Информация |
---|
Методические указания по нейтрализации угроз эксплуатации уязвимостей операционных систем специального назначения «Astra Linux Special Edition» РУСБ.10015-01 (очередное обновление 1.7), РУСБ.10015-10, РУСБ.10015-37 (очередное обновление 7.7), далее по тексту - Astra Linux, в информационных системах. |
Информация |
---|
Методические указания не являются кумулятивными. При выполнении методических указаний другие виды обновлений автоматически не применяются и должны быть установлены отдельно. |
Подсказка |
---|
Обновленные пакеты, в которых устранена угроза эксплуатации уязвимости, будут включены в состав следующего оперативного обновления. |
Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости программного обеспечения Docker
Примечание |
---|
Информация об уязвимости, закрываемой при выполнении настоящих методических указаний, предоставляется после соответствующего обращения в техническую поддержку. |
Общие организационные мероприятия
При работе с программным обеспечением Docker должны использоваться следующие механизмы комплекса защиты информации, интегрированные в Astra Linux:
запуск гипервизора контейнеров Docker на пониженном уровне целостности;
работа с образами и контейнерами Docker в непривилегированном (rootless) режиме.
Порядок применения указанных механизмов представлен в статье Установка и администрирование Docker в Astra Linux 1.7.
Отключить или удалить неиспользуемые учетные записи пользователей, а также учетные записи недоверенных пользователей.
Настроить монтирования монтирование файловых ресурсов хостовой машины в контейнер таким образом, чтобы предотвратить нежелательные изменения в конфигурации хостовой машины.
Описание настроек монтирования файловых ресурсов хостовой машины представлено в документе РУСБ.10152-02 95 01-1 «Операционная система специального назначения «Astra Linux Special Edition». Руководство администратора. Часть 1».Настроить контроль целостности контейнеров и их образов. Для этого следует выполнить действия, описанные в документе РУСБ.10152-02 97 01-1 «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1».
При создании образа с использованием докерфайла не применять инструкцию USER.
- Если применяется аутентификация с помощью Docker Credential helper (ассистента хранилища учетных данных), необходимо убедиться в корректности настроек:
в блоках параметров
credsStore
илиcredHelpers
файла конфигурации (по умолчанию$HOME/.docker/config.json
) должно быть указано наименование исполняемого файла ассистента. Например, при использованииdocker-credential-yc
(ассистента хранилища учетных данных Yandex Cloud) блок параметровcredHelpers
имеет следующий вид:Блок кода "credHelpers": { "container-registry.cloud.yandex.net": "yc", "cr.cloud.yandex.net": "yc", "cr.yandex": "yc" }
В качестве значений параметров указывается наименование, следующее после префикса "
docker-credential-
";- в переменной
PATH
должен быть указан каталог, в котором размещен исполняемый файл ассистента. Например, при использованииdocker-credential-yc
(ассистента хранилища учетных данных Yandex Cloud) в переменнойPATH
указан каталог/home/<имя_пользователя>/yandex-cloud/bin
.
Дополнительные действия для устранения угрозы эксплуатации уязвимости режима Swarm Mode
В случае, если развернуты кластеры Docker Swarm необходимо выполнить действия, описанные ниже.
В многоузловых кластерах необходимо развернуть глобальный контейнер "pause" для каждой зашифрованной overlay-сети на каждом узле. Для этого при создании сервиса нужно указать образ
registry.k8s.io/pause
и параметр"--mode global".
Заблокировать входящий трафик на UDP-порт 4789:
с помощью iptables – добавить правило, выполнив в терминале команду, например такого вида:
Command iptables -A INPUT -m udp —-dport 4789 -m policy --dir in --pol none -j DROP Примечание После добавления правила необходимо удостоверится в том, что изменения будут сохранены после перезагрузки ОС. Подробнее — см. Сохранение и восстановление правил iptables. с помощью межсетевого экрана ufw – добавить правило, выполнив в терминале следующую команду:
Command sudo ufw deny 4789/udp
Необходимо убедиться, что на всех узлах кластера в ядро linux загружается модуль
xt_u32
. Для этого следует выполнить команду:Command lsmod | grep xt_u32
Если модуль не загружен, то в результате выполнения команд будет пустой вывод.
Для того чтобы включить загрузку модуляxt_u32
в ядро linux необходимо выполнить следующие действия:загрузить модуль
xt_u32
в ядро linux командой:Command sudo modprobe xt_u32
проверить, что модуль
xt_u32
загружен:Command lsmod | grep xt_u32
обновить текущий образ
initramfs
командой:
перезагрузить узел кластераCommand sudo update-initramfs -u
Примечание Проверку загрузки модуля xt_u32
необходимо выполнить для всех используемых ядер linux.