При установке ОС

• Обязательно использовать при установке ОС защитное преобразование дисков,
  и по возможности обеспечить невозможность физического доступа к жесткому диску, на котором установлена ОС
  
  

• Создать отдельные дисковые разделы 

  Информация
  / /boot /home /tmp /var/tmp

  Создать отдельные дисковые разделы
  

  Раздел	Рекомендации по установке/настройке
  /	С защитным преобразованием (при условии, что /boot размещён в отдельном дисковом разделе). Рекомендуется использовать файловую систему ext4.
  /boot	Без защитного преобразования!!! Можно использовать файловую систему etx2, ext3, ext4.
  /home	С защитным преобразованием. Рекомендуется использовать файловую систему ext4. Рекомендуется монтировать с опциями noexec,nodev,nosuid.
  /tmp	С защитным преобразованием. Рекомендуется использовать файловую систему ext4. Рекомендуется монтировать с опциями noexec,nodev,nosuid.
  /var/tmp	С защитным преобразованием. Рекомендуется использовать файловую систему ext4. Рекомендуется монтировать с опциями noexec,nodev,nosuid.
  swap	Опционально. С защитным преобразованием.

  


  Информация
  Для всех перечисленных дисковых разделов рекомендуется использовать файловую

• систему ext4. При выборе размера дисковых размеров следует помнить, что при размере раздела /tmp менее 250МБ весьма вероятно возникновение ошибок при работе с графикой или с большими объёмами данных.

  


• Разделы /home /tmp /var/tmp рекомендуется монтировать с опциями noexec,nodev,nosuid



• В разделе установщика "Дополнительные настройки ОС" включить следующие настройки:
  1. Включить режим замкнутой программной среды;
  2. Запретить установку бита исполнения;
  3. Использовать по умолчанию ядро Hardened;
  4. Запретить вывод меню загрузчика;
  5. Включить очистку разделов страничного обмена (помнить, что очистка освобождаемых ресурсов как правило не работает на SSD-дисках);
  6. Включить очистку освобождаемых областей для EXT-разделов (помнить, что очистка освобождаемых ресурсов как правило не работает на SSD-дисках);
  7. Включить блокировку консоли;
  8. Включить блокировку интерпретаторов;
  9. Включить межсетевой экран ufw;
  10. Включить системные ограничения ulimits;
  11. Отключить возможность трассировки ptrace;
      
      
• Установить "взломостойкий" пароль на загрузчик Grub (устанавливается по умолчанию при установке ОС). Инструкция по смене пароля загрузчика.

После установки ОС

• Установить единственным устройством для загрузки ОС жесткий диск, на который была произведена установка ОС.
  
  

• Использовать загрузку ядра HARDENED, и убрать из меню все другие варианты загрузки, включая режимы восстановления.
  
  

• Удалить модули ядра, ответственные за работу с Intel Management Engine (MEI). Инструкция по ссылке.
  
  

• Установить и выполниить все доступные обновления безопасности и методические указания для ОС СН Смоленск 1.6последнее доступное обновление безопасности. Если после выхода обновления были выпущены методические указания - выполнить их после установки обновления безопасности.

• При использовании архитектур, отличных от Intel, установить пароль на загрузчик согласно документации.
  
  
• Настроить монтирование раздела  /boot  с опциями  ro  (перед обновлением ядра перемонтировать в  rw ).
  
  
• Включить режим загрузки secureboot на своих ключах (создать usb-flash носитель с помощью astra-secureboot, и, далее, ключи импортировать в BIOS) в соответствии с инструкцией
  

Политика консоли и интерпретаторов

С помощью графического инструмента fly-admin-smc:

Image Added

• Включить блокировку консоли для пользователей, не входящих в группу astra-console;
  
  

• Включить ввод пароля для sudo;
  
  

• Включить блокировку интерпретаторов кроме bash для пользователей;
  
  

• Включить блокировку интерпретатора bash для пользователей;
  
  

Политика очистки памяти

С помощью графического инструмента fly-admin-smc

Image Added

• Включить очистку разделов подкачки;
• Включить гарантированное удаление файлов и папок;
  
  

Системные параметры

С помощью графического инструмента fly-admin-smc

Image Added

• Включить запрет установки бита исполнения;

• Включить блокировку макросов;

• Включить блокировку трассировки ptrace;
• Включить блокировку одновременной работы с разными уровнями конфиденциальности в пределах одной сессии;
• Включить системные ограничения ulimits;
• Включить блокировку выключения/перезагрузки ПК для пользователей;
• Включить блокировку системных команд для пользователей;
• Включить межсетевой экран;
• Включить запрет монтирования носителей непривилегированными пользователями;
• Включить блокировку клавиш SysRq для всех пользователей, включая администраторов;

• По возможности включить режим работы файловой системы ОС - "только чтение"

  Предупреждение

  При включении данного режима дисковый раздел, в котором находится корневая файловая система будет перемонтирован в специальном режиме временной файловой системы, при котором вносимые в файлы изменения будут сохраняться только до перезагрузки. Данный режим позволяет защитить от изменений системные файлы, однако файлы, в которых должны сохраняться постоянные изменения (например, домашние каталоги пользователей) должны находиться в другом дисковом разделе.

