Справочный центр

Дерево страниц

Сравнение версий

Старая версия 8

changes.mady.by.user Александр Левдонский

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Александр Левдонский

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Отображение дочерних

Оглавление

Настройка безопасной конфигурации

...

ОС Astra Linux

...

Common Edition 2.12

Перед установкой ОС

  1. При возможности - установить и настроить на компьютере аппаратно-программный модуль доверенной загрузки (АПМДЗ)

  2. Установить "взломостойкий" пароль на BIOS компьютера.

    Информация
    titleP.S.

    "Взломостойкий" пароль это пароль:

    • Содержащий не менее 8 символов;
    • Не содержащий в себе никаких осмысленных слов (ни в каких раскладках);
    • Содержащий в себе буквы в различных регистрах, цифры и спецсимволы.


  3. Необходимо обеспечить Обеспечить защиту от "незаметного" вскрытия корпуса и встраивания "имплантов" в соединительные кабели периферийных устройств".
    Для обеспечения защиты могут использоваться специальные корпуса, защитные крышки, пломбы, пломбировочные ленты, для усложнения скрытной установки "имплантов" рекомендуется использование ПК в форм-факторе ноутбук или моноблок.

  4. Исключить использование беспроводных периферийных устройств ввода (мыши, клавиатуры, тачпады и пр.).
    Отключить по возможности беспроводные системы передачи данных (WiFi, Bluetooth).
    При необходимости использования WiFi - по возможности использовать для защиты данных сети VPN.

  5. При наличии опций для процессоров Intel Execute Disable Bit (XD-Bit) и для процессоров AMD No Execute Bit (NX-Bit) включить их.

  6. При наличии на серверах "не доверенных" систем контроля и управления типа ILO, RSA, iDRAC, ThinkServer EasyManage, AMT, iMana - их необходимо отключить, и использовать, при необходимости, альтернативные решения типа IP KVM.

  7. Устранить известные уязвимости аппаратной платформы (процессоров, контроллеров, BIOS и пр.). Обычно выполняется обновлением BIOS и микропрограмм устройств или, до получения нейтрализующих обновлений, отключением опций, подверженных уязвимостям. См. эксплуатационную документацию на используемые компоненты аппаратной платформы. В процессе эксплуатации устранять уязвимости аппаратной платформы по мере их выявления.Для Intel платформ необходимо устранить уязвимости Intel-SA-00086 в Intel Management Engine (если он инегрирован в процессор)
    посредством установки обновления микропрограммы Intel Management Engine
    (производитель оборудования должен обеспечить данную возможность - это либо обновления BIOS, либо ПО для интеграции обновлений).
    Для частичных проверок используйте: Intel-SA-00086 Detection Tool.
    Более подробно: https://www.intel.ru/content/www/ru/ru/support/articles/000025619/software.html

  8. Установить ОС (обязательно с включенным защитным преобразованием диска),
    и по возможности обеспечить невозможность физического доступа к жесткому диску, на котором установлена ОС 

При установке ОС

  1. Установить "взломостойкий" пароль на загрузчик Grub.

  2. Создать отдельные дисковые разделы  
    /

    Для всех перечисленных дисковых разделов рекомендуется
    РазделРекомендации по установке/настройке
    /С защитным преобразованием (при условии, что /boot размещен в отдельном дисковом разделе).
    Рекомендуется использовать файловую систему ext4.
    /bootБез защитного преобразования.
    Допускается использовать файловую систему ext2, ext3, ext4.
    /homeС защитным преобразованием.
    Рекомендуется использовать файловую систему ext4.
    Рекомендуется монтировать с опциями noexec,nodev,nosuid.
    /tmpС защитным преобразованием.
    Рекомендуется использовать файловую систему ext4.
    Рекомендуется монтировать с опциями noexec,nodev,nosuid.
    /var/tmp
    Информация
    С защитным преобразованием.
    Рекомендуется использовать файловую
    системы
    систему ext4.
    Рекомендуется монтировать с опциями noexec,nodev,nosuid.
    swapОпционально. С защитным преобразованием.


    Информация

    При выборе размера дисковых размеров разделов следует помнить, что при размере раздела /tmp менее 250МБ весьма вероятно возникновение ошибок при работе с графикой или с большими объёмами данных.


