История страницы

...

1. Установить единственным устройством для загрузки ОС жесткий диск, на который была произведена установка ОС;
   
   

2. Установить "взломостойкий" пароль на загрузчик Grub. При использовании архитектур, отличных от Intel, установить пароль на загрузчик согласно документации.;
   
   

3. Использовать загрузку ядра HARDENED, и убрать из меню все другие варианты загрузки, включая режимы восстановления.;
   
   
4. Удалить модули ядра, ответственные за работу с Intel Management Engine (MEI). Инструкция по ссылке.;
   
   

5. Установить все доступные обновления безопасности ОС Astra Linux:

   Информация
   для ОС ОН Орёл обновления доступны по мере их выхода: https://download.astralinux.ru/astra/current/orel/repository/

   После установки ОС сразу настроена на работу с репозиторием, и при наличии  доступа в интернет, обновление можно выполнить командами:

   Информация
   sudo apt update && sudo apt upgrade

   
   

6. Настроить монтирование раздела  /boot  с опциями  ro  (перед обновлением ядра перемонтировать в  rw ).
   
   
7. Включить режим загрузки secureboot на своих ключах (создать usb-flash носитель с помощью astra-secureboot, и, далее, ключи импортировать в BIOS) в соответствии с инструкцией
   
   

8. Отключить доступ к консоли пользователям, если он не был отключен при установке ОС:

   Создать файл /etc/rc.local со следующим содержимым:

   Информация
   #!/bin/sh -e chown root:astra-console /dev/{pts,pts/*,ptmx,tty*} chmod g+rx /dev/{pts,pts/*,ptmx,tty*} chmod o-rx /dev/{pts,pts/*,ptmx,tty*} exit 0

   Добавить правило в файл /etc/security/access.conf командой:

   Command
   echo "-:ALL EXCEPT astra-console :LOCAL" >> /etc/security/access.conf

   Включить в /etc/pam.d/login обработку заданных правил командой

   Commandsed -i 's|.*account.*pam_access.*|account required pam_access.so|' /etc/pam.d/login

   . Если установлен пакет astra-safepolicy, то использовать команду:

   Command
   sudo astra-console-lock enable

   или использовать графическую конссоль fly-admin-smc.

   Для включения доступа к консоли администраторам необходимо добавить их в группу astra-console.;
   
   

9. Включить блокировку интерпретаторов, если она не была включена при установке ОС. Если установлен пакет astra-safepolicy, то использовать команду:

   Command
   sudo astra-interpreters-lock enable

   или использовать графическую конссоль fly-admin-smc;

   
   

10. По возможности, включить блокировку макросов с помощью инструмента командной строки astra-macros-lock:

    Command
    astra-macros-lock enable

    или использовать графическую конссоль fly-admin-smc;

    
    

11. Включить блокировку трассировки ptrace, если она не была включена при установке ОС

    
    Включить гарантированное удаление файлов и папок

    :

    Command
    astra-ptrace-lock enable

    или использовать графическую конссоль fly-admin-smc;
    
    

12. Включить, при наличии возможности, режим киоска для пользователя.;
    
    
13. Работу с конфиденциальной информацией нужно проводить, используя защитное преобразование файлов.;
    
    
14. Работу с конфиденциальной информацией в сети необходимо производить, используя защитное преобразование пакетов с помощью создания доверенной VPN сети
    (средства встроены в ОС).;
    
    
15. Работу с конфиденциальной информацией при обмене почтой необходимо производить, используя защитные GPG-преобразования писем с помощью плагина для Thunderbird Enigmail
    Enigmail  (средства встроены в ОС);
    
    

16. Установить "взломостойкие" пароли на все учетные записи в ОС.

    Информация
    title P.S.
    "Взломостойкий" пароль - это пароль Содержащий не менее 8 символов; Не содержащий в себе никаких осмысленных слов (ни в каких раскладках); Содержащий в себе буквы в различных регистрах, цифры и спецсимволы.

    
    

17. Убедиться, что что модуль  pam_tally  настроен на блокировку учетных записей при попытках подбора паролей (настроено по умолчанию при установке ОС).;
    
    
18. Настроить дисковые квоты в ОС
    Для этого установить пакет quota, настроить /etc/fstab, и использовать edquota для установки квот.с помощью графической консоли fly-admin-smc;
    
    

19. Включить ограничения ОС (так называемые ulimits), если они не были включены при установке ОС.
    Настроить ограничения ОС.
    Рекомендуемые настройки /etc/security/limits.conf:

    Информация

    #размер дампа ядра
    * hard core 0

    #максимальный размер создаваемого файла
    * hard fsize 50000000

    Command
    sudo astra-ulimits-control enable

    или использовать графическую конссоль fly-admin-smc;

    #блокировка форк-бомбы(большого количества процессов)
    * hard nproc 1000

    
    

20. Отключить все неиспользуемые сервисы (в т.ч. сетевые) которые запускаются при старте ОС:

    Command
    systemdgenie

    
    

21. Включить межсетевой экран ufw, если он не был включен при установке ОС.
    Настроить iptables в минимально необходимой конфигурации, необходимой для работы: по умолчанию все запрещено, кроме необходимых исключений
    

    Command
    iptables ufw gufw

    
    

22. Настроить параметры ядра в /etc/sysctl.conf (можно использовать графический инструмент fly-admin-smc или добавить соответствующие строки в файл /etc/sysctl.conf:

    Информация
    fs.suid_dumpable=0 kernel.randomize_va_space=2 kernel.sysrq=0 net.ipv4.ip_forward=0 net.ipv4.conf.all.send_redirects=0 net.ipv4.conf.default.send_redirects=0

    после внесения изменений перезагрузить компьютер, и убедиться, что все параметры сохранены правильно.
    Сделать проверку можно командой:

    Command
    sudo sysctl -a | more

    
    

23. Заблокировать исполнение модулей python с расширенным функционалом:

    Command
    find /usr/lib/python* -type f -name "_ctype*" -exec sudo dpkg-statoverride --update --add root root 640 {} \;

    
    

24. При возможности, использовать защитное преобразование домашних каталогов пользователей с помощью допустимых средств,
    или использовать хранение информации на сетевых дисках или на защищенных от несанкционированного доступа сменных носителях.
    
    

25. По возможности, запретить пользователям подключение сменных носителей, к которым может быть осуществлён осуществлен любой несанкционированный доступ.:

    Command
    sudo astra-mount-lock

    или использовать графическую конссоль fly-admin-smc;
    
    

26. Настроить систему аудита на сохранение логов на удаленной машине.
    Если возможно, использовать систему централизованного протоколирования.
    
    
27. Установить и настроить службу fail2ban.
    
    

28. Включить запрос пароля при каждом выполнении команды sudo

    , для чего внести следующие изменения в файл /etc/sudoers:

    Для того, чтобы для выполнения первой команды sudo требовалось ввести пароль:
    удалить "NOPASSWD:" из строки:

    Информация
    %astra-admin ALL=(ALL:ALL) NOPASSWD: ALL

    Для того, чтобы пароль не запоминался для выполнения последующих команд и запрашивался для каждой команды:
    добавить строку

    ИнформацияDefaults timestamp_timeout=0

    :
    

    Command
    sudo astra-sudo-control enable