Отображение дочерних |
---|
Оглавление |
---|
...
Настройка безопасной конфигурации
...
компьютера для работы с ОС Astra Linux
1. Настройте BIOS (с целью предотвратить загрузку с внешнего носителя)
1.1. Установите единственным устройством для загрузки ОС - жесткий диск куда была произведена установка ОС.
...
Перед установкой ОС
- При возможности - установить и настроить на компьютере аппаратно-программный модуль доверенной загрузки (АПМДЗ)
Установить "взломостойкий" пароль на BIOS
...
компьютера.
1.3 При возможности - установите и настройте АПМДЗ на ПК.
1.4 Обеспечьте невозможность физического доступа к жесткому диску на котором установлена ОС, или используйте доступные средства шифрования всего содержимого диска.
...
Информация title P.S. "Взломостойкий" пароль это пароль:
- Содержащий не менее 8 символов;
- Не содержащий в себе никаких осмысленных слов (ни в каких раскладках);
- Содержащий в себе буквы в различных регистрах, цифры и спецсимволы.
При наличии опций для процессоров Intel Execute Disable Bit (XD-Bit) и для процессоров AMD No Execute Bit (NX-Bit)
...
включить их.
...
При наличии на серверах "не доверенных" систем контроля и управления типа ILO, RSA, iDRAC, ThinkServer EasyManage, AMT, iMana - их необходимо отключить, и использовать, при необходимости
...
, альтернативные решения типа IP KVM.
1.7 Включите secureboot на платформах где это возможно согласно инструкции.
Для Intel платформ
...
необходимо устранить уязвимости Intel-SA-00086 в Intel Management Engine (если он инегрирован в процессор)
...
посредством установки обновления микропрограммы Intel Management Engine
(производитель оборудования должен обеспечить данную возможность - это либо обновления BIOS, либо ПО для интеграции обновлений).
Для частичных проверок используйте: Intel-SA-00086 Detection Tool.
Более подробно:
...
3. Установите все доступные обновления безопасности ОС Astra Linux
для SE:
http://astralinux.ru/update.html
Обновления безопасности Astra Linux Special Edition 1.5
для CE:
http://mirror.yandex.ru/astra/stable/orel/latest/repository-update/
4. Настройте загрузчик на загрузку ядра GENERIC и уберите из меню все другие варианты загрузки, включая режимы восстановления.
...
- Установить ОС СН (обязательно с включенным защитным преобразованием диска),
и по возможности обеспечить невозможность физического доступа к жесткому диску, на котором установлена ОС
При установке ОС
- Установить "взломостойкий" пароль на загрузчик Grub (устанавливается по умолчанию при установке ОС).
...
4.2 При использовании архитектур отличных от Intel
установите пароль на загрузчик согласно документации.
5. При установке рекомендуется создать отдельные разделы / /boot /home /tmp /var/tmp
...
Создать отдельные дисковые разделы
Информация /
/boot
/home
/tmp
/var/tmp
Информация Для всех перечисленных дисковых разделов рекомендуется использовать файловую системы ext4.
При выборе размера дисковых размеров следует помнить, что при размере раздела /tmp менее 250МБ весьма вероятно возникновение ошибок при работе с графикой или с большими объёмами данных.Разделы /home /tmp /var/tmp рекомендуется монтировать с опциями
noexec,nodev,nosuid
6. Установите "взломостойкий" пароли на всех учетных записях в ОС.
6.1 настройте pam_tally
на блокировку учетных записей при попытках подбора паролей. (настроено по умолчанию при установке ОС)
7. Настройте дисковые квоты в ОС
Для этого установите пакет quota
настройте /etc/fstab и используйте edquota
для установки квот.