  
  

  Информация
  title Без использования графического интерфейса
  Запрет установки бита исполнения Command astra-nochmodx-lock enable Блокировка макросов: Command astra-macros-lock enable Включить блокировку трассировки ptrace: Command astra-ptrace-lock enable Блокировка одновременной работы с разными уровнями конфиденциальности в пределах одной сессии: Command astra-sumac-lock enable Системные ограничения ulimits: Command astra-ulimits-control enable Блокировка выключения/перезагрузки ПК для пользователей: Command astra-shutdown-lock enable Блокировка системных команд для пользователей: Command astra-commands-lock enable Включение межсетевого экрана: Command astra-ufw-control enable Запрет монтирования носителей непривилегированными пользователями: Command astra-mount-lock enable Блокировку клавиш SysRq для всех пользователей, включая администраторов: Command astra-sysrq-lock enable

  Установить на устройства - жесткие диски максимальный уровень конфиденциальности (на ОС СН Смоленск 1.6 устанавливается автоматически):

  Информация
  /dev/sd* /dev/hd* /dev/vd*

  Отключить доступ к консоли пользователям (данный пункт актуален для ОС СН Смоленск 1.5, так как для ОС СН Смоленск 1.6 правила работают "из коробки"):

  Добавить группу astra-console выполнив команду:

  Информация
  addgroup --gid 333 astra-console

  Создать файл /etc/rc.local со следующим содержимым:

  Информация
  #!/bin/sh -e chown root:astra-console /dev/{pts,pts/*,ptmx,tty*} chmod g+rx /dev/{pts,pts/*,ptmx,tty*} chmod o-rx /dev/{pts,pts/*,ptmx,tty*} exit 0

  Добавить правило в файл /etc/security/access.conf командой:

  Command
  echo "-:ALL EXCEPT astra-console :LOCAL" >> /etc/security/access.conf

  Включить в /etc/pam.d/login обработку заданных правил командой

  Command
  sed -i 's|.*account.*pam_access.*|account required pam_access.so|' /etc/pam.d/login

  Для включения доступа к консоли администраторам необходимо добавить их в группу astra-console.
  Включить блокировку интерпретаторов
  

  Включить блокировку установки бита исполнения командами

  Command
  echo 1 > /parsecfs/nochmodx echo 1 > /etc/parsec/nochmodx

  или командой

  Command
  astra-nochmodx-lock enable

  или через графический инструмент fly-admin-smc. Подробности см.  РУК КСЗ п.16.5.1
  

  По возможности, включить блокировку макросов с помощью графического инструмента fly-admin-smc или инструмента командной строки astra-macros-lock:

  Command
  astra-macros-lock enable

  Включить блокировку трассировки ptrace

  
  

• Включить контроль цифровой подписи в исполняемых файлах (ELF-файлах) и в xattr всех файлов (Режим Замкнутой Программной Среды).
  Для этого сгенерируйте ключи и подпишите цифровой подписью в xattr все основные файлы и каталоги в корневой ФС.
  Рекомендуется подписывать только каталоги, содержащие неизменяемые (между обновлениями) файлы, а также файлы, содержимое которых изменяет только сам пользователь.
  Примерный список каталогов для подписи:

  Информация
  /bin /lib /lib32 /lib64 /sbin /usr Избранные файлы и каталоги из /etc Избранные файлы и каталоги из /boot (например, конфиг grub) Избранные файлы и каталоги из /home/<user> Избранные файлы и каталоги из /opt и т.д.

  для включения механизмов контроля подписи в исполняемых файлах (ELF-файлах) и в xattr всех файлов можно использовать графический инструмен fly-admin-smc,
  или установить в файле /etc/digsig/digsig_initramfs.conf (подробности см. в соответствующем "Руководстве по КСЗ"):

  Информация
  Для ОС СН Смоленск 1.6 (см. РУК КСЗ п.16.1): DIGSIG_ELF_MODE=1 DIGSIG_XATTR_MODE=1 Для ОС СН Смоленск 1.5 (см. РУК КСЗ п.13.5): DIGSIG_ENFORCE=1 DIGSIG_LOAD_KEYS=1 DIGSIG_USE_XATTR=1

  после чего выполнить команду:

  Command
  update-initramfs -u -k all

  и перезагрузить ПК

  Информация
  Примечание: Включение ЗПС крайне рекомендуется сочетать с блокировкой интерпретаторов. Блокировку интерпретаторов крайне рекомендуется сочетать с включенным МКЦ

  
  

• Включить гарантированное удаление файлов и папок
  Включить, при наличии возможности, режим киоска для пользователя.
  
  
• Киоск можно настроить с помощью графического инструмента командной строки fly-admin-kiosk (РУК КСЗ п.16.3.1).
  
