Настройка безопасной конфигурации ПК и ОС Astra Linux
...
Перед установкой ОС
- Настроить BIOS (с целью предотвратить загрузку с внешнего носителя)
...
- Установить единственным устройством для загрузки ОС - жесткий диск куда была произведена установка ОС.
...
- Установить "взломостойкий" пароль на BIOS ПК.
1.3 Отключить в BIOS-е Intel SGX (в связи с обнаруженной уязвимостью в механизме).
...
- Обеспечить защиту от "незаметного" вскрытия корпуса и встраивания "имплантов" в соединительные кабели периферийных устройств".
...
- Для обеспечения защиты могут использоваться специальные корпуса, защитные крышки, пломбы, пломбировочные ленты, для усложнения скрытной установки "имплантов" рекомендуется использование ПК в форм-факторе ноутбук или моноблок.
...
- При возможности -
...
- установить и
...
- настроить АПМДЗ на ПК.
...
- Обеспечить невозможность физического доступа к жесткому диску на котором установлена ОС, или используйте доступные средства защитного преобразования всего содержимого диска.
...
- При наличии опций для процессоров Intel Execute Disable Bit (XD-Bit) и для процессоров AMD No Execute Bit (NX-Bit)
...
- включить их.
...
- При наличии на серверах "не доверенных" систем контроля и управления типа ILO,RSA,iDRAC,ThinkServer EasyManage,AMT,iMana - отключить их
...
- , и использовать при необходимости альтернативные решения типа IP KVM.
...
- Включить secureboot на платформах где это возможно согласно инструкции.
...
- Устранить известные уязвимости аппаратной платформы (процессоров, контроллеров, BIOS и пр.). Обычно выполняется обновлением BIOS и микропрограмм устройств или, до получения нейтрализующих обновлений, отключением опций, подверженных уязвимостям. См. эксплуатационную документацию на используемые компоненты аппаратной платформы. В процессе эксплуатации устранять уязвимости аппаратной платформы по мере их выявления.
...
При установке ОС
- 5. При установке рекомендуется создать отдельные разделы / /boot /home /tmp /var/tmp.Раздел /boot рекомендуется монтировать с опциями
ro
(перед обновлением ядра смонтировать вrw
). Разделы /home /tmp /var/tmp рекомендуется монтировать с опциямиnoexec,nodev,nosuid
После установки ОС
Настроить BIOS, исключив загрузку с внешнего носителя
- Установить все доступные оперативные обновления ОС Astra Linux
...
...
- Настроть загрузчик на загрузку ядра GENERIC и уберать из меню все другие варианты загрузки, включая режимы восстановления.
...
- Установить "взломостойкий" пароль на загрузчик Grub (устанавливается по умолчанию при установке ОС).
...
- При использовании архитектур отличных от
Intel
установить пароль на загрузчик согласно документации
...
- .
...
Раздел /boot рекомендуется монтировать с опциями ro
(перед обновлением ядра смонтировать в rw
)
Разделы /home /tmp /var/tmp рекомендуется монтировать с опциями noexec,nodev,nosuid
...
- Установить "взломостойкий" пароли на всех учетных записях в ОС.
...
- Настроить
pam_tally
на блокировку учетных записей при попытках подбора паролей. (настроено по умолчанию при установке ОС)
...
- Настроить дисковые квоты в ОС
...
- .Для настройки дисковых квот:
- установить пакет
quota
; - настроить /etc/fstab;
- использовать инструмент
edquota
для установки квот.
- установить пакет
...
Настроить ограничения ОС: ulimits
...
.Рекомендуемые настройки (файл /etc/security/limits.conf):
Блок кода language bash title /etc/security/limits.conf #размер дампа ядра * hard core 0 #максимальный размер создаваемого файла * hard fsize 50000000 #блокировка форк-бомбы(большого количества процессов) * hard nproc 1000
...
Отключить все неиспользуемые сервисы (в т.ч. сетевые) которые запускаются при старте ОС
...
.Для поиска неиспользуемых сервисов можно применить
...
команды
chkconfig
иfly-admin-runlevel
...
Настроить iptables в минимально необходимой конфигурации необходимой для работы
...
(по умолчанию все запрещено, кроме необходимых исключений)
...
.
...
Команда:
iptables ufw
в 1.6 iptables ufw gufw
...
Настроить параметры ядра в /etc/sysctl.conf:
...
Отключить механизм SysRq
...
, для чегов /etc/sysctl.conf
...
