• Запускать программное обеспечение (ПО) в изолированной программной среде с применением инструмента Firejail;

  Информация
  Изоляция приложений с использованием инструмента Firejail описана в документе РУСБ.10152-02 97 01-1 «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1».

  
  

• По возможности запускать прикладное ПО в отдельной сессии. Для этого в графическом интерфейсе выбрать Пуск — Завершение работы — Новый вход.  После чего выбрать тип сессии: Отдельный или В окне (см. рис. ниже);

• Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями. По возможности активировать режим Киоск-2, подробнее - см. Системный Киоск: пакет parsec-kiosk2 (ограничения пользователя);

• Для непривилегированных пользователей активировать блокировку интерпретаторов, в том числе, если возможно —  интерпретатора bash;

  Информация
  Блокировка интерпретатора bash может ограничить функционал некоторых программ и служб, не очевидным образом использующих bash, что приведет к нарушению штатной работы ОС.

  
  

  Предупреждение
  После блокировки интерпретатора bash консольный вход пользователей с оболочкой bash будет невозможен.

  
  

  панель
  title В графической утилите «Управление политикой безопасности»
  Блокировку интерпретаторов можно включить используя графическую утилиту fly-admin-smc. Для этого: через графический интерфейс запустить утилиту (необходимы права администратора): Пуск — Панель управления — Безопасность — Политика безопасности; на боковой панели навигации выбрать пункт Настройки безопасности — Политика консоли и интерпретаторов и на рабочей панели установить следующие флаги: Включить блокировку интерпретатора Bash для пользователей; Включить блокировку интерпретаторов кроме Bash для пользователей; применить изменения — нажать комбинацию клавиш <Ctrl+S>.

  
  

  панель
  title Без использования графического интерфейса
  панель Для блокировки интерпретаторов (кроме интерпретатора bash) необходимо выполнить в терминале команду: Command sudo astra-interpreters-lock enable Для того чтобы проверить состояние блокировки интерпретаторов, необходимо в терминале выполнить команду: Command sudo astra-interpreters-lock status Если блокировка включена, то результатом выполнения команды будет вывод сообщения: Блок кода АКТИВНО панель Для блокировки интерпретатора bash необходимо выполнить в терминале команду: Command sudo astra-bash-lock enable Для того чтобы проверить состояние блокировки интерпретатора bash, необходимо в терминале выполнить команду: Command sudo astra-bash-lock status Если блокировка включена, то результатом выполнения команды будет вывод сообщения: Блок кода АКТИВНО

  
  

• Для уровней защищенности «Усиленный» и «Максимальный» включить (если были ранее выключены) следующие функции подсистемы безопасности:
  • Мандатный контроль целостности (МКЦ);
  • Замкнутая программная среда (ЗПС);

  
  

  панель
  title В графической утилите «Управление политикой безопасности»
  Функции подсистемы безопасности можно включить используя графическую утилиту fly-admin-smc. Для этого: через графический интерфейс запустить утилиту (необходимы права  суперпользователя с высоким уровнем целостности): Пуск — Панель управления — Безопасность — Политика безопасности; на боковой панели навигации выбрать пункт Мандатный контроль целостности и на рабочей панели установить флаг Подсистема Мандатного Контроля Целостности; на боковой панели навигации выбрать пункт Замкнутая программная среда и во вкладке Настройки на переключателе Контроль исполняемых файлов выбрать значение Включить; применить изменения — нажать комбинацию клавиш <Ctrl+S>. Примечание После включения МКЦ и ЗПС необходимо перезагрузить ОС.

  
  

  панель
  title Без использования графического интерфейса
  панель Для включения функции подсистемы безопасности МКЦ необходимо выполнить в терминале команду: Command sudo astra-mic-control enable Примечание После включения МКЦ необходимо перезагрузить ОС. Для того чтобы проверить состояние функции подсистемы безопасности МКЦ, необходимо в терминале выполнить команду: Command sudo astra-mic-control status Если функция подсистемы безопасности МКЦ включена, то результатом выполнения команды будет вывод сообщения: Блок кода АКТИВНО панель Для включения функции подсистемы безопасности ЗПС необходимо выполнить в терминале команду: Command sudo astra-digsig-control enable Примечание После включения ЗПС необходимо перезагрузить ОС. Для того чтобы проверить состояние функции подсистемы безопасности ЗПС, необходимо в терминале выполнить команду: Command sudo astra-digsig-control status Если функция подсистемы безопасности ЗПС включена, то результатом выполнения команды будет вывод сообщения: Блок кода АКТИВНО

