Справочный центр

Дерево страниц

Сравнение версий

Старая версия 1

changes.mady.by.user Александр Левдонский

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Александр Левдонский

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Отображение дочерних

Оглавление

Настройка безопасной конфигурации

...

ОС Astra Linux

...

Common Edition 2.12

Перед установкой ОС

  1. При возможности - установить и настроить на компьютере аппаратно-программный модуль доверенной загрузки (АПМДЗ)

  2. Установить "взломостойкий" пароль на BIOS компьютера.

    Информация
    titleP.S.

    "Взломостойкий" пароль это пароль:

    • Содержащий не менее 8 символов;
    • Не содержащий в себе никаких осмысленных слов (ни в каких раскладках);
    • Содержащий в себе буквы в различных регистрах, цифры и спецсимволы.


  3. Обеспечить защиту от "незаметного" вскрытия корпуса и встраивания "имплантов" в соединительные кабели периферийных устройств".
    Для обеспечения защиты могут использоваться специальные корпуса, защитные крышки, пломбы, пломбировочные ленты, для усложнения скрытной установки "имплантов" рекомендуется использование ПК в форм-факторе ноутбук или моноблок.

  4. Исключить использование беспроводных периферийных устройств ввода (мыши, клавиатуры, тачпады и пр.).
    Отключить по возможности беспроводные системы передачи данных (WiFi, Bluetooth).
    При необходимости использования WiFi - по возможности использовать для защиты данных сети VPN.

  5. При наличии опций для процессоров Intel Execute Disable Bit (XD-Bit) и для процессоров AMD No Execute Bit (NX-Bit) включить их.

  6. При наличии на серверах "не доверенных" систем контроля и управления типа ILO, RSA, iDRAC, ThinkServer EasyManage, AMT, iMana - их необходимо отключить, и использовать, при необходимости, альтернативные решения типа IP KVM.

  7. Устранить известные уязвимости аппаратной платформы (процессоров, контроллеров, BIOS и пр.). Обычно выполняется обновлением BIOS и микропрограмм устройств или, до получения нейтрализующих обновлений, отключением опций, подверженных уязвимостям. См. эксплуатационную документацию на используемые компоненты аппаратной платформы. В процессе эксплуатации устранять уязвимости аппаратной платформы по мере их выявления.Для Intel платформ необходимо устранить уязвимости Intel-SA-00086 в Intel Management Engine (если он инегрирован в процессор)
    посредством установки обновления микропрограммы Intel Management Engine
    (производитель оборудования должен обеспечить данную возможность - это либо обновления BIOS, либо ПО для интеграции обновлений).
    Для частичных проверок используйте: Intel-SA-00086 Detection Tool.
    Более подробно: https://www.intel.ru/content/www/ru/ru/support/articles/000025619/software.html

  8. Установить ОС (обязательно с включенным защитным преобразованием диска),
    и по возможности обеспечить невозможность физического доступа к жесткому диску, на котором установлена ОС 

При установке ОС

  1. Установить "взломостойкий" пароль на загрузчик Grub.

    Создать отдельные дисковые разделы  

    Для всех перечисленных дисковых разделов рекомендуется
    РазделРекомендации по установке/настройке
    /С защитным преобразованием (при условии, что /boot размещен в отдельном дисковом разделе).
    Рекомендуется использовать файловую систему ext4.
    /bootБез защитного преобразования.
    Допускается использовать файловую систему ext2, ext3, ext4.
    /homeС защитным преобразованием.
    Рекомендуется использовать файловую систему ext4.
    Рекомендуется монтировать с опциями noexec,nodev,nosuid.
    /tmpС защитным преобразованием.
    Рекомендуется использовать файловую систему ext4.
    Рекомендуется монтировать с опциями noexec,nodev,nosuid.
    /var/tmp
    Информация
    С защитным преобразованием.
    Рекомендуется использовать файловую систему ext4.
    Рекомендуется монтировать с опциями noexec,nodev,nosuid.
    swapОпционально. С защитным преобразованием.


    системы ext4.
    Информация

    При выборе размера дисковых размеров разделов следует помнить, что при размере раздела /tmp менее 250МБ весьма вероятно возникновение ошибок при работе с графикой или с большими объёмами данных.


  2. Разделы /home /tmp /var/tmp рекомендуется монтировать с опциями noexec,nodev,nosuid

  3. В разделе "Дополнительные настройки ОС" включить:
    1. Использовать по умолчанию ядро hardened. При невозможности использования ядра hardened использовать модуль lkrg ядра generic (см. Инструменты командной строки astra-safepolicy);
    2. Включить блокировку консоли;
    3. Включить блокировку интерпретаторов;
    4. Включить межсетевой экран ufw;
    5. Включить системные ограничения ulimits;
    6. Отключить возможность трассировки ptrace;
    7. Запретить установку бита исполнения;
    8. Включить использование sudo с паролем;

После установки ОС

  1. Установить единственным устройством для загрузки ОС жесткий диск, на который была произведена установка ОС

...

