Перед установкой ОС

• Если планируется использовать ОС в рекомендованном режиме очистки освобождающихся дисковых ресурсов, то исключить использование дисков SSD.
  
  
• При возможности -

Перед установкой ОС

• установить и настроить на компьютере аппаратно-программный модуль доверенной загрузки (АПМДЗ).
  
  

• Установить "взломостойкий" пароль на BIOS компьютера.

  Информация
  title P.S.
  "Взломостойкий" пароль это пароль: Содержащий не менее 8 символов; Не содержащий в себе никаких осмысленных слов (ни в каких раскладках); Содержащий в себе буквы в различных регистрах, цифры и спецсимволы.

• 
  

• Обеспечить защиту от "незаметного" вскрытия корпуса и встраивания "имплантов" в соединительные кабели периферийных устройств.
  Для обеспечения защиты могут использоваться специальные корпуса, защитные крышки, пломбы, пломбировочные ленты, для усложнения скрытной установки "имплантов" рекомендуется использование ПК в форм-факторе ноутбук или моноблок.
  
  

• Исключить использование беспроводных периферийных устройств

• ввода (мыши, клавиатуры, тачпады и пр.).
  Отключить по возможности беспроводные системы передачи данных (WiFi, Bluetooth).
  При необходимости использования WiFi - по возможности использовать для защиты данных сети VPN.
  
  

• При наличии опций для процессоров Intel Execute Disable Bit (XD-Bit) и для процессоров AMD No Execute Bit (NX-Bit) включить их.
  
  

• При наличии на серверах "не доверенных" систем контроля и управления типа ILO, RSA, iDRAC, ThinkServer EasyManage, AMT, iMana - их необходимо отключить, и использовать, при необходимости, альтернативные решения типа IP KVM.
  

• 
  

• Устранить известные уязвимости аппаратной платформы (процессоров, контроллеров, BIOS и пр.). Обычно выполняется обновлением BIOS и микропрограмм устройств или, до получения нейтрализующих обновлений, отключением опций, подверженных уязвимостям. См. эксплуатационную документацию на используемые компоненты аппаратной платформы. В процессе эксплуатации устранять уязвимости аппаратной платформы по мере их выявления.
  
  

• Использовать жесткие диски, имеющие встроенную аппаратную защиту хранящихся данных от несанкционированного доступа, и включать эту аппаратную защиту.

При установке ОС

• Обязательно использовать при установке ОС защитное преобразование дисков,
  и по возможности обеспечить невозможность физического доступа к жесткому диску, на котором установлена ОС
  
  

• Создать отдельные дисковые разделы 

  Информация
  / /boot /home /tmp /var/tmp

  Создать отдельные дисковые разделы в соответствии с рекомендациями:
  

  	Раздел	Рекомендации по установке/настройке	Рекомендованная файловая система	Рекомендованные опции монтирования
  1	/	С защитным преобразованием (при условии, что каталог /boot размещён в отдельном дисковом разделе).

• ext4	defaults
  2	/boot	Без защитного преобразования данных. Нельзя размещать этот раздел в LVM!!!

• При установке ОС с размещением каталога /boot в отдельном дисковом разделе (в том числе - при установке с использованием LVM) рекомендуется выделить под этот раздел не менее 512МБ.	ext2, ext3, ext4	defaults
  3	/home

• С защитным преобразованием.

• ext4

• noexec,nodev,nosuid

• 4	/

• tmp

• С защитным преобразованием.

• При

• размере раздела /tmp менее 250МБ весьма вероятно возникновение ошибок при работе с графикой или с большими объёмами данных.

• 	ext4	noexec,nodev,nosuid
  5	/var	С защитным преобразованием. Монтирование возможно с опциями

• noexec,nodev,nosuid

• , однако использовать их следует с осторожностью: включение опции noexec при установке ОС приведёт к невозможности установки, при необходимости эту опцию можно включить  после установки; использование опции noexec после установки может привести к неработоспособности части ПО (в частности, будет нарушена работа установщика пакетов dpkg);	ext4	defaults по возможности noexec,nodev,nosuid
  6	/var/tmp	С защитным преобразованием. В отличие от каталога /var подкаталог /var/tmp рекомендуется монтировать с опциями noexec,nodev,nosuid.	ext4	noexec,nodev,nosuid
  7	swap	Предупреждение По возможности не использовать. См. Область подкачки (swap): особенности применения и обеспечения безопасности Если необходимо использовать - то использовать с включенным защитным преобразованием и с включенным гарантированным удалением.	swap

  


  Информация

  Для всех перечисленных дисковых разделов (кроме раздела /boot) рекомендуется использовать журналируемую файловую систему ext4. При выборе размера дисковых размеров следует помнить, что при размере раздела /tmp менее 250МБ весьма вероятно возникновение ошибок при работе с графикой или с большими объёмами данных. «В качестве файловых систем на носителях информации компьютеров с ОС (в том числе съемных машинных носителях информации) должны использоваться только файловые системы Ext2/Ext3/Ext4, поддерживающие расширенные (в т.ч. мандатные) атрибуты пользователей и обеспечивающие гарантированное уничтожение (стирание) информации» «Руководство по КСЗ, Часть 1» РУСБ.10015-01 97 01-1, 2020г., п. 17.3.1 «Условия применения ОС»

  


• Разделы /home /tmp /var/tmp рекомендуется монтировать с опциями noexec,nodev,nosuid



• В ОС Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) для предотвращения возможных атак извне установленные сетевые сервисы по умолчанию НЕ ЗАПУСКАЮТСЯ АВТОМАТИЧЕСКИ.
  Это сервисы:

  • apache2.service

  • bind9.service

  • exim4 dovecot.service

  • ejabberd.service

  • nfs-client.target

  • ntp

  • nfs-server.service

  • nmbd.service

  • smbd.service

  • snmpd.service

  • pppd-dns.service

  • ssh.service

  • vsftpd.service

  • winbind.service

  • bluetooth.service

  • openvpn.service

  • sssd.service

  • firewalld.service

    Настройка параметров (в т.ч. параметров безопасности и параметров автоматического запуска) этих сетевых сервисов до их запуска входит в состав работ по настройке системы после установки.
    Image Added

  • 
    

    При установке ОС отдельно обрабатывается установка сервиса SSH: после установки ОС сервис SSH, в отличие от указанных выше сервисов, запускается автоматически. Это исключение сделано для того, чтобы обеспечить возможность удаленного администрирования компьютера для дальнейших настроек после установки.
    
    

    
    

    
    

• В разделе установщика "Дополнительные настройки ОС" включить следующие настройки:
  1. Включить режим замкнутой программной среды;
  2. Запретить установку бита исполнения;
  3. Использовать по умолчанию ядро hardened. При невозможности использования ядра hardened использовать модуль lkrg ядра generic (см. Инструменты командной строки astra-safepolicy)
  4. Запретить вывод меню загрузчика;
  5. Включить очистку разделов страничного обмена (помнить, что очистка освобождаемых ресурсов как правило не работает на SSD-дисках);
  6. Включить очистку освобождаемых областей для EXT-разделов (помнить, что очистка освобождаемых ресурсов как правило не работает на SSD-дисках);
  7. Включить блокировку консоли;
  8. Включить блокировку интерпретаторов;
  9. Включить межсетевой экран ufw;
  10. Включить системные ограничения ulimits;
  11. Отключить возможность трассировки ptrace;
      
      
• Установить "взломостойкий" пароль на загрузчик Grub (устанавливается по умолчанию при установке ОС). См. Изменение параметров загрузчика Grub2

После установки ОС

• Установить единственным устройством для загрузки ОС жесткий диск, на который была произведена установка ОС.
  
  

• Использовать загрузку ядра HARDENED, и убрать из меню все другие варианты загрузки, включая режимы восстановления. См. Изменение параметров загрузчика Grub2
  
  

• Удалить модули ядра, ответственные за работу с Intel Management Engine (MEI). Удаление модулей ядра, работающих с Intel Management Engine (Intel ME).
  
  

• Установить последнее доступное оперативное обновление безопасности. Если после выхода обновления были выпущены методические указания - выполнить их после установки обновления безопасности.
  
  

• При использовании архитектур, отличных от Intel, установить пароль на загрузчик согласно документации.
  
  
• Настроить монтирование раздела  /boot  с опциями  ro  (перед обновлением ядра перемонтировать в  rw ).
  
  
• Включить режим загрузки secureboot на своих ключах (создать usb-flash носитель с помощью astra-secureboot, и, далее, ключи импортировать в BIOS) в соответствии с инструкцией Загрузка Astra Linux в SecureBoot режиме
  
  
• По возможности - не использовать разделы и/или файлы подкачки. При необходимости их использования включать защитное преобразование данных и гарантированное удаление данных.
  
  

• При возможности не использовать спящие режимы энергосбережения (т.н. сон, sleep, suspend-to-disk, hibernation, гибридный сон и пр.).
  
  

• Из соображений безопасности рекомендуется не использовать хранитель экрана и обязать пользователей завершать открытую сессию при необходимости покинуть рабочее место.
  
  

• На компьютерах, введенных в домен, при наличии возможности ограничить вход локальных пользователей, для чего в файле /etc/parsec/parsec.conf выбрать параметр login_local no для полного запрета входа локальных пользователей.

С помощью графического инструмента fly-admin-smc:

Image Added

• Включить блокировку консоли для пользователей, не входящих в группу astra-console;
  
  

• Включить ввод пароля для sudo;
  
  

• Включить блокировку интерпретаторов кроме bash для пользователей;
  
  

• Включить блокировку интерпретатора bash для пользователей;
  
  

Изменение политик без использования графического интерфейса

Политика очистки памяти

С помощью графического инструмента fly-admin-smc

Image Added

• Включить очистку разделов подкачки;
• Включить гарантированное удаление файлов и папок;

Без использования графического интерфейса

Системные параметры

С помощью графического инструмента fly-admin-smc

Image Added

• Включить запрет установки бита исполнения;

• Включить блокировку макросов;

• Включить блокировку трассировки ptrace;
• Включить блокировку одновременной работы с разными уровнями конфиденциальности в пределах одной сессии;
• Включить системные ограничения ulimits;
• Включить блокировку выключения/перезагрузки ПК для пользователей;
• Включить блокировку системных команд для пользователей;
• Включить межсетевой экран;
• Включить запрет монтирования носителей непривилегированными пользователями;
• Включить блокировку клавиш SysRq для всех пользователей, включая администраторов;

• По возможности включить режим работы файловой системы ОС - "только чтение"

  Предупреждение

  При включении данного режима дисковый раздел, в котором находится корневая файловая система будет перемонтирован в специальном режиме временной файловой системы, при котором вносимые в файлы изменения будут сохраняться только до перезагрузки. Данный режим позволяет защитить от изменений системные файлы, однако файлы, в которых должны сохраняться постоянные изменения (например, домашние каталоги пользователей) должны находиться в другом дисковом разделе.

  
  

Без использования графического интерфейса

Режим замкнутой программной среды

С помощью графического инструмента fly-admin-smc:

Image Added

• Включить контроль цифровой подписи в исполняемых файлах (ELF-файлах) и в xattr всех файлов (Режим Замкнутой Программной Среды) (см. РУК КСЗ п.16.1).
  Для этого:

  • Создать ключи;

  • Подписать цифровой подписью в xattr все файлы, относящиеся к СПО и не имеющие цифровой подписи производителя;

  • При этом рекомендуется подписывать только каталоги, содержащие неизменяемые (между обновлениями) файлы.
    Обычно такие файлы находятся в подкаталогах каталога /opt/.

