Содержание

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Comment: Восстановить из v. 29

Children Display

Table of Contents

Настройка безопасной конфигурации компьютера для работы с ОС Astra Linux CE 2.12

Children Display

Table of Contents

Перед установкой ОС

  1. При возможности - установить и настроить на компьютере аппаратно-программный модуль доверенной загрузки (АПМДЗ)

  2. Установить "взломостойкий" пароль на BIOS компьютера.

    Info
    titleP.S.

    "Взломостойкий" пароль это пароль:

    • Содержащий не менее 8 символов;
    • Не содержащий в себе никаких осмысленных слов (ни в каких раскладках);
    • Содержащий в себе буквы в различных регистрах, цифры и спецсимволы.


  3. Отключить в BIOS-е

...

  1. Intel SGX (в связи с обнаруженной уязвимостью в

...

  1. механизме).

...


  1. Необходимо обеспечить защиту от "незаметного" вскрытия корпуса и встраивания "имплантов" в соединительные кабели периферийных устройств".
    Для обеспечения защиты могут использоваться специальные корпуса, защитные крышки, пломбы, пломбировочные ленты, для усложнения скрытной установки "имплантов" рекомендуется использование ПК в форм-факторе ноутбук или моноблок.

  2. Исключить использование беспроводных периферийных устройств вода (мыши, клавиатуры, тачпады и пр.).
    Отключить по возможности беспроводные системы передачи данных (WiFi, Bluetooth).
    При необходимости использования WiFi - по возможности использовать для защиты данных сети VPN.

  3. При наличии опций для процессоров Intel Execute Disable Bit (XD-Bit) и для процессоров AMD No Execute Bit (NX-Bit) включить их.

  4. При наличии на серверах "не доверенных" систем контроля и управления типа ILO, RSA, iDRAC, ThinkServer EasyManage, AMT, iMana - их необходимо отключить, и использовать, при необходимости, альтернативные решения типа IP KVM.

  5. Для Intel платформ необходимо устранить уязвимости Intel-SA-00086 в Intel Management Engine (если он инегрирован в процессор)
    посредством установки обновления микропрограммы Intel Management Engine
    (производитель оборудования должен обеспечить данную возможность - это либо обновления BIOS, либо ПО для интеграции обновлений).
    Для частичных проверок используйте: Intel-SA-00086 Detection Tool.
    Более подробно: https://www.intel.ru/content/www/ru/ru/support/articles/000025619/software.html

Info
titleP.S.

"Взломостойкий" пароль это пароль:

  • Содержащий не менее 8 символов;
  • Не содержащий в себе никаких осмысленных слов (ни в каких раскладках);
  • Содержащий в себе буквы в различных регистрах, цифры и спецсимволы.

При установке ОС

...


  1. Установить ОС (обязательно с включенным защитным преобразованием диска),
    и по возможности обеспечить невозможность физического доступа к жесткому диску, на котором установлена ОС 

При установке ОС

  1. Создать отдельные дисковые разделы 

    РазделРекомендации по установке/настройке
    /С защитным преобразованием (при условии, что /boot размещен в отдельном дисковом разделе).
    Рекомендуется использовать файловую систему ext4.
    /bootБез защитного преобразования.
    Допускается использовать файловую систему ext2, ext3, ext4.
    /homeС защитным преобразованием.
    Рекомендуется использовать файловую систему ext4.
    Рекомендуется монтировать с опциями noexec,nodev,nosuid.
    /tmpС защитным преобразованием.
    Рекомендуется использовать файловую систему ext4.
    Рекомендуется монтировать с опциями noexec,nodev,nosuid.
    /var/tmpС защитным преобразованием.
    Рекомендуется использовать файловую систему ext4.
    Рекомендуется монтировать с опциями noexec,nodev,nosuid.
    swapОпционально. С защитным преобразованием.


    Info

    При выборе размера дисковых разделов следует помнить, что при размере раздела /tmp менее 250МБ весьма вероятно возникновение ошибок при работе с графикой или с большими объёмами данных.


  2. Разделы /home /tmp /var/tmp рекомендуется монтировать с опциями noexec,nodev,nosuid

  3. В разделе "Дополнительные настройки ОС" включить:
    1. Использовать по умолчанию ядро Hardened;
    2. Включить блокировку консоли;
    3. Включить блокировку интерпретаторов;
    4. Включить межсетевой экран ufw;
    5. Включить системные ограничения ulimits;
    6. Отключить возможность трассировки ptrace;
    7. Запретить установку бита исполнения;
    8. Включить использование sudo с паролем;
Info

При выборе размера дисковых разделов следует помнить, что при размере раздела /tmp менее 250МБ весьма вероятно возникновение ошибок при работе с графикой или с большими объёмами данных.

