Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости команды dmidecode

Для нейтрализации угрозы эксплуатации уязвимости команды dmidecode необходимо придерживаться следующих рекомендаций:

• исключить возможность выполнения непривилегированными пользователями команды dmidecode с повышенными привилегиями без запроса пароля. Для этого не применять (исключить, если были ранее применены) настройки, позволяющие такой запуск, в файле /etc/sudoers и файлах в каталоге /etc/sudoers.d/ (см. man visudo и  man sudoers):
  

  • Провести ревизию файла /etc/sudoers и файлов в каталоге /etc/sudoers.d/  и убедиться, что в файлах отсутствует разрешение на запуск dmidecode с повышенными привилегиями:

    Command
    sudo grep dmidecode /etc/sudoers /etc/sudoers.d/ -r

    Строка, предоставляющая  привилегии имеет вид:

    Блок кода
    (ALL) NOPASSWD: /usr/sbin/dmidecode

    Такие строки должны быть удалены или закомментированы;
    
    

• Для минимизации угроз безопасности в Astra Linux, функционирующей на уровне защищенности «Усиленный» или «Максимальный», рекомендуется включить (если были ранее выключены) следующие функции подсистемы безопасности:
  • мандатный контроль целостности (МКЦ), включая режим МКЦ на файловой системе (см. раздел 4.8 документа РУСБ.10015-01 97 01-1 «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1»);
  • замкнутая программная среда (ЗПС) — см. раздел 16.1 документа РУСБ.10015-01 97 01-1 «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1».
  • для непривилегированных пользователей активировать блокировку интерпретаторов, в том числе, если возможно —  блокировку интерпретатора bash;