Без использования графического интерфейса

Режим системного киоска

• Включить, при наличии возможности, режим киоска для каждого пользователя (РУК КСЗ п.16.2.1). Киоск можно настроить с помощью графического инструмента fly-admin-kiosk:

  Информация
  "Пуск" - "Панель управления" - "Безопасность" - "Системный киоск"

  Подробнее см. Системный Киоск-2: пакет parsec-kiosk2 (ограничения пользователя).

Режим графического киоска

• Включить, при наличии возможности, режим графического киоска (ограниченный набор приложений) для каждого пользователя. Режим графического киоска можно настроить с помощью графического инструмента fly-admin-smc (см. РУК КСЗ п.16.2.2):

  Информация
  "Пуск" - "Панель управления" - "Безопасность" - "Политика безопасности" - "Настройки безопасности" - "Пользователи" Выбрать пользователя Закладка "Графический киоск Fly"

  Image Added
  При этом:

• Для пользователей

  • Установить ограничения на изменение внешнего вида и/или размещение файлов на рабочем столе;

  • Назначить допустимые придожения;

    • Для допустимых приложений, по необходимости, назначить режим "Запускать приожения в песочнице (Firejail)";
      • Для приложений, запускаемых в "песочнице" назначить дополнительные ограничения:
        • Запускать с чистой домашней папкой;
        • Отключить аппаратное ускорение трёхмерной графики;
        • Отключить звуковую систему;
        • Включить фильтр seccomp;
        • Запускать с чистой папкой /tmp;
        • Отключить доступ к сети;

Прочие системные ограничения

• Убедиться, что pam_tally  настроен на блокировку учетных записей при попытках подбора паролей (настроено по умолчанию при установке ОС).
  
  

• Настроить дисковые квоты в ОС, для этого настроить /etc/fstab, и использовать для установки дисковых квот команду

  Command
  sudo edquota

  
  

• Проверить наличие работающих сервисов, отключить все неиспользуемые сервисы (в т.ч. сетевые),  запускающиеся при старте ОС:

  Информация
  В ОС Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) командой  systemdgenie   или В ОС Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5) командами  chkconfig и fly-admin-runlevel

  
  

Настройка межсетевого экрана

• Включить и настроить межсетевой экран ufw и iptables в минимально необходимой конфигурации, необходимой для работы: по умолчанию все запрещено, кроме необходимых исключений
  

  Информация
  В ОС Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) командами iptables ufw gufw

  Для выполнения этой настройки можно использовать графический инструмент gufw:

  Информация
  "Пуск" -  "Панель управления" - Прочее" - "Настройка межсетевого экрана"

  Image Added
  
  

Параметры ядра

• Настроить параметры ядра используя графический инструмент fly-admin-smc или добавить соответствующие строки в файл в каталоге /etc/sysctl.d/ с любым именем и расширением .conf:

  Информация
  fs.suid_dumpable=0 kernel.randomize_va_space=2 kernel.sysrq=0 net.ipv4.ip_forward=0 net.ipv4.conf.all.send_redirects=0 net.ipv4.conf.default.send_redirects=0

  после внесения изменений перезагрузить компьютер, и убедиться, что все параметры сохранены правильно.
  Сделать проверку можно командой:

  Command
  sudo sysctl -a | more

  
  

Работа с конфиденциальной информацией

• Установить "взломостойкие" пароли на все учетные записи в ОС

  Информация
  title P.S.
  "взломостойкий" пароль это пароль Содержащий не менее 8 символов; Не содержащий в себе никаких осмысленных слов (ни в каких раскладках); Содержащий в себе буквы в различных регистрах, цифры и спецсимволы.

  
  

• Работу с конфиденциальной информацией под "уровнями конфиденциальности" нужно проводить, используя защитное преобразование файлов
  (возможность встроена в Файловый менеджер fly-fm). При возможности, использовать защитное преобразование домашних каталогов пользователей с помощью допустимых средств, или использовать хранение информации на сетевых дисках или на защищенных от несанкционированного доступа сменных носителях.
  
