Page tree

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

                                Настройка безопасной конфигурации ПК и ОС Astra Linux

...

Перед установкой ОС

  1. Настроить BIOS (с целью предотвратить загрузку с внешнего носителя) 

...

  1. Установить единственным устройством для загрузки ОС - жесткий диск куда была произведена установка ОС.

...

  1. Установить "взломостойкий" пароль на BIOS ПК.

1.3 Отключить в BIOS-е Intel SGX (в связи с обнаруженной уязвимостью в механизме).

...

  1. Обеспечить защиту от "незаметного" вскрытия корпуса и встраивания "имплантов" в соединительные кабели периферийных устройств".

...

  1. Для обеспечения защиты могут использоваться специальные корпуса, защитные крышки, пломбы, пломбировочные ленты, для усложнения скрытной установки "имплантов" рекомендуется использование ПК в форм-факторе ноутбук или моноблок.

...

  1. При возможности -

...

  1. установить и

...

  1. настроить АПМДЗ на ПК.

...

  1. Обеспечить невозможность физического доступа к жесткому диску на котором установлена ОС, или  используйте доступные средства защитного преобразования всего содержимого диска.

...

  1. При наличии опций для процессоров Intel Execute Disable Bit (XD-Bit) и для процессоров AMD No Execute Bit (NX-Bit)

...

  1. включить их.

...

  1. При наличии на серверах "не доверенных" систем контроля и управления типа ILO,RSA,iDRAC,ThinkServer EasyManage,AMT,iMana - отключить их

...

  1. , и использовать при необходимости альтернативные решения типа IP KVM.

...

  1. Включить secureboot на платформах где это возможно согласно инструкции.

...

  1. Устранить известные уязвимости аппаратной платформы (процессоров, контроллеров, BIOS и пр.). Обычно выполняется обновлением BIOS и микропрограмм устройств или, до получения нейтрализующих обновлений, отключением опций, подверженных уязвимостям. См. эксплуатационную документацию на используемые компоненты аппаратной платформы. В процессе эксплуатации устранять уязвимости аппаратной платформы по мере их выявления.

...

При установке ОС

  1. 5. При установке рекомендуется создать отдельные разделы / /boot /home /tmp /var/tmp.Раздел /boot рекомендуется монтировать с опциями ro (перед обновлением ядра смонтировать в rw). Разделы /home /tmp /var/tmp рекомендуется монтировать с опциями noexec,nodev,nosuid

После установки ОС

  1. Настроить BIOS, исключив загрузку с внешнего носителя

  2. Установить все доступные оперативные обновления ОС Astra Linux

...

  1. :Оперативные обновления для Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5)

...

  1. Настроть загрузчик на загрузку ядра GENERIC и уберать из меню все другие варианты загрузки, включая режимы восстановления.

...

  1. Установить "взломостойкий" пароль на загрузчик Grub (устанавливается по умолчанию при установке ОС).

...

  1. При использовании архитектур отличных от Intel установить пароль на загрузчик согласно документации

...

  1. .

...

Раздел /boot рекомендуется монтировать с опциями ro (перед обновлением ядра смонтировать в rw)

Разделы /home /tmp /var/tmp рекомендуется монтировать с опциями noexec,nodev,nosuid

...

  1. Установить "взломостойкий" пароли на всех учетных записях в ОС.

...

  1. Настроить pam_tally на блокировку учетных записей при попытках подбора паролей. (настроено по умолчанию при установке ОС)

...

  1. Настроить дисковые квоты в ОС

...

  1. .Для настройки дисковых квот:
    1. установить пакет quota;
    2. настроить /etc/fstab;
    3. использовать инструмент edquota для установки квот.

...

  1. Настроить ограничения ОС: ulimits

...

  1. .Рекомендуемые настройки (файл /etc/security/limits.conf):

    Code Block
    languagebash
    title/etc/security/limits.conf
    #размер дампа ядра
    * hard core 0
    #максимальный размер создаваемого файла
    * hard fsize 50000000
    #блокировка форк-бомбы(большого количества процессов)
    * hard nproc 1000

...



  1. Отключить все неиспользуемые сервисы (в т.ч. сетевые) которые запускаются при старте ОС

...

  1. .Для поиска неиспользуемых сервисов можно применить

...

  1. команды chkconfig и fly-admin-runlevel

...

  1. Настроить iptables в минимально необходимой конфигурации необходимой для работы

...

  1. (по умолчанию все запрещено, кроме необходимых исключений)

...

  1. .

...

  1. Команда: iptables ufw

в 1.6 iptables ufw gufw

...

  1. Настроить параметры ядра в /etc/sysctl.conf:

...

    1. Отключить механизм SysRq

...

    1. , для чегов /etc/sysctl.conf

...

    1. добавить строку

      Code Block
      title/etc/sysctl.conf
      kernel.sysrq = 0

      Перезагрузить компьютер и убедиться, что установлено значение 0. Команда:

      Command

      cat /proc/sys/kernel/sysrq

...


