Настройка безопасной конфигурации компьютера для работы с ОС Astra Linux
При установке ОС
- Обязательно использовать при установке ОС защитное преобразование дисков,
и по возможности обеспечить невозможность физического доступа к жесткому диску, на котором установлена ОС Создать отдельные дисковые разделы
Информация /
/boot
/home
/tmp
/var/tmp
Создать отдельные дисковые разделы
Раздел Рекомендации по установке/настройке / С защитным преобразованием (при условии, что /boot размещён в отдельном дисковом разделе). Рекомендуется использовать файловую систему ext4.
/boot Без защитного преобразования!!!
Можно использовать файловую систему etx2, ext3, ext4./home С защитным преобразованием.
Рекомендуется использовать файловую систему ext4.
Рекомендуется монтировать с опциямиnoexec,nodev,nosuid
./tmp С защитным преобразованием.
Рекомендуется использовать файловую систему ext4.
Рекомендуется монтировать с опциямиnoexec,nodev,nosuid
./var/tmp С защитным преобразованием.
Рекомендуется использовать файловую систему ext4.
Рекомендуется монтировать с опциямиnoexec,nodev,nosuid
.swap Опционально. С защитным преобразованием. Информация Для всех перечисленных дисковых разделов рекомендуется использовать файловую
систему ext4.
При выборе размера дисковых размеров следует помнить, что при размере раздела /tmp менее 250МБ весьма вероятно возникновение ошибок при работе с графикой или с большими объёмами данных.Разделы /home /tmp /var/tmp рекомендуется монтировать с опциями
noexec,nodev,nosuid
- В разделе установщика "Дополнительные настройки ОС" включить следующие настройки:
- Включить режим замкнутой программной среды;
- Запретить установку бита исполнения;
- Использовать по умолчанию ядро Hardened;
- Запретить вывод меню загрузчика;
- Включить очистку разделов страничного обмена (помнить, что очистка освобождаемых ресурсов как правило не работает на SSD-дисках);
- Включить очистку освобождаемых областей для EXT-разделов (помнить, что очистка освобождаемых ресурсов как правило не работает на SSD-дисках);
- Включить блокировку консоли;
- Включить блокировку интерпретаторов;
- Включить межсетевой экран ufw;
- Включить системные ограничения ulimits;
- Отключить возможность трассировки ptrace;
- Установить "взломостойкий" пароль на загрузчик Grub (устанавливается по умолчанию при установке ОС). Инструкция по смене пароля загрузчика.
После установки ОС
Установить единственным устройством для загрузки ОС жесткий диск, на который была произведена установка ОС.
Использовать загрузку ядра HARDENED, и убрать из меню все другие варианты загрузки, включая режимы восстановления.
Удалить модули ядра, ответственные за работу с Intel Management Engine (MEI). Инструкция по ссылке.
Установить и выполниить все доступные обновления безопасности и методические указания для ОС СН Смоленск 1.6последнее доступное обновление безопасности. Если после выхода обновления были выпущены методические указания - выполнить их после установки обновления безопасности.
- При использовании архитектур, отличных от Intel, установить пароль на загрузчик согласно документации.
- Настроить монтирование раздела
/boot
с опциямиro
(перед обновлением ядра перемонтировать вrw
). - Включить режим загрузки secureboot на своих ключах (создать usb-flash носитель с помощью astra-secureboot, и, далее, ключи импортировать в BIOS) в соответствии с инструкцией
Политика консоли и интерпретаторов
С помощью графического инструмента fly-admin-smc:
Информация |
---|
"Пуск" - "Панель управления" - "Безопасность" - "Политика безопасности" - "Настройки безопасности" - "Политика консоли и интерпретаторов" |
Включить блокировку консоли для пользователей, не входящих в группу astra-console;
Включить ввод пароля для sudo;
Включить блокировку интерпретаторов кроме bash для пользователей;
Включить блокировку интерпретатора bash для пользователей;
Информация |
---|
После изменения состояния переключателей не забудьте сохранить изменения. |
Информация |
---|
После включения блокировки консоли для предоставления доступа к консоли отдельным пользователям к консоли необходимо добавить их в группу astra-console. |
Информация | ||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||
Блокировка консоли:
Включение запроса пароля sudo:
Блокировка интерпретаторов кроме bash:
Блокировка интерпретатора bash:
|
Политика очистки памяти
Предупреждение |
---|
Политики очистки памяти могут не работать на накопителях SSD. |
С помощью графического инструмента fly-admin-smc
Информация |
---|
"Пуск" - "Панель управления" - "Безопасность" - "Политика безопасности" - "Настройки безопасности" - "Политики очистки памяти" |
- Включить очистку разделов подкачки;
- Включить гарантированное удаление файлов и папок;
Информация | ||||
---|---|---|---|---|
| ||||
Очистка разделов подкачки:
Гарантированное удаление файлов:
|
Системные параметры
С помощью графического инструмента fly-admin-smc
Информация |
---|
"Пуск" - "Панель управления" - "Безопасность" - "Политика безопасности" - "Настройки безопасности" - "Системные параметры" |
Включить запрет установки бита исполнения;
Включить блокировку макросов;
- Включить блокировку трассировки ptrace;
- Включить блокировку одновременной работы с разными уровнями конфиденциальности в пределах одной сессии;
- Включить системные ограничения ulimits;
- Включить блокировку выключения/перезагрузки ПК для пользователей;
- Включить блокировку системных команд для пользователей;
- Включить межсетевой экран;
- Включить запрет монтирования носителей непривилегированными пользователями;
- Включить блокировку клавиш SysRq для всех пользователей, включая администраторов;
По возможности включить режим работы файловой системы ОС - "только чтение"
Предупреждение При включении данного режима дисковый раздел, в котором находится корневая файловая система будет перемонтирован в специальном режиме временной файловой системы, при котором вносимые в файлы изменения будут сохраняться только до перезагрузки. Данный режим позволяет защитить от изменений системные файлы, однако файлы, в которых должны сохраняться постоянные изменения (например, домашние каталоги пользователей) должны находиться в другом дисковом разделе.
