Методика безопасности, нейтрализующая угрозы эксплуатации уязвимостей загрузчика grub2

Вариант1: Обновление загрузчика grub2

В настоящей методике безопасности приведены следующие варианты нейтрализации угроз безопасности:

1. Обновление загрузчика grub2. Полностью устраняет обнаруженные уязвимости;
   
   
2. Контроль целостности при помощи АПМДЗ. Нейтрализует возможность эксплуатации существующих уязвимостей для пользователей, не являющихся администраторами АПМДЗ;
   
   
3. Переключение загрузочного раздела /boot в режим "только чтение" (read-only). Нейтрализует возможность эксплуатации существующих уязвимостей. При использовании этого варианта дополнительно необходимо обеспечить невозможности модификации данных средствами других ОС (например, модификации при помощи загрузки другой ОС с диска или подключаемого устройства). Вариант доступен только в случаях, если каталог /boot размещён на отдельном дисковом разделе. 
   
   
4. Установка высокого уровня целостности на файловую систему. Нейтрализует возможность эксплуатации существующих уязвимостей. При использовании этого варианта дополнительно необходимо обеспечить невозможности модификации данных средствами других ОС (например, модификации при помощи загрузки другой ОС с диска или подключаемого устройства).

Нейтрализовать возможность эксплуатации уязвимостей можно применив любой из указанных способов или применив их совместно в любом сочетании.

Обновление загрузчика grub2

1. Скачать архив по ссылке: ссылка;
   
   

2. Проверить соответствие контрольной суммы архива, выполнив команду:

   Command
   Title gostsum 20200807SE16MD.tar.gz
   3de1343e259d509ac056a33af140554664f3753c3341a1f91b7a0adac907f8ec 20200807se16md.tar.gz

   
   

   Подсказка

   Архив подписан усиленной квалифицированной электронной подписью АО подписью ООО "НПО РусБИТех" с использованием ключевого комплекта, выданного удостоверяющим центром Министерства Обороны Российской Федерации -Астра" (Скачать). Для проверки подписи необходимо добавить в локальное хранилище сертификаты головного удостоверяющего головного удостоверяющего центра и списки отозванных сертификатов, размещенные на сайтедоступные по ссылке: https://structurezgt.mil.ru/structure/UC/certificate.htmUdostoveryayushchij-centr/Kornevye-i-otozvannye-sertifikaty

   
   

3. Распаковать архив, выполнив команду:

   Command
   tar xzf 20200807se16md.tar.gz

   
   

4. Перейти в распакованный каталог :

   Command
   cd 20200807se16md

   
   

5. Если раздел /boot примонтирован в режиме "только чтение", то перемонтировать его в режиме разрешения записи;
   
   

6. Выполнить обновление установленных пакетов:

   Command
   sudo ./update.sh

   
   

Включение контроля целостности при помощи АПМДЗ

Использование контроля целостности при помощи АПМДЗ нейтрализует возможность эксплуатации существующих уязвимостей для пользователей, не являющихся администраторами АПМДЗ.

При возможности использовать АПМДЗ настроить контроль целостности средствами АПМДЗ в соответствии с документацией. Для АПМДЗ Максим-М1 рекомендации приведены в документе "Руководство администратора РУСБ.468266.003 И1" пункт 7.5 "Контроль целостности". Для АПМДЗ других производителей необходимая информация должна быть приведена в прилагаемой эксплуатационной документации. Минимальный набор контролируемых файлов:

1. Файл /boot/grub/grub.cfg
2. Образы ядра /boot/*vmlinuz*
3. Файл /boot/efi/EFI/astralinuxse/grubx64.efi
4. Загрузчик /boot/efi/EFI/Boot/bootx64.efi

При корректном применении настроек, доступ к операционной системе при изменении файла grub.cfg будет только у администратора АПМДЗ.

Переключение загрузочного раздела /boot в режим "только чтение" (read-only)

Переключение загрузочного раздела /boot в режим "только чтение" (read-only) нейтрализует возможность эксплуатации существующих уязвимостей.

Предупреждение
При использовании этого варианта дополнительно необходимо обеспечить невозможности модификации данных средствами других ОС (например, модификации при помощи загрузки другой ОС с диска или подключаемого устройства)

. Данный вариант доступен только в случаях, если каталог /boot размещён на отдельном дисковом разделе.

Для перевода раздела В случае размещения каталога /boot отдельном дисковом разделе, его рекомендуется перевести в режим "только чтение" (read-only) , для чего отредактировать конфигурационный файл /etc/fstab добавив опцию монтирования ro:

Блок кода
title /etc/fstab
UUID=8ea2a0d4-611f-4614-a41c-34d24c69eea6 /boot ext4 ro,noatime,nodiratime 0 2

После перезагрузки или перемонтирования дискового раздела файловая система в каталоге /boot будет доступна только для чтения.

Установка высокого уровня целостности на файловую систему.

Одной из рекомендаций для затруднения получения доступа к файлам загрузчика, является установка мандатного контроля Установка высокого уровня целостности на файловую систему . нейтрализует возможность эксплуатации существующих уязвимостей.

Для установки высокого уровня целостности на файловую систему Для установки выполнить команду:

Или воспользоваться графической утилитой "Политика безопасности":

1. Выбрать раздел Мандатный контроль целостности → Режим эксперта;
2. Выставить чек-бокс "Целостность файловой системы - Включено":
   
3. После установки мандатного контроля целостности  выполнить перезагрузку системы.

Контроль целостности при помощи АПМДЗ

Настроить контроль целостности в соответствии с документацией "Руководство администратора РУСБ.468266.003 И1" пункт 7.5 "Контроль целостности". В операционной системе поставить необходимые файлы на контроль в соответствии с пунктом 8.1 "Контроль целостности файлов". В частности необходимые файлы:

1. Файл /boot/grub/grub.cfg
2. Образы ядра /boot/*vmlinuz*
3. Файл /boot/efi/EFI/astralinuxse/grubx64.efi
4. Загрузчик /boot/efi/EFI/Boot/bootx64.efi

1. целостности на файловую систему выполнить перезагрузку системы.