Отображение дочерних |
---|
Оглавление |
---|
Настройка безопасной конфигурации
...
ОС Astra Linux
...
Common Edition 2.12
Отображение дочерних |
---|
Оглавление |
---|
Перед установкой ОС
- При возможности - установить и настроить на компьютере аппаратно-программный модуль доверенной загрузки (АПМДЗ)
Установить "взломостойкий" пароль на BIOS компьютера.
Информация title P.S.
...
"Взломостойкий" пароль это пароль:
- Содержащий не менее 8 символов;
- Не содержащий в себе никаких осмысленных слов (ни в каких раскладках);
- Содержащий в себе буквы в различных регистрах, цифры и спецсимволы.
- Обеспечить защиту от "незаметного" вскрытия корпуса и встраивания "имплантов" в соединительные кабели периферийных устройств".
Для обеспечения защиты могут использоваться специальные корпуса, защитные крышки, пломбы, пломбировочные ленты, для усложнения скрытной установки "имплантов" рекомендуется использование ПК в форм-факторе ноутбук или моноблок. - Исключить использование беспроводных периферийных устройств
...
- ввода (мыши, клавиатуры, тачпады и пр.).
Отключить по возможности беспроводные системы передачи данных (WiFi, Bluetooth).
При необходимости использования WiFi - по возможности использовать для защиты данных сети VPN. При наличии опций для процессоров Intel Execute Disable Bit (XD-Bit) и для процессоров AMD No Execute Bit (NX-Bit) включить их.
При наличии на серверах "не доверенных" систем контроля и управления типа ILO, RSA, iDRAC, ThinkServer EasyManage, AMT, iMana - их необходимо отключить, и использовать, при необходимости, альтернативные решения типа IP KVM.
...
Для Intel платформ необходимо устранить уязвимости Intel-SA-00086 в Intel Management Engine (если он инегрирован в процессор)
посредством установки обновления микропрограммы Intel Management Engine
(производитель оборудования должен обеспечить данную возможность - это либо обновления BIOS, либо ПО для интеграции обновлений).
Для частичных проверок используйте: Intel-SA-00086 Detection Tool.
Более подробно: https://www.intel.ru/content/www/ru/ru/support/articles/000025619/software.html
Информация | ||
---|---|---|
| ||
"Взломостойкий" пароль это пароль:
|
Устранить известные уязвимости аппаратной платформы (процессоров, контроллеров, BIOS и пр.). Обычно выполняется обновлением BIOS и микропрограмм устройств или, до получения нейтрализующих обновлений, отключением опций, подверженных уязвимостям. См. эксплуатационную документацию на используемые компоненты аппаратной платформы. В процессе эксплуатации устранять уязвимости аппаратной платформы по мере их выявления.
Установить ОС (обязательно с включенным защитным преобразованием диска),
При установке ОС
...
и по возможности обеспечить невозможность физического доступа к жесткому диску, на котором установлена ОС
При установке ОС
Создать отдельные дисковые разделы
Раздел Рекомендации по установке/настройке / С защитным преобразованием (при условии, что /boot размещен в отдельном дисковом разделе).
Рекомендуется использовать файловую систему ext4./boot Без защитного преобразования.
Допускается использовать файловую систему ext2, ext3, ext4./home С защитным преобразованием.
Рекомендуется использовать файловую систему ext4.
Рекомендуется монтировать с опциямиnoexec,nodev,nosuid
./tmp С защитным преобразованием.
Рекомендуется использовать файловую систему ext4.
Рекомендуется монтировать с опциямиnoexec,nodev,nosuid
./var/tmp С защитным преобразованием.
Рекомендуется использовать файловую систему ext4.
Рекомендуется монтировать с опциямиnoexec,nodev,nosuid
.swap Опционально. С защитным преобразованием. Информация При выборе размера дисковых разделов следует помнить, что при размере раздела /tmp менее 250МБ весьма вероятно возникновение ошибок при работе с графикой или с большими объёмами данных.
Разделы /home /tmp /var/tmp рекомендуется монтировать с опциями
noexec,nodev,nosuid
- В разделе "Дополнительные настройки ОС" включить:
- Использовать по умолчанию ядро
...
