Содержание

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения

"

Astra Linux Special Edition

" (версия

РУСБ.10015-01 (очередное обновление 1.6)  в информационных системах.

Table of Contents

AnchorCommon20200807SE16MDCommon20200807SE16MDОбщий порядок применения методики


Info

Методические указания не являются кумулятивными. При выполнении методических указаний другие виды обновлений автоматически не применяются и должны быть установлены отдельно.


Методика безопасности, нейтрализующая угрозы эксплуатации уязвимостей загрузчика grub2

Warning
titleВнимание
Применение
методики
методических указаний необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.
На время выполнения действий по применению
методики
методических указаний необходимо снять запрет на установку бита исполнения в политиках безопасности.
Warning
titleВнимание
Если на момент применения настоящей методики в системе не был установлен пакет samba, то методика должна быть применена повторно после установки пакета samba

В настоящей методике безопасности приведены следующие варианты нейтрализации угроз безопасности:

  1. Обновление загрузчика grub2. Полностью устраняет обнаруженные уязвимости;

  2. Контроль целостности при помощи АПМДЗ. Нейтрализует возможность эксплуатации существующих уязвимостей для пользователей, не являющихся администраторами АПМДЗ;

  3. Переключение загрузочного раздела /boot в режим "только чтение" (read-only). Нейтрализует возможность эксплуатации существующих уязвимостей. При использовании этого варианта дополнительно необходимо обеспечить невозможности модификации данных средствами других ОС (например, модификации при помощи загрузки другой ОС с диска или подключаемого устройства). Вариант доступен только в случаях, если каталог /boot размещён на отдельном дисковом разделе. 

  4. Установка высокого уровня целостности на файловую систему. Нейтрализует возможность эксплуатации существующих уязвимостей. При использовании этого варианта дополнительно необходимо обеспечить невозможности модификации данных средствами других ОС (например, модификации при помощи загрузки другой ОС с диска или подключаемого устройства).

Нейтрализовать возможность эксплуатации уязвимостей можно применив любой из указанных способов или применив их совместно в любом сочетании.


Warning
При использовании способов 3 "Переключение загрузочного раздела /boot в режим "только чтение" (read-only)" и 4 "Установка высокого уровня целостности на файловую систему" дополнительно необходимо обеспечить невозможности модификации данных средствами других ОС (например, модификации при помощи загрузки другой ОС с диска или подключаемого устройства).

Обновление загрузчика grub2

Обновление загрузчика grub2 полностью устраняет обнаруженные уязвимости.
  1. Скачать архив по ссылке: ссылка;

  2. Проверить соответствие контрольной суммы архива, выполнив команду:

    Command
    Title gostsum 20200807SE16MD.tar.gz

    3de1343e259d509ac056a33af140554664f3753c3341a1f91b7a0adac907f8ec 20200807se16md.tar.gz


    Tip
    Архив подписан усиленной квалифицированной электронной
подписью АО
  1. подписью ООО "
НПО
  1. РусБИТех
" с использованием ключевого комплекта, выданного удостоверяющим центром Министерства Обороны Российской Федерации
  1. -Астра" (Скачать). Для проверки подписи необходимо добавить в локальное хранилище сертификаты
головного удостоверяющего
  1. головного удостоверяющего центра и списки отозванных сертификатов,
размещенные на сайте
  1. доступные по ссылке: https://
structurestructure/UC/certificate.htm
  1. Udostoveryayushchij-centr/Kornevye-i-otozvannye-sertifikaty


  2. Распаковать архив, выполнив команду:

    Command
    tar xzf
fly-wm-se16
  1. 20200807se16md.tar.gz


  2. Перейти в распакованный каталог :

    Command
cd 
  1. cd 20200807se16md


  2. Если раздел /boot примонтирован в режиме "только чтение", то перемонтировать его в режиме разрешения записи;

  3. Выполнить обновление установленных пакетов:

