Настройка безопасной конфигурации компьютра для работы с ОС Astra Linux

Перед установкой ОС

...

При установке ОС

1. Установите "взломостойкий" пароль на загрузчик Grub (устанавливается по умолчанию при установке ОС).

2. Создать отдельные дисковые разделы  
   /
/boot
/home
/tmp
/var/tmp

3. Раздел /boot рекомендуется монтировать с опциями ro (перед обновлением ядра смонтировать в rw)
   

4. Разделы /home /tmp /var/tmp рекомендуется монтировать с опциями noexec,nodev,nosuid
   

После установки ОС

...

#размер дампа ядра
* hard core 0

#максимальный размер создаваемого файла
* hard fsize 50000000

#блокировка форк-бомбы(большого количества процессов)
* hard nproc 1000

Отключите все неиспользуемые сервисы (в т.ч. сетевые) которые запускаются при старте ОС, используя программы:

systemdgenie в Смоленск 1.6 (chkconfig и fly-admin-runlevel в Смоленск 1.5)

Найстройте iptables в минимально необходимой конфигурации, необходимой для работы:
(по умолчанию все запрещено, кроме необходимых исключений)

в ОССН Смоленск 1.6 командой iptables ufw gufw


в ОССН Смоленск 1.5 командой iptables ufw

Настройте параметры ядра в /etc/sysctl.conf:

Отключите механизм SysRq

в /etc/sysctl.conf добавьте строку

kernel.sysrq = 0

Перезагрузите ПК, проверьте что уcтановлено значение 0, командой:

дополнтельные рекомендуемые параметры

fs.suid_dumpable=0
kernel.randomize_va_space=2
net.ipv4.ip_forward=0
net.ipv4.conf.all.send_redirects=0
net.ipv4.conf.default.send_redirects=0

Заблокируйте исполнение модулей python с расширенным функционалом:

13. Заблокируйте макросы в VLC

14. При возможности заблокируйте, макросы в Libreoffice

15. Обязательно отключите доступ к консоли пользователям:

(Инструкция для Смоленск 1.5, для 1.6 правила работают из коробки)

Добавьте группу astra-console выполнив команду:

...

#!/bin/sh -e
chown root:astra-console /dev/{pts,pts/*,ptmx,tty*}
chmod g+rx /dev/{pts,pts/*,ptmx,tty*}
chmod o-rx /dev/{pts,pts/*,ptmx,tty*}
exit 0

Добавьте правило в файл /etc/security/access.conf командой:

...

Для включения доступа к консоли администраторам необходимо добавить их в группу astra-console.

16. Включите контроль цифровой подписи в ELF файлах и в xattr всех файлов,(Режим Замкнутой Программной Среды)

для этого сгенерируйте ключи и подпишите цифровой подписью в xattr все основные файлы и каталоги в корневой ФС.

рекомендуемые каталоги для подписи: /etc /lib /lib64 /lib32 /bin /sbin /boot /root /opt /srv /usr

16.1 Для включения механизма контроля подписи в ELF:

Установите в файле /etc/digsig/digsig_initramfs.conf:

DIGSIG_ENFORCE=1

DIGSIG_LOAD_KEYS=1

выполните команду:

перезагрузите ПК.

16.2 Для включения механизма контроля подписи в xattr см. РУК КСЗ п.13.5.2

17. При возможности используйте защитное преобразование домашних каталогов с помощью допустимых средств или используйте хранение информации на сетевых дисках или сменных носителях.

18. При возможности настройте двухуровневый киоск для пользователя.

см. РУК КСЗ п.15

Как минимум, нужно настроить высокоуровневый киоск для пользователя с помощью утилиты fly-kiosk:

см. РУК КСЗ п.15.6

19. При возможности запретите пользователю подключение сменных носителей.

20. Установите запрет установки исполняемого бита:

см. РУК КСЗ п.16

21. Настройте систему аудита на сохранение логов на удаленной машине.

Если возможно используйте систему централизованного протоколирования ossec.

см. РУК АДМИН п.15

22. Установите мандатный контроль целостности (МКЦ > 0) на всеx основных файлах и каталогах в корневой файловой системе. (set-fs-ilev)

(в Смоленск 1.6 и в Смоленск 1.5 на апдейтах позже 27-10-2017)

Установку МКЦ рекомендуется проводить после всех настроек безопасности, дальнейшее

администрирование возможно только войдя под высоким уровнем целостности или после снятия МКЦ с файловой системы командой unset-fs-ilev

Установка МКЦ на 1.5 апдейт 27-10-2017:

см. Мандатный контроль целостности

...

"взломостойкий" пароль это пароль

...