Настройка безопасной конфигурации

...

ОС Astra Linux

...

Common Edition 2.12

...

...

Перед установкой ОС

1. При возможности - установить и настроить на компьютере аппаратно-программный модуль доверенной загрузки (АПМДЗ)
   
   

2. Установить "взломостойкий" пароль на BIOS компьютера.

   Информация
   title P.S.
   "Взломостойкий" пароль это пароль: Содержащий не менее 8 символов; Не содержащий в себе никаких осмысленных слов (ни в каких раскладках); Содержащий в себе буквы в различных регистрах, цифры и спецсимволы.

...

1. 
   

2. Обеспечить защиту от "незаметного" вскрытия корпуса и встраивания "имплантов" в соединительные кабели периферийных устройств".
   Для обеспечения защиты могут использоваться специальные корпуса, защитные крышки, пломбы, пломбировочные ленты, для усложнения скрытной установки "имплантов" рекомендуется использование ПК в форм-факторе ноутбук или моноблок.
   
   
3. Исключить использование беспроводных периферийных устройств

...

1. ввода (мыши, клавиатуры, тачпады и пр.).
   Отключить по возможности беспроводные системы передачи данных (WiFi, Bluetooth).
   При необходимости использования WiFi - по возможности использовать для защиты данных сети VPN.
   
   

2. При наличии опций для процессоров Intel Execute Disable Bit (XD-Bit) и для процессоров AMD No Execute Bit (NX-Bit) включить их.
   
   

3. При наличии на серверах "не доверенных" систем контроля и управления типа ILO, RSA, iDRAC, ThinkServer EasyManage, AMT, iMana - их необходимо отключить, и использовать, при необходимости, альтернативные решения типа IP KVM.
   

...

Для Intel платформ необходимо устранить уязвимости Intel-SA-00086 в Intel Management Engine (если он инегрирован в процессор)
посредством установки обновления микропрограммы Intel Management Engine
(производитель оборудования должен обеспечить данную возможность - это либо обновления BIOS, либо ПО для интеграции обновлений).
Для частичных проверок используйте: Intel-SA-00086 Detection Tool.
Более подробно: https://www.intel.ru/content/www/ru/ru/support/articles/000025619/software.html

При установке ОС

...

1. 
   

2. Устранить известные уязвимости аппаратной платформы (процессоров, контроллеров, BIOS и пр.). Обычно выполняется обновлением BIOS и микропрограмм устройств или, до получения нейтрализующих обновлений, отключением опций, подверженных уязвимостям. См. эксплуатационную документацию на используемые компоненты аппаратной платформы. В процессе эксплуатации устранять уязвимости аппаратной платформы по мере их выявления.
   
   

3. Установить ОС (обязательно с включенным защитным преобразованием диска),
   и по возможности обеспечить невозможность физического доступа к жесткому диску, на котором установлена ОС 

При установке ОС

1. Создать отдельные дисковые разделы 

   Раздел	Рекомендации по установке/настройке
   /	С защитным преобразованием (при условии, что /boot размещен в отдельном дисковом разделе). Рекомендуется использовать файловую систему ext4.
   /boot	Без защитного преобразования. Допускается использовать файловую систему ext2, ext3, ext4.
   /home	С защитным преобразованием. Рекомендуется использовать файловую систему ext4. Рекомендуется монтировать с опциями noexec,nodev,nosuid.
   /tmp	С защитным преобразованием. Рекомендуется использовать файловую систему ext4. Рекомендуется монтировать с опциями noexec,nodev,nosuid.
   /var/tmp	С защитным преобразованием. Рекомендуется использовать файловую систему ext4. Рекомендуется монтировать с опциями noexec,nodev,nosuid.
   swap	Опционально. С защитным преобразованием.

   


   Информация
   При выборе размера дисковых разделов следует помнить, что при размере раздела /tmp менее 250МБ весьма вероятно возникновение ошибок при работе с графикой или с большими объёмами данных.

   


2. Разделы /home /tmp /var/tmp рекомендуется монтировать с опциями noexec,nodev,nosuid



3. В разделе "Дополнительные настройки ОС" включить:
   1. Использовать по умолчанию ядро

...

