После установки ОС

• Установить единственным устройством для загрузки ОС жесткий диск, на который была произведена установка ОС.
  
  

• Использовать загрузку ядра HARDENED, и убрать из меню все другие варианты загрузки, включая режимы восстановления. См. Изменение параметров загрузчика Grub2
  
  

• Удалить модули ядра, ответственные за работу с Intel Management Engine (MEI). Инструкция по ссылке Удаление модулей ядра, работающих с Intel Management Engine (Intel ME).
  
  

• Установить последнее доступное оперативное обновление безопасности. Если после выхода обновления были выпущены методические указания - выполнить их после установки обновления безопасности.
  
  

• При использовании архитектур, отличных от Intel, установить пароль на загрузчик согласно документации.
  
  
• Настроить монтирование раздела  /boot  с опциями  ro  (перед обновлением ядра перемонтировать в  rw ).
  
  
• Включить режим загрузки secureboot на своих ключах (создать usb-flash носитель с помощью astra-secureboot, и, далее, ключи импортировать в BIOS) в соответствии с инструкцией Загрузка Astra Linux в SecureBoot режиме
  
  
• По возможности - не использовать разделы и/или файлы подкачки. При необходимости их использования включать защитное преобразование данных и гарантированное удаление данных.
  
  

• При возможности не использовать спящие режимы энергосбережения (т.н. сон, sleep, suspend-to-disk, hibernation, гибридный сон и пр.).
  
  
  

• Из соображений безопасности рекомендуется При возможности не использовать хранитель хранитель экрана , и обязать пользователей завершать открытую сессию при необходимости покинуть рабочее место.
  
  

• На доменных компьютерах по компьютерах, введенных в домен, при наличии возможности ограничить вход локальных пользователей:
  , для чего в файле /etc/parsec/parsec.conf , выбрав выбрать параметр login_local no для полного запрета входа локальных пользователей.

С помощью графического инструмента fly-admin-smc:

Image Modified

• Включить блокировку консоли для пользователей, не входящих в группу astra-console;
  
  

• Включить ввод пароля для sudo;
  
  

• Включить блокировку интерпретаторов кроме bash для пользователей;
  
  

• Включить блокировку интерпретатора bash для пользователей;
  
  

Изменение политик без использования графического интерфейса

Политика очистки памяти

С помощью графического инструмента fly-admin-smc

Image Modified

• Включить очистку разделов подкачки;
• Включить гарантированное удаление файлов и папок;

Без использования графического интерфейса

Системные параметры

С помощью графического инструмента fly-admin-smc

Image Modified

• Включить запрет установки бита исполнения;

• Включить блокировку макросов;

• Включить блокировку трассировки ptrace;
• Включить блокировку одновременной работы с разными уровнями конфиденциальности в пределах одной сессии;
• Включить системные ограничения ulimits;
• Включить блокировку выключения/перезагрузки ПК для пользователей;
• Включить блокировку системных команд для пользователей;
• Включить межсетевой экран;
• Включить запрет монтирования носителей непривилегированными пользователями;
• Включить блокировку клавиш SysRq для всех пользователей, включая администраторов;

• По возможности включить режим работы файловой системы ОС - "только чтение"

  Предупреждение

  При включении данного режима дисковый раздел, в котором находится корневая файловая система будет перемонтирован в специальном режиме временной файловой системы, при котором вносимые в файлы изменения будут сохраняться только до перезагрузки. Данный режим позволяет защитить от изменений системные файлы, однако файлы, в которых должны сохраняться постоянные изменения (например, домашние каталоги пользователей) должны находиться в другом дисковом разделе.

  
  

Без использования графического интерфейса

Режим замкнутой программной среды

С помощью графического инструмента fly-admin-smc:

Image Modified

• Включить контроль цифровой подписи в исполняемых файлах (ELF-файлах) и в xattr всех файлов (Режим Замкнутой Программной Среды) (см. РУК КСЗ п.16.1).
  Для этого:

  • Создать ключи;

  • Подписать цифровой подписью в xattr все файлы, относящиеся к СПО и не имеющие цифровой подписи производителя;

  • При этом рекомендуется подписывать только каталоги, содержащие неизменяемые (между обновлениями) файлы.
    Обычно такие файлы находятся в подкаталогах каталога /opt/.

Без использования графического интерфейса

Режим системного киоска

• Включить, при наличии возможности, режим киоска для каждого пользователя (РУК КСЗ п.16.2.1). Киоск можно настроить с помощью графического инструмента fly-admin-kiosk:

  Информация
  "Пуск" - "Панель управления" - "Безопасность" - "Системный киоск"

  Подробнее см. Системный Киоск-2: пакет parsec-kiosk2 (ограничения пользователя).

Режим графического киоска

• Включить, при наличии возможности, режим графического киоска (ограниченный набор приложений) для каждого пользователя. Режим графического киоска можно настроить с помощью графического инструмента fly-admin-smc (см. РУК КСЗ п.16.2.2):

  Информация
  "Пуск" - "Панель управления" - "Безопасность" - "Политика безопасности" - "Настройки безопасности" - "Пользователи" Выбрать пользователя Закладка "Графический киоск Fly"

  Image Modified
  При этом:

• Для пользователей

  • Установить ограничения на изменение внешнего вида и/или размещение файлов на рабочем столе;

  • Назначить допустимые придожения;

    • Для допустимых приложений, по необходимости, назначить режим "Запускать приожения в песочнице (Firejail)";
      • Для приложений, запускаемых в "песочнице" назначить дополнительные ограничения:
        • Запускать с чистой домашней папкой;
        • Отключить аппаратное ускорение трёхмерной графики;
        • Отключить звуковую систему;
        • Включить фильтр seccomp;
        • Запускать с чистой папкой /tmp;
        • Отключить доступ к сети;

Прочие системные ограничения

• Убедиться, что pam_tally  настроен на блокировку учетных записей при попытках подбора паролей (настроено по умолчанию при установке ОС).
  
