История страницы

...

1. Установить единственным устройством для загрузки ОС жесткий диск, на который была произведена установка ОС;
   
   

2. Установить "взломостойкий" пароль на загрузчик Grub. При использовании архитектур, отличных от Intel, установить пароль на загрузчик согласно документации;
   
   

3. Использовать загрузку ядра HARDENED, и убрать из меню все другие варианты загрузки, включая режимы восстановления;
   
   
4. Удалить модули ядра, ответственные за работу с Intel Management Engine (MEI). Инструкция по ссылке;
   
   

5. Установить все доступные обновления безопасности ОС Astra Linux:

   Информация
   для ОС ОН Орёл обновления доступны по мере их выхода: https://download.astralinux.ru/astra/current/orel/repository/

   После установки ОС сразу настроена на работу с репозиторием, и при наличии  доступа в интернет, обновление можно выполнить командами:

   Информация
   sudo apt update && sudo apt upgrade

   
   

6. Установить пакет управления функциями безопасности astra-safepolicy:
   

   Command
   sudo apt install astra-safepolicy

   
   

7. Если каталог /boot расположен в отдельном дисковом разделе, то настроить монтирование этого раздела  с Настроить монтирование раздела  /boot  с опциями  ro  (перед обновлением ядра перемонтировать в такой раздел необходимо будут перемонтировать с опциями  rw ).;
   
   
8. Включить режим загрузки secureboot на своих ключах (создать usb-flash носитель с помощью astra-secureboot, и, далее, ключи импортировать в BIOS) в соответствии с инструкцией;

9. Отключить доступ к консоли пользователям, если он не был отключен при установке ОС. Если установлен пакет astra-safepolicy, то использовать команду:

   Command
   sudo astra-console-lock enable

   или использовать графическую конссоль fly-admin-smc.

   Для включения доступа к консоли администраторам необходимо добавить их в группу astra-console;
   
   

10. Включить блокировку интерпретаторов, если она не была включена при установке ОС. Если установлен пакет astra-safepolicy, то использовать команду:

    Command
    sudo astra-interpreters-lock enable

    или использовать графическую конссоль fly-admin-smc;

    
    

11. По возможности, включить блокировку макросов с помощью инструмента командной строки astra-macros-lock:

    Command
    astra-macros-lock enable

    или использовать графическую конссоль fly-admin-smc;

    
    

12. Включить блокировку трассировки ptrace, если она не была включена при установке ОС:

    Command
    astra-ptrace-lock enable

    или использовать графическую конссоль fly-admin-smc;
    
    

13. Включить, при наличии возможности, режим киоска для пользователя;
    
    
14. Работу с конфиденциальной информацией нужно проводить, используя защитное преобразование файлов;
    
    
15. Работу с конфиденциальной информацией в сети необходимо производить, используя защитное преобразование пакетов с помощью создания доверенной VPN сети (средства встроены в ОС);
    
    
16. Работу с конфиденциальной информацией при обмене почтой необходимо производить, используя защитные GPG-преобразования писем с помощью плагина для Thunderbird Enigmail  (средства встроены в ОС);
    
    

17. Установить "взломостойкие" пароли на все учетные записи в ОС.

    Информация
    title P.S.
    "Взломостойкий" пароль - это пароль Содержащий не менее 8 символов; Не содержащий в себе никаких осмысленных слов (ни в каких раскладках); Содержащий в себе буквы в различных регистрах, цифры и спецсимволы.

    
    

18. Убедиться, что модуль  pam_tally  настроен на блокировку учетных записей при попытках подбора паролей (настроено по умолчанию при установке ОС);
    
    
19. Настроить дисковые квоты в ОС с помощью графической консоли fly-admin-smc;
    
    

20. Включить ограничения ОС (так называемые ulimits), если они не были включены при установке ОС:

    Command
    sudo astra-ulimits-control enable

    или использовать графическую конссоль fly-admin-smc;

    
    

21. Отключить все неиспользуемые сервисы (в т.ч. сетевые) которые запускаются при старте ОС:

    Command
    systemdgenie

    
    

22. Включить межсетевой экран ufw, если он не был включен при установке ОС.
    Настроить iptables в минимально необходимой конфигурации, необходимой для работы: по умолчанию все запрещено, кроме необходимых исключений
    

    Command
    iptables ufw gufw

    
    

23. Настроить параметры ядра в /etc/sysctl.conf (можно использовать графический инструмент fly-admin-smc или добавить соответствующие строки в файл /etc/sysctl.conf:

    Информация
    fs.suid_dumpable=0 kernel.randomize_va_space=2 kernel.sysrq=0 net.ipv4.ip_forward=0 net.ipv4.conf.all.send_redirects=0 net.ipv4.conf.default.send_redirects=0

    после внесения изменений перезагрузить компьютер, и убедиться, что все параметры сохранены правильно.
    Сделать проверку можно командой:

    Command
    sudo sysctl -a | more

    
    

24. Заблокировать исполнение модулей python с расширенным функционалом:

    Command
    find /usr/lib/python* -type f -name "_ctype*" -exec sudo dpkg-statoverride --update --add root root 640 {} \;

    
    

25. При возможности, использовать защитное преобразование домашних каталогов пользователей с помощью допустимых средств,
    или использовать хранение информации на сетевых дисках или на защищенных от несанкционированного доступа сменных носителях.
    
    

26. По возможности, запретить пользователям подключение сменных носителей, к которым может быть осуществлен любой несанкционированный доступ:

    Command
    sudo astra-mount-lock

    или использовать графическую конссоль fly-admin-smc;
    
    

27. Настроить систему аудита на сохранение логов на удаленной машине.Если возможно, использовать систему централизованного протоколирования.
    
    
28. Установить и настроить службу fail2ban.
    
    

29. Включить запрос пароля при каждом выполнении команды sudo:
    

    Command
    sudo astra-sudo-control enable