  
  

• Для уровней защищенности «Усиленный» и «Максимальный» — запускать прикладное ПО только в сессиях с низким или промежуточным (отличном от максимального) уровнем целостности (предварительно должен быть включен МКЦ):

  • при графическом входе в систему указать уровень целостности в диалоговом окне, которое появляется после успешного ввода аутентификационных параметров;

  • при консольном входе в систему дополнительных действий не требуется;

• Для уровней защищенности «Усиленный» и «Максимальный» активировать режим запуска программных сервисов apache2 и exim4 на первом уровне целостности (предварительно должен быть включен МКЦ). Для этого необходимо выполнить в терминале команду:

  Command
  sudo astra-ilev1-control enable

  Для того чтобы проверить состояние режима запуска сервисов apache2 и exim4, необходимо в терминале выполнить команду:

  Command
  sudo astra-ilev1-control status

  Если режим запуска сервисов apache2 и exim на первом уровне целостности активирован, то результатом выполнения команды будет вывод сообщения:

  Блок кода
  АКТИВНО

  
  

• CVE-2017-6519.

добавить правило, выполнив в терминале команду, например такого вида:

добавить правило, выполнив в терминале следующую команду:

• CVE-2021-23954;
• CVE-2021-23958;
• CVE-2021-23960;
• CVE-2021-23994;
• CVE-2021-23995;
• CVE-2021-23997;
• CVE-2021-29952;
• CVE-2021-29970;

• CVE-2021-30547.

В процессе эксплуатации ОС вместо ПО firefox рекомендуется использовать ПО chromium.

Методика безопасности, нейтрализующая угрозу эксплуатации CVE-2021-23958

Для нейтрализации угрозы эксплуатации уязвимости необходимо отключить компонент WebRTC (если он включен), для этого:

• запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Firefox;
• в адресную строку ввести "about:config" и нажать клавишу <Enter>;
• на открывшейся странице с предупреждением нажать на кнопку [Accept the Risk and Continue] (Принять риск и продолжить);
• на открывшейся странице Расширенные настройки в поле поиска ввести следующее наименование параметра: "media.peerconnection.enabled";
• в появившейся строке с параметром установить значение false, нажав на кнопку [Переключить] (см. рисунок ниже);

• перезапустить веб-браузер Firefox.

Методика безопасности, нейтрализующая угрозу эксплуатации CVE-2021-23954 и CVE-2021-23960

Для нейтрализации угрозы эксплуатации уязвимости необходимо отключить компонент JavaScript (если он включен), для этого:

• запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Firefox;
• в адресную строку ввести "about:config" и нажать клавишу <Enter>;
• на открывшейся странице с предупреждением нажать на кнопку [Accept the Risk and Continue] (Принять риск и продолжить);
• на открывшейся странице Расширенные настройки в поле поиска ввести следующее наименование параметра: "javascript.enabled";
• в появившейся строке с параметром установить значение false, нажав на кнопку [Переключить];
• перезапустить веб-браузер Firefox.

Методика безопасности, нейтрализующая угрозу эксплуатации CVE-2021-23994

Для нейтрализации угрозы эксплуатации уязвимости необходимо отключить компонент WebGL (если он включен), для этого:

• запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Firefox;
• в адресную строку ввести "about:config" и нажать клавишу <Enter>;
• на открывшейся странице с предупреждением нажать на кнопку [Accept the Risk and Continue] (Принять риск и продолжить);
• на открывшейся странице Расширенные настройки в поле поиска ввести следующее наименование параметра: "webgl.disabled";
• в появившейся строке с параметром установить значение true, нажав на кнопку [Переключить];
• перезапустить веб-браузер Firefox.

Методика безопасности, нейтрализующая угрозу эксплуатации CVE-2021-23995

Для нейтрализации угрозы эксплуатации уязвимости необходимо отключить режим адаптивного дизайна (если он активен), для этого:

• запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Firefox;
• в адресную строку ввести "about:config" и нажать клавишу <Enter>;
• на открывшейся странице с предупреждением нажать на кнопку [Accept the Risk and Continue] (Принять риск и продолжить);
• на открывшейся странице Расширенные настройки в поле поиска ввести следующее наименование параметра: "devtools.policy.disabled";
• в появившейся строке с параметром установить значение true, нажав на кнопку [Переключить];
• перезапустить веб-браузер Firefox.