  3. Разделы /home /tmp /var/tmp рекомендуется монтировать с опциями noexec,nodev,nosuid

  4. В разделе "Дополнительные настройки ОС" включить:

      После установки ОС

        1. Использовать по умолчанию ядро hardened. При невозможности использования ядра hardened использовать модуль lkrg ядра generic (см. Инструменты командной строки astra-safepolicy);
        2. Включить блокировку консоли;
        3. Включить блокировку интерпретаторов;
        4. Включить межсетевой экран ufw;
        5. Включить системные ограничения ulimits;
        6. Отключить возможность трассировки ptrace;
        7. Запретить установку бита исполнения;
        8. Включить использование sudo с паролем;

      После установки ОС

      1. Установить единственным устройством для загрузки ОС жесткий диск, на который была произведена установка ОС;

      2. Установить "взломостойкий" пароль на загрузчик Grub. При использовании архитектур, отличных от Intel, установить пароль на загрузчик согласно документации;

      3. Использовать загрузку ядра HARDENED, и убрать из меню все другие варианты загрузки, включая режимы восстановления;

      4. Удалить модули ядра, ответственные за работу с Intel Management Engine (MEI). Инструкция по ссылке;Настроить монтирование раздела  /boot  с опциями  ro  (перед обновлением ядра перемонтировать в  rw ).

      5. Установить все доступные обновления безопасности ОС Astra Linux:

        Информация
        для ОС ОН Орёл обновления доступны по мере их выхода

        Для Astra Linux Common Edition обновления более не выпускаются. Последнее обновление доступно по ссылке: https://

        download

        dl.astralinux.ru/astra/

        current/orel/repository/

      6. Настроить загрузчик на загрузку ядра HARDENED, и убрать из меню все другие варианты загрузки, включая режимы восстановления.

      7. При использовании архитектур, отличных от Intel, установить пароль на загрузчик согласно документации.

      8. frozen/2.12_x86-64/2.12.46/.

        После установки ОС сразу настроена на работу с репозиторием, и при наличии  доступа в интернет, обновление можно выполнить командами:

        Информация
        sudo apt update && sudo apt upgrade


      9. Установить пакет управления функциями безопасности astra-safepolicy:

        Command
        sudo apt install astra-safepolicy


      10. Если каталог /boot расположен в отдельном дисковом разделе, то настроить монтирование этого раздела  с опциями  ro  (перед обновлением ядра такой раздел необходимо будут перемонтировать с опциями  rw Установить единственным устройством для загрузки ОС жесткий диск, на который была произведена установка ОС);

      11. Включить режим загрузки secureboot на своих ключах (создать usb-flash носитель с помощью astra-secureboot, и, далее, ключи импортировать в BIOS) в соответствии с инструкцией;

      12. Отключить доступ к консоли пользователям:

        Создать файл /etc/rc.local со следующим содержимым:

        Информация

        #!/bin/sh -e
        chown root:astra-console /dev/{pts,pts/*,ptmx,tty*}
        chmod g+rx /dev/{pts,pts/*,ptmx,tty*}
        chmod o-rx /dev/{pts,pts/*,ptmx,tty*}
        exit 0

        Добавить правило в файл /etc/security/access.conf командой:

        Command
        echo "-:ALL EXCEPT astra-console :LOCAL" >> /etc/security/access.conf

        Включить в /etc/pam.d/login обработку заданных правил командой

        Commandsed -i 's|.*account.*pam_access.*|account required pam_access.so|' /etc/pam.d/login

        , если он не был отключен при установке ОС. Если установлен пакет astra-safepolicy, то использовать команду:

        Command
        sudo astra-console-lock enable

        или использовать графическую конссоль fly-admin-smc.

        Для включения доступа к консоли администраторам необходимо добавить их в группу astra-console.;

      13. Включить блокировку интерпретаторов, если она не была включена при установке ОС. Если установлен пакет astra-safepolicy, то использовать команду:

        Command
        sudo astra-interpreters-lock enable

        или использовать графическую конссоль fly-admin-smc;


      14. По возможности, включить блокировку макросов с помощью инструмента командной строки astra-macros-lock:

        Command
        astra-macros-lock enable

        или использовать графическую конссоль fly-admin-smc;


      15. Включить блокировку трассировки ptrace

        Включить гарантированное удаление файлов и папок

        , если она не была включена при установке ОС:

        Command
        astra-ptrace-lock enable

        или использовать графическую конссоль fly-admin-smc;

      16. Включить, при наличии возможности, режим киоска для пользователя.;

      17. Работу с конфиденциальной информацией нужно проводить, используя защитное преобразование файлов.;

      18. Работу с конфиденциальной информацией в сети необходимо производить, используя защитное преобразование пакетов с помощью создания доверенной VPN сети
        (средства встроены в ОС).;

      19. Работу с конфиденциальной информацией при обмене почтой необходимо производить, используя защитные GPG-преобразования писем с помощью плагина для Thunderbird Enigmail
        Enigmail  (средства встроены в ОС);

      20. Установить "взломостойкие" пароли на все учетные записи в ОС.