  
• Работу с конфиденциальной информацией в сети необходимо производить, используя защитное преобразование пакетов с помощью создания доверенной VPN сети
  (средства встроены в ОС).
  
  
• Работу с конфиденциальной информацией при обмене электронной почтой необходимо производить, используя защитные GPG-преобразования писем с помощью плагина для Thunderbird Enigmail
  (средства встроены в ОС).
  
  

• По возможности, запретить пользователям подключение сменных носителей, к которым может быть осуществлён любой несанкционированный доступ:
  В Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) такой доступ запрещен по умолчанию.
  В Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5) см. информацию по обновлению безопасности БЮЛЛЕТЕНЬ № 27082018SE15
  

• Настроить систему аудита на сохранение логов на удаленной машине.
  Если возможно, использовать систему централизованного протоколирования.
  см.  Руководство администратора, п. 15
  
  

• Для запуска WEB-браузеров всегда использовать дополнительный уровни изоляции (см. Система изоляции пользовательских приложений FireJail);
  
  

• Для запуска сторонних приложений по возможности использовать дополнительные уровни изоляции:
  • Виртуализация QEMU/KVM в Astra Linux
  • Docker в Astra Linux Special Edition РУСБ.10015-01 очередное обновление 1.7
  • Система контейнерной изоляции уровня ОС LXC
  • Система изоляции пользовательских приложений FireJail

Мандатный контроль целостности и защита файловой системы

• В ОС Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) с установленным обновлением безопасности № 20190912SE16 подсистема мандатного контроля целостности включена по умолчанию, защита файловой системы ("МКЦ на ФС") по умолчанию отключена.
  В более ранних системах следует убедиться, что мандатный контроль целостности включен (МКЦ > 0) на всеx основных файлах и каталогах в корневой файловой системе (актуально для ОС Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) и  ОС Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5)), для чего использовать графический инструмент fly-admin-smc:

  Информация
  "Пуск" - "Панель управления" - "Безопасность" - "Политика безопасности" - "Мандатный контроль целостности" -> «целостность файловой системы» -> установить «высокий 63», или в консоли set-fs-ilev.

  
  

• Включить защиту файловой системы ("установить МКЦ на ФС"):

  Информация
  "Пуск" - "Панель управления" - "Безопасность" - "Политика безопасности" - "Мандатный контроль целостности" -> «Защита файловой системы»

  
  

  Предупреждение
  Включение защиты рекомендуется проводить после завершения всех настроек безопасности, так как дальнейшее администрирование системы будет возможно только под высоким уровнем целостности, и после снятия защиты с файловой системы командой unset-fs-ilev

  
  

  Информация
  Установка МКЦ на ОС Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5) обновление безопасности № 27102017SE15: см.  Оперативные обновления для Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5) и Мандатный контроль целостности

После установки ОС

Установить единственным устройством для загрузки ОС жесткий диск, на который была произведена установка ОС.
Использовать загрузку ядра HARDENED, и убрать из меню все другие варианты загрузки, включая режимы восстановления.
Удалить модули ядра, ответственные за работу с Intel Management Engine (MEI). Инструкция по ссылке.
Установить и выполниить все доступные обновления безопасности и методические указания для ОС СН Смоленск 1.6.
При использовании архитектур, отличных от Intel, установить пароль на загрузчик согласно документации.
Настроить монтирование раздела  /boot  с опциями  ro  (перед обновлением ядра перемонтировать в  rw ).

• Включить режим загрузки secureboot на своих ключах (создать usb-flash носитель с помощью astra-secureboot, и, далее, ключи импортировать в BIOS) в соответствии с инструкцией
  

Установить на устройства - жесткие диски максимальный уровень конфиденциальности (на ОС СН Смоленск 1.6 устанавливается автоматически):

Информация
/dev/sd* /dev/hd* /dev/vd*

Отключить доступ к консоли пользователям (данный пункт актуален для ОС СН Смоленск 1.5, так как для ОС СН Смоленск 1.6 правила работают "из коробки"):

Добавить группу astra-console выполнив команду:

Информация
addgroup --gid 333 astra-console

Создать файл /etc/rc.local со следующим содержимым:

Информация
#!/bin/sh -e chown root:astra-console /dev/{pts,pts/*,ptmx,tty*} chmod g+rx /dev/{pts,pts/*,ptmx,tty*} chmod o-rx /dev/{pts,pts/*,ptmx,tty*} exit 0

Добавить правило в файл /etc/security/access.conf командой:

Command
echo "-:ALL EXCEPT astra-console :LOCAL" >> /etc/security/access.conf

Включить в /etc/pam.d/login обработку заданных правил командой

Command
sed -i 's|.*account.*pam_access.*|account required pam_access.so|' /etc/pam.d/login

Для включения доступа к консоли администраторам необходимо добавить их в группу astra-console.
Включить блокировку интерпретаторов


Включить блокировку установки бита исполнения командами

Command
echo 1 > /parsecfs/nochmodx echo 1 > /etc/parsec/nochmodx

или командой

Command
astra-nochmodx-lock enable

или через графический инструмент fly-admin-smc. Подробности см.  РУК КСЗ п.16.5.1


По возможности, включить блокировку макросов с помощью графического инструмента fly-admin-smc или инструмента командной строки astra-macros-lock:

Command
astra-macros-lock enable

Включить блокировку трассировки ptrace


Включить контроль цифровой подписи в исполняемых файлах (ELF-файлах) и в xattr всех файлов (Режим Замкнутой Программной Среды).
Для этого сгенерируйте ключи и подпишите цифровой подписью в xattr все основные файлы и каталоги в корневой ФС.
Рекомендуется подписывать только каталоги, содержащие неизменяемые (между обновлениями) файлы, а также файлы, содержимое которых изменяет только сам пользователь.
Примерный список каталогов для подписи:

Информация
/bin /lib /lib32 /lib64 /sbin /usr Избранные файлы и каталоги из /etc Избранные файлы и каталоги из /boot (например, конфиг grub) Избранные файлы и каталоги из /home/<user> Избранные файлы и каталоги из /opt и т.д.

для включения механизмов контроля подписи в исполняемых файлах (ELF-файлах) и в xattr всех файлов можно использовать графический инструмен fly-admin-smc,
или установить в файле /etc/digsig/digsig_initramfs.conf (подробности см. в соответствующем "Руководстве по КСЗ"):

Информация
Для ОС СН Смоленск 1.6 (см. РУК КСЗ п.16.1): DIGSIG_ELF_MODE=1 DIGSIG_XATTR_MODE=1 Для ОС СН Смоленск 1.5 (см. РУК КСЗ п.13.5): DIGSIG_ENFORCE=1 DIGSIG_LOAD_KEYS=1 DIGSIG_USE_XATTR=1

после чего выполнить команду:

Command
update-initramfs -u -k all

и перезагрузить ПК

ИнформацияПримечание:
Включение ЗПС крайне рекомендуется сочетать с блокировкой интерпретаторов
Блокировку интерпретаторов крайне рекомендуется сочетать с включенным МКЦВключить гарантированное удаление файлов и папок
Включить, при наличии возможности, режим киоска для пользователя.
Киоск можно настроить с помощью графического инструмента командной строки fly-admin-kiosk (РУК КСЗ п.16.3.1).
Включить, при наличии возможности, графический киоск Fly
Киоск можно настроить с помощью графического инструмента fly-admin-smc (см. РУК КСЗ п.16.3.3)
Включить, при наличии возможности, второй уровень контроля подписей в расширенных атрибутах (xattr).
(Это можно выполнить в программе fly-admin-smc).  (см. РУК КСЗ п.16.1)


Установить мандатный контроль целостности (МКЦ > 0) на всеx основных файлах и каталогах в корневой файловой системе.
(в Смоленск 1.6 и в Смоленск 1.5 на апдейтах позже 27-10-2017)
Для этого в графическом инструменте fly-admin-smc «Политика безопасности» -> «мандатный контроль целостности» -> «целостность файловой системы» -> установить «высокий 63», или в консоли set-fs-ilev.