1. 1. hardened. При невозможности использования ядра hardened использовать модуль lkrg ядра generic (см. Инструменты командной строки astra-safepolicy);
   2. Включить блокировку консоли;
   3. Включить блокировку интерпретаторов;
   4. Включить межсетевой экран ufw;
   5. Включить системные ограничения ulimits;
   6. Отключить возможность трассировки ptrace;
   7. Запретить установку бита исполнения;
   8. Включить использование sudo с паролем;

После установки ОС

1. Установить единственным устройством для загрузки ОС жесткий диск, на который была произведена установка ОС;
   
   

2. Установить "взломостойкий" пароль на загрузчик Grub. При использовании архитектур, отличных от Intel, установить пароль на загрузчик согласно документации

...

1. ;
   
   

2. Использовать загрузку ядра HARDENED, и убрать из меню все другие варианты загрузки, включая режимы восстановления

...

1. ;
   
   
2. Удалить модули ядра, ответственные за работу с Intel Management Engine (MEI). Инструкция по ссылке

...

1. ;
   
   

2. Установить все доступные обновления безопасности ОС Astra Linux:

   Информация

...

1. для Astra Linux Common Edition обновления доступны по мере их выхода: https://download.astralinux.ru/astra/current/orel/repository/

   После установки ОС

...

1. сразу настроена на работу с репозиторием, и при наличии  доступа в интернет, обновление можно выполнить командами:

   Информация
   sudo apt update && sudo apt upgrade

...

1. 
   

2. Установить пакет управления функциями безопасности astra-safepolicy:
   

   Command
   sudo apt install astra-safepolicy

   
   

3. Если каталог /boot расположен в отдельном дисковом разделе, то настроить монтирование этого раздела  с

...

1. опциями  ro  (перед обновлением ядра

...

1. такой раздел необходимо будут перемонтировать с опциями  rw )

...

1. ;
   
   
2. Включить режим загрузки secureboot на своих ключах (создать usb-flash носитель с помощью astra-secureboot, и, далее, ключи импортировать в BIOS) в соответствии с инструкцией;

3. Отключить доступ к консоли пользователям, если он не был отключен при установке ОС

...

С помощью графического инструмента fly-admin-smc:

С помощью командной строки:
Создать файл /etc/rc.local со следующим содержимым:

Добавить правило в файл /etc/security/access.conf командой:

Включить в /etc/pam.d/login обработку заданных правил командой

1. . Если установлен пакет astra-safepolicy, то использовать команду:

   Command
   sudo astra-console-lock enable

   или использовать графическую конссоль fly-admin-smc.

   Для включения доступа к консоли администраторам

...

1. необходимо добавить их в группу astra-console

...

1. ;
   
   

2. Включить блокировку интерпретаторов, если она не была включена при установке ОС

...

1. . Если установлен пакет astra-safepolicy, то использовать команду:

   Command
   sudo astra-interpreters-lock enable

   или использовать графическую конссоль fly-admin-smc;

...

1. 
   

2. По возможности, включить блокировку макросов

...

1. с помощью инструмента командной строки astra-macros-lock:

   Command
   astra-macros-lock enable

   или использовать графическую конссоль fly-admin-smc;

   
   

2. Включить блокировку трассировки ptrace, если она не была включена при установке ОС

...

1. :

   Command
   astra-ptrace-lock enable

   или использовать графическую конссоль fly-admin-smc;

1. 
   
   

2. Включить, при наличии возможности, режим киоска для пользователя

...

1. ;
   
   
2. Работу с конфиденциальной информацией нужно проводить, используя защитное преобразование файлов

...

1. ;
   
   
2. Работу с конфиденциальной информацией в сети необходимо производить, используя защитное преобразование пакетов с помощью создания доверенной VPN сети

...

1. (средства встроены в ОС)

...

1. ;
   
   
2. Работу с конфиденциальной информацией при обмене почтой необходимо производить, используя защитные GPG-преобразования писем с помощью плагина для Thunderbird

...