        Информация
        titleP.S.

        "Взломостойкий" пароль - это пароль

        • Содержащий не менее 8 символов;
        • Не содержащий в себе никаких осмысленных слов (ни в каких раскладках);
        • Содержащий в себе буквы в различных регистрах, цифры и спецсимволы.


      21. Убедиться, что что модуль  pam_tally  настроен на блокировку учетных записей при попытках подбора паролей (настроено по умолчанию при установке ОС).;

      22. Настроить дисковые квоты в ОС
        Для этого установить пакет quota, настроить /etc/fstab, и использовать edquota для установки квот.с помощью графической консоли fly-admin-smc;

      23. Включить Настроить ограничения ОС (так называемые ulimits).
        Рекомендуемые настройки /etc/security/limits.conf:

        Информация

        #размер дампа ядра
        * hard core 0

        #максимальный размер создаваемого файла
        * hard fsize 50000000

        #блокировка форк-бомбы(большого количества процессов)
        * hard nproc 1000

        , если они не были включены при установке ОС:

        Command
        sudo astra-ulimits-control enable

        или использовать графическую конссоль fly-admin-smc;


      24. Отключить все неиспользуемые сервисы (в т.ч. сетевые) которые запускаются при старте ОС:

        Command
        systemdgenie


      25. Включить межсетевой экран ufw и настроить , если он не был включен при установке ОС.
        Настроить iptables в минимально необходимой конфигурации, необходимой для работы:
        по умолчанию все запрещено, кроме необходимых исключений

        Command
        • iptables
        • ufw
        • gufw


      26. Настроить параметры ядра в /etc/sysctl.conf:
        Отключить механизм SysRq, для чего использовать используя графический инструмент fly-admin-smc , или добавить соответствующие строки в файл с любым именем и расширением .conf в каталоге /etc/sysctl.conf добавить строку

        Информация
        kernel.sysrq = 0

        после чего перезагрузить ПК, и проверить, что установлено значение 0, командой:

        Command
        cat /proc/sys/kernel/sysrq

        Дополнительные рекомендуемые параметры ядра (также могут быть установлены или изменены с помощью графического инструмента fly-admin-smc):

        d:

        Информация

        fs.suid_dumpable=0
        kernel.randomize_va_space=2
        kernel.sysrq=0
        net.ipv4.ip_forward=0
        net.ipv4.conf.all.send_redirects=0
        net.ipv4.conf.default.send_redirects=0

        после внесения изменений перезагрузить компьютер, и убедиться, что все параметры сохранены правильно.
        Сделать проверку можно командой:

        Command
        sudo sysctl -a | more


      27. Заблокировать исполнение модулей python с расширенным функционалом:

        Command
        find /usr/lib/python* -type f -name "_ctype*" -exec sudo dpkg-statoverride --update --add root root 640 {} \;


      28. При возможности, использовать защитное преобразование домашних каталогов пользователей с помощью допустимых средств,
        или использовать хранение информации на сетевых дисках или на защищенных от несанкционированного доступа сменных носителях.

      29. По возможности, запретить пользователям подключение сменных носителей, к которым может быть осуществлён осуществлен любой несанкционированный доступ.:

        Command
        sudo astra-mount-lock

        или использовать графическую конссоль fly-admin-smc;

      30. Настроить систему аудита на сохранение логов на удаленной машине.
        Если возможно, использовать систему централизованного протоколирования.

      31. Установить и настроить службу fail2ban.

      32. Включить запрос пароля при выполнении команды sudo:

        Command
        sudo astra-sudo-control enable


        Информация

        Дополнительно, для того, чтобы пароль не запоминался для выполнения последующих команд и запрашивался для каждой команды, в файл /etc/sudoers добавить строку

        Информация
        Defaults timestamp_timeout=0


        Информация

        Для снижения риска нарушения нормальной работы компьютера в результате ошибок при изменении файла /etc/sudoers редактирование этого файла следует выполнять с помощью команды:

        Command
        sudo visudo


        Для предотвращения невозможности выполнения команд из-за накопления записей о неудачных вызовах при использовании sudo с паролем рекомендуется добавить строку в файл /etc/pam.d/sudo:

        Command

        account required pam_tally.so

        Итоговое содержание файла /etc/pam.d/sudo:

        Информация

        @include common-auth
        @include common-account
        @include common-session
        account required pam_tally.so


        См. также Запрос пароля для каждого вызова sudo