Методика безопасности, нейтрализующая угрозу эксплуатации CVE-2021-23997

Для нейтрализации угрозы эксплуатации уязвимости необходимо отключить функцию кэширования страниц, для этого:

1. запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Firefox;
2. в адресную строку ввести "about:config" и нажать клавишу <Enter>;
3. на открывшейся странице с предупреждением нажать на кнопку [Accept the Risk and Continue] (Принять риск и продолжить);
4. на открывшейся странице Расширенные настройки в поле поиска ввести следующее наименование параметра: "browser.cache.offline.enable";
5. в появившейся строке с параметром установить значение false, нажав на кнопку [Переключить];
6. повторить шаги 4 и 5 для следующих параметров:
   • browser.cache.disk.enable;
   • browser.cache.disk_cache_ssl;
   • browser.cache.memory.enable;
7. на странице Расширенные настройки в поле поиска ввести следующее наименование параметра: "network.http.use-cache";
8. в появившейся строке с параметром нажать на кнопку [+], а затем установить значение false, нажав на кнопку [Переключить];
9. перезапустить веб-браузер Firefox.

Методика безопасности, нейтрализующая угрозу эксплуатации CVE-2021-29952

Для нейтрализации угрозы эксплуатации уязвимости необходимо отключить компонент WebRender (если он включен), для этого:

• запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Firefox;
• в адресную строку ввести "about:config" и нажать клавишу <Enter>;
• на открывшейся странице с предупреждением нажать на кнопку [Accept the Risk and Continue] (Принять риск и продолжить);
• на открывшейся странице Расширенные настройки в поле поиска ввести следующее наименование параметра: "gfx.webrender.all";
• в появившейся строке с параметром установить значение false, нажав на кнопку [Переключить];
• перезапустить веб-браузер Firefox.

Методика безопасности, нейтрализующая угрозу эксплуатации CVE-2021-29970

Для нейтрализации угрозы эксплуатации уязвимости необходимо отключить функцию специальные возможности (Accessibility features), для этого:

• запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Firefox;
• в адресную строку ввести "about:config" и нажать клавишу <Enter>;
• на открывшейся странице с предупреждением нажать на кнопку [Accept the Risk and Continue] (Принять риск и продолжить);
• на открывшейся странице Расширенные настройки в поле поиска ввести следующее наименование параметра: "accessibility.force_disabled";
• в появившейся строке с параметром нажать на кнопку [Изменить] и в текстовом поле ввести цифру "1";
• в строке с параметром нажать на кнопку [Сохранить];
• перезапустить веб-браузер Firefox.

Методика безопасности, нейтрализующая угрозу эксплуатации CVE-2021-30547

Для нейтрализации угрозы эксплуатации уязвимости необходимо отключить модуль ANGLE (если он включен), для этого:

• запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Firefox;
• в адресную строку ввести "about:config" и нажать клавишу <Enter>;
• на открывшейся странице с предупреждением нажать на кнопку [Accept the Risk and Continue] (Принять риск и продолжить);
• на открывшейся странице Расширенные настройки в поле поиска ввести следующее наименование параметра: "webgl.disable-angle";
• в появившейся строке с параметром установить значение true, нажав на кнопку [Переключить];
• перезапустить веб-браузер Firefox.

• CVE-2021-23961.

В процессе эксплуатации ОС вместо ПО firefox рекомендуется использовать ПО chromiun.

добавить правила, выполнив в терминале команды, например такого вида:

добавить правила, выполнив в терминале следующие команды:

• CVE-2019-25013.

Для того чтобы просмотреть установленные локали, необходимо в терминале выполнить команду:

Результатом выполнения команды будет вывод строк с поддерживаемыми кодировками. Если в ОС поддерживается корейская кодировка EUC-KR, то в терминале среди прочих отобразится строка следующего вида:

ko_KR.euckr

Для удаления локалей используется утилита localepurge. Для её установки необходимо в терминале выполнить команду:

Во время установки утилиты во вкладке Файлы локалей, которые нужно оставить в системе, необходимо снять флаг ko_KR.EUC-KR (см. рисунок ниже).

• CVE-2018-15607.

<policy domain="resource" name="width" value="10KP"/>
<policy domain="resource" name="height" value="10KP"/>

• CVE-2012-2663.
  

• вместо критерия «--syn» использовать критерий «--tcp-flags SYN,ACK,FIN SYN»;

• добавить правило сброса TCP-пакетов, в которых одновременно установлены флаги SYN и FIN;

  панель
  title Пример команды добавления правила
  Command sudo iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j REJECT

  
  

  Примечание
  После добавления правила необходимо удостоверится в том, что изменения будут сохранены после перезагрузки ОС. Подробнее — см. Сохранение и восстановление правил iptables.

