Информация |
---|
Методические указания по нейтрализации угроз эксплуатации уязвимостей операционных систем специального назначения «Astra Linux Special Edition» РУСБ.10015-01 (очередное обновление 1.7), РУСБ.10015-10, РУСБ.10015-37 (очередное обновление 7.7), далее по тексту - Astra Linux, в информационных системах. |
Информация |
---|
Методические указания не являются кумулятивными. При выполнении методических указаний другие виды обновлений автоматически не применяются и должны быть установлены отдельно. |
Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости
ПОпрограммного обеспечения Xen
Примечание |
---|
в случае возможности отказаться от использования ПО Xen в пользу сертифицированной виртуализации libvirt/qemu, поскольку это позволит:
|
Для нейтрализации угрозы эксплуатации уязвимости команды dmidecode
необходимо исключить возможность выполнения непривилегированными пользователями команды dmidecode
с повышенными привилегиями без запроса пароля. Необходимо провести ревизию файла /etc/sudoers
и файлов в каталоге /etc/sudoers.d/
и убедиться, что в файлах отсутствует разрешение на запуск dmidecode
с повышенными привилегиями. Для этого выполнить команду:
Command |
---|
sudo grep dmidecode /etc/sudoers /etc/sudoers.d/ -r |
Если разрешение на запуск dmidecode
с повышенными привилегиями отсутствует, то в результате выполнения команды будет пустой вывод.
Блок кода |
---|
/etc/sudoers:<группа_пользователей> (ALL) NOPASSWD: /usr/sbin/dmidecode |
где <группа_пользователей> – наименование группы, в которую включены непривилегированные пользователи.
Такие строки должны быть удалены или закомментированы;
Для минимизации угроз безопасности в Astra Linux, функционирующей на уровне защищенности «Усиленный» или «Максимальный», рекомендуется включить (если были ранее выключены) следующие функций безопасности системыВнимание! В целях создания и защиты среды виртуализации рекомендуется использовать встроенные средства Astra Linux, входящие в состав основного репозитория:
Astra Linux является сертифицированным средством виртуализации, соответствует «Требованиям по безопасности информации к средствам виртуализации» (утв. приказом ФСТЭК России от 27.10.2023 г. № 187) и реализует следующие функции безопасности, которые могут применяться в целях защиты среды виртуализации:
|
В случае необходимости применения в информационной системе программного обеспечения Xen необходимо учитывать следующее:
- Xen не входит в состав основного репозитория Astra Linuх и является внешним по отношению к Astra Linux средством виртуализации;
- Xen не реализует сертифицированные функции по безопасности информации к средствам виртуализации;
- Xen не интегрировано с средствами защиты информации Astra Linux и не обеспечивает реализацию мер по защите среды виртуализации.
В целях минимизации возможности реализации потенциальных угроз безопасности путем эксплуатации уязвимостей программного обеспечения Xen, рекомендуется:
- применять следующие механизмы и средства подсистемы безопасности PARSEC:
- мандатный контроль целостности (МКЦ), включая режим МКЦ на файловой системе;
- замкнутая программная среда (ЗПС);
- регламентный контроль целостности Another File Integrity Checker (AFICK);
- для непривилегированных пользователей активировать блокировку интерпретаторов, в том числе, если возможно — блокировку интерпретатора
bash
- ;
- для непривилегированных пользователей активировать режим Киоск-2;
Порядок использования перечисленных выше механизмов и средств подсистемы безопасности PARSEC представлен в документе «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1».
- обеспечить возможность запуска программного обеспечения Xen только доверенными, обладающими соответствующими привилегиями пользователями Astra Linux;
- запускать программное обеспечение Xen только в сессии с низким или промежуточным (отличном от максимального) уровнем целостности;
- по возможности запускать программное обеспечение Xen в отдельной сессии.