После установки ОС

  1. Установить единственным устройством для загрузки ОС жесткий диск, на который была произведена установка ОС

  2. Установить "взломостойкий" пароль на загрузчик Grub. При использовании архитектур, отличных от Intel, установить пароль на загрузчик согласно документации.

  3. Использовать загрузку ядра HARDENED, и убрать из меню все другие варианты загрузки, включая режимы восстановления.

  4. Удалить модули ядра, ответственные за работу с Intel Management Engine (MEI). Инструкция по ссылке.

  5. Установить все доступные обновления безопасности ОС Astra Linux:

    Info
    для ОС ОН Орёл обновления доступны по мере их выхода: https://download.astralinux.ru/astra/current/orel/repository/

    После установки ОС

...

  1. сразу настроена на работу с репозиторием, и при наличии  доступа в интернет, обновление можно выполнить командами:

    Info
    sudo apt update && sudo apt upgrade


  2. Настроить монтирование раздела  /boot  с опциями  ro  (перед обновлением ядра перемонтировать в  rw ).

  3. Включить режим загрузки secureboot на своих ключах (создать usb-flash носитель с помощью astra-secureboot, и, далее, ключи импортировать в BIOS) в соответствии с инструкцией

Политика консоли и интерпретаторов

С помощью графического инструмента fly-admin-smc

Info
"Пуск" - "Панель управления" - "Безопасность" - "Политика безопасности" - "Настройки безопасности" - "Политика консоли и интерпретаторов"

включить (если они не были включены при установке ОС)

...

Info
После изменения состояния переключателей не забудьте сохранить изменения.

...

Дополнительно, для того, чтобы пароль не запоминался для выполнения последующих команд и запрашивался для каждой команды, в файл /etc/sudoers добавить строку

Info
Defaults timestamp_timeout=0

...


  1. Отключить доступ к консоли пользователям, если он не был отключен при установке ОС:

    Создать файл /etc/rc.local со следующим содержимым:

    Info

    #!/bin/sh -e
    chown root:astra-console /dev/{pts,pts/*,ptmx,tty*}
    chmod g+rx /dev/{pts,pts/*,ptmx,tty*}
    chmod o-rx /dev/{pts,pts/*,ptmx,tty*}
    exit 0

    Добавить правило в файл /etc/security/access.conf командой:

    Command
    echo "-:ALL EXCEPT astra-console :LOCAL" >> /etc/security/access.conf

    Включить в /etc/pam.d/login обработку заданных правил командой

    Command
    sed -i 's|.*account.*pam_access.*|account required pam_access.so|' /etc/pam.d/login

    Для включения доступа к консоли администраторам необходимо добавить их в группу astra-console.

Image Removed

Системные параметры

С помощью графического инструмента fly-admin-smc

Info
"Пуск" - "Панель управления" - "Безопасность" - "Политика безопасности" - "Настройки безопасности" - "Системные параметры"

включить (если они не были включены при установке ОС):

  • Запрет установки бита исполнения;
  • Блокировку макросов;
  • Блокировку трассировки ptrace;
  • Включение системных ограничений ulimits;
  • Блокировку выключения/перезагрузки ПК для пользователей (по возможности);
  • Блокировку системных команд для пользователей;
  • Межсетевой экран;
  • Запрет монтирования носителей непривилегированными пользователями (по возможности);
Info
После изменения состояния переключателей не забудьте сохранить изменения.

...


  1. Включить блокировку интерпретаторов, если она не была включена при установке ОС

  2. По возможности, включить блокировку макросов с помощью инструмента командной строки astra-macros-lock:

    Command
    astra-macros-lock enable


  3. Включить блокировку трассировки ptrace, если она не была включена при установке ОС

  4. Включить гарантированное удаление файлов и папок

  5. Включить, при наличии возможности, режим киоска для пользователя.

  6. Работу с конфиденциальной информацией нужно проводить, используя защитное преобразование файлов.

  7. Работу с конфиденциальной информацией в сети необходимо производить, используя защитное преобразование пакетов с помощью создания доверенной VPN сети
    (средства встроены в ОС).

