Настройка безопасной конфигурации

...

ОС Astra Linux

...

Common Edition 2.12

Перед установкой ОС

1. При возможности - установить и настроить на компьютере аппаратно-программный модуль доверенной загрузки (АПМДЗ)
   
   

2. Установить "взломостойкий" пароль на BIOS компьютера.

   Информация
   title P.S.
   "Взломостойкий" пароль это пароль: Содержащий не менее 8 символов; Не содержащий в себе никаких осмысленных слов (ни в каких раскладках); Содержащий в себе буквы в различных регистрах, цифры и спецсимволы.

   
   

3. Необходимо обеспечить Обеспечить защиту от "незаметного" вскрытия корпуса и встраивания "имплантов" в соединительные кабели периферийных устройств".
   Для этого обеспечения защиты могут использоваться специальные корпуса, защитные крышки, пломбы, пломбировочные ленты, для усложнения скрытной установки "имплантов" рекомендуется использование ПК в форм-факторе ноутбук или моноблок.
   
   
4. Исключить использование беспроводных периферийных устройств ввода (мыши, клавиатуры, тачпады и пр.).
   Отключить по возможности беспроводные системы передачи данных (WiFi, Bluetooth).
   При необходимости использования WiFi - по возможности использовать для защиты данных сети VPN.
   
   

5. При наличии опций для процессоров Intel Execute Disable Bit (XD-Bit) и для процессоров AMD No Execute Bit (NX-Bit) включить их.
   
   

6. При наличии на серверах "не доверенных" систем контроля и управления типа ILO, RSA, iDRAC, ThinkServer EasyManage, AMT, iMana - их необходимо отключить, и использовать, при необходимости, альтернативные решения типа IP KVM.
   
   

7. Устранить известные уязвимости аппаратной платформы (процессоров, контроллеров, BIOS и пр.). Обычно выполняется обновлением BIOS и микропрограмм устройств или, до получения нейтрализующих обновлений, отключением опций, подверженных уязвимостям. См. эксплуатационную документацию на используемые компоненты аппаратной платформы. В процессе эксплуатации устранять уязвимости аппаратной платформы по мере их выявления.Для Intel платформ необходимо устранить уязвимости Intel-SA-00086 в Intel Management Engine (если он инегрирован в процессор)
   посредством установки обновления микропрограммы Intel Management Engine
   (производитель оборудования должен обеспечить данную возможность - это либо обновления BIOS, либо ПО для интеграции обновлений).
   Для частичных проверок используйте: Intel-SA-00086 Detection Tool.
   Более подробно: https://www.intel.ru/content/www/ru/ru/support/articles/000025619/software.html
   
   

8. Установить ОС (обязательно с включенным защитным преобразованием диска),
   и по возможности обеспечить невозможность физического доступа к жесткому диску, на котором установлена ОС 

При установке ОС

1. Установить "взломостойкий" пароль на загрузчик Grub.

2. Создать отдельные дисковые разделы  
   /
/boot
/home
/tmp
   

   Для всех перечисленных дисковых разделов рекомендуется

   Раздел	Рекомендации по установке/настройке
   /	С защитным преобразованием (при условии, что /boot размещен в отдельном дисковом разделе). Рекомендуется использовать файловую систему ext4.
   /boot	Без защитного преобразования. Допускается использовать файловую систему ext2, ext3, ext4.
   /home	С защитным преобразованием. Рекомендуется использовать файловую систему ext4. Рекомендуется монтировать с опциями noexec,nodev,nosuid.
   /tmp	С защитным преобразованием. Рекомендуется использовать файловую систему ext4. Рекомендуется монтировать с опциями noexec,nodev,nosuid.
   /var/tmp

   Информация

   С защитным преобразованием. Рекомендуется использовать файловую систему ext4. Рекомендуется монтировать с опциями noexec,nodev,nosuid.
   swap	Опционально. С защитным преобразованием.

   


   Информация
   системы ext4. При выборе размера дисковых размеров разделов следует помнить, что при размере раздела /tmp менее 250МБ весьма вероятно возникновение ошибок при работе с графикой или с большими объёмами данных.

   


3. Разделы /home /tmp /var/tmp рекомендуется монтировать с опциями noexec,nodev,nosuid



4. В разделе "Дополнительные настройки ОС" включить:
   1. Использовать по умолчанию ядро hardened. При невозможности использования ядра hardened использовать модуль lkrg ядра generic (см. Инструменты командной строки astra-safepolicy);
   2. Включить блокировку консоли;
   3. Включить блокировку интерпретаторов;
   4. Включить межсетевой экран ufw;
   5. Включить системные ограничения ulimits;
   6. Отключить возможность трассировки ptrace;
   7. Запретить установку бита исполнения;
   8. Включить использование sudo с паролем;

После установки ОС

...