- hardened. При невозможности использования ядра hardened использовать модуль lkrg ядра generic (см. Инструменты командной строки astra-safepolicy);
- Включить блокировку консоли;
- Включить блокировку интерпретаторов;
- Включить межсетевой экран ufw;
- Включить системные ограничения ulimits;
- Отключить возможность трассировки ptrace;
- Запретить установку бита исполнения;
- Включить использование sudo с паролем;
...
После установки ОС
- Установить единственным устройством для загрузки ОС жесткий диск, на который была произведена установка ОС;
Установить "взломостойкий" пароль на загрузчик Grub. При использовании архитектур, отличных от Intel, установить пароль на загрузчик согласно документации
...
;
- Использовать загрузку ядра HARDENED, и убрать из меню все другие варианты загрузки, включая режимы восстановления
...
- ;
- Удалить модули ядра, ответственные за работу с Intel Management Engine (MEI). Инструкция по ссылке
...
- ;
Установить все доступные обновления безопасности ОС Astra Linux:
Информация
...
Для Astra Linux Common Edition обновления более не выпускаются. Последнее обновление доступно по ссылке: https://
...
...
После установки ОС
...
сразу настроена на работу с репозиторием, и при наличии доступа в интернет, обновление можно выполнить командами:
Информация sudo apt update && sudo apt upgrade
...
Установить пакет управления функциями безопасности astra-safepolicy:
Command sudo apt install astra-safepolicy - Если каталог /boot расположен в отдельном дисковом разделе, то настроить монтирование этого раздела с
...
- опциями
ro
(перед обновлением ядра
...
- такой раздел необходимо будут перемонтировать с опциями
rw
)
...
- ;
- Включить режим загрузки secureboot на своих ключах (создать usb-flash носитель с помощью astra-secureboot, и, далее, ключи импортировать в BIOS) в соответствии с инструкцией;
Политика консоли и интерпретаторов
С помощью графического инструмента fly-admin-smc
Информация |
---|
"Пуск" - "Панель управления" - "Безопасность" - "Политика безопасности" - "Настройки безопасности" - "Политика консоли и интерпретаторов" |
включить (если они не были включены при установке ОС)
...
Информация |
---|
После изменения состояния переключателей не забудьте сохранить изменения. |
Отключить доступ к консоли пользователям, если он не был отключен при установке ОС. Если установлен пакет astra-safepolicy, то использовать команду:
Command sudo astra-console-lock enable или использовать графическую конссоль fly-admin-smc.
Для включения доступа к консоли администраторам
...
Дополнительно, для того, чтобы пароль не запоминался для выполнения последующих команд и запрашивался для каждой команды, в файл /etc/sudoers добавить строку
Информация |
---|
Defaults timestamp_timeout=0 |
...
необходимо добавить их в группу astra-console;
Включить блокировку интерпретаторов, если она не была включена при установке ОС.
...
Если установлен пакет astra-safepolicy, то использовать команду:
Command sudo astra-interpreters-lock enable или использовать графическую конссоль
Системные параметры
...
fly-admin-smc
...
Информация |
---|
"Пуск" - "Панель управления" - "Безопасность" - "Политика безопасности" - "Настройки безопасности" - "Системные параметры" |
включить (если они не были включены при установке ОС):
- Запрет установки бита исполнения;
- Блокировку макросов;
- Блокировку трассировки ptrace;
- Включение системных ограничений ulimits;
- Блокировку выключения/перезагрузки ПК для пользователей (по возможности);
- Блокировку системных команд для пользователей;
- Межсетевой экран;
- Запрет монтирования носителей непривилегированными пользователями (по возможности);
Информация |
---|
После изменения состояния переключателей не забудьте сохранить изменения. |
...
Рекомендуемые настройки ограничений ОС (файл /etc/security/limits.conf):
Информация |
---|
#размер дампа ядра #максимальный размер создаваемого файла #блокировка форк-бомбы(большого количества процессов) |
;
По возможности, включить блокировку макросов с помощью инструмента командной строки astra-macros-lock:
Command astra-macros-lock enable или использовать графическую конссоль fly-admin-smc;
Включить блокировку трассировки ptrace, если она не была включена при установке ОС:
Command astra-ptrace-lock enable или использовать графическую конссоль fly-admin-smc;
- Включить, при наличии возможности, режим киоска для пользователя;
- Работу с конфиденциальной информацией нужно
...
- проводить, используя защитное преобразование файлов
...
- ;
- Работу с конфиденциальной информацией в сети необходимо производить, используя защитное преобразование пакетов с помощью создания доверенной VPN сети (средства встроены в ОС)
...