8. Настройте ограничения ОС: ulimits
рекомендуемые настройки /etc/security/limits.conf:
Блок кода | ||||
---|---|---|---|---|
| ||||
#размер дампа ядра
* hard core 0
#максимальный размер создаваемого файла
* hard fsize 50000000
#блокировка форк-бомбы(большого количества процессов)
* hard nproc 1000 |
9. Отключите все неиспользуемые сервисы (в т.ч. сетевые) которые запускаются при старте ОС, используя программы:
chkconfig
и fly-admin-runlevel
в 1.5
systemctl systemdgenie
в 1.6
10. Найстройте iptables в минимально необходимой конфигурации необходимой для работы
(по умолчанию все запрещено, кроме необходимых исключений)
в 1.5 iptables ufw
в 1.6 iptables ufw gufw
11. Настройте параметры ядра в /etc/sysctl.conf:
11.1 Отключите механизм SysRq
в /etc/sysctl.conf добавьте строку
Блок кода | ||
---|---|---|
| ||
kernel.sysrq = 0 |
Перезагрузите ПК, проверьте что уcтановлено значение 0, командой:
Command |
---|
cat /proc/sys/kernel/sysrq |
11.2 дополнтельные рекомендуемые параметры
Блок кода | ||
---|---|---|
| ||
fs.suid_dumpable=0
kernel.randomize_va_space=2
net.ipv4.ip_forward=0
net.ipv4.conf.all.send_redirects=0
net.ipv4.conf.default.send_redirects=0 |
12. Заблокируйте исполнение модулей python с расширенным функционалом:
Command |
---|
find /usr/lib/python* -type f -name "_ctype*" -exec sudo dpkg-statoverride --update --add root root 640 {} \; |
13. Заблокируйте макросы в VLC
Command |
---|
find /usr/lib/*/vlc -type f -name "liblua_plugin*" -exec sudo dpkg-statoverride --update --add root root 640 {} \; |
14. При возможности заблокируйте макросы в Libreoffice
15. Обязательно отключите доступ к консоли пользователям:
(Инструкция для Смоленск 1.5, для 1.6 правила работают из коробки)
...
После установки ОС
Настроить монтирование раздела
/boot
с опциямиro
(перед обновлением ядра перемонтировать вrw
).Установить все доступные обновления безопасности ОС Astra Linux:
для ОС СН Смоленск: http://astralinux.ru/update.html и Обновления безопасности Astra Linux Special Edition 1.5Настроить загрузчик на загрузку ядра HARDENED, и убрать из меню все другие варианты загрузки, включая режимы восстановления.
При использовании архитектур, отличных от Intel, установить пароль на загрузчик согласно документации.
- Установить единственным устройством для загрузки ОС жесткий диск, на который была произведена установка ОС
- Включить режим загрузки secureboot на своих ключах (создать usb-flash носитель с помощью astra-secureboot, и, далее, ключи импортировать в BIOS) в соответствии с инструкцией
Установить на устройства - жесткие диски максимальный уровень конфиденциальности (на ОС СН Смоленск 1.6 устанавливается автоматически):
Информация /dev/sd*
/dev/hd*
/dev/vd*Отключить доступ к консоли пользователям (данный пункт актуален для ОС СН Смоленск 1.5, так как для ОС СН Смоленск 1.6 правила работают "из коробки"):
Добавить группу astra-console выполнив команду:
...
Информация addgroup --gid 333 astra-console
...
Создать файл /etc/rc.local со следующим содержимым:
...
Информация #!/bin/sh
...
-e
...
chown
...
root:astra-console
...
/dev/{pts,pts/*,ptmx,tty*}
...
chmod
...
g+rx
...
/dev/{pts,pts/*,ptmx,tty*}
...
chmod
...
o-rx
...
/dev/{pts,pts/*,ptmx,tty*}
...
exit
...
0
...
...
Добавить правило в файл /etc/security/access.conf командой:
Command echo "-:ALL EXCEPT astra-console :LOCAL" >> /etc/security/access.conf
...
Включить в /etc/pam.d/login обработку заданных правил командой
Command sed -i 's|.*account.*pam_access.*|account
...
required pam_access.so|' /etc/pam.d/login Для включения доступа к консоли администраторам необходимо добавить их в группу astra-console.
Включить блокировку интерпретаторов
Включить блокировку установки бита исполнения командами
Command echo 1 > /parsecfs/nochmodx
echo 1 > /etc/parsec/nochmodxили командой
Command astra-nochmodx-lock enable или через графический инструмент fly-admin-smc. Подробности см. РУК КСЗ п.16
...
