Справочный центр

Дерево страниц

Сравнение версий

Старая версия 32

changes.mady.by.user Александр Левдонский

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Александр Левдонский

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Включить страницу
Рекомендации по безопасной установке и эксплуатации Astra Linux
Рекомендации по безопасной установке и эксплуатации Astra Linux

                                Настройка безопасной конфигурации компьютра для работы с ОС Astra Linux

Перед установкой ОС

...

Установить "взломостойкий" пароль на BIOS компьютера.

Информация
titleP.S.

"взломостойкий" пароль это пароль

  • не менее 8 символов,
  • не содержащий в себе никакик осмысленных слов (ни в каких раскладках),
  • и  содержащий в себе буквы в различных регистах, цифры и спецсимволы.

...

При установке ОС

  1. Установите "взломостойкий" пароль на загрузчик Grub (устанавливается по умолчанию при установке ОС).

  2. Создать отдельные дисковые разделы  
    /
    /boot
    /home
    /tmp
    /var/tmp

  3. Раздел /boot рекомендуется монтировать с опциями ro (перед обновлением ядра смонтировать в rw)

  4. Разделы /home /tmp /var/tmp рекомендуется монтировать с опциями noexec,nodev,nosuid

После установки ОС

...

В Libreoffice

В VLC

Информация
find /usr/lib/ -type f -name "liblua_plugin*" -exec sudo dpkg-statoverride --update --add root root 640 {} \;

...

Установите "взломостойкие" пароли на все учетные записи в ОС

Информация
titleP.S.

"взломостойкий" пароль это пароль

  • не менее 8 символов,
  • не содержащий в себе никакик осмысленных слов (ни в каких раскладках),
  • и  содержащий в себе буквы в различных регистах, цифры и спецсимволы.

...

Информация

#размер дампа ядра
* hard core 0

#максимальный размер создаваемого файла
* hard fsize 50000000

#блокировка форк-бомбы(большого количества процессов)
* hard nproc 1000

Отключите все неиспользуемые сервисы (в т.ч. сетевые) которые запускаются при старте ОС:

Информация
командой systemdgenie в Смоленск 1.6 или
командами chkconfig и fly-admin-runlevel в Смоленск 1.5

Найстройте iptables в минимально необходимой конфигурации, необходимой для работы:
(по умолчанию все запрещено, кроме необходимых исключений)

Информация
командой iptables ufw gufw в ОССН Смоленск 1.6 или
командой iptables ufw               в ОССН Смоленск 1.5 

...

Информация
kernel.sysrq = 0

после чего перезагрузите ПК, и проверьте что уcтановлено значение 0, командой:

Информация
cat /proc/sys/kernel/sysrq

дополнтельные рекомендуемые параметры ядра:

Информация
fs.suid_dumpable=0
kernel.randomize_va_space=2
net.ipv4.ip_forward=0
net.ipv4.conf.all.send_redirects=0
net.ipv4.conf.default.send_redirects=0

Заблокируйте исполнение модулей python с расширенным функционалом:

Информация
find /usr/lib/python* -type f -name "_ctype*" -exec sudo dpkg-statoverride --update --add root root 640 {} \;

15. Обязательно отключите доступ к консоли пользователям:

(Инструкция для Смоленск 1.5, для 1.6 правила работают из коробки)

Добавьте группу astra-console выполнив команду:

Блок кода
title/etc/rc.local
#!/bin/sh -e
chown root:astra-console /dev/{pts,pts/*,ptmx,tty*}
chmod g+rx /dev/{pts,pts/*,ptmx,tty*}
chmod o-rx /dev/{pts,pts/*,ptmx,tty*}
exit 0

Создайте файл /etc/rc.local со следующим содержимым:

Добавьте правило в файл /etc/security/access.conf командой:

Command
echo "-:ALL EXCEPT astra-console :LOCAL" >> /etc/security/access.conf

...

Command

sed -i 's|.*account.*pam_access.*|account required pam_access.so|' /etc/pam.d/login

Для включения доступа к консоли администраторам необходимо добавить их в группу astra-console.

16. Включите контроль цифровой подписи в ELF файлах и в xattr всех файлов,(Режим Замкнутой Программной Среды)

для этого сгенерируйте ключи и подпишите цифровой подписью в xattr все основные файлы и каталоги в корневой ФС.

рекомендