в состав следующего оперативного обновления 1.7.5  (БЮЛЛЕТЕНЬ № 2023-1023SE17).


Методика безопасности, нейтрализующая угрозу эксплуатации

уязвимости веб-браузера Chromium 

уязвимостей программного обеспечения Docker

Примечание

Информация об уязвимости, закрываемой при выполнении настоящих методических указаний, предоставляется после соответствующего обращения в техническую поддержку.

Для нейтрализации угрозы эксплуатации уязвимости веб-браузера Chromium необходимо придерживаться следующих рекомендаций:

Запускать веб-браузер Chromium в изолированных контейнерах docker в

Общие организационные мероприятия

  1. При работе с программным обеспечением Docker должны использоваться следующие механизмы комплекса защиты информации, интегрированные в Astra Linux:

    • запуск гипервизора контейнеров Docker на пониженном уровне целостности;

    • работа с образами и контейнерами Docker в непривилегированном (rootless) режиме.

Работа с Docker в непривилегированном режиме описана в документе

    Порядок применения указанных механизмов представлен в статье Установка и администрирование Docker в Astra Linux 1.7.

  2. Отключить или удалить неиспользуемые учетные записи пользователей, а также учетные записи недоверенных пользователей.

  3. Настроить монтирование файловых ресурсов хостовой машины в контейнер таким образом, чтобы предотвратить нежелательные изменения в конфигурации хостовой машины.
    Описание настроек монтирования файловых ресурсов хостовой машины представлено в документе РУСБ.10015-01 95 01-1 «Операционная система специального назначения «Astra Linux Special Edition». Руководство администратора. Часть 1».

  4. Настроить контроль целостности контейнеров и их образов. Для этого следует выполнить действия, описанные в документе РУСБ.10015-01 97 01-1 «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1»

.
  • Использовать веб-браузер Firefox, входящий в состав Astra Linux.
    • Запретить сайтам использование JavaScript и/или задать "белый" список сайтов, которым использование JavaScript будет разрешено. Для этого:
  • запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Chromium;
  • в адресную строку ввести "chrome://settings/content/javascript" и нажать клавишу <Enter>;
  • на открывшейся странице JavaScript установить флаг Запретить сайтам использовать JavaScript;
  • на странице JavaScript в секции Разрешить сайтам использовать JavaScript нажать на кнопку [Добавить];
    • в открывшемся окне Добавление сайта ввести адрес доверенного сайта (например, "[*.]astralinux.ru" ) и нажать на кнопку [Добавить]. Аналогичным образом добавить адреса необходимых сайтов

    1. .

    2. При создании образа с использованием докерфайла не применять инструкцию USER.

    3. Если применяется аутентификация с помощью Docker Credential helper (ассистента хранилища учетных данных), необходимо убедиться в корректности настроек:

      • в блоках параметров credsStore или credHelpers файла конфигурации (по умолчанию $HOME/.docker/config.json) должно быть указано наименование исполняемого файла ассистента. Например, при использовании docker-credential-yc (ассистента хранилища учетных данных Yandex Cloud) блок параметров credHelpers имеет следующий вид:

        Блок кода
          "credHelpers": {
    "container-registry.cloud.yandex.net": "yc",
    "cr.cloud.yandex.net": "yc",
    "cr.yandex": "yc"
  }

        В качестве значений параметров указывается наименование, следующее после префикса "docker-credential-";

      • в переменной PATH должен быть указан каталог, в котором размещен исполняемый файл ассистента. Например, при использовании docker-credential-yc (ассистента хранилища учетных данных Yandex Cloud) в переменной PATH указан каталог /home/<имя_пользователя>/yandex-cloud/bin.

    Дополнительные действия для устранения угрозы эксплуатации уязвимости режима Swarm Mode

    В случае, если развернуты кластеры Docker Swarm необходимо выполнить действия, описанные ниже.

    1. В многоузловых кластерах необходимо развернуть глобальный контейнер "pause" для каждой зашифрованной overlay-сети на каждом узле. Для этого при создании сервиса нужно указать образ registry.k8s.io/pause и параметр "--mode global".

    2. Заблокировать входящий трафик на UDP-порт 4789:

      •  с помощью iptables – добавить правило, выполнив в терминале команду, например такого вида: 

        Command
        iptables -A INPUT -m udp —-dport 4789 -m policy --dir in --pol none -j DROP


        Примечание
        После добавления правила необходимо удостоверится в том, что изменения будут сохранены после перезагрузки ОС. Подробнее — см. Сохранение и восстановление правил iptables.


      • с помощью межсетевого экрана ufw – добавить правило, выполнив в терминале следующую команду:

        Command

        sudo ufw deny 4789/udp


    3. Необходимо убедиться, что на всех узлах кластера в ядро linux загружается модуль  xt_u32. Для этого следует выполнить команду:

      Command

      lsmod | grep xt_u32

      Если модуль не загружен, то в результате выполнения команд будет пустой вывод.
      Для того чтобы включить загрузку модуля xt_u32 в ядро linux необходимо выполнить следующие действия:

      1. загрузить модуль xt_u32 в ядро linux командой:

        Command

        sudo modprobe xt_u32


      2. проверить, что модуль xt_u32 загружен:

        Command

        lsmod | grep xt_u32


      3. обновить текущий образ initramfs командой:

        Command

        sudo update-initramfs -u


      Примечание
      Проверку загрузки модуля  xt_u32 необходимо выполнить для всех используемых ядер linux.