Настройка безопасной конфигурации ПК и ОС Astra Linux
...
Перед установкой ОС
- Настроить BIOS (с целью предотвратить загрузку с внешнего носителя)
...
- Установить единственным устройством для загрузки ОС - жесткий диск куда была произведена установка ОС.
...
- Установить "взломостойкий" пароль на BIOS ПК.
...
- Обеспечить защиту от "незаметного" вскрытия корпуса и встраивания "имплантов" в соединительные кабели периферийных устройств". Для обеспечения защиты могут использоваться специальные корпуса, защитные крышки, пломбы, пломбировочные ленты, для усложнения скрытной установки "имплантов" рекомендуется использование ПК в форм-факторе ноутбук или моноблок.
- При возможности -
...
- установить и
...
- настроить АПМДЗ на ПК.
...
- Обеспечить невозможность физического доступа к жесткому диску на котором установлена ОС, или используйте доступные средства
...
- защитного преобразования всего содержимого диска.
...
- При наличии опций для процессоров Intel Execute Disable Bit (XD-Bit) и для процессоров AMD No Execute Bit (NX-Bit)
...
- включить их.
...
- При наличии на серверах "не доверенных" систем контроля и управления типа ILO,RSA,iDRAC,ThinkServer EasyManage,AMT,iMana - отключить их
...
- , и использовать при необходимости альтернативные решения типа IP KVM.
...
- Включить secureboot на платформах где это возможно согласно инструкции.
2. Для Intel платформ
2.1 Необходимо устранить уязвимости Intel-SA-00086 в Intel Management Engine(если он инегрирован в процессор) посредством установки обновления микропрограммы Intel Management Engine (производитель оборудования должен обеспечить данную возможность - это либо обновления BIOS, либо ПО для интеграции обновлений). Для частичных проверок используйте: Intel-SA-00086 Detection Tool.
Более подробно:
https://www.intel.ru/content/www/ru/ru/support/articles/000025619/software.html
3. Установите все доступные обновления безопасности ОС Astra Linux
для SE:
http://astralinux.ru/update.html
Обновления безопасности Astra Linux Special Edition 1.5
для CE:
http://mirror.yandex.ru/astra/stable/orel/latest/repository-update/
...
- Устранить известные уязвимости аппаратной платформы (процессоров, контроллеров, BIOS и пр.). Обычно выполняется обновлением BIOS и микропрограмм устройств или, до получения нейтрализующих обновлений, отключением опций, подверженных уязвимостям. См. эксплуатационную документацию на используемые компоненты аппаратной платформы. В процессе эксплуатации устранять уязвимости аппаратной платформы по мере их выявления.
При установке ОС
- 5. При установке рекомендуется создать отдельные разделы / /boot /home /tmp /var/tmp.Раздел /boot рекомендуется монтировать с опциями
ro
(перед обновлением ядра смонтировать вrw
). Разделы /home /tmp /var/tmp рекомендуется монтировать с опциямиnoexec,nodev,nosuid
После установки ОС
Настроить BIOS, исключив загрузку с внешнего носителя
- Установить все доступные оперативные обновления ОС Astra Linux:Оперативные обновления для Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5)
- Настроить загрузчик на загрузку ядра GENERIC и убрать из меню все другие варианты загрузки, включая режимы восстановления.
...
- Установить "взломостойкий" пароль на загрузчик Grub (устанавливается по умолчанию при установке ОС).
...
- При использовании архитектур отличных от
Intel
...
- установить пароль на загрузчик согласно документации.
5. При установке рекомендуется создать отдельные разделы / /boot /home /tmp /var/tmp
Раздел /boot рекомендуется монтировать с опциями ro
(перед обновлением ядра смонтировать в rw
)
Разделы /home /tmp /var/tmp рекомендуется монтировать с опциями noexec,nodev,nosuid
...
- Установить "взломостойкий" пароли на всех учетных записях в ОС.
...
- Настроить
pam_tally
на блокировку учетных записей при попытках подбора паролей. (настроено по умолчанию при установке ОС)
...
- Настроить дисковые квоты в ОС
...
- .Для настройки дисковых квот:
- установить пакет
quota
; - настроить /etc/fstab
- установить пакет
...
- ;
- использовать инструмент
edquota
для установки квот.
...
Настроить ограничения ОС: ulimits
...
.Рекомендуемые настройки (файл /etc/security/limits.conf):
Блок кода language bash title /etc/security/limits.conf #размер дампа ядра
...
* hard core 0
...
#максимальный размер создаваемого файла
...
* hard fsize 50000000
...
#блокировка форк-бомбы(большого количества процессов)
...
* hard nproc 1000
...
Отключить все неиспользуемые сервисы (в т.ч. сетевые) которые запускаются при старте ОС
...
.Для поиска неиспользуемых сервисов можно применить команды
chkconfig
иfly-admin-runlevel
...
systemctl systemdgenie
в 1.6
...
Настроить iptables в минимально необходимой конфигурации необходимой для работы
...
(по умолчанию все запрещено, кроме необходимых исключений)
...
.
...