По возможности, включить блокировку макросов с помощью графического инструмента fly-admin-smc или инструмента командной строки astra-macros-lock.
Дополнительно, включить блокировку макросов в Libreoffice.
Дополнительно, включить блокировку макросов в VLС:Информация find /usr/lib/ -type f -name "liblua_plugin*" -exec sudo dpkg-statoverride --update --add root root 640 {} \; - Включить блокировку трассировки ptrace
Включить контроль цифровой подписи в исполняемых файлах (ELF-файлах) и в xattr всех файлов
...
(Режим Замкнутой Программной Среды).
...
Для этого сгенерируйте ключи и подпишите цифровой подписью в xattr все основные файлы и каталоги в корневой ФС.
...
Рекомендуется подписывать только каталоги, содержащие неизменяемые (между обновлениями) файлы, а также файлы, содержимое которых изменяет только сам пользователь.
Примерный список каталогов для подписи:Информация /
...
bin
/lib
/lib32
/lib64
/
...
sbin
/usr
Избранные файлы и каталоги из /etc
Избранные файлы и каталоги из /boot (например, конфиг grub)
Избранные файлы и каталоги из /home/<user>
Избранные файлы и каталоги из /opt
и т.д.для включения механизмов контроля подписи в исполняемых файлах (ELF-файлах) и в xattr всех файлов можно использовать графический инструмен fly-admin-smc,
или установить
...
16.1 Для включения механизма контроля подписи в ELF:
...
в файле /etc/digsig/digsig_initramfs.conf
...
(подробности см. в соответствующем "Руководстве по КСЗ"):
Информация Для ОС СН Смоленск 1.6 (см. РУК КСЗ п.16.1):
DIGSIG_ELF_MODE=1
DIGSIG_XATTR_MODE=1
Для ОС СН Смоленск 1.5 (см. РУК КСЗ п.13.5):
DIGSIG_ENFORCE=1
...
DIGSIG_LOAD_KEYS=1
...
DIGSIG_USE_XATTR=1
после чего выполнить команду:
Command update-initramfs -u -k all
перезагрузите ПК.
16.2 Для включения механизма контроля подписи в xattr
см. РУК КСЗ п.13.5.2
17. При возможности используйте шифрование домашних каталогов с помощью допустимых средств шифрования, или используйте хранение информации на сетевых дисках или сменных носителях.
18. При возможности настройте двухуровневый киоск для пользователя.
см. РУК КСЗ п.15
Как минимум, нужно настроить высокоуровневый киоск для пользователя с помощью утилиты fly-kiosk:
см. РУК КСЗ п.15.6
19. При возможности запретите пользователю подключение сменных носителей.
20. Установите запрет установки исполняемого бита:
Command |
---|
echo 1 > /parsecfs/nochmodx |
см. РУК КСЗ п.16
21. Настройте систему аудита на сохранение логов на удаленной машине.
Если возможно используйте систему централизованного протоколирования ossec
.
см. РУК АДМИН п.15
...
и перезагрузить ПК
Информация Примечание:
Включение ЗПС крайне рекомендуется сочетать с блокировкой интерпретаторов
Блокировку интерпретаторов крайне рекомендуется сочетать с включенным МКЦ- Включить гарантированное удаление файлов и папок
- Включить, при наличии возможности, режим киоска для пользователя.
- Киоск можно настроить с помощью графического инструмента командной строки fly-admin-kiosk (РУК КСЗ п.16.3.1).
- Включить, при наличии возможности, графический киоск Fly
Киоск можно настроить с помощью графического инструмента fly-admin-smc (см. РУК КСЗ п.16.3.3) - Включить, при наличии возможности, второй уровень контроля подписей в расширенных атрибутах (xattr).
(Это можно выполнить в программе fly-admin-smc). (см. РУК КСЗ п.16.1) Установить мандатный контроль целостности (МКЦ > 0) на всеx основных файлах и каталогах в корневой
...
файловой системе.
(в Смоленск 1.6 и в Смоленск 1.5 на апдейтах
...
