История страницы

...

1. При возможности - установить и настроить на компьютере аппаратно-программный модуль доверенной загрузки (АПМДЗ)
   
   

2. Установить "взломостойкий" пароль на BIOS компьютера.

   Информация
   title P.S.
   "взломостойкий" пароль это пароль не менее 8 символов, не содержащий в себе никакик осмысленных слов (ни в каких раскладках), и  содержащий в себе буквы в различных регистах, цифры и спецсимволы.

   
   
   

3. При наличии опций для процессоров Intel Execute Disable Bit (XD-Bit) и для процессоров AMD No Execute Bit (NX-Bit) включите их.
   
   

4. При наличии на серверах "не доверенных" систем контроля и управления типа ILO,RSA,iDRAC,ThinkServer EasyManage,AMT,iMana - их необходимо отключить, и использовать, при необходимости, альтенативные решения типа IP KVM.
   
   

5. Для Intel платформ необходимо устранить уязвимости Intel-SA-00086 в Intel Management Engine (если он инегрирован в процессор)
   посредством установки обновления микропрограммы Intel Management Engine
   (производитель оборудования должен обеспечить данную возможность - это либо обновления BIOS, либо ПО для интеграции обновлений).
   Для частичных проверок используйте: Intel-SA-00086 Detection Tool.
   Более подробно: https://www.intel.ru/content/www/ru/ru/support/articles/000025619/software.html
   
   

6. Установить ОССН (обязательно с включенным защитным преобразованием диска),
   и по возможность обеспечить невозможность физического доступа к жесткому диску, на котором установлена ОС 

...

1. Установите все доступные обновления безопасности ОС Astra Linux
   
   для ОС СН Смоленск: http://astralinux.ru/update.html  и Обновления безопасности Astra Linux Special Edition 1.5
   для ОС ОН Орёл: http://mirror.yandex.ru/astra/stable/orel/latest/repository-update/

2. Настройте загрузчик на загрузку ядра GENERIC, и уберите из меню все другие варианты загрузки, включая режимы восстановления.
   При использовании архитектур отличных от Intel, установите пароль на загрузчик согласно документации.
   
   

3. Установите единственным устройством для загрузки ОС - жесткий диск, на который была произведена установка ОС
   
   
4. Включить режим загрузки secureboot на своих ключах (создать usb-flash носитель с помощью astra-secureboot, и, далее, ключи импортировать в BIOS). инструкции
   
   
5. Включить блокировку консоли
   
   
6. Включить блокировку интерпретаторов
   
   
7. Включить Блокировку установки бита исполнения nochmodx
   
   
8. Включить По возможности, включить блокировку макросов

   1. В Libreoffice

   2. В VLC

      Информация
      find /usr/lib/ -type f -name "liblua_plugin*" -exec sudo dpkg-statoverride --update --add root root 640 {} \;

      
      
      

9. Включить блокировку трассировки ptrace
   
   
10. Включить ЗПС
    
    
11. Включить гарантированное удаление файлов и папок
    
    
12. Включить межсетевой экран ufw
    
    
13. Включить системные ограничения ulimits
    
    
14. Включить, при наличии возможности, графический киоск для пользователя.
    
    
15. Включить, при наличии возможности, системный киоск.
    
    
16. Включить, при наличии возможности, второй уровень контроля подписей в расширенных атрибутах (xattr).
    (Это можно выполнить в программе fly-admin-smc).
    
    
17. Установить мандатный контроль целостности (МКЦ на ФС. > 0) на всеx основных файлах и каталогах в корневой файловой системе.
    (в Смоленск 1.6 и в Смоленск 1.5 на апдейтах позже 27-10-2017)
    Для этого в графическом инструменте fly-admin-smc «Политика безопасности» -> «мандатный контроль целостности» -> «целостность файловой системы» -> установить «высокий 63», или в консоли set-fs-ilev.
    
    Установку МКЦ рекомендуется проводить после всех настроек безопасности,
    так как дальнейшее администрирование возможно только войдя под высоким уровнем целостности,
    или после снятия МКЦ с файловой системы командой unset-fs-ilev Установка МКЦ на 1.5 апдейт 27-10-2017: см. Мандатный контроль целостности
    
18. Работу с конфиденциальной информацией под "уровнями конфиденциальности" нужно проводить, используя защитное преобразование файлов
    (возможность встроена в Файловый менеджер fly-fm).
    