Предупреждение
Установку МКЦ рекомендуется проводить после всех настроек безопасности, так как дальнейшее администрирование возможно только под высоким уровнем целостности, и после снятия МКЦ с файловой системы командой unset-fs-ilev

Установка МКЦ на 1.5 апдейт 27-10-2017: см. Мандатный контроль целостности
Работу с конфиденциальной информацией под "уровнями конфиденциальности" нужно проводить, используя защитное преобразование файлов
(возможность встроена в Файловый менеджер fly-fm).
Работу с конфиденциальной информацией в сети необходимо производить, используя защитное преобразование пакетов с помощью создания доверенной VPN сети
(средства встроены в ОС).
Работу с конфиденциальной информацией при обмене почтой необходимо производить, используя защитные GPG-преобразования писем с помощью плагина для Thunderbird Enigmail
(средства встроены в ОС)


Установить "взломостойкие" пароли на все учетные записи в ОС

Информация
title P.S.
"взломостойкий" пароль это пароль Содержащий не менее 8 символов; Не содержащий в себе никаких осмысленных слов (ни в каких раскладках); Содержащий в себе буквы в различных регистрах, цифры и спецсимволы.

Убедиться, что pam_tally  настроен на блокировку учетных записей при попытках подбора паролей (настроено по умолчанию при установке ОС).
Настроить дисковые квоты в ОС
Для этого установить пакет quota, настроить /etc/fstab, и использовать edquota для установки квот.


Настроить ограничения ОС (так называемые ulimits).
Рекомендуемые настройки /etc/security/limits.conf:

Информация
#размер дампа ядра * hard core 0 #максимальный размер создаваемого файла * hard fsize 50000000 #блокировка форк-бомбы(большого количества процессов) * hard nproc 1000

Отключить все неиспользуемые сервисы (в т.ч. сетевые),  запускающиеся при старте ОС:

Информация
В ОС СН Смоленск 1.6 командой  systemdgenie   или В ОС СН Смоленск 1.5 командами  chkconfig и fly-admin-runlevel

• Включить межсетевой экран ufw и настроить iptables в минимально необходимой конфигурации, необходимой для работы:
  по умолчанию все запрещено, кроме необходимых исключений
  

  Информация
  В ОС СН Смоленск 1.6 командами iptables ufw gufw

  Для выполнения этой настройки можно использовать графический инструмент gufw:

  Информация
  "Пуск" -  "Панель управления" - Прочее" - "Настройка межсетевого экрана"

  Image Removed

Настроить параметры ядра в /etc/sysctl.conf (можно использовать графический инструмент fly-admin-smc или добавить соответствующие строки в файл /etc/sysctl.conf:

Информация
fs.suid_dumpable=0 kernel.randomize_va_space=2 kernel.sysrq=0 net.ipv4.ip_forward=0 net.ipv4.conf.all.send_redirects=0 net.ipv4.conf.default.send_redirects=0

после внесения изменений перезагрузить компьютер, и убедиться, что все параметры сохранены правильно.
Сделать проверку можно командой:

Command
sudo sysctl -a | more

При возможности, использовать защитное преобразование домашних каталогов пользователей с помощью допустимых средств,
или использовать хранение информации на сетевых дисках или на защищенных от несанкционированного доступа сменных носителях.


• По возможности, запретить пользователям подключение сменных носителей, к которым может быть осуществлён любой несанкционированный доступ:
  В Смоленск 1.6 такой доступ запрещен по умолчанию.
  В Смоленск 1.5 см. информацию по обновлению безопасности БЮЛЛЕТЕНЬ № 27082018SE15
  

Настроить систему аудита на сохранение логов на удаленной машине.
Если возможно, использовать систему централизованного протоколирования.
см.  РУК АДМИН п.15
Для запуска сторонних приложений по возможности использовать дополнительные уровни изоляции FireJail и LXC.

•