- ;
- Работу с конфиденциальной информацией при обмене почтой необходимо производить, используя защитные GPG-преобразования писем с помощью плагина для Thunderbird
...
- Enigmail (средства встроены в ОС)
...
- ;
Установить "взломостойкие" пароли на все учетные записи в ОС.
Информация title P.S. "Взломостойкий" пароль - это пароль
- Содержащий не менее 8 символов;
...
- Не содержащий в себе никаких осмысленных слов (ни в каких раскладках);
- Содержащий в себе буквы в различных регистрах, цифры и спецсимволы.
- Убедиться, что модуль
pam_tally
настроен на блокировку учетных записей при попытках подбора паролей (настроено по умолчанию при установке ОС)
...
- ;
- Настроить дисковые квоты в ОС с помощью графической консоли fly-admin-smc;
Включить ограничения ОС (так называемые ulimits), если они не были включены при установке ОС:
...
Command sudo astra-ulimits-control enable или использовать графическую конссоль fly-admin-smc;
Отключить все неиспользуемые сервисы (в т.ч. сетевые) которые запускаются при старте ОС:
Command
...
title | P.S. |
---|
"Взломостойкий" пароль это пароль:
systemdgenie
Включить межсетевой экран ufw, если он не был включен при установке ОС
...
.
Настроить iptables в минимально необходимой конфигурации, необходимой для работы: по умолчанию все запрещено, кроме необходимых исключенийCommand iptables
ufw
gufw
...
Для выполнения этой настройки можно использовать графический инстремент gufw:
Информация |
---|
"Пуск" - "Панель управления" - Прочее" - "Настройка межсетевого экрана" |
...
Настроить параметры ядра
...
используя графический инструмент fly-admin-smc
...
Информация |
---|
"Пуск" - "Панель управления" - "Безопасность" - "Политика безопасности" - "Настройки безопасности" - "Параметры ядра" |
или добавить соответствующие строки в файл с любым именем и расширением .conf в каталоге /etc/sysctl.
...
d:
Информация fs.suid_dumpable=0
kernel.randomize_va_space=2
kernel.sysrq=0
net.ipv4.ip_forward=0
net.ipv4.conf.all.send_redirects=0
net.ipv4.conf.default.send_redirects=0после внесения изменений перезагрузить компьютер, и убедиться, что все параметры сохранены правильно.
Сделать проверку можно командой:Command sudo sysctl -a | more
...
Заблокировать исполнение модулей python с расширенным функционалом:
Command find /usr/lib/python* -type f -name "_ctype*" -exec sudo dpkg-statoverride --update --add root root 640 {} \; При возможности, использовать защитное преобразование домашних каталогов пользователей с помощью допустимых средств,
или использовать хранение информации на сетевых дисках или на защищенных от несанкционированного доступа сменных носителях.По возможности, запретить пользователям подключение сменных носителей, к которым может быть
...
осуществлен любой несанкционированный доступ
...
:
Command sudo astra-mount-lock или использовать графическую конссоль fly-admin-smc;
- Настроить систему аудита на сохранение логов на удаленной машине.
...
- Если возможно, использовать систему централизованного протоколирования.
- Установить и настроить службу fail2ban.
Включить запрос пароля при
...
выполнении команды sudo
...
:
Command sudo astra-sudo-control enable Информация Дополнительно, для
...
Для того, чтобы для выполнения первой команды sudo требовалось ввести пароль:
удалить "NOPASSWD:" из строки:
Информация |
---|
%astra-admin ALL=(ALL:ALL) |
...
того, чтобы пароль не запоминался для выполнения последующих команд и запрашивался для каждой команды
...
, в файл /etc/sudoers добавить строку
Информация Defaults timestamp_timeout=0 Информация Для снижения риска нарушения нормальной работы компьютера в результате ошибок при изменении файла /etc/sudoers редактирование этого файла следует выполнять с помощью команды:
Command sudo visudo Для предотвращения невозможности выполнения команд из-за накопления записей о неудачных вызовах при использовании sudo с паролем рекомендуется добавить строку в файл /etc/pam.d/sudo:
Command account required pam_tally.so
Итоговое содержание файла /etc/pam.d/sudo:
Информация @include common-auth
@include common-account
@include common-sessionaccount required pam_tally.so
См. также Запрос пароля для каждого вызова sudo