  
  

• CVE-2021-3570.

• Если возможно, использовать только сетевой интерфейс внутренней сети (без доступа в Интернет). Пример команды запуска службы ptp4l с использованием сетевого интерфейса eno1:

  Command
  sudo ptp4l -i eno1 -m -S

  
  

• Если нет возможности использовать только сетевой интерфейс внутренней сети — с помощью межсетевого экрана блокировать входящие сообщения управления PTP, для этого:

  панель
  title С помощью iptables
  Добавить правило, выполнив в терминале команду, например такого вида: Command sudo iptables -A INPUT -p udp --dport 320 -j DROP Примечание После добавления правила необходимо удостоверится в том, что изменения будут сохранены после перезагрузки ОС. Подробнее — см. Сохранение и восстановление правил iptables.

  
  

  панель
  title С помощью межсетевого экрана ufw
  Добавить правило, выполнив в терминале следующую команду: Command sudo ufw deny 320/udp

  
  

• Для уровней защищенности «Усиленный» и «Максимальный» — запускать прикладное ПО только в сессиях с низким или промежуточным (отличном от максимального) уровнем целостности (предварительно должен быть включен МКЦ):
  • при графическом входе в систему указать уровень целостности в диалоговом окне, которое появляется после успешного ввода аутентификационных параметров;
  • при консольном входе в систему дополнительных действий не требуется.

В процессе эксплуатации ОС вместо службы linuxptp рекомендуется использовать службу chronyd. Более подробно: Служба времени chronyd.

• CVE-2018-12327.

• Проверить корректность  IP-адресов уже используемых NTP-серверов, для этого в терминале выполнить команду:

  Command
  sudo ntpdate -q <доменное имя NTP-сервера>

  В результате выполнения команды отобразится информация о NTP-серврере, в том числе и его IP-адрес.

  Чтобы проверить, не является ли IP-адрес NTP-серверов поддельным, можно воспользоваться Whois-сервисом, например, на web-сайте https://2ip.ru/whois/.

  панель
  title Пример
  Для того чтобы проверить корректность  IP-адреса NTP-сервера ntp4.vniiftri.ru , необходимо: в терминале выполнить команду: Command sudo ntpdate -q ntp4.vniiftri.ru пример вывода после выполнения команды: Блок кода server 89.109.251.24, stratum 1, offset 1.294563, delay 0.03233 5 Aug 13:42:09 ntpdate[1640]: step time server 89.109.251.24 offset 1.294563 sec на  web-сайте https://2ip.ru/whois/ в поле IP адрес или домен ввести доменное имя NTP-сервера и нажать на кнопку [Проверить]. После этого на открывшейся странице отобразится информация о домене, в том числе зарегистрированный  IP-адрес (см. рис ниже).

  
  

• Не использовать недоверенные, не прошедшие проверку подлинности NTP-серверы.

  Информация
  Рекомендуется использовать российские NTP-серверы ФГУП «ВНИИФТРИ», перечень которых доступен на официальном web-сайте ФГУП «ВНИИФТРИ» по ссылке: https://www.vniiftri.ru/catalog/services/sinkhronizatsiya-vremeni-cherez-ntp-servera/.

  
  

В процессе эксплуатации ОС вместо службы ntp рекомендуется использовать службу chronyd. Более подробно: Служба времени chronyd.

• CVE-2021-21702.

• CVE-2020-8492;
• CVE-2021-3177.

• CVE-2010-2198;
• CVE-2010-2199;
• CVE-2017-7500.

sudo apt install alien

sudo alien <наименование пакета>.rpm


<наименование пакета>.deb generated

• CVE-2019-17041;
• CVE-2019-17042.

module(load="pmcisconames")
module(load="pmaixforwardedfrom")

• CVE-2020-12861.

net autodiscovery

• CVE-2021-26937.

• BDU:2021-02727;
• CVE-2021-28652.

• Обязать пользователей использовать только HTTPS-соединения для доступа на ресурсы сети Интернет и для передачи сообщений;

• Если возможно, полностью отключить доступ к Cache Manager. Для этого в конфигурационном файле /etc/squid/squid.conf необходимо перед строками, содержащими "allow", добавить следующую строку:

  Блок кода
  http_access deny manager

  
  

• Если нет возможности полностью отключить доступ к Cache Manager, то необходимо усилить контроль доступа к Cache Manager — например, использовать аутентификацию или другие средства управления доступом. Подробнее — см. Кеширующий прокси-сервер squid.

• CVE-2005-2541.