    Command

    sudo ./update.sh

Методика безопасности, устраняющая ошибки авторизации Kerberos сервера печати в домене Windows AD

После установки пакета samba и вполнения действий, указанных в части "Общий порядок применения методики" выполнить команды:

Command

sudo rm /usr/lib/cups/backend/smb
sudo ln -s /usr/lib/x86_64-linux-gnu/samba/smbspool_krb5_wrapper /usr/lib/cups/backend/smb

Методика безопасности, нейтрализующая угрозы эксплуатации загрузчика grub2


После выполнения действий, указанных в части "Общий порядок применения методики" перезагрузить компьютер

Включение контроля целостности при помощи АПМДЗ

Использование контроля целостности при помощи АПМДЗ нейтрализует возможность эксплуатации существующих уязвимостей для пользователей, не являющихся администраторами АПМДЗ.

При возможности использовать АПМДЗ настроить контроль целостности средствами АПМДЗ в соответствии с документацией. Для АПМДЗ Максим-М1 рекомендации приведены в документе "Руководство администратора РУСБ.468266.003 И1" пункт 7.5 "Контроль целостности". Для АПМДЗ других производителей необходимая информация должна быть приведена в прилагаемой эксплуатационной документации. Минимальный набор контролируемых файлов:

  1. Файл /boot/grub/grub.cfg
  2. Образы ядра /boot/*vmlinuz*
  3. Файл /boot/efi/EFI/astralinuxse/grubx64.efi
  4. Загрузчик /boot/efi/EFI/Boot/bootx64.efi

При корректном применении настроек, доступ к операционной системе при изменении файла grub.cfg будет только у администратора АПМДЗ.

Переключение загрузочного раздела /boot в режим "только чтение" (read-only)

Переключение загрузочного раздела /boot в режим "только чтение" (read-only) нейтрализует возможность эксплуатации существующих уязвимостей.

Warning
При использовании этого варианта дополнительно необходимо обеспечить невозможности модификации данных средствами других ОС (например, модификации при помощи загрузки другой ОС с диска или подключаемого устройства).
Данный вариант доступен только в случаях, если каталог /boot размещён на отдельном дисковом разделе. 

Для перевода раздела в режим "только чтение" (read-only) отредактировать конфигурационный файл /etc/fstab добавив опцию монтирования ro:

Code Block
title/etc/fstab
UUID=8ea2a0d4-611f-4614-a41c-34d24c69eea6	/boot	ext4	ro,noatime,nodiratime	0	2

После перезагрузки или перемонтирования дискового раздела файловая система в каталоге /boot будет доступна только для чтения.

Установка высокого уровня целостности на файловую систему.

Установка высокого уровня целостности на файловую систему нейтрализует возможность эксплуатации существующих уязвимостей.

Warning
При использовании этого варианта дополнительно необходимо обеспечить невозможности модификации данных средствами других ОС (например, модификации при помощи загрузки другой ОС с диска или подключаемого устройства).


Для установки высокого уровня целостности на файловую систему выполнить команду:

Command

sudo set-fs-ilev

Или воспользоваться графической утилитой "Политика безопасности":

  1. Выбрать раздел Мандатный контроль целостности → Режим эксперта;
  2. Выставить чек-бокс "Целостность файловой системы - Включено":
    Image Added
  3. После установки мандатного контроля целостности на файловую систему выполнить перезагрузку системы.

Список нейтрализованных угроз безопасности

  • grub2

CVE-2020-10713 CVE-2020-14308 CVE-2020-14309 CVE-2020-14310 CVE-2020-14311 CVE-2020-15706 CVE-2020-15707

Info
Методические указания не являются кумулятивными обновлениями безопасности. При выполнении методических указаний автоматическая установка обновлений безопасности не осуществляется, и обновления безопасности должны быть установлены отдельно.
Warning
titleВнимание
Обновление и изменение конфигурации пакетов необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности. При необходимости установки пакетов на время установки обновления необходимо снять запрет на установку бита исполнения в политиках безопасности.