Справочный центр

Дерево страниц

Сравнение версий

Старая версия 14

changes.mady.by.user Александр Левдонский

Сохранено

по сравнению с

Новая версия 15

changes.mady.by.user Александр Левдонский

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

                                Настройка безопасной конфигурации ПК и ОС Astra Linux

1. Настройте BIOS (с целью предотвратить загрузку с внешнего носителя) 

1.1. Установите единственным устройством для загрузки ОС - жесткий диск куда была произведена установка ОС.

...

1.9. Включить secureboot на платформах где это возможно согласно инструкции.

2. Для Intel платформ

2.1 Необходимо устранить уязвимости Intel-SA-00086 в Intel Management Engine(если он инегрирован в процессор) посредством установки обновления микропрограммы Intel Management Engine (производитель оборудования должен обеспечить данную возможность - это либо обновления BIOS, либо ПО для интеграции обновлений). Для частичных проверок используйте: Intel-SA-00086 Detection Tool.

...

https://www.intel.ru/content/www/ru/ru/support/articles/000025619/software.html

3. Установите все доступные обновления безопасности ОС Astra Linux

для SE:

http://astralinux.ru/update.html

Обновления безопасности и методические указания Astra Linux Special Edition 1.5

...

http://mirror.yandex.ru/astra/stable/orel/latest/repository-update/

4. Настройте загрузчик на загрузку ядра GENERIC и уберите из меню все другие варианты загрузки, включая режимы восстановления.

4.1 Установите "взломостойкий" пароль на загрузчик Grub (устанавливается по умолчанию при установке ОС).

4.2 При использовании архитектур отличных от Intel установите пароль на загрузчик согласно документации.

5. При установке рекомендуется создать отдельные разделы / /boot /home /tmp /var/tmp

Раздел /boot рекомендуется монтировать с опциями ro (перед обновлением ядра смонтировать в rw)

Разделы /home /tmp /var/tmp рекомендуется монтировать с опциями noexec,nodev,nosuid

6. Установите "взломостойкий" пароли на всех учетных записях в ОС.

6.1 настройте pam_tally на блокировку учетных записей при попытках подбора паролей. (настроено по умолчанию при установке ОС)

7. Настройте дисковые квоты в ОС

Для этого установите пакет quota настройте /etc/fstab и используйте edquota для установки квот.

8. Настройте ограничения ОС: ulimits

рекомендуемые настройки /etc/security/limits.conf:

Блок кода
languagebash
title/etc/security/limits.conf
#размер дампа ядра

* hard core 0

#максимальный размер создаваемого файла

* hard fsize 50000000

#блокировка форк-бомбы(большого количества процессов)

* hard nproc 1000

9. Отключите все неиспользуемые сервисы (в т.ч. сетевые) которые запускаются при старте ОС, используя программы:

chkconfig и fly-admin-runlevel в 1.5

systemctl systemdgenie в 1.6

10. Настройте iptables в минимально необходимой конфигурации необходимой для работы

(по умолчанию все запрещено, кроме необходимых исключений)

в 1.5 iptables ufw

в 1.6 iptables ufw gufw

11. Настройте параметры ядра в /etc/sysctl.conf:

11.1 Отключите механизм SysRq

...

Блок кода
title/etc/sysctl.conf
fs.suid_dumpable=0

kernel.randomize_va_space=2

net.ipv4.ip_forward=0

net.ipv4.conf.all.send_redirects=0

net.ipv4.conf.default.send_redirects=0

12. Заблокируйте исполнение модулей python с расширенным функционалом:

Command

find /usr/lib/python* -type f -name "_ctype*" -exec sudo dpkg-statoverride --update --add root root 640 {} \;

13. Заблокируйте макросы в VLC

Command

find /usr/lib/ -type f -name "liblua_plugin*" -exec sudo dpkg-statoverride --update --add root root 640 {} \;

14. При возможности заблокируйте макросы в Libreoffice

15. Обязательно отключите доступ к консоли пользователям:

(Инструкция для Смоленск 1.5, для 1.6 правила работают из коробки)

...

Для включения доступа к консоли администраторам необходимо добавить их в группу astra-console.

16. Включите контроль цифровой подписи в ELF файлах и в xattr всех файлов,(Режим Замкнутой Программной Среды)

для этого сгенерируйте ключи и подпишите цифровой подписью в xattr все основные файлы и каталоги в корневой ФС.

...

16.2 Для включения механизма контроля подписи в xattr см. РУК КСЗ п.13.5.2

17. При возможности используйте защитное преобразование данных домашних каталогов с помощью допустимых средств преобразования, или используйте хранение информации на сетевых дисках или сменных носителях.

18. При возможности настройте двухуровневый киоск для пользователя.

см. РУК КСЗ п.15

Как минимум, нужно настроить высокоуровневый киоск для пользователя с помощью утилиты fly-kiosk:

см. РУК КСЗ п.15.6

19. При возможности запретите пользователю подключение сменных носителей.

20. Установите запрет установки исполняемого бита:

Command

echo 1 > /parsecfs/nochmodx
echo 1 > /etc/parsec/nochmodx

см. РУК КСЗ п.16

21. Настройте систему аудита на сохранение логов на удаленной машине.

Если возможно используйте систему централизованного протоколирования ossec.

см. РУК АДМИН п.15

22. Установите МКЦ > 0 на всеx основных файлах и каталогах в корневой ФС. (set-fs-ilev)

(в 1.6 и в 1.5 на апдейтах позже 27-10-2017)

...