• Запускать программное обеспечение (ПО) в изолированной программной среде с применением инструмента Firejail;

  Информация
  Изоляция приложений с использованием инструмента Firejail описана в документе РУСБ.10152-02 97 01-1 «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1».

  
  

• По возможности запускать прикладное ПО в отдельной сессии. Для этого в графическом интерфейсе выбрать Пуск — Завершение работы — Новый вход.  После чего выбрать тип сессии: Отдельный или В окне (см. рис. ниже);

• Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями. По возможности активировать режим Киоск-2, подробнее - см. Системный Киоск: пакет parsec-kiosk2 (ограничения пользователя);

• Для непривилегированных пользователей активировать блокировку интерпретаторов, в том числе, если возможно —  интерпретатора bash;

  Информация
  Блокировка интерпретатора bash может ограничить функционал некоторых программ и служб, не очевидным образом использующих bash, что приведет к нарушению штатной работы ОС.

  
  

  Предупреждение
  После блокировки интерпретатора bash консольный вход пользователей с оболочкой bash будет невозможен.

  
  

  панель
  title В графической утилите «Управление политикой безопасности»
  Блокировку интерпретаторов можно включить используя графическую утилиту fly-admin-smc. Для этого: через графический интерфейс запустить утилиту (необходимы права администратора): Пуск — Панель управления — Безопасность — Политика безопасности; на боковой панели навигации выбрать пункт Настройки безопасности — Политика консоли и интерпретаторов и на рабочей панели установить следующие флаги: Включить блокировку интерпретатора Bash для пользователей; Включить блокировку интерпретаторов кроме Bash для пользователей; применить изменения — нажать комбинацию клавиш <Ctrl+S>.

  
  

  панель
  title Без использования графического интерфейса
  панель Для блокировки интерпретаторов (кроме интерпретатора bash) необходимо выполнить в терминале команду: Command sudo astra-interpreters-lock enable Для того чтобы проверить состояние блокировки интерпретаторов, необходимо в терминале выполнить команду: Command sudo astra-interpreters-lock status Если блокировка включена, то результатом выполнения команды будет вывод сообщения: Блок кода АКТИВНО панель Для блокировки интерпретатора bash необходимо выполнить в терминале команду: Command sudo astra-bash-lock enable Для того чтобы проверить состояние блокировки интерпретатора bash, необходимо в терминале выполнить команду: Command sudo astra-bash-lock status Если блокировка включена, то результатом выполнения команды будет вывод сообщения: Блок кода АКТИВНО

  
  

• Для уровней защищенности «Усиленный» и «Максимальный» включить (если были ранее выключены) следующие функции подсистемы безопасности:
  • Мандатный контроль целостности (МКЦ);
  • Замкнутая программная среда (ЗПС);

  
  

  панель
  title В графической утилите «Управление политикой безопасности»
  Функции подсистемы безопасности можно включить используя графическую утилиту fly-admin-smc. Для этого: через графический интерфейс запустить утилиту (необходимы права  суперпользователя с высоким уровнем целостности): Пуск — Панель управления — Безопасность — Политика безопасности; на боковой панели навигации выбрать пункт Мандатный контроль целостности и на рабочей панели установить флаг Подсистема Мандатного Контроля Целостности; на боковой панели навигации выбрать пункт Замкнутая программная среда и во вкладке Настройки на переключателе Контроль исполняемых файлов выбрать значение Включить; применить изменения — нажать комбинацию клавиш <Ctrl+S>. Примечание После включения МКЦ и ЗПС необходимо перезагрузить ОС.

  
  

  панель
  title Без использования графического интерфейса
  панель Для включения функции подсистемы безопасности МКЦ необходимо выполнить в терминале команду: Command sudo astra-mic-control enable Примечание После включения МКЦ необходимо перезагрузить ОС. Для того чтобы проверить состояние функции подсистемы безопасности МКЦ, необходимо в терминале выполнить команду: Command sudo astra-mic-control status Если функция подсистемы безопасности МКЦ включена, то результатом выполнения команды будет вывод сообщения: Блок кода АКТИВНО панель Для включения функции подсистемы безопасности ЗПС необходимо выполнить в терминале команду: Command sudo astra-digsig-control enable Примечание После включения ЗПС необходимо перезагрузить ОС. Для того чтобы проверить состояние функции подсистемы безопасности ЗПС, необходимо в терминале выполнить команду: Command sudo astra-digsig-control status Если функция подсистемы безопасности ЗПС включена, то результатом выполнения команды будет вывод сообщения: Блок кода АКТИВНО