Информация title Без использования графического интерфейса Запрет установки бита исполнения
Command astra-nochmodx-lock enable Блокировка макросов:
Command astra-macros-lock enable Включить блокировку трассировки ptrace:
Command astra-ptrace-lock enable Блокировка одновременной работы с разными уровнями конфиденциальности в пределах одной сессии:
Command astra-sumac-lock enable Системные ограничения ulimits:
Command astra-ulimits-control enable Блокировка выключения/перезагрузки ПК для пользователей:
Command astra-shutdown-lock enable Блокировка системных команд для пользователей:
Command astra-commands-lock enable Включение межсетевого экрана:
Command astra-ufw-control enable Запрет монтирования носителей непривилегированными пользователями:
Command astra-mount-lock enable Блокировку клавиш SysRq для всех пользователей, включая администраторов:
Command astra-sysrq-lock enable Установить на устройства - жесткие диски максимальный уровень конфиденциальности (на ОС СН Смоленск 1.6 устанавливается автоматически):
Информация /dev/sd*
/dev/hd*
/dev/vd*Отключить доступ к консоли пользователям (данный пункт актуален для ОС СН Смоленск 1.5, так как для ОС СН Смоленск 1.6 правила работают "из коробки"):
Добавить группу astra-console выполнив команду:
Информация addgroup --gid 333 astra-console
Создать файл /etc/rc.local со следующим содержимым:
Информация #!/bin/sh -e
chown root:astra-console /dev/{pts,pts/*,ptmx,tty*}
chmod g+rx /dev/{pts,pts/*,ptmx,tty*}
chmod o-rx /dev/{pts,pts/*,ptmx,tty*}
exit 0Добавить правило в файл /etc/security/access.conf командой:
Command echo "-:ALL EXCEPT astra-console :LOCAL" >> /etc/security/access.conf Включить в /etc/pam.d/login обработку заданных правил командой
Для включения доступа к консоли администраторам необходимо добавить их в группу astra-console.Command sed -i 's|.*account.*pam_access.*|account required pam_access.so|' /etc/pam.d/login
Включить блокировку интерпретаторовВключить блокировку установки бита исполнения командами
Command echo 1 > /parsecfs/nochmodx
echo 1 > /etc/parsec/nochmodxили командой
или через графический инструмент fly-admin-smc. Подробности см. РУК КСЗ п.16.5.1Command astra-nochmodx-lock enable По возможности, включить блокировку макросов с помощью графического инструмента fly-admin-smc или инструмента командной строки astra-macros-lock:
Включить блокировку трассировки ptraceCommand astra-macros-lock enable Включить контроль цифровой подписи в исполняемых файлах (ELF-файлах) и в xattr всех файлов (Режим Замкнутой Программной Среды).
Для этого сгенерируйте ключи и подпишите цифровой подписью в xattr все основные файлы и каталоги в корневой ФС.
Рекомендуется подписывать только каталоги, содержащие неизменяемые (между обновлениями) файлы, а также файлы, содержимое которых изменяет только сам пользователь.
Примерный список каталогов для подписи:Информация /bin
/lib
/lib32
/lib64
/sbin
/usr
Избранные файлы и каталоги из /etc
Избранные файлы и каталоги из /boot (например, конфиг grub)
Избранные файлы и каталоги из /home/<user>
Избранные файлы и каталоги из /opt
и т.д.для включения механизмов контроля подписи в исполняемых файлах (ELF-файлах) и в xattr всех файлов можно использовать графический инструмен fly-admin-smc,
или установить в файле /etc/digsig/digsig_initramfs.conf (подробности см. в соответствующем "Руководстве по КСЗ"):Информация Для ОС СН Смоленск 1.6 (см. РУК КСЗ п.16.1):
DIGSIG_ELF_MODE=1
DIGSIG_XATTR_MODE=1
Для ОС СН Смоленск 1.5 (см. РУК КСЗ п.13.5):
DIGSIG_ENFORCE=1
DIGSIG_LOAD_KEYS=1
DIGSIG_USE_XATTR=1после чего выполнить команду:
Command update-initramfs -u -k all и перезагрузить ПК
Информация Примечание:
Включение ЗПС крайне рекомендуется сочетать с блокировкой интерпретаторов.
