...
- Установить единственным устройством для загрузки ОС жесткий диск, на который была произведена установка ОС;
Установить "взломостойкий" пароль на загрузчик Grub. При использовании архитектур, отличных от Intel, установить пароль на загрузчик согласно документации;
- Использовать загрузку ядра HARDENED, и убрать из меню все другие варианты загрузки, включая режимы восстановления;
- Удалить модули ядра, ответственные за работу с Intel Management Engine (MEI). Инструкция по ссылке;
Установить все доступные обновления безопасности ОС Astra Linux:
Информация для Astra Для Astra Linux Common Edition обновления
доступны по мере их выходаболее не выпускаются. Последнее обновление доступно по ссылке: https://
downloadcurrent/orel/repository/После установки ОС сразу настроена на работу с репозиторием, и при наличии доступа в интернет, обновление можно выполнить командами:
Информация sudo apt update && sudo apt upgrade Установить пакет управления функциями безопасности astra-safepolicy:
Command sudo apt install astra-safepolicy - Если каталог /boot расположен в отдельном дисковом разделе, то настроить монтирование этого раздела с опциями
ro
(перед обновлением ядра такой раздел необходимо будут перемонтировать с опциямиrw
); - Включить режим загрузки secureboot на своих ключах (создать usb-flash носитель с помощью astra-secureboot, и, далее, ключи импортировать в BIOS) в соответствии с инструкцией;
Отключить доступ к консоли пользователям, если он не был отключен при установке ОС. Если установлен пакет astra-safepolicy, то использовать команду:
Command sudo astra-console-lock enable или использовать графическую конссоль fly-admin-smc.
Для включения доступа к консоли администраторам необходимо добавить их в группу astra-console;
Включить блокировку интерпретаторов, если она не была включена при установке ОС. Если установлен пакет astra-safepolicy, то использовать команду:
Command sudo astra-interpreters-lock enable или использовать графическую конссоль fly-admin-smc;
По возможности, включить блокировку макросов с помощью инструмента командной строки astra-macros-lock:
Command astra-macros-lock enable или использовать графическую конссоль fly-admin-smc;
Включить блокировку трассировки ptrace, если она не была включена при установке ОС:
Command astra-ptrace-lock enable или использовать графическую конссоль fly-admin-smc;
- Включить, при наличии возможности, режим киоска для пользователя;
- Работу с конфиденциальной информацией нужно проводить, используя защитное преобразование файлов;
- Работу с конфиденциальной информацией в сети необходимо производить, используя защитное преобразование пакетов с помощью создания доверенной VPN сети (средства встроены в ОС);
- Работу с конфиденциальной информацией при обмене почтой необходимо производить, используя защитные GPG-преобразования писем с помощью плагина для Thunderbird Enigmail (средства встроены в ОС);
Установить "взломостойкие" пароли на все учетные записи в ОС.
Информация title P.S. "Взломостойкий" пароль - это пароль
- Содержащий не менее 8 символов;
- Не содержащий в себе никаких осмысленных слов (ни в каких раскладках);
- Содержащий в себе буквы в различных регистрах, цифры и спецсимволы.
- Убедиться, что модуль
pam_tally
настроен на блокировку учетных записей при попытках подбора паролей (настроено по умолчанию при установке ОС); - Настроить дисковые квоты в ОС с помощью графической консоли fly-admin-smc;
Включить ограничения ОС (так называемые ulimits), если они не были включены при установке ОС:
Command sudo astra-ulimits-control enable или использовать графическую конссоль fly-admin-smc;
Отключить все неиспользуемые сервисы (в т.ч. сетевые) которые запускаются при старте ОС:
Command systemdgenie
Включить межсетевой экран ufw, если он не был включен при установке ОС.
Настроить iptables в минимально необходимой конфигурации, необходимой для работы: по умолчанию все запрещено, кроме необходимых исключенийCommand iptables
ufw
gufw
Настроить параметры ядра используя графический инструмент fly-admin-smc или добавить соответствующие строки в файл с любым именем и расширением .conf в каталоге /etc/sysctl.d:
Информация fs.suid_dumpable=0
kernel.randomize_va_space=2
kernel.sysrq=0
net.ipv4.ip_forward=0
net.ipv4.conf.all.send_redirects=0
net.ipv4.conf.default.send_redirects=0после внесения изменений перезагрузить компьютер, и убедиться, что все параметры сохранены правильно.
Сделать проверку можно командой:Command sudo sysctl -a | more Заблокировать исполнение модулей python с расширенным функционалом:
Command find /usr/lib/python* -type f -name "_ctype*" -exec sudo dpkg-statoverride --update --add root root 640 {} \; При возможности, использовать защитное преобразование домашних каталогов пользователей с помощью допустимых средств,
или использовать хранение информации на сетевых дисках или на защищенных от несанкционированного доступа сменных носителях.По возможности, запретить пользователям подключение сменных носителей, к которым может быть осуществлен любой несанкционированный доступ:
Command sudo astra-mount-lock или использовать графическую конссоль fly-admin-smc;
- Настроить систему аудита на сохранение логов на удаленной машине.Если возможно, использовать систему централизованного протоколирования.
- Установить и настроить службу fail2ban.
Включить запрос пароля при выполнении команды sudo:
Command sudo astra-sudo-control enable Информация Дополнительно, для того, чтобы пароль не запоминался для выполнения последующих команд и запрашивался для каждой команды, в файл /etc/sudoers добавить строку
Информация Defaults timestamp_timeout=0 Информация Для снижения риска нарушения нормальной работы компьютера в результате ошибок при изменении файла /etc/sudoers редактирование этого файла следует выполнять с помощью команды:
Command sudo visudo Для предотвращения невозможности выполнения команд из-за накопления записей о неудачных вызовах при использовании sudo с паролем рекомендуется добавить строку в файл /etc/pam.d/sudo:
Command account required pam_tally.so
Итоговое содержание файла /etc/pam.d/sudo:
Информация @include common-auth
@include common-account
@include common-sessionaccount required pam_tally.so
См. также Запрос пароля для каждого вызова sudo