  
  

• Для уровней защищенности «Усиленный» и «Максимальный» — запускать прикладное ПО только в сессиях с низким или промежуточным (отличном от максимального) уровнем целостности (предварительно должен быть включен МКЦ):

  • при графическом входе в систему указать уровень целостности в диалоговом окне, которое появляется после успешного ввода аутентификационных параметров;

  • при консольном входе в систему дополнительных действий не требуется;

• Для уровней защищенности «Усиленный» и «Максимальный» активировать режим запуска программных сервисов apache2 и exim4 на первом уровне целостности (предварительно должен быть включен МКЦ). Для этого необходимо выполнить в терминале команду:

  Command
  sudo astra-ilev1-control enable

  Для того чтобы проверить состояние режима запуска сервисов apache2 и exim4, необходимо в терминале выполнить команду:

  Command
  sudo astra-ilev1-control status

  Если режим запуска сервисов apache2 и exim на первом уровне целостности активирован, то результатом выполнения команды будет вывод сообщения:

  Блок кода
  АКТИВНО

  
  

• CVE-2017-6519.

добавить правило, выполнив в терминале команду, например такого вида:

добавить правило, выполнив в терминале следующую команду:

• CVE-2021-23954;
• CVE-2021-23958;
• CVE-2021-23960;
• CVE-2021-23994;
• CVE-2021-23995;
• CVE-2021-23997;
• CVE-2021-29952;
• CVE-2021-29970;

• CVE-2021-30547.

В процессе эксплуатации ОС вместо ПО firefox рекомендуется использовать ПО chromium.

Методика безопасности, нейтрализующая угрозу эксплуатации CVE-2021-23958

Для нейтрализации угрозы эксплуатации уязвимости необходимо отключить компонент WebRTC (если он включен), для этого:

• запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Firefox;
• в адресную строку ввести "about:config" и нажать клавишу <Enter>;
• на открывшейся странице с предупреждением нажать на кнопку [Accept the Risk and Continue] (Принять риск и продолжить);
• на открывшейся странице Расширенные настройки в поле поиска ввести следующее наименование параметра: "media.peerconnection.enabled";
• в появившейся строке с параметром установить значение false, нажав на кнопку [Переключить] (см. рисунок ниже);

• перезапустить веб-браузер Firefox.

Методика безопасности, нейтрализующая угрозу эксплуатации CVE-2021-23954 и CVE-2021-23960

Для нейтрализации угрозы эксплуатации уязвимости необходимо отключить компонент JavaScript (если он включен), для этого:

• запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Firefox;
• в адресную строку ввести "about:config" и нажать клавишу <Enter>;
• на открывшейся странице с предупреждением нажать на кнопку [Accept the Risk and Continue] (Принять риск и продолжить);
• на открывшейся странице Расширенные настройки в поле поиска ввести следующее наименование параметра: "javascript.enabled";
• в появившейся строке с параметром установить значение false, нажав на кнопку [Переключить];
• перезапустить веб-браузер Firefox.

Методика безопасности, нейтрализующая угрозу эксплуатации CVE-2021-23994

Для нейтрализации угрозы эксплуатации уязвимости необходимо отключить компонент WebGL (если он включен), для этого:

• запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Firefox;
• в адресную строку ввести "about:config" и нажать клавишу <Enter>;
• на открывшейся странице с предупреждением нажать на кнопку [Accept the Risk and Continue] (Принять риск и продолжить);
• на открывшейся странице Расширенные настройки в поле поиска ввести следующее наименование параметра: "webgl.disabled";
• в появившейся строке с параметром установить значение true, нажав на кнопку [Переключить];
• перезапустить веб-браузер Firefox.

Методика безопасности, нейтрализующая угрозу эксплуатации CVE-2021-23995

Для нейтрализации угрозы эксплуатации уязвимости необходимо отключить режим адаптивного дизайна (если он активен), для этого:

• запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Firefox;
• в адресную строку ввести "about:config" и нажать клавишу <Enter>;
• на открывшейся странице с предупреждением нажать на кнопку [Accept the Risk and Continue] (Принять риск и продолжить);
• на открывшейся странице Расширенные настройки в поле поиска ввести следующее наименование параметра: "devtools.policy.disabled";
• в появившейся строке с параметром установить значение true, нажав на кнопку [Переключить];
• перезапустить веб-браузер Firefox.