Блокировку интерпретаторов крайне рекомендуется сочетать с включенным МКЦ- Включить гарантированное удаление файлов и папок
Включить, при наличии возможности, режим киоска для пользователя. - Киоск можно настроить с помощью графического инструмента командной строки fly-admin-kiosk (РУК КСЗ п.16.3.1).
- Включить, при наличии возможности, графический киоск Fly
Киоск можно настроить с помощью графического инструмента fly-admin-smc (см. РУК КСЗ п.16.3.3) - Включить, при наличии возможности, второй уровень контроля подписей в расширенных атрибутах (xattr).
(Это можно выполнить в программе fly-admin-smc). (см. РУК КСЗ п.16.1) Установить мандатный контроль целостности (МКЦ > 0) на всеx основных файлах и каталогах в корневой файловой системе.
(в Смоленск 1.6 и в Смоленск 1.5 на апдейтах позже 27-10-2017)
Для этого в графическом инструменте fly-admin-smc «Политика безопасности» -> «мандатный контроль целостности» -> «целостность файловой системы» -> установить «высокий 63», или в консоли set-fs-ilev.Предупреждение Установку МКЦ рекомендуется проводить после всех настроек безопасности,
так как дальнейшее администрирование возможно только под высоким уровнем целостности,
и после снятия МКЦ с файловой системы командой unset-fs-ilevУстановка МКЦ на 1.5 апдейт 27-10-2017: см. Мандатный контроль целостности
- Работу с конфиденциальной информацией под "уровнями конфиденциальности" нужно проводить, используя защитное преобразование файлов
(возможность встроена в Файловый менеджер fly-fm). - Работу с конфиденциальной информацией в сети необходимо производить, используя защитное преобразование пакетов с помощью создания доверенной VPN сети
(средства встроены в ОС). - Работу с конфиденциальной информацией при обмене почтой необходимо производить, используя защитные GPG-преобразования писем с помощью плагина для Thunderbird Enigmail
(средства встроены в ОС) Установить "взломостойкие" пароли на все учетные записи в ОС
Информация title P.S. "взломостойкий" пароль это пароль
- Содержащий не менее 8 символов;
- Не содержащий в себе никаких осмысленных слов (ни в каких раскладках);
- Содержащий в себе буквы в различных регистрах, цифры и спецсимволы.
- Убедиться, что
pam_tally
настроен на блокировку учетных записей при попытках подбора паролей (настроено по умолчанию при установке ОС). - Настроить дисковые квоты в ОС
Для этого установить пакетquota,
настроить /etc/fstab, и использоватьedquota
для установки квот. Настроить ограничения ОС (так называемые ulimits).
Рекомендуемые настройки /etc/security/limits.conf:Информация #размер дампа ядра
* hard core 0#максимальный размер создаваемого файла
* hard fsize 50000000#блокировка форк-бомбы(большого количества процессов)
* hard nproc 1000Отключить все неиспользуемые сервисы (в т.ч. сетевые), запускающиеся при старте ОС:
Информация В ОС СН Смоленск 1.6 командой systemdgenie
или
В ОС СН Смоленск 1.5 командамиchkconfig
иfly-admin-runlevel
Включить и настроить межсетевой экран ufw и настроить iptables в минимально необходимой конфигурации, необходимой для работы:
по умолчанию все запрещено, кроме необходимых исключенийИнформация В ОС СН Смоленск 1.6 командами
iptables
ufw
gufw
Для выполнения этой настройки можно использовать графический инструмент gufw:
Информация "Пуск" - "Панель управления" - Прочее" - "Настройка межсетевого экрана" Настроить параметры ядра в /etc/sysctl.conf (можно использовать графический инструмент fly-admin-smc или добавить соответствующие строки в файл /etc/sysctl.conf:
Информация fs.suid_dumpable=0
kernel.randomize_va_space=2
kernel.sysrq=0
net.ipv4.ip_forward=0
net.ipv4.conf.all.send_redirects=0
net.ipv4.conf.default.send_redirects=0после внесения изменений перезагрузить компьютер, и убедиться, что все параметры сохранены правильно.
Сделать проверку можно командой:Command sudo sysctl -a | more
При возможности, использовать защитное преобразование домашних каталогов пользователей с помощью допустимых средств,
или использовать хранение информации на сетевых дисках или на защищенных от несанкционированного доступа сменных носителях.По возможности, запретить пользователям подключение сменных носителей, к которым может быть осуществлён любой несанкционированный доступ:
В Смоленск 1.6 такой доступ запрещен по умолчанию.
В Смоленск 1.5 см. информацию по обновлению безопасности БЮЛЛЕТЕНЬ № 27082018SE15- Настроить систему аудита на сохранение логов на удаленной машине.
Если возможно, использовать систему централизованного протоколирования.
см. РУК АДМИН п.15 - Для запуска сторонних приложений по возможности использовать дополнительные уровни изоляции FireJail и LXC.