  

• Настроить дисковые квоты в ОС, для этого настроить /etc/fstab, и использовать для установки дисковых квот команду

  Command
  sudo edquota

  
  

• Проверить наличие работающих сервисов, отключить все неиспользуемые сервисы (в т.ч. сетевые),  запускающиеся при старте ОС:

  Информация
  В ОС СН Смоленск Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) командой  systemdgenie   или В ОС СН Смоленск Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5) командами  chkconfig и fly-admin-runlevel

  
  

Настройка межсетевого экрана

• Включить и настроить межсетевой экран ufw и iptables в минимально необходимой конфигурации, необходимой для работы: по умолчанию все запрещено, кроме необходимых исключений
  

  Информация
  В ОС СН Смоленск Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) командами iptables ufw gufw

  Для выполнения этой настройки можно использовать графический инструмент gufw:

  Информация
  "Пуск" -  "Панель управления" - Прочее" - "Настройка межсетевого экрана"

  Image Modified
  
  

Параметры ядра

• Настроить параметры ядра в /etc/sysctl.conf (можно использовать используя графический инструмент fly-admin-smc или добавить соответствующие строки в файл в каталоге /etc/sysctl.d/ с любым именем и расширением .conf:

  Информация
  fs.suid_dumpable=0 kernel.randomize_va_space=2 kernel.sysrq=0 net.ipv4.ip_forward=0 net.ipv4.conf.all.send_redirects=0 net.ipv4.conf.default.send_redirects=0

  после внесения изменений перезагрузить компьютер, и убедиться, что все параметры сохранены правильно.
  Сделать проверку можно командой:

  Command
  sudo sysctl -a | more

  
  

Работа с конфиденциальной информацией

• Установить "взломостойкие" пароли на все учетные записи в ОС

  Информация
  title P.S.
  "взломостойкий" пароль это пароль Содержащий не менее 8 символов; Не содержащий в себе никаких осмысленных слов (ни в каких раскладках); Содержащий в себе буквы в различных регистрах, цифры и спецсимволы.

  
  

• Работу с конфиденциальной информацией под "уровнями конфиденциальности" нужно проводить, используя защитное преобразование файлов
  (возможность встроена в Файловый менеджер fly-fm). При возможности, использовать защитное преобразование домашних каталогов пользователей с помощью допустимых средств, или использовать хранение информации на сетевых дисках или на защищенных от несанкционированного доступа сменных носителях.
  
  
• Работу с конфиденциальной информацией в сети необходимо производить, используя защитное преобразование пакетов с помощью создания доверенной VPN сети
  (средства встроены в ОС).
  
  
• Работу с конфиденциальной информацией при обмене электронной почтой необходимо производить, используя защитные GPG-преобразования писем с помощью плагина для Thunderbird Enigmail
  (средства встроены в ОС).
  
  

• По возможности, запретить пользователям подключение сменных носителей, к которым может быть осуществлён любой несанкционированный доступ:
  В Смоленск Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) такой доступ запрещен по умолчанию.
  В Смоленск .
  В Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5) см. информацию по обновлению безопасности БЮЛЛЕТЕНЬ № 27082018SE15
  

• Настроить систему аудита на сохранение логов на удаленной машине.
  Если возможно, использовать систему централизованного протоколирования.
  см.  Руководство администратора, п. 15
  
  

• Для запуска WEB-браузеров всегда использовать дополнительный уровни изоляции (см. Система изоляции пользовательских приложений FireJail);
  
  

• Для запуска сторонних приложений по возможности использовать дополнительные уровни изоляции FireJail.
  изоляции:
  • Виртуализация QEMU/KVM в Astra Linux
  • Docker в Astra Linux Special Edition РУСБ.10015-01 очередное обновление 1.7
  • Система контейнерной изоляции уровня ОС LXC
  • Система изоляции пользовательских приложений FireJail
  Для запуска сторонних приложений по возможности использовать дополнительные уровни изоляции FireJail и LXC.

Мандатный контроль целостности и защита файловой системы

• В ОС ОН Смоленск Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) с установленным обновлением безопасности № 20190912SE16 подсистема мандатного контроля целостности включена по умолчанию, защита файловой системы ("МКЦ на ФС") по умолчанию отключена.
  В более ранних системах следует убедиться, что мандатный контроль целостности включен (МКЦ > 0) на всеx основных файлах и каталогах в корневой файловой системе (актуально для ОС СН  Смоленск 1.6 и  ОС СН Смоленск 1.5 с обновлениями позже 27-10-2017Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) и  ОС Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5)), для чего использовать графический инструмент fly-admin-smc:

  Информация
  "Пуск" - "Панель управления" - "Безопасность" - "Политика безопасности" - "Мандатный контроль целостности" -> «целостность файловой системы» -> установить «высокий 63», или в консоли set-fs-ilev.

  
  

• Включить защиту файловой системы ("установить МКЦ на ФС"):

  Информация
  "Пуск" - "Панель управления" - "Безопасность" - "Политика безопасности" - "Мандатный контроль целостности" -> «Защита файловой системы»

  
  

  Предупреждение
  Включение защиты рекомендуется проводить после завершения всех настроек безопасности, так как дальнейшее администрирование системы будет возможно только под высоким уровнем целостности, и после снятия защиты с файловой системы командой unset-fs-ilev

  
  

  Информация
  Установка МКЦ на ОС СН Смоленск Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5) обновление безопасности 27-10-2017: см. Мандатный № 27102017SE15: см.  Оперативные обновления для Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5) и Мандатный контроль целостности