История страницы

...

1. Установите все доступные обновления безопасности ОС Astra Linux
   
   для ОС СН Смоленск: http://astralinux.ru/update.html  и Обновления безопасности Astra Linux Special Edition 1.5
   для ОС ОН Орёл: http://mirror.yandex.ru/astra/stable/orel/latest/repository-update/

2. Настройте загрузчик на загрузку ядра GENERIC, и уберите из меню все другие варианты загрузки, включая режимы восстановления.
   При использовании архитектур отличных от Intel, установите пароль на загрузчик согласно документации.
   
   

3. Установите единственным устройством для загрузки ОС - жесткий диск, на который была произведена установка ОС
   
   
4. Включить режим загрузки secureboot на своих ключах (создать usb-flash носитель с помощью astra-secureboot, и, далее, ключи импортировать в BIOS). инструкции
   
   
5. Включить блокировку консоли
   
   
6. Включить блокировку интерпретаторов
   
   

7. Включить Блокировку установки бита исполнения

   Информация
   echo 1 > /parsecfs/nochmodx echo 1 > /etc/parsec/nochmodx

   или командой

   Информация
   astra-nochmodx-lock enable

   см. РУК КСЗ п.16
   

8. По возможности, включить блокировку макросов

   1. В Libreoffice

   2. В VLC

      Информация
      find /usr/lib/ -type f -name "liblua_plugin*" -exec sudo dpkg-statoverride --update --add root root 640 {} \;

      
      
      

9. Включить блокировку трассировки ptrace
   
   
10. Включить ЗПС
    
    
11. Включить гарантированное удаление файлов и папок
    
    
12. Включить межсетевой экран ufw
    
    
13. Включить системные ограничения ulimits
    
    
14. Включить, при наличии возможности, графический киоск режим киоска для пользователя.
    Киоск можно настроить с помощью графического инструмента командной строки fly-kiosk (РУК КСЗ п.15.6).
    
    
15. Включить, при наличии возможности, системный киоск для пользователя (см. РУК КСЗ п.15)Fly
    Киоск можно настроить с помощью графического инструмента командной строки fly-admin-kiosk smc (см. РУК КСЗ п.15.6).
    
    
16. Включить, при наличии возможности, второй уровень контроля подписей в расширенных атрибутах (xattr).
    (Это можно выполнить в программе fly-admin-smc).
    
    
17. Установить мандатный контроль целостности (МКЦ > 0) на всеx основных файлах и каталогах в корневой файловой системе.
    (в Смоленск 1.6 и в Смоленск 1.5 на апдейтах позже 27-10-2017)
    Для этого в графическом инструменте fly-admin-smc «Политика безопасности» -> «мандатный контроль целостности» -> «целостность файловой системы» -> установить «высокий 63», или в консоли set-fs-ilev.
    
    Установку МКЦ рекомендуется проводить после всех настроек безопасности,
    так как дальнейшее администрирование возможно только войдя под высоким уровнем целостности,
    или после снятия МКЦ с файловой системы командой unset-fs-ilev Установка МКЦ на 1.5 апдейт 27-10-2017: см. Мандатный контроль целостности
    
18. Работу с конфиденциальной информацией под "уровнями конфиденциальности" нужно проводить, используя защитное преобразование файлов
    (возможность встроена в Файловый менеджер fly-fm).
    
    
19. Работу с конфиденциальной информацией в сети необходимо производить, используя защитное преобразование пакетов с помощью создания доверенной VPN сети
    (средства встроены в ОС).
20. Работу с конфиденциальной информацией при обмене почтой необходимо производить, используя защитные GPG-преобразования писем с помощью плагина для Thunderbird Enigmail
21. (средства встроены в ОС)
    
    

22. Установите "взломостойкие" пароли на все учетные записи в ОС

    Информация
    title P.S.
    "взломостойкий" пароль это пароль не менее 8 символов, не содержащий в себе никакик осмысленных слов (ни в каких раскладках), и  содержащий в себе буквы в различных регистах, цифры и спецсимволы.

    
    

23. Настройте pam_tally на блокировку учетных записей при попытках подбора паролей (настроено по умолчанию при установке ОС).
    
    
24. Настройте дисковые квоты в ОС
    Для этого установите пакет quota, настройте /etc/fstab, и используйте edquota для установки квот.
    
    
25. Настройте ограничения ОС (так называемые ulimits).
    Рекомендуемые настройки /etc/security/limits.conf:
    

    
    

    Информация
    #размер дампа ядра * hard core 0 #максимальный размер создаваемого файла * hard fsize 50000000 #блокировка форк-бомбы(большого количества процессов) * hard nproc 1000

    
    

    
    

26. Отключите все неиспользуемые сервисы (в т.ч. сетевые) которые запускаются при старте ОС:

    Информация
    командой systemdgenie в Смоленск 1.6 или командами chkconfig и fly-admin-runlevel в Смоленск 1.5

    
    
    

27. Найстройте iptables в минимально необходимой конфигурации, необходимой для работы:
    (по умолчанию все запрещено, кроме необходимых исключений)
    

    Информация
    командой iptables ufw gufw в ОССН Смоленск 1.6 или командой iptables ufw               в ОССН Смоленск 1.5

    
    

28. Настройте параметры ядра в /etc/sysctl.conf:
    
    Отключите механизм SysRq, для чего в /etc/sysctl.conf добавьте строку

    Информация
    kernel.sysrq = 0

    после чего перезагрузите ПК, и проверьте что уcтановлено значение 0, командой:

    Информация
    cat /proc/sys/kernel/sysrq

    дополнтельные рекомендуемые параметры ядра:

    Информация
    fs.suid_dumpable=0 kernel.randomize_va_space=2 net.ipv4.ip_forward=0 net.ipv4.conf.all.send_redirects=0 net.ipv4.conf.default.send_redirects=0

    
    

29. Заблокируйте исполнение модулей python с расширенным функционалом:

    Информация
    find /usr/lib/python* -type f -name "_ctype*" -exec sudo dpkg-statoverride --update --add root root 640 {} \;

    
    

30. По возможности, запретите пользователям подключение сменных носителей.

31. Настройте систему аудита на сохранение логов на удаленной машине.
    Если возможно, используйте систему централизованного протоколирования ossec.
    см. РУК АДМИН п.15

...