добавить строку
Блок кода title /etc/sysctl.conf kernel.sysrq = 0
Перезагрузить компьютер и убедиться, что установлено значение 0. Команда:
Command cat /proc/sys/kernel/sysrq
...
Установить
...
дополнительные рекомендуемые параметры ядра:
Блок кода title /etc/sysctl.conf fs.suid_dumpable=0 kernel.randomize_va_space=2 net.ipv4.ip_forward=0 net.ipv4.conf.all.send_redirects=0 net.ipv4.conf.default.send_redirects=0
...
Заблокировать исполнение модулей python с расширенным функционалом:
Command find /usr/lib/python* -type f -name "_ctype*" -exec sudo dpkg-statoverride --update --add root root 640 {} \;
...
Заблокировать макросы в VLC:
Command find /usr/lib/ -type f -name "liblua_plugin*" -exec sudo dpkg-statoverride --update --add root root 640 {} \;
...
При возможности заблокировать макросы в Libreoffice
...
Отключить доступ к консоли пользователям
...
(Инструкция для Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5), для
...
очередного обновления 1.6 правила работают из коробки):
Добавить группу astra-console выполнив команду:
Command addgroup --gid 333 astra-console Создать файл /etc/rc.local со следующим содержимым:
Блок кода title /etc/rc.local #!/bin/sh -e chown root:astra-console /dev/{pts,pts/*,ptmx,tty*} chmod g+rx /dev/{pts,pts/*,ptmx,tty*} chmod o-rx /dev/{pts,pts/*,ptmx,tty*} exit 0
Добавить правило в файл /etc/security/access.conf командой:
Command echo "-:ALL EXCEPT astra-console :LOCAL" >> /etc/security/access.conf Включить в /etc/pam.d/login обработку заданных правил командой:
Command sed -i 's|.*account.*pam_access.*|account required pam_access.so|' /etc/pam.d/login
Для включения доступа к консоли администраторам добавить их в группу astra-console.
...
Включить контроль цифровой подписи в ELF файлах и в xattr всех файлов
...
(Режим Замкнутой Программной Среды, ЗПС).
Для включения цифровой подписи сгенерировать ключи и подписать цифровой подписью в xattr все основные файлы и каталоги в корневой ФС. Рекомендуемые каталоги для подписи: /etc /lib /lib64 /lib32 /bin /sbin /boot /root /opt /srv /usr
...
Для включения механизма контроля подписи в ELF
...
установить в файле /etc/digsig/digsig_initramfs.conf:
Блок кода title /etc/digsig/digsig_initramfs.conf DIGSIG_ENFORCE=1 DIGSIG_LOAD_KEYS=1
Выполнить команду:
Command update-initramfs -u -k all
Перезагрузить компьютер.
...
Для включения механизма контроля подписи в
xattr
см. РУК КСЗ п.13.5.2
...
При возможности использовать защитное преобразование данных домашних каталогов пользователей с помощью допустимых средств преобразования.
...
При возможности настроить двухуровневый киоск для пользователя.
...
см. РУК КСЗ п.15
Как минимум, настроить высокоуровневый киоск для пользователя с помощью утилиты fly-kiosk
...
.см. РУК КСЗ п.15.6
...
При возможности запретить пользователям подключение сменных носителей.
...
Установить запрет установки исполняемого бита:
Command echo 1 > /parsecfs/nochmodx
echo 1 > /etc/parsec/nochmodxсм. РУК КСЗ п.16
...
Настроить систему аудита на сохранение журналов на удаленной машине.
...
Если возможно, то использовать систему централизованного протоколирования
ossec
, см. РУК АДМИН п.15
...
Установить МКЦ > 0 на всеx основных файлах и каталогах в корневой ФС. (set-fs-ilev)
...
(при установленныъ оперативных обносленияз позже 27-10-2017).
Установку МКЦ проводить после всех настроек безопасности, так как дальнейшее администрирование будет возможно только после входа под высоким уровнем целостности или после снятия МКЦ с ФС командой unset-fs-ilev
Установка МКЦ на 1.5 апдейт 27-10-2017: см. Мандатный контроль целостности
...
title | P.S. |
---|
...
...
Включить запрос пароля при каждом выполнении команды sudo, для чего внести следующие изменения в файл /etc/sudoers:
Для того, чтобы для выполнения первой команды sudo требовалось ввести пароль:
удалить "NOPASSWD:" из строки:Информация %astra-admin ALL=(ALL:ALL) NOPASSWD:ALLДля того, чтобы пароль не запоминался для выполнения последующих команд и запрашивался для каждой команды
:добавить строку:
Информация Defaults timestamp_timeout=0