  1. ;

  2. Установить "взломостойкий" пароль на загрузчик Grub. При использовании архитектур, отличных от Intel, установить пароль на загрузчик согласно документации;

  3. Использовать загрузку ядра HARDENED, и убрать из меню все другие варианты загрузки, включая режимы восстановления;

  4. Удалить модули ядра, ответственные за работу с Intel Management Engine (MEI). Инструкция по ссылке;Настроить монтирование раздела /boot с опциями ro (перед обновлением ядра перемонтировать в rw).

  5. Установить все доступные обновления безопасности ОС Astra Linux:

    Информация
    для ОС ОН Орёл для Astra Linux Common Edition обновления доступны по мере их выхода:  httphttps://mirrordownload.yandexastralinux.ru/astra/stablecurrent/orel
    Настроить загрузчик на загрузку ядра HARDENED, и убрать из меню все другие варианты загрузки, включая режимы восстановления.
    При использовании архитектур, отличных от Intel, установить пароль на загрузчик согласно документации.
    Установить единственным устройством для загрузки ОС жесткий диск, на который была произведена установка ОС
    /repository/

    После установки ОС сразу настроена на работу с репозиторием, и при наличии  доступа в интернет, обновление можно выполнить командами:

    Информация
    sudo apt update && sudo apt upgrade


  6. Установить пакет управления функциями безопасности astra-safepolicy:

    Command
    sudo apt install astra-safepolicy


  7. Если каталог /boot расположен в отдельном дисковом разделе, то настроить монтирование этого раздела  с опциями  ro  (перед обновлением ядра такой раздел необходимо будут перемонтировать с опциями  rw );

  8. Включить режим загрузки secureboot на своих ключах (создать usb-flash носитель с помощью astra-secureboot, и, далее, ключи импортировать в BIOS) в соответствии с инструкцией
    ;

  9. Установить на устройства - жесткие диски максимальный уровень конфиденциальности (на ОС СН Смоленск 1.6 устанавливается автоматически):

    Информация
    /dev/sd*
    /dev/hd*
    /dev/vd*

    Отключить доступ к консоли пользователям:

    Создать файл /etc/rc.local со следующим содержимым:

    Информация

    #!/bin/sh -e
    chown root:astra-console /dev/{pts,pts/*,ptmx,tty*}
    chmod g+rx /dev/{pts,pts/*,ptmx,tty*}
    chmod o-rx /dev/{pts,pts/*,ptmx,tty*}
    exit 0

    Добавить правило в файл /etc/security/access.conf командой:

    Command
    echo "-:ALL EXCEPT astra-console :LOCAL" >> /etc/security/access.conf

    Включить в /etc/pam.d/login обработку заданных правил командой

    Commandsed -i 's|.

    , если он не был отключен при установке ОС. Если установлен пакет astra-safepolicy, то использовать команду:

    Command
    sudo astra-console-lock enable

    или использовать графическую конссоль fly-admin-smc.

    *account.*pam_access.*|account required pam_access.so|' /etc/pam.d/login

    Для включения доступа к консоли администраторам необходимо добавить их в группу astra-console.;

  10. Включить блокировку интерпретаторов

    Дополнительно, включить блокировку макросов в  Libreoffice.
    Дополнительно, включить блокировку макросов в  VLС:

    , если она не была включена при установке ОС. Если установлен пакет astra-safepolicy, то использовать команду:

    Command
    sudo astra-interpreters-lock enable

    или использовать графическую конссоль fly-admin-smc;


  11. По возможности, включить блокировку макросов с помощью инструмента командной строки astra-macros-lock:

    Command
    astra-macros-lock enable

    или использовать графическую конссоль fly-admin-smc

    Информацияfind /usr/lib/ -type f -name "liblua_plugin*" -exec sudo dpkg-statoverride --update --add root root 640 {} \

    ;


  12. Включить блокировку трассировки ptrace


    Включить гарантированное удаление файлов и папок

    , если она не была включена при установке ОС:

    Command
    astra-ptrace-lock enable

    или использовать графическую конссоль fly-admin-smc;

  13. Включить, при наличии возможности, режим киоска для пользователя.;

  14. Работу с конфиденциальной информацией нужно проводить, используя защитное преобразование файлов.;

  15. Работу с конфиденциальной информацией в сети необходимо производить, используя защитное преобразование пакетов с помощью создания доверенной VPN сети
    (средства встроены в ОС).;

  16. Работу с конфиденциальной информацией при обмене почтой необходимо производить, используя защитные GPG-преобразования писем с помощью плагина для Thunderbird Enigmail
    Enigmail  (средства встроены в ОС);

  17. Установить "взломостойкие" пароли на все учетные записи в ОС.