    
19. Работу с конфиденциальной информацией в сети необходимо производить, используя защитное преобразование пакетов с помощью создания доверенной VPN сети
    (средства встроены в ОС).
20. Работу с конфиденциальной информацией при обмене почтой необходимо производить, используя защитные GPG-преобразования писем с помощью плагина для Thunderbird Enigmail
21. (средства встроены в ОС)
    
    

22. Установите "взломостойкие" пароли на все учетные записи в ОС

    Информация
    title P.S.
    "взломостойкий" пароль это пароль не менее 8 символов, не содержащий в себе никакик осмысленных слов (ни в каких раскладках), и  содержащий в себе буквы в различных регистах, цифры и спецсимволы.

    
    

23. Настройте pam_tally на блокировку учетных записей при попытках подбора паролей (настроено по умолчанию при установке ОС).
    
    
24. Настройте дисковые квоты в ОС
    Для этого установите пакет quota, настройте /etc/fstab, и используйте edquota для установки квот.
    
    
25. Настройте ограничения ОС (так называемые ulimits).
    Рекомендуемые настройки /etc/security/limits.conf:
    

...

...

1. 
   

   Информация
   #размер дампа ядра * hard core 0 #максимальный размер создаваемого файла * hard fsize 50000000 #блокировка форк-бомбы(большого

...

1. количества

...

1. процессов)

...

1. *

...

1. hard

...

1. nproc

...

1. 1000

   
   

   
   

2. Отключите все неиспользуемые сервисы (в т.ч. сетевые) которые запускаются при старте ОС

...

1. :

   Информация
   командой systemdgenie в Смоленск 1.6

...

1. или командами chkconfig и fly-admin-runlevel в Смоленск 1.5

...

1. 
   
   

2. Найстройте iptables в минимально необходимой конфигурации, необходимой для работы:
   (по умолчанию все запрещено, кроме необходимых исключений)
   

...

1. Информация
   командой iptables ufw gufw в ОССН Смоленск 1.6

...

1. или командой iptables ufw               в ОССН Смоленск 1.

...

1. 5

   
   

2. Настройте параметры ядра в /etc/sysctl.conf:
   
   Отключите механизм SysRq

...

1. , для чего в /etc/sysctl.conf добавьте строку

...

1. Информация
   kernel.sysrq

...

1. =

...

1. 0

...

1. после чего перезагрузите ПК, и проверьте что уcтановлено значение 0, командой:

...

1. Информация
   cat /proc/sys/kernel/sysrq

   дополнтельные рекомендуемые параметры

...

1. ядра:

   Информация

...

1. fs.suid_dumpable=0

...

1. kernel.randomize_va_space=2

...

1. net.ipv4.ip_forward=0

...

1. net.ipv4.conf.all.send_redirects=0

...

1. net.ipv4.conf.default.send_redirects=0

   
   

2. Заблокируйте исполнение модулей python с расширенным функционалом:

...

1. Информация
   find /usr/lib/python* -type f -name "_ctype

...

13. Заблокируйте макросы в VLC

...

1. *" -exec sudo dpkg-statoverride --update --add root root 640 {} \;

...

15. Обязательно отключите доступ к консоли пользователям:

(Инструкция для Смоленск 1.5, для 1.6 правила работают из коробки)

Добавьте группу astra-console выполнив команду:

...

Создайте файл /etc/rc.local со следующим содержимым:

#!/bin/sh -e
chown root:astra-console /dev/{pts,pts/*,ptmx,tty*}
chmod g+rx /dev/{pts,pts/*,ptmx,tty*}
chmod o-rx /dev/{pts,pts/*,ptmx,tty*}
exit 0

Создайте файл /etc/rc.local со следующим содержимым:

Добавьте правило в файл /etc/security/access.conf командой:

...

Если возможно используйте систему централизованного протоколирования ossec.

см. РУК АДМИН п.15

22. Установите мандатный контроль целостности (МКЦ > 0) на всеx основных файлах и каталогах в корневой файловой системе. (set-fs-ilev)

(в Смоленск 1.6 и в Смоленск 1.5 на апдейтах позже 27-10-2017)

Установку МКЦ рекомендуется проводить после всех настроек безопасности, дальнейшее

администрирование возможно только войдя под высоким уровнем целостности или после снятия МКЦ с файловой системы командой unset-fs-ilev

Установка МКЦ на 1.5 апдейт 27-10-2017:

см. Мандатный контроль целостности

...

"взломостойкий" пароль это пароль

...