1. Enigmail  (средства встроены в ОС);
   
   

2. Установить "взломостойкие" пароли на все учетные записи в ОС.

   Информация
   title P.S.
   "Взломостойкий" пароль - это пароль Содержащий не менее 8 символов; Не содержащий в себе никаких осмысленных слов (ни в каких раскладках); Содержащий в себе буквы в различных регистрах, цифры и спецсимволы.

   
   

3. Убедиться,

...

1. что модуль  pam_tally  настроен на блокировку учетных записей при попытках подбора паролей (настроено по умолчанию при установке ОС)

...

1. ;
   
   
2. Настроить дисковые квоты в ОС

...

1. с помощью графической консоли fly-admin-smc;
   
   

2. Включить ограничения ОС (так называемые ulimits), если они не были включены при установке

...

1. ОС

...

1. :

...

#размер дампа ядра
* hard core 0

#максимальный размер создаваемого файла
* hard fsize 50000000

...

1. Command
   sudo astra-ulimits-control enable

   или использовать графическую конссоль fly-admin-smc;

   
   

2. Отключить все неиспользуемые сервисы (в т.ч. сетевые) которые запускаются при старте ОС:

   Command
   systemdgenie

   
   

3. Включить межсетевой экран ufw, если он не был включен при установке ОС

...

1. .

1. 
   Настроить iptables в минимально необходимой конфигурации, необходимой для работы: по умолчанию все запрещено, кроме необходимых исключений
   

   Command
   iptables ufw gufw

   
   

2. Настроить параметры ядра

...

1. используя графический инструмент fly-admin-smc или добавить соответствующие строки в файл с любым именем и расширением .conf в каталоге /etc/sysctl.

...

1. d:

   Информация
   fs.suid_dumpable=0 kernel.randomize_va_space=2 kernel.sysrq=0 net.ipv4.ip_forward=0 net.ipv4.conf.all.send_redirects=0 net.ipv4.conf.default.send_redirects=0

   после внесения изменений перезагрузить компьютер, и убедиться, что все параметры сохранены правильно.
   Сделать проверку можно командой:

   Command
   sudo sysctl -a | more

   
   

2. Заблокировать исполнение модулей python с расширенным функционалом:

   Command
   find /usr/lib/python* -type f -name "_ctype*" -exec sudo dpkg-statoverride --update --add root root 640 {} \;

   
   

3. При возможности, использовать защитное преобразование домашних каталогов пользователей с помощью допустимых средств,
   или использовать хранение информации на сетевых дисках или на защищенных от несанкционированного доступа сменных носителях.
   
   

4. По возможности, запретить пользователям подключение сменных носителей, к которым может быть

...

1. осуществлен любой несанкционированный доступ

...

1. :

   Command
   sudo astra-mount-lock

   или использовать графическую конссоль fly-admin-smc;
   
   

2. Настроить систему аудита на сохранение логов на удаленной машине.

...

1. Если возможно, использовать систему централизованного протоколирования.
   
   
2. Установить и настроить службу fail2ban.
   
   

3. Включить запрос пароля при

...

1. выполнении команды sudo

...

1. :
   

   Command
   sudo astra-sudo-control enable

   
   

   Информация
   Дополнительно, для

...

Для того, чтобы для выполнения первой команды sudo требовалось ввести пароль:
удалить "NOPASSWD:" из строки:

...

1. того, чтобы пароль не запоминался для выполнения последующих команд и запрашивался для каждой команды

...

1. , в файл /etc/sudoers добавить строку Информация Defaults timestamp_timeout=0 Информация Для снижения риска нарушения нормальной работы компьютера в результате ошибок при изменении файла /etc/sudoers редактирование этого файла следует выполнять с помощью команды: Command sudo visudo Для предотвращения невозможности выполнения команд из-за накопления записей о неудачных вызовах при использовании sudo с паролем рекомендуется добавить строку в файл /etc/pam.d/sudo: Command account required pam_tally.so Итоговое содержание файла /etc/pam.d/sudo: Информация @include common-auth @include common-account @include common-session account required pam_tally.so

   См. также Запрос пароля для каждого вызова sudo