Команда:
iptables ufw
в 1.6 iptables ufw gufw
...
Настроить параметры ядра в /etc/sysctl.conf:
...
Отключить механизм SysRq
...
, для чего в файл /etc/sysctl.conf
...
добавить строку
Блок кода title /etc/sysctl.conf kernel.sysrq = 0
...
Перезагрузить компьютер и убедиться, что установлено значение 0. Команда:
Command cat /proc/sys/kernel/sysrq
...
Установить дополнительные рекомендуемые параметры ядра:
Блок кода title /etc/sysctl.conf fs.suid_dumpable=0
...
kernel.randomize_va_space=2
...
net.ipv4.ip_forward=0
...
net.ipv4.conf.all.send_redirects=0
...
net.ipv4.conf.default.send_redirects=0
...
Заблокировать исполнение модулей python с расширенным функционалом:
Command find /usr/lib/python* -type f -name "_ctype*" -exec sudo dpkg-statoverride --update --add root root 640 {} \;
...
Заблокировать макросы в VLC:
Command find /usr/lib/ -type f -name "liblua_plugin*" -exec sudo dpkg-statoverride --update --add root root 640 {} \;
...
При возможности
...
заблокировать макросы в Libreoffice
...
Отключить доступ к консоли пользователям
...
(Инструкция для
...
Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5), для очередного обновления 1.6 правила работают
...
по умолчанию):
...
Добавить группу astra-console выполнив команду:
Command addgroup --gid 333 astra-console
...
Создать файл /etc/rc.local со следующим содержимым:
Блок кода title /etc/rc.local #!/bin/sh -e chown root:astra-console /dev/{pts,pts/*,ptmx,tty*} chmod g+rx /dev/{pts,pts/*,ptmx,tty*} chmod o-rx /dev/{pts,pts/*,ptmx,tty*} exit 0
...
Добавить правило в файл /etc/security/access.conf командой:
Command echo "-:ALL EXCEPT astra-console :LOCAL" >> /etc/security/access.conf
...
Включить в /etc/pam.d/login обработку заданных правил командой:
Command sed -i 's|.*account.*pam_access.*|account required pam_access.so|' /etc/pam.d/login
Для включения доступа к консоли администраторам
...
добавить их в группу astra-console.
...
Включить контроль цифровой подписи в ELF файлах и в xattr всех файлов
...
(Режим Замкнутой Программной Среды, ЗПС)
...
.
Для включения цифровой подписи сгенерировать ключи и
...
подписать цифровой подписью в xattr все основные файлы и каталоги в корневой
...
файловой системе.
...
Рекомендуемые каталоги для подписи: /etc /lib /lib64 /lib32 /bin /sbin /boot /root /opt /srv /usr
...
Для включения механизма контроля подписи в ELF
...
установить в файле /etc/digsig/digsig_initramfs.conf:
Блок кода title /etc/digsig/digsig_initramfs.conf DIGSIG_ENFORCE=1
...
DIGSIG_LOAD_KEYS=1
...
Выполнить команду:
Command update-initramfs -u -k all
...
Перезагрузить компьютер.
...
Для включения механизма контроля подписи в
xattr
см. РУК КСЗ п.13.5.2
...
При возможности
...
использовать защитное преобразование данных домашних каталогов пользователей с помощью допустимых средств
...
преобразования.
...
При возможности
...
настроить двухуровневый киоск для пользователя.
...
См. РУК КСЗ п.15
...
. Как минимум,
...
настроить высокоуровневый киоск для пользователя с помощью утилиты fly-kiosk
...
.см. РУК КСЗ п.15.6
...
При возможности
...
запретить пользователям подключение сменных носителей.
...
Установить запрет установки исполняемого бита:
Command echo 1 > /parsecfs/nochmodx
echo 1 > /etc/parsec/nochmodxсм. РУК КСЗ п.16
...
Настроить систему аудита на сохранение
...
журналов на удаленной машине.
...
Если возможно
...
, то использовать систему централизованного протоколирования
ossec
...
, см. РУК АДМИН п.15
...
Установить МКЦ > 0 на всеx основных файлах и каталогах в корневой
...
файловой системе. (set-fs-ilev)
...
(при установленных оперативных обновлениях, выпущенных позже 27-10-2017).
Установку МКЦ
...
проводить после всех настроек безопасности, так как дальнейшее
...
администрирование будет возможно только
...
после входа под высоким уровнем целостности или после снятия МКЦ с
...
файловой системы командой unset-fs-ilev.
Установка МКЦ на 1.5 апдейт 27-10-2017:
...
...
title | P.S. |
---|
...
.
Включить запрос пароля при каждом выполнении команды sudo, для чего внести следующие изменения в файл /etc/sudoers:
Для того, чтобы для выполнения первой команды sudo требовалось ввести пароль:
удалить "NOPASSWD:" из строки:Информация %astra-admin ALL=(ALL:ALL) NOPASSWD:ALLДля того, чтобы пароль не запоминался для выполнения последующих команд и запрашивался для каждой команды добавить строку:
Информация Defaults timestamp_timeout=0
...