  
• Включить, при наличии возможности, графический киоск Fly
  Киоск можно настроить с помощью графического инструмента fly-admin-smc (см. РУК КСЗ п.16.3.3)
  
  
• Включить, при наличии возможности, второй уровень контроля подписей в расширенных атрибутах (xattr).
  (Это можно выполнить в программе fly-admin-smc).  (см. РУК КСЗ п.16.1)
  
  

• Установить мандатный контроль целостности (МКЦ > 0) на всеx основных файлах и каталогах в корневой файловой системе.
  (в Смоленск 1.6 и в Смоленск 1.5 на апдейтах позже 27-10-2017)
  Для этого в графическом инструменте fly-admin-smc «Политика безопасности» -> «мандатный контроль целостности» -> «целостность файловой системы» -> установить «высокий 63», или в консоли set-fs-ilev.

  Предупреждение
  Установку МКЦ рекомендуется проводить после всех настроек безопасности, так как дальнейшее администрирование возможно только под высоким уровнем целостности, и после снятия МКЦ с файловой системы командой unset-fs-ilev

  Установка МКЦ на 1.5 апдейт 27-10-2017: см. Мандатный контроль целостности
  
  

• Работу с конфиденциальной информацией под "уровнями конфиденциальности" нужно проводить, используя защитное преобразование файлов
  (возможность встроена в Файловый менеджер fly-fm).
  
  
• Работу с конфиденциальной информацией в сети необходимо производить, используя защитное преобразование пакетов с помощью создания доверенной VPN сети
  (средства встроены в ОС).
  
  
• Работу с конфиденциальной информацией при обмене почтой необходимо производить, используя защитные GPG-преобразования писем с помощью плагина для Thunderbird Enigmail
  (средства встроены в ОС)
  
  

• Установить "взломостойкие" пароли на все учетные записи в ОС

  Информация
  title P.S.
  "взломостойкий" пароль это пароль Содержащий не менее 8 символов; Не содержащий в себе никаких осмысленных слов (ни в каких раскладках); Содержащий в себе буквы в различных регистрах, цифры и спецсимволы.

  
  

• Убедиться, что pam_tally  настроен на блокировку учетных записей при попытках подбора паролей (настроено по умолчанию при установке ОС).
  
  
• Настроить дисковые квоты в ОС
  Для этого установить пакет quota, настроить /etc/fstab, и использовать edquota для установки квот.
  
  

• Настроить ограничения ОС (так называемые ulimits).
  Рекомендуемые настройки /etc/security/limits.conf:

  Информация
  #размер дампа ядра * hard core 0 #максимальный размер создаваемого файла * hard fsize 50000000 #блокировка форк-бомбы(большого количества процессов) * hard nproc 1000

  
  

• Отключить все неиспользуемые сервисы (в т.ч. сетевые),  запускающиеся при старте ОС:

  Информация
  В ОС СН Смоленск 1.6 командой  systemdgenie   или В ОС СН Смоленск 1.5 командами  chkconfig и fly-admin-runlevel

  
  

• Включить и настроить межсетевой экран ufw и настроить iptables в минимально необходимой конфигурации, необходимой для работы:
  по умолчанию все запрещено, кроме необходимых исключений
  

  Информация
  В ОС СН Смоленск 1.6 командами iptables ufw gufw

  Для выполнения этой настройки можно использовать графический инструмент gufw:

  Информация
  "Пуск" -  "Панель управления" - Прочее" - "Настройка межсетевого экрана"

  

• Настроить параметры ядра в /etc/sysctl.conf (можно использовать графический инструмент fly-admin-smc или добавить соответствующие строки в файл /etc/sysctl.conf:

  Информация
  fs.suid_dumpable=0 kernel.randomize_va_space=2 kernel.sysrq=0 net.ipv4.ip_forward=0 net.ipv4.conf.all.send_redirects=0 net.ipv4.conf.default.send_redirects=0

  после внесения изменений перезагрузить компьютер, и убедиться, что все параметры сохранены правильно.
  Сделать проверку можно командой:

  Command
  sudo sysctl -a | more

  
  

• При возможности, использовать защитное преобразование домашних каталогов пользователей с помощью допустимых средств,
  или использовать хранение информации на сетевых дисках или на защищенных от несанкционированного доступа сменных носителях.
  
  

• По возможности, запретить пользователям подключение сменных носителей, к которым может быть осуществлён любой несанкционированный доступ:
  В Смоленск 1.6 такой доступ запрещен по умолчанию.
  В Смоленск 1.5 см. информацию по обновлению безопасности БЮЛЛЕТЕНЬ № 27082018SE15
  

• Настроить систему аудита на сохранение логов на удаленной машине.
  Если возможно, использовать систему централизованного протоколирования.
  см.  РУК АДМИН п.15
  
  
• Для запуска сторонних приложений по возможности использовать дополнительные уровни изоляции FireJail и LXC.