Методика безопасности, нейтрализующая угрозу эксплуатации CVE-2021-23997

Для нейтрализации угрозы эксплуатации уязвимости необходимо отключить функцию кэширования страниц, для этого:

1. запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Firefox;
2. в адресную строку ввести "about:config" и нажать клавишу <Enter>;
3. на открывшейся странице с предупреждением нажать на кнопку [Accept the Risk and Continue] (Принять риск и продолжить);
4. на открывшейся странице Расширенные настройки в поле поиска ввести следующее наименование параметра: "browser.cache.offline.enable";
5. в появившейся строке с параметром установить значение false, нажав на кнопку [Переключить];
6. повторить шаги 4 и 5 для следующих параметров:
   • browser.cache.disk.enable;
   • browser.cache.disk_cache_ssl;
   • browser.cache.memory.enable;
7. на странице Расширенные настройки в поле поиска ввести следующее наименование параметра: "network.http.use-cache";
8. в появившейся строке с параметром нажать на кнопку [+], а затем установить значение false, нажав на кнопку [Переключить];
9. перезапустить веб-браузер Firefox.

Методика безопасности, нейтрализующая угрозу эксплуатации CVE-2021-29952

Для нейтрализации угрозы эксплуатации уязвимости необходимо отключить компонент WebRender (если он включен), для этого:

• запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Firefox;
• в адресную строку ввести "about:config" и нажать клавишу <Enter>;
• на открывшейся странице с предупреждением нажать на кнопку [Accept the Risk and Continue] (Принять риск и продолжить);
• на открывшейся странице Расширенные настройки в поле поиска ввести следующее наименование параметра: "gfx.webrender.all";
• в появившейся строке с параметром установить значение false, нажав на кнопку [Переключить];
• перезапустить веб-браузер Firefox.

Методика безопасности, нейтрализующая угрозу эксплуатации CVE-2021-29970

Для нейтрализации угрозы эксплуатации уязвимости необходимо отключить функцию специальные возможности (Accessibility features), для этого:

• запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Firefox;
• в адресную строку ввести "about:config" и нажать клавишу <Enter>;
• на открывшейся странице с предупреждением нажать на кнопку [Accept the Risk and Continue] (Принять риск и продолжить);
• на открывшейся странице Расширенные настройки в поле поиска ввести следующее наименование параметра: "accessibility.force_disabled";
• в появившейся строке с параметром нажать на кнопку [Изменить] и в текстовом поле ввести цифру "1";
• в строке с параметром нажать на кнопку [Сохранить];
• перезапустить веб-браузер Firefox.

Методика безопасности, нейтрализующая угрозу эксплуатации CVE-2021-30547

Для нейтрализации угрозы эксплуатации уязвимости необходимо отключить модуль ANGLE (если он включен), для этого:

• запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Firefox;
• в адресную строку ввести "about:config" и нажать клавишу <Enter>;
• на открывшейся странице с предупреждением нажать на кнопку [Accept the Risk and Continue] (Принять риск и продолжить);
• на открывшейся странице Расширенные настройки в поле поиска ввести следующее наименование параметра: "webgl.disable-angle";
• в появившейся строке с параметром установить значение true, нажав на кнопку [Переключить];
• перезапустить веб-браузер Firefox.

• CVE-2021-23961.

В процессе эксплуатации ОС вместо ПО firefox рекомендуется использовать ПО chromiun.

добавить правила, выполнив в терминале команды, например такого вида:

добавить правила, выполнив в терминале следующие команды:

• CVE-2019-25013.

Для того чтобы просмотреть установленные локали, необходимо в терминале выполнить команду:

Результатом выполнения команды будет вывод строк с поддерживаемыми кодировками. Если в ОС поддерживается корейская кодировка EUC-KR, то в терминале среди прочих отобразится строка следующего вида:

ko_KR.euckr

Для удаления локалей используется утилита localepurge. Для её установки необходимо в терминале выполнить команду:

Во время установки утилиты во вкладке Файлы локалей, которые нужно оставить в системе, необходимо снять флаг ko_KR.EUC-KR (см. рисунок ниже).

• CVE-2018-15607.

<policy domain="resource" name="width" value="10KP"/>
<policy domain="resource" name="height" value="10KP"/>

• CVE-2012-2663.
  

• вместо критерия «--syn» использовать критерий «--tcp-flags SYN,ACK,FIN SYN»;

• добавить правило сброса TCP-пакетов, в которых одновременно установлены флаги SYN и FIN;

  панель
  title Пример команды добавления правила
  Command sudo iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j REJECT

  
  

  Примечание
  После добавления правила необходимо удостоверится в том, что изменения будут сохранены после перезагрузки ОС. Подробнее — см. Сохранение и восстановление правил iptables.