    1. Установить

...

    1. дополнительные рекомендуемые параметры ядра:

      Code Block
      title/etc/sysctl.conf
      fs.suid_dumpable=0
      kernel.randomize_va_space=2
      net.ipv4.ip_forward=0
      net.ipv4.conf.all.send_redirects=0
      net.ipv4.conf.default.send_redirects=0

...


  1. Заблокировать исполнение модулей python с расширенным функционалом:

    Command

    find /usr/lib/python* -type f -name "_ctype*" -exec sudo dpkg-statoverride --update --add root root 640 {} \;

...


  1. Заблокировать макросы в VLC:

    Command

    find /usr/lib/ -type f -name "liblua_plugin*" -exec sudo dpkg-statoverride --update --add root root 640 {} \;

...


  1. При возможности заблокировать макросы в Libreoffice

...

  1. Отключить доступ к консоли пользователям

...

  1. (Инструкция для Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5), для

...

  1. очередного обновления 1.6 правила работают из коробки):

    1. Добавить группу astra-console выполнив команду:

      Command
      addgroup --gid 333 astra-console


    2. Создать файл /etc/rc.local со следующим содержимым:

      Code Block
      title/etc/rc.local
      #!/bin/sh -e
      chown root:astra-console /dev/{pts,pts/*,ptmx,tty*}
      chmod g+rx /dev/{pts,pts/*,ptmx,tty*}
      chmod o-rx /dev/{pts,pts/*,ptmx,tty*}
      exit 0
      


    3. Добавить правило в файл /etc/security/access.conf командой:

      Command
      echo "-:ALL EXCEPT astra-console :LOCAL" >> /etc/security/access.conf


    4. Включить в /etc/pam.d/login обработку заданных правил командой:

      Command

      sed -i 's|.*account.*pam_access.*|account required pam_access.so|' /etc/pam.d/login


    5. Для включения доступа к консоли администраторам добавить их в группу astra-console.

...

  1. Включить контроль цифровой подписи в ELF файлах и в xattr всех файлов

...

  1. (Режим Замкнутой Программной Среды, ЗПС).

    1. Для включения цифровой подписи сгенерировать ключи и подписать цифровой подписью в xattr все основные файлы и каталоги в корневой ФС. Рекомендуемые каталоги для подписи: /etc /lib /lib64 /lib32 /bin /sbin /boot /root /opt /srv /usr

...

    1. Для включения механизма контроля подписи в ELF

...

    1. установить в файле /etc/digsig/digsig_initramfs.conf:

      Code Block
      title /etc/digsig/digsig_initramfs.conf
      DIGSIG_ENFORCE=1
      DIGSIG_LOAD_KEYS=1


    2. Выполнить команду:

      Command

      update-initramfs -u -k all


    3. Перезагрузить компьютер.

...

    1. Для включения механизма контроля подписи в xattr см. РУК КСЗ п.13.5.2

...

  1. При возможности использовать защитное преобразование данных домашних каталогов пользователей с помощью допустимых средств преобразования.

...

  1. При возможности настроить двухуровневый киоск для пользователя.

...

  1. см. РУК КСЗ п.15
    Как минимум, настроить высокоуровневый киоск для пользователя с помощью утилиты fly-kiosk

...

  1. .см. РУК КСЗ п.15.6

...

  1. При возможности запретить пользователям подключение сменных носителей.

...

  1. Установить запрет установки исполняемого бита:

    Command

    echo 1 > /parsecfs/nochmodx
    echo 1 > /etc/parsec/nochmodx

    см. РУК КСЗ п.16

...

  1. Настроить систему аудита на сохранение журналов на удаленной машине.

...

  1. Если возможно, то использовать систему централизованного протоколирования ossec, см. РУК АДМИН п.15

...

  1. Установить МКЦ > 0 на всеx основных файлах и каталогах в корневой ФС. (set-fs-ilev)

...

  1. (при установленныъ оперативных обносленияз позже 27-10-2017).
    Установку МКЦ проводить после всех настроек безопасности, так как дальнейшее администрирование будет возможно только после входа под высоким уровнем целостности или после снятия МКЦ с ФС командой unset-fs-ilev
    Установка МКЦ на 1.5 апдейт 27-10-2017: см. Мандатный контроль целостности

...

titleP.S.

...

...

  1. Включить запрос пароля при каждом выполнении команды sudo, для чего внести следующие изменения в файл /etc/sudoers:

  1. Для того, чтобы для выполнения первой команды sudo требовалось ввести пароль:
    удалить "NOPASSWD:" из строки:

    Info
    %astra-admin ALL=(ALL:ALL) NOPASSWD: ALL


  2. Для того, чтобы пароль не запоминался для выполнения последующих команд и запрашивался для каждой команды

  3. :
  4. добавить строку:

    Info
    Defaults timestamp_timeout=0