  8. Работу с конфиденциальной информацией при обмене почтой необходимо производить, используя защитные GPG-преобразования писем с помощью плагина для Thunderbird Enigmail
    (средства встроены в ОС)

  9. Установить "взломостойкие" пароли на все учетные записи в ОС

    Info
    titleP.S.

    "Взломостойкий" пароль - это пароль

    • Содержащий не менее 8 символов;
    • Не содержащий в себе никаких осмысленных слов (ни в каких раскладках);
    • Содержащий в себе буквы в различных регистрах, цифры и спецсимволы.


  10. Убедиться, что pam_tally  настроен на блокировку учетных записей при попытках подбора паролей (настроено по умолчанию при установке ОС).

  11. Настроить дисковые квоты в ОС
    Для этого установить пакет quota, настроить /etc/fstab, и использовать edquota для установки квот.

  12. Включить ограничения ОС (так называемые ulimits), если они не были включены при установке ОС.
    Настроить ограничения ОС.
    Рекомендуемые настройки /etc/security/limits.conf

...

  1. :

    Info

    #размер дампа ядра
    * hard core 0

    #максимальный размер создаваемого файла
    * hard fsize 50000000

    #блокировка форк-бомбы(большого количества процессов)
    * hard nproc 1000

Image Removed

Параметры ядра


  1. Отключить все неиспользуемые сервисы (в т.ч. сетевые) которые запускаются при старте ОС:

    Command
    systemdgenie


  2. Включить межсетевой экран ufw, если он не был включен при установке ОС.
    Настроить iptables в минимально необходимой конфигурации, необходимой для работы: по умолчанию все запрещено, кроме необходимых исключений

    Command
    • iptables
    • ufw
    • gufw


  3. Настроить параметры ядра в /etc/sysctl.conf

...

  1. (можно

...

  1. использовать графический инструмент fly-admin-smc

...

Info
"Пуск" - "Панель управления" - "Безопасность" - "Политика безопасности" - "Настройки безопасности" - "Параметры ядра"

...

Отключить все неиспользуемые сервисы (в т.ч. сетевые) которые запускаются при старте ОС:

Command
sudo systemdgenie
Info
titleP.S.

"Взломостойкий" пароль это пароль:

  • Содержащий не менее 8 символов;
  • Не содержащий в себе никаких осмысленных слов (ни в каких раскладках);
  • Содержащий в себе буквы в различных регистрах, цифры и спецсимволы.

Настроить iptables в минимально необходимой конфигурации, необходимой для работы: по умолчанию все запрещено, кроме необходимых исключений

Command
  • iptables
  • ufw
  • gufw

Для выполнения этой настройки можно использовать графический инстремент gufw:

Info
"Пуск" -  "Панель управления" - Прочее" - "Настройка межсетевого экрана"

Image Removed

  1. или добавить соответствующие строки в файл /etc/sysctl.conf:

    Info

    fs.suid_dumpable=0
    kernel.randomize_va_space=2
    kernel.sysrq=0
    net.ipv4.ip_forward=0
    net.ipv4.conf.all.send_redirects=0
    net.ipv4.conf.default.send_redirects=0

    после внесения изменений перезагрузить компьютер, и убедиться, что все параметры сохранены правильно.
    Сделать проверку можно командой:

    Command
    sudo sysctl -a | more

Image Removed

Иные мероприятия

...


  1. Заблокировать исполнение модулей python с расширенным функционалом:

    Command
    find /usr/lib/python* -type f -name "_ctype*" -exec sudo dpkg-statoverride --update --add root root 640 {} \;


  2. При возможности, использовать защитное преобразование домашних каталогов пользователей с помощью допустимых средств,
    или использовать хранение информации на сетевых дисках или на защищенных от несанкционированного доступа сменных носителях.

  3. По возможности, запретить пользователям подключение сменных носителей, к которым может быть осуществлён любой несанкционированный доступ.

  4. Настроить систему аудита на сохранение логов на удаленной машине.
    Если возможно, использовать систему централизованного протоколирования.

  5. Установить и настроить службу fail2ban.

  6. Включить запрос пароля при каждом выполнении команды sudo, для чего внести следующие изменения в файл /etc/sudoers:
    1. Для того, чтобы для выполнения первой команды sudo требовалось ввести пароль:
      удалить "NOPASSWD:" из строки:

      Info
      %astra-admin ALL=(ALL:ALL) NOPASSWD: ALL


    2. Для того, чтобы пароль не запоминался для выполнения последующих команд и запрашивался для каждой команды:
      добавить строку

      Info
      Defaults timestamp_timeout=0