  
  

• CVE-2021-3570.

• Если возможно, использовать только сетевой интерфейс внутренней сети (без доступа в Интернет). Пример команды запуска службы ptp4l с использованием сетевого интерфейса eno1:

  Command
  sudo ptp4l -i eno1 -m -S

  
  

• Если нет возможности использовать только сетевой интерфейс внутренней сети — с помощью межсетевого экрана блокировать входящие сообщения управления PTP, для этого:

  панель
  title С помощью iptables
  Добавить правило, выполнив в терминале команду, например такого вида: Command sudo iptables -A INPUT -p udp --dport 320 -j DROP Примечание После добавления правила необходимо удостоверится в том, что изменения будут сохранены после перезагрузки ОС. Подробнее — см. Сохранение и восстановление правил iptables.

  
  

  панель
  title С помощью межсетевого экрана ufw
  Добавить правило, выполнив в терминале следующую команду: Command sudo ufw deny 320/udp

  
  

• Для уровней защищенности «Усиленный» и «Максимальный» — запускать прикладное ПО только в сессиях с низким или промежуточным (отличном от максимального) уровнем целостности (предварительно должен быть включен МКЦ):
  • при графическом входе в систему указать уровень целостности в диалоговом окне, которое появляется после успешного ввода аутентификационных параметров;
  • при консольном входе в систему дополнительных действий не требуется.

В процессе эксплуатации ОС вместо службы linuxptp рекомендуется использовать службу chronyd. Более подробно: Служба времени chronyd.

• CVE-2018-12327.

• Проверить корректность  IP-адресов уже используемых NTP-серверов, для этого в терминале выполнить команду:

  Command
  sudo ntpdate -q <доменное имя NTP-сервера>

  В результате выполнения команды отобразится информация о NTP-серврере, в том числе и его IP-адрес.

  Чтобы проверить, не является ли IP-адрес NTP-серверов поддельным, можно воспользоваться Whois-сервисом, например, на web-сайте https://2ip.ru/whois/.

  панель
  title Пример
  Для того чтобы проверить корректность  IP-адреса NTP-сервера ntp4.vniiftri.ru , необходимо: в терминале выполнить команду: Command sudo ntpdate -q ntp4.vniiftri.ru пример вывода после выполнения команды: Блок кода server 89.109.251.24, stratum 1, offset 1.294563, delay 0.03233 5 Aug 13:42:09 ntpdate[1640]: step time server 89.109.251.24 offset 1.294563 sec на  web-сайте https://2ip.ru/whois/ в поле IP адрес или домен ввести доменное имя NTP-сервера и нажать на кнопку [Проверить]. После этого на открывшейся странице отобразится информация о домене, в том числе зарегистрированный  IP-адрес (см. рис ниже).

  
  

• Не использовать недоверенные, не прошедшие проверку подлинности NTP-серверы.

  Информация
  Рекомендуется использовать российские NTP-серверы ФГУП «ВНИИФТРИ», перечень которых доступен на официальном web-сайте ФГУП «ВНИИФТРИ» по ссылке: https://www.vniiftri.ru/catalog/services/sinkhronizatsiya-vremeni-cherez-ntp-servera/.

  
  

В процессе эксплуатации ОС вместо службы ntp рекомендуется использовать службу chronyd. Более подробно: Служба времени chronyd.

• CVE-2021-21702.

• CVE-2020-8492;
• CVE-2021-3177.

• CVE-2010-2198;
• CVE-2010-2199;
• CVE-2017-7500.

sudo apt install alien

sudo alien <наименование пакета>.rpm


<наименование пакета>.deb generated

• CVE-2019-17041;
• CVE-2019-17042.

module(load="pmcisconames")
module(load="pmaixforwardedfrom")

• CVE-2020-12861.

net autodiscovery

• CVE-2021-26937.

• BDU:2021-02727;
• CVE-2021-28652.

• Обязать пользователей использовать только HTTPS-соединения для доступа на ресурсы сети Интернет и для передачи сообщений;

• Если возможно, полностью отключить доступ к Cache Manager. Для этого в конфигурационном файле /etc/squid/squid.conf необходимо перед строками, содержащими "allow", добавить следующую строку:

  Блок кода
  http_access deny manager

  
  

• Если нет возможности полностью отключить доступ к Cache Manager, то необходимо усилить контроль доступа к Cache Manager — например, использовать аутентификацию или другие средства управления доступом. Подробнее — см. Кеширующий прокси-сервер squid.

• CVE-2005-2541.