...
Настроить BIOS, исключив загрузку с внешнего носителя
- Установить все доступные оперативные обновления ОС Astra Linux:Оперативные обновления для Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5)
- Настроить загрузчик на загрузку ядра GENERIC и убрать из меню все другие варианты загрузки, включая режимы восстановления.
- Установить "взломостойкий" пароль на загрузчик Grub (устанавливается по умолчанию при установке ОС).
- При использовании архитектур отличных от
Intel
установить пароль на загрузчик согласно документации. - Установить "взломостойкий" пароли на всех учетных записях в ОС.
- Настроить
pam_tally
на блокировку учетных записей при попытках подбора паролей. (настроено по умолчанию при установке ОС) - Настроить дисковые квоты в ОС.Для настройки дисковых квот:
- установить пакет
quota
; - настроить /etc/fstab;
- использовать инструмент
edquota
для установки квот.
- установить пакет
Настроить ограничения ОС: ulimits.Рекомендуемые настройки (файл /etc/security/limits.conf):
Блок кода language bash title /etc/security/limits.conf #размер дампа ядра * hard core 0 #максимальный размер создаваемого файла * hard fsize 50000000 #блокировка форк-бомбы(большого количества процессов) * hard nproc 1000
Отключить все неиспользуемые сервисы (в т.ч. сетевые) которые запускаются при старте ОС.Для поиска неиспользуемых сервисов можно применить команды
chkconfig
иfly-admin-runlevel
Настроить iptables в минимально необходимой конфигурации необходимой для работы(по умолчанию все запрещено, кроме необходимых исключений). Команда:
iptables ufw
Настроить параметры ядра в /etc/sysctl.conf:
Отключить механизм SysRq, для чего в файл /etc/sysctl.conf добавить строку
Блок кода title /etc/sysctl.conf kernel.sysrq = 0
Перезагрузить компьютер и убедиться, что установлено значение 0. Команда:
Command cat /proc/sys/kernel/sysrq
Установить дополнительные рекомендуемые параметры ядра:
Блок кода title /etc/sysctl.conf fs.suid_dumpable=0 kernel.randomize_va_space=2 net.ipv4.ip_forward=0 net.ipv4.conf.all.send_redirects=0 net.ipv4.conf.default.send_redirects=0
Заблокировать исполнение модулей python с расширенным функционалом:
Command find /usr/lib/python* -type f -name "_ctype*" -exec sudo dpkg-statoverride --update --add root root 640 {} \;
Заблокировать макросы в VLC:
Command find /usr/lib/ -type f -name "liblua_plugin*" -exec sudo dpkg-statoverride --update --add root root 640 {} \;
При возможности заблокировать макросы в Libreoffice
Отключить доступ к консоли пользователям (Инструкция для Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5), для очередного обновления 1.6 правила работают по умолчанию):
Добавить группу astra-console выполнив команду:
Command addgroup --gid 333 astra-console Создать файл /etc/rc.local со следующим содержимым:
Блок кода title /etc/rc.local #!/bin/sh -e chown root:astra-console /dev/{pts,pts/*,ptmx,tty*} chmod g+rx /dev/{pts,pts/*,ptmx,tty*} chmod o-rx /dev/{pts,pts/*,ptmx,tty*} exit 0
Добавить правило в файл /etc/security/access.conf командой:
Command echo "-:ALL EXCEPT astra-console :LOCAL" >> /etc/security/access.conf Включить в /etc/pam.d/login обработку заданных правил командой:
Command sed -i 's|.*account.*pam_access.*|account required pam_access.so|' /etc/pam.d/login
Для включения доступа к консоли администраторам добавить их в группу astra-console.
Включить контроль цифровой подписи в ELF файлах и в xattr всех файлов (Режим Замкнутой Программной Среды, ЗПС).
Для включения цифровой подписи сгенерировать ключи и подписать цифровой подписью в xattr все основные файлы и каталоги в корневой файловой системе. Рекомендуемые каталоги для подписи: /etc /lib /lib64 /lib32 /bin /sbin /boot /root /opt /srv /usr
Для включения механизма контроля подписи в ELF установить в файле /etc/digsig/digsig_initramfs.conf:
Блок кода title /etc/digsig/digsig_initramfs.conf DIGSIG_ENFORCE=1 DIGSIG_LOAD_KEYS=1
Выполнить команду:
Command update-initramfs -u -k all
Перезагрузить компьютер.
Для включения механизма контроля подписи в
xattr
см. РУК КСЗ п.13.5.2
При возможности использовать защитное преобразование данных домашних каталогов пользователей с помощью допустимых средств преобразования.
При возможности настроить двухуровневый киоск для пользователя. См. РУК КСЗ п.15. Как минимум, настроить высокоуровневый киоск для пользователя с помощью утилиты fly-kiosk.см. РУК КСЗ п.15.6
При возможности запретить пользователям подключение сменных носителей.
Установить запрет установки исполняемого бита:
Command echo 1 > /parsecfs/nochmodx
echo 1 > /etc/parsec/nochmodxсм. РУК КСЗ п.16
Настроить систему аудита на сохранение журналов на удаленной машине.Если возможно, то использовать систему централизованного протоколирования
ossec
, см. РУК АДМИН п.15Установить МКЦ > 0 на всеx основных файлах и каталогах в корневой файловой системе. (set-fs-ilev) (при установленных оперативных обновлениях, выпущенных позже 27-10-2017).
Установку МКЦ проводить после всех настроек безопасности, так как дальнейшее администрирование будет возможно только после входа под высоким уровнем целостности или после снятия МКЦ с файловой системы командой unset-fs-ilev.
Установка МКЦ на 1.5 апдейт 27-10-2017: см. Astra Linux Special Edition 1.5 ⬝ Мандатный контроль целостности.Включить запрос пароля при каждом выполнении команды sudo, для чего внести следующие изменения в файл /etc/sudoers:
...