    Информация
    titleP.S.

    "Взломостойкий" пароль - это пароль

    • Содержащий не менее 8 символов;
    • Не содержащий в себе никаких осмысленных слов (ни в каких раскладках);
    • Содержащий в себе буквы в различных регистрах, цифры и спецсимволы.


  18. Убедиться, что что модуль  pam_tally  настроен на блокировку учетных записей при попытках подбора паролей (настроено по умолчанию при установке ОС).;

  19. Настроить дисковые квоты в ОС
    Для этого установить пакет quota, настроить /etc/fstab, и использовать edquota для установки квот.
    с помощью графической консоли fly-admin-smc;

  20. Включить Настроить ограничения ОС (так называемые ulimits).
    Рекомендуемые настройки /etc/security/limits.conf:

    Информация

    #размер дампа ядра
    * hard core 0

    #максимальный размер создаваемого файла
    * hard fsize 50000000

    #блокировка форк-бомбы(большого количества процессов)
    * hard nproc 1000

    , если они не были включены при установке ОС:

    Command
    sudo astra-ulimits-control enable

    или использовать графическую конссоль fly-admin-smc;


  21. Отключить все неиспользуемые сервисы (в т.ч. сетевые) которые запускаются при старте ОС:

    Command
    systemdgenie


  22. Включить межсетевой экран ufw и настроить , если он не был включен при установке ОС.
    Настроить iptables в минимально необходимой конфигурации, необходимой для работы:
    по умолчанию все запрещено, кроме необходимых исключений

    Command
    • iptables
    • ufw
    • gufw


  23. Настроить параметры ядра в /etc/sysctl.conf:
    Отключить механизм SysRq, для чего использовать используя графический инструмент fly-admin-smc , или добавить соответствующие строки в файл с любым именем и расширением .conf в каталоге /etc/sysctl.conf добавить строку

    Информация
    kernel.sysrq = 0

    после чего перезагрузить ПК, и проверить, что уcтановлено значение 0, командой:

    Command
    cat /proc/sys/kernel/sysrq

    Дополнительные рекомендуемые параметры ядра (также могут быть установлены или изменены с помощью графического инструмента fly-admin-smc):

    d:

    Информация

    fs.suid_dumpable=0
    kernel.randomize_va_space=2
    kernel.sysrq=0
    net.ipv4.ip_forward=0
    net.ipv4.conf.all.send_redirects=0
    net.ipv4.conf.default.send_redirects=0

    после внесения изменений перезагрузить компьютер, и убедиться, что все параметры сохранены правильно.
    Сделать проверку можно командой:

    Command
    sudo sysctl -a | more


  24. Заблокировать исполнение модулей python с расширенным функционалом:

    Command
    find /usr/lib/python* -type f -name "_ctype*" -exec sudo dpkg-statoverride --update --add root root 640 {} \;


  25. При возможности, использовать защитное преобразование домашних каталогов пользователей с помощью допустимых средств,
    или использовать хранение информации на сетевых дисках или на защищенных от несанкционированного доступа сменных носителях.

  26. По возможности, запретить пользователям подключение сменных носителей, к которым может быть осуществлён осуществлен любой несанкционированный доступ.:

    Command
    sudo astra-mount-lock

    или использовать графическую конссоль fly-admin-smc;

  27. Настроить систему аудита на сохранение логов на удаленной машине.
    Если возможно, использовать систему централизованного протоколирования.

  28. Установить и настроить службу fail2ban.

  29. Включить запрос пароля при выполнении команды sudo:

    Command
    sudo astra-sudo-control enable


    Информация

    Дополнительно, для того, чтобы пароль не запоминался для выполнения последующих команд и запрашивался для каждой команды, в файл /etc/sudoers добавить строку

    Информация
    Defaults timestamp_timeout=0


    Информация

    Для снижения риска нарушения нормальной работы компьютера в результате ошибок при изменении файла /etc/sudoers редактирование этого файла следует выполнять с помощью команды:

    Command
    sudo visudo


    Для предотвращения невозможности выполнения команд из-за накопления записей о неудачных вызовах при использовании sudo с паролем рекомендуется добавить строку в файл /etc/pam.d/sudo:

    Command

    account required pam_tally.so

    Итоговое содержание файла /etc/pam.d/sudo:

    Информация

    @include common-auth
    @include common-account
    @include common-session
    account required pam_tally.so


    См. также Запрос пароля для каждого вызова sudo