1. Установить единственным устройством для загрузки ОС жесткий диск, на который была произведена установка ОС;
   
   

2. Установить "взломостойкий" пароль на загрузчик Grub. При использовании архитектур, отличных от Intel, установить пароль на загрузчик согласно документации;
   
   

3. Использовать загрузку ядра HARDENED, и убрать из меню все другие варианты загрузки, включая режимы восстановления;
   
   
4. Удалить модули ядра, ответственные за работу с Intel Management Engine (MEI). Инструкция по ссылке;Настроить монтирование раздела  /boot  с опциями  ro  (перед обновлением ядра перемонтировать в  rw ).
   
   

5. Установить все доступные обновления безопасности ОС Astra Linux:

   Информация
   для ОС ОН Орёл обновления доступны по мере их выхода Для Astra Linux Common Edition обновления более не выпускаются. Последнее обновление доступно по ссылке: https:// download dl.astralinux.ru/astra/ current/orel/repository/

6. Настроить загрузчик на загрузку ядра HARDENED, и убрать из меню все другие варианты загрузки, включая режимы восстановления.

7. При использовании архитектур, отличных от Intel, установить пароль на загрузчик согласно документации.

8. frozen/2.12_x86-64/2.12.46/.

   После установки ОС сразу настроена на работу с репозиторием, и при наличии  доступа в интернет, обновление можно выполнить командами:

   Информация
   sudo apt update && sudo apt upgrade

   
   

9. Установить пакет управления функциями безопасности astra-safepolicy:
   

   Command
   sudo apt install astra-safepolicy

   
   

10. Если каталог /boot расположен в отдельном дисковом разделе, то настроить монтирование этого раздела  с опциями  ro  (перед обновлением ядра такой раздел необходимо будут перемонтировать с опциями  rw Установить единственным устройством для загрузки ОС жесткий диск, на который была произведена установка ОС);
    
    
11. Включить режим загрузки secureboot на своих ключах (создать usb-flash носитель с помощью astra-secureboot, и, далее, ключи импортировать в BIOS) в соответствии с инструкцией;

12. Отключить доступ к консоли пользователям:

    Создать файл /etc/rc.local со следующим содержимым:

    Информация
    #!/bin/sh -e chown root:astra-console /dev/{pts,pts/*,ptmx,tty*} chmod g+rx /dev/{pts,pts/*,ptmx,tty*} chmod o-rx /dev/{pts,pts/*,ptmx,tty*} exit 0

    Добавить правило в файл /etc/security/access.conf командой:

    Command
    echo "-:ALL EXCEPT astra-console :LOCAL" >> /etc/security/access.conf

    Включить в /etc/pam.d/login обработку заданных правил командой

    Commandsed -i 's|.*account.*pam_access.*|account required pam_access.so|' /etc/pam.d/login

    , если он не был отключен при установке ОС. Если установлен пакет astra-safepolicy, то использовать команду:

    Command
    sudo astra-console-lock enable

    или использовать графическую конссоль fly-admin-smc.

    Для включения доступа к консоли администраторам необходимо добавить их в группу astra-console.;
    
    

13. Включить блокировку интерпретаторов, если она не была включена при установке ОС. Если установлен пакет astra-safepolicy, то использовать команду:

    Command
    sudo astra-interpreters-lock enable

    или использовать графическую конссоль fly-admin-smc;

    
    

14. По возможности, включить блокировку макросов с помощью инструмента командной строки astra-macros-lock:

    Command
    astra-macros-lock enable

    или использовать графическую конссоль fly-admin-smc;

    
    

15. Включить блокировку трассировки ptrace, если она не была включена при установке ОС:

    Command
    astra-ptrace

    Включить гарантированное удаление файлов и папок

    -lock enable

    или использовать графическую конссоль fly-admin-smc;
    
    

16. Включить, при наличии возможности, режим киоска для пользователя.;
    
    
17. Работу с конфиденциальной информацией нужно проводить, используя защитное преобразование файлов.;
    
    
18. Работу с конфиденциальной информацией в сети необходимо производить, используя защитное преобразование пакетов с помощью создания доверенной VPN сети
    (средства встроены в ОС).;
    
    
19. Работу с конфиденциальной информацией при обмене почтой необходимо производить, используя защитные GPG-преобразования писем с помощью плагина для Thunderbird Enigmail
    Enigmail  (средства встроены в ОС);
    
    

20. Установить "взломостойкие" пароли на все учетные записи в ОС.

    Информация
    title P.S.
    "Взломостойкий" пароль - это пароль Содержащий не менее 8 символов; Не содержащий в себе никаких осмысленных слов (ни в каких раскладках); Содержащий в себе буквы в различных регистрах, цифры и спецсимволы.

    
    

21. Убедиться, что что модуль  pam_tally  настроен на блокировку учетных записей при попытках подбора паролей (настроено по умолчанию при установке ОС).;
    
    
22. Настроить дисковые квоты в ОС
    Для этого установить пакет quota, настроить /etc/fstab, и использовать edquota для установки квот.с помощью графической консоли fly-admin-smc;
    
    

23. Включить Настроить ограничения ОС (так называемые ulimits).
    Рекомендуемые настройки /etc/security/limits.conf:

    Информация
    #размер дампа ядра * hard core 0 #максимальный размер создаваемого файла * hard fsize 50000000 #блокировка форк-бомбы(большого количества процессов) * hard nproc 1000

    , если они не были включены при установке ОС:

    Command
    sudo astra-ulimits-control enable

    или использовать графическую конссоль fly-admin-smc;

    
    

24. Отключить все неиспользуемые сервисы (в т.ч. сетевые) которые запускаются при старте ОС:

    Command
    systemdgenie

    
    

25. Включить межсетевой экран ufw и настроить , если он не был включен при установке ОС.
    Настроить iptables в минимально необходимой конфигурации, необходимой для работы:
    по умолчанию все запрещено, кроме необходимых исключений
    

    Command
    iptables ufw gufw

    
    

26. Настроить параметры ядра в /etc/sysctl.conf:
    Отключить механизм SysRq, для чего использовать используя графический инструмент fly-admin-smc , или добавить соответствующие строки в файл с любым именем и расширением .conf в каталоге /etc/sysctl.conf добавить строку

    Информация
    kernel.sysrq = 0

    после чего перезагрузить ПК, и проверить, что установлено значение 0, командой:

    Command
    cat /proc/sys/kernel/sysrq

    Дополнительные рекомендуемые параметры ядра (также могут быть установлены или изменены с помощью графического инструмента fly-admin-smc)d:

    Информация
    fs.suid_dumpable=0 kernel.randomize_va_space=2 kernel.sysrq=0 net.ipv4.ip_forward=0 net.ipv4.conf.all.send_redirects=0 net.ipv4.conf.default.send_redirects=0

    после внесения изменений перезагрузить компьютер, и убедиться, что все параметры сохранены правильно.
    Сделать проверку можно командой:

    Command
    sudo sysctl -a | more

    
    

27. Заблокировать исполнение модулей python с расширенным функционалом:

    Command
    find /usr/lib/python* -type f -name "_ctype*" -exec sudo dpkg-statoverride --update --add root root 640 {} \;

    
    

28. При возможности, использовать защитное преобразование домашних каталогов пользователей с помощью допустимых средств,
    или использовать хранение информации на сетевых дисках или на защищенных от несанкционированного доступа сменных носителях.
    
    

29. По возможности, запретить пользователям подключение сменных носителей, к которым может быть осуществлён осуществлен любой несанкционированный доступ.:

    Command
    sudo astra-mount-lock

    или использовать графическую конссоль fly-admin-smc;
    
    

30. Настроить систему аудита на сохранение логов на удаленной машине.
    Если возможно, использовать систему централизованного протоколирования.
    
    
31. Установить и настроить службу fail2ban.
    
    

32. Включить запрос пароля при выполнении команды sudo:
    

    Command
    sudo astra-sudo-control enable

    
    

    Информация

    Дополнительно, для того, чтобы пароль не запоминался для выполнения последующих команд и запрашивался для каждой команды, в файл /etc/sudoers добавить строку Информация Defaults timestamp_timeout=0 Информация Для снижения риска нарушения нормальной работы компьютера в результате ошибок при изменении файла /etc/sudoers редактирование этого файла следует выполнять с помощью команды: Command sudo visudo Для предотвращения невозможности выполнения команд из-за накопления записей о неудачных вызовах при использовании sudo с паролем рекомендуется добавить строку в файл /etc/pam.d/sudo: Command account required pam_tally.so Итоговое содержание файла /etc/pam.d/sudo: Информация @include common-auth @include common-account @include common-session account required pam_tally.so

    См. также Запрос пароля для каждого вызова sudo