...
- Установить единственным устройством для загрузки ОС жесткий диск, на который была произведена установка ОС;
Установить "взломостойкий" пароль на загрузчик Grub. При использовании архитектур, отличных от Intel, установить пароль на загрузчик согласно документации.;
- Использовать загрузку ядра HARDENED, и убрать из меню все другие варианты загрузки, включая режимы восстановления.;
- Удалить модули ядра, ответственные за работу с Intel Management Engine (MEI). Инструкция по ссылке.;
Установить все доступные обновления безопасности ОС Astra Linux:
Информация для ОС ОН Орёл обновления доступны по мере их выхода: https://download.astralinux.ru/astra/current/orel/repository/ После установки ОС сразу настроена на работу с репозиторием, и при наличии доступа в интернет, обновление можно выполнить командами:
Информация sudo apt update && sudo apt upgrade - Настроить монтирование раздела
/boot
с опциямиro
(перед обновлением ядра перемонтировать вrw
). - Включить режим загрузки secureboot на своих ключах (создать usb-flash носитель с помощью astra-secureboot, и, далее, ключи импортировать в BIOS) в соответствии с инструкцией
Отключить доступ к консоли пользователям, если он не был отключен при установке ОС:
Создать файл /etc/rc.local со следующим содержимым:
Информация #!/bin/sh -e
chown root:astra-console /dev/{pts,pts/*,ptmx,tty*}
chmod g+rx /dev/{pts,pts/*,ptmx,tty*}
chmod o-rx /dev/{pts,pts/*,ptmx,tty*}
exit 0Добавить правило в файл /etc/security/access.conf командой:
Command echo "-:ALL EXCEPT astra-console :LOCAL" >> /etc/security/access.conf Включить в /etc/pam.d/login обработку заданных правил командой
sed -i 's|.*account.*pam_access.*|account required pam_access.so|' /etc/pam.d/loginCommand . Если установлен пакет astra-safepolicy, то использовать команду:
Command sudo astra-console-lock enable или использовать графическую конссоль fly-admin-smc.
Для включения доступа к консоли администраторам необходимо добавить их в группу astra-console.;
Включить блокировку интерпретаторов, если она не была включена при установке ОС. Если установлен пакет astra-safepolicy, то использовать команду:
Command sudo astra-interpreters-lock enable или использовать графическую конссоль fly-admin-smc;
По возможности, включить блокировку макросов с помощью инструмента командной строки astra-macros-lock:
Command astra-macros-lock enable или использовать графическую конссоль fly-admin-smc;
Включить блокировку трассировки ptrace, если она не была включена при установке ОС
Включить гарантированное удаление файлов и папок:
Command astra-ptrace-lock enable или использовать графическую конссоль fly-admin-smc;
- Включить, при наличии возможности, режим киоска для пользователя.;
- Работу с конфиденциальной информацией нужно проводить, используя защитное преобразование файлов.;
- Работу с конфиденциальной информацией в сети необходимо производить, используя защитное преобразование пакетов с помощью создания доверенной VPN сети
(средства встроены в ОС).; - Работу с конфиденциальной информацией при обмене почтой необходимо производить, используя защитные GPG-преобразования писем с помощью плагина для Thunderbird Enigmail
Enigmail (средства встроены в ОС); Установить "взломостойкие" пароли на все учетные записи в ОС.
Информация title P.S. "Взломостойкий" пароль - это пароль
- Содержащий не менее 8 символов;
- Не содержащий в себе никаких осмысленных слов (ни в каких раскладках);
- Содержащий в себе буквы в различных регистрах, цифры и спецсимволы.
- Убедиться, что что модуль
pam_tally
настроен на блокировку учетных записей при попытках подбора паролей (настроено по умолчанию при установке ОС).; - Настроить дисковые квоты в ОС
Для этого установить пакетquota,
настроить /etc/fstab, и использоватьedquota
для установки квот.с помощью графической консоли fly-admin-smc; Включить ограничения ОС (так называемые ulimits), если они не были включены при установке ОС.
Настроить ограничения ОС.
Рекомендуемые настройки /etc/security/limits.conf:Информация #размер дампа ядра
* hard core 0#максимальный размер создаваемого файла
* hard fsize 50000000Command sudo astra-ulimits-control enable или использовать графическую конссоль fly-admin-smc;
#блокировка форк-бомбы(большого количества процессов)
* hard nproc 1000Отключить все неиспользуемые сервисы (в т.ч. сетевые) которые запускаются при старте ОС:
Command systemdgenie
Включить межсетевой экран ufw, если он не был включен при установке ОС.
Настроить iptables в минимально необходимой конфигурации, необходимой для работы: по умолчанию все запрещено, кроме необходимых исключенийCommand iptables
ufw
gufw
Настроить параметры ядра в /etc/sysctl.conf (можно использовать графический инструмент fly-admin-smc или добавить соответствующие строки в файл /etc/sysctl.conf:
Информация fs.suid_dumpable=0
kernel.randomize_va_space=2
kernel.sysrq=0
net.ipv4.ip_forward=0
net.ipv4.conf.all.send_redirects=0
net.ipv4.conf.default.send_redirects=0после внесения изменений перезагрузить компьютер, и убедиться, что все параметры сохранены правильно.
Сделать проверку можно командой:Command sudo sysctl -a | more Заблокировать исполнение модулей python с расширенным функционалом:
Command find /usr/lib/python* -type f -name "_ctype*" -exec sudo dpkg-statoverride --update --add root root 640 {} \; При возможности, использовать защитное преобразование домашних каталогов пользователей с помощью допустимых средств,
или использовать хранение информации на сетевых дисках или на защищенных от несанкционированного доступа сменных носителях.По возможности, запретить пользователям подключение сменных носителей, к которым может быть осуществлён осуществлен любой несанкционированный доступ.:
Command sudo astra-mount-lock или использовать графическую конссоль fly-admin-smc;
- Настроить систему аудита на сохранение логов на удаленной машине.
Если возможно, использовать систему централизованного протоколирования. - Установить и настроить службу fail2ban.
Включить запрос пароля при каждом выполнении команды sudo
, для чего внести следующие изменения в файл /etc/sudoers:Для того, чтобы для выполнения первой команды sudo требовалось ввести пароль:
удалить "NOPASSWD:" из строки:Информация %astra-admin ALL=(ALL:ALL) NOPASSWD:ALLДля того, чтобы пароль не запоминался для выполнения последующих команд и запрашивался для каждой команды:
добавить строку Defaults timestamp_timeout=0Информация :
Command sudo astra-sudo-control enable