позже 27-10-2017)
Для этого в графическом инструменте fly-admin-smc «Политика безопасности» -> «мандатный контроль целостности» -> «целостность файловой системы» -> установить «высокий 63», или в консоли set-fs-ilev.Предупреждение Установку МКЦ рекомендуется проводить после всех настроек безопасности,
...
...
так как дальнейшее администрирование возможно только
...
под высоким уровнем целостности
...
,
и после снятия МКЦ с
...
файловой системы командой unset-fs-ilev Установка МКЦ на 1.5
...
апдейт 27-10-2017:
...
- Работу с конфиденциальной информацией под "уровнями конфиденциальности" нужно проводить, используя защитное преобразование файлов
(возможность встроена в Файловый менеджер fly-fm). - Работу с конфиденциальной информацией в сети необходимо производить, используя защитное преобразование пакетов с помощью создания доверенной VPN сети
(средства встроены в ОС). - Работу с конфиденциальной информацией при обмене почтой необходимо производить, используя защитные GPG-преобразования писем с помощью плагина для Thunderbird Enigmail
(средства встроены в ОС) Установить "взломостойкие" пароли на все учетные записи в ОС
Информация title P.S. "взломостойкий" пароль это пароль
- Содержащий не менее 8 символов
...
- ;
- Не содержащий в себе
...
- никаких осмысленных слов (ни в каких раскладках)
...
- ;
- Содержащий в себе буквы в различных
...
- регистрах, цифры и спецсимволы.
- Убедиться, что
pam_tally
настроен на блокировку учетных записей при попытках подбора паролей (настроено по умолчанию при установке ОС). - Настроить дисковые квоты в ОС
Для этого установить пакетquota,
настроить /etc/fstab, и использоватьedquota
для установки квот. Настроить ограничения ОС (так называемые ulimits).
Рекомендуемые настройки /etc/security/limits.conf:Информация #размер дампа ядра
* hard core 0#максимальный размер создаваемого файла
* hard fsize 50000000#блокировка форк-бомбы(большого количества процессов)
* hard nproc 1000Отключить все неиспользуемые сервисы (в т.ч. сетевые) которые запускаются при старте ОС:
Информация В ОС СН Смоленск 1.6 командой systemdgenie
или
В ОС СН Смоленск 1.5 командамиchkconfig
иfly-admin-runlevel
Включить межсетевой экран ufw и настроить iptables в минимально необходимой конфигурации, необходимой для работы:
по умолчанию все запрещено, кроме необходимых исключенийИнформация В ОС СН Смоленск 1.6 командами
iptables
ufw
gufw
В ОС СН Смоленск 1.5 командами
iptables
ufw
Настроить параметры ядра в /etc/sysctl.conf:
Отключить механизм SysRq, для чего использовать графический инструмент fly-admin-smc, или в /etc/sysctl.conf добавить строкуИнформация kernel.sysrq = 0 после чего перезагрузить ПК, и проверить, что уcтановлено значение 0, командой:
Command cat /proc/sys/kernel/sysrq Дополнительные рекомендуемые параметры ядра (также могут быть установлены или изменены с помощью графического инструмента fly-admin-smc):
Информация fs.suid_dumpable=0
kernel.randomize_va_space=2
net.ipv4.ip_forward=0
net.ipv4.conf.all.send_redirects=0
net.ipv4.conf.default.send_redirects=0Заблокировать исполнение модулей python с расширенным функционалом:
Command find /usr/lib/python* -type f -name "_ctype*" -exec sudo dpkg-statoverride --update --add root root 640 {} \; При возможности, использовать защитное преобразование домашних каталогов пользователей с помощью допустимых средств,
или использовать хранение информации на сетевых дисках или на защищенных от несанкционированного доступа сменных носителях.По возможности, запретить пользователям подключение сменных носителей, к которым может быть осуществлён любой несанкционированный доступ:
В Смоленск 1.6 такой доступ запрещен по умолчанию.
В Смоленск 1.5 см. информацию по обновлению безопасности БЮЛЛЕТЕНЬ № 27082018SE15- Настроить систему аудита на сохранение логов на удаленной машине.
Если возможно, использовать систему централизованного протоколирования.
см. РУК АДМИН п.15