Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

  1. Установить единственным устройством для загрузки ОС жесткий диск, на который была произведена установка ОС;

  2. Установить "взломостойкий" пароль на загрузчик Grub. При использовании архитектур, отличных от Intel, установить пароль на загрузчик согласно документации;

  3. Использовать загрузку ядра HARDENED, и убрать из меню все другие варианты загрузки, включая режимы восстановления;

  4. Удалить модули ядра, ответственные за работу с Intel Management Engine (MEI). Инструкция по ссылке;

  5. Установить все доступные обновления безопасности ОС Astra Linux:

    Информация
    для Astra

    Для Astra Linux Common Edition обновления

    доступны по мере их выхода

    более не выпускаются. Последнее обновление доступно по ссылке: https://

    download

    dl.astralinux.ru/astra/

    current/orel/repository/

    frozen/2.12_x86-64/2.12.46/.

    После установки ОС сразу настроена на работу с репозиторием, и при наличии  доступа в интернет, обновление можно выполнить командами:

    Информация
    sudo apt update && sudo apt upgrade


  6. Установить пакет управления функциями безопасности astra-safepolicy:

    Command
    sudo apt install astra-safepolicy


  7. Если каталог /boot расположен в отдельном дисковом разделе, то настроить монтирование этого раздела  с опциями  ro  (перед обновлением ядра такой раздел необходимо будут перемонтировать с опциями  rw );

  8. Включить режим загрузки secureboot на своих ключах (создать usb-flash носитель с помощью astra-secureboot, и, далее, ключи импортировать в BIOS) в соответствии с инструкцией;
  9. Отключить доступ к консоли пользователям, если он не был отключен при установке ОС. Если установлен пакет astra-safepolicy, то использовать команду:

    Command
    sudo astra-console-lock enable

    или использовать графическую конссоль fly-admin-smc.

    Для включения доступа к консоли администраторам необходимо добавить их в группу astra-console;

  10. Включить блокировку интерпретаторов, если она не была включена при установке ОС. Если установлен пакет astra-safepolicy, то использовать команду:

    Command
    sudo astra-interpreters-lock enable

    или использовать графическую конссоль fly-admin-smc;


  11. По возможности, включить блокировку макросов с помощью инструмента командной строки astra-macros-lock:

    Command
    astra-macros-lock enable

    или использовать графическую конссоль fly-admin-smc;


  12. Включить блокировку трассировки ptrace, если она не была включена при установке ОС:

    Command
    astra-ptrace-lock enable

    или использовать графическую конссоль fly-admin-smc;

  13. Включить, при наличии возможности, режим киоска для пользователя;

  14. Работу с конфиденциальной информацией нужно проводить, используя защитное преобразование файлов;

  15. Работу с конфиденциальной информацией в сети необходимо производить, используя защитное преобразование пакетов с помощью создания доверенной VPN сети (средства встроены в ОС);

  16. Работу с конфиденциальной информацией при обмене почтой необходимо производить, используя защитные GPG-преобразования писем с помощью плагина для Thunderbird Enigmail  (средства встроены в ОС);

  17. Установить "взломостойкие" пароли на все учетные записи в ОС.

    Информация
    titleP.S.

    "Взломостойкий" пароль - это пароль

    • Содержащий не менее 8 символов;
    • Не содержащий в себе никаких осмысленных слов (ни в каких раскладках);
    • Содержащий в себе буквы в различных регистрах, цифры и спецсимволы.


  18. Убедиться, что модуль  pam_tally  настроен на блокировку учетных записей при попытках подбора паролей (настроено по умолчанию при установке ОС);

  19. Настроить дисковые квоты в ОС с помощью графической консоли fly-admin-smc;

  20. Включить ограничения ОС (так называемые ulimits), если они не были включены при установке ОС:

    Command
    sudo astra-ulimits-control enable

    или использовать графическую конссоль fly-admin-smc;


  21. Отключить все неиспользуемые сервисы (в т.ч. сетевые) которые запускаются при старте ОС:

    Command
    systemdgenie


  22. Включить межсетевой экран ufw, если он не был включен при установке ОС.
    Настроить iptables в минимально необходимой конфигурации, необходимой для работы: по умолчанию все запрещено, кроме необходимых исключений

    Command
    • iptables
    • ufw
    • gufw


  23. Настроить параметры ядра используя графический инструмент fly-admin-smc или добавить соответствующие строки в файл с любым именем и расширением .conf в каталоге /etc/sysctl.d:

    Информация

    fs.suid_dumpable=0
    kernel.randomize_va_space=2
    kernel.sysrq=0
    net.ipv4.ip_forward=0
    net.ipv4.conf.all.send_redirects=0
    net.ipv4.conf.default.send_redirects=0

    после внесения изменений перезагрузить компьютер, и убедиться, что все параметры сохранены правильно.
    Сделать проверку можно командой:

    Command
    sudo sysctl -a | more


  24. Заблокировать исполнение модулей python с расширенным функционалом:

    Command
    find /usr/lib/python* -type f -name "_ctype*" -exec sudo dpkg-statoverride --update --add root root 640 {} \;


  25. При возможности, использовать защитное преобразование домашних каталогов пользователей с помощью допустимых средств,
    или использовать хранение информации на сетевых дисках или на защищенных от несанкционированного доступа сменных носителях.

  26. По возможности, запретить пользователям подключение сменных носителей, к которым может быть осуществлен любой несанкционированный доступ:

    Command
    sudo astra-mount-lock

    или использовать графическую конссоль fly-admin-smc;

  27. Настроить систему аудита на сохранение логов на удаленной машине.Если возможно, использовать систему централизованного протоколирования.

  28. Установить и настроить службу fail2ban.

  29. Включить запрос пароля при выполнении команды sudo:

    Command
    sudo astra-sudo-control enable


    Информация

    Дополнительно, для того, чтобы пароль не запоминался для выполнения последующих команд и запрашивался для каждой команды, в файл /etc/sudoers добавить строку

    Информация
    Defaults timestamp_timeout=0


    Информация

    Для снижения риска нарушения нормальной работы компьютера в результате ошибок при изменении файла /etc/sudoers редактирование этого файла следует выполнять с помощью команды:

    Command
    sudo visudo


    Для предотвращения невозможности выполнения команд из-за накопления записей о неудачных вызовах при использовании sudo с паролем рекомендуется добавить строку в файл /etc/pam.d/sudo:

    Command

    account required pam_tally.so

    Итоговое содержание файла /etc/pam.d/sudo:

    Информация

    @include common-auth
    @include common-account
    @include common-session
    account required pam_tally.so


    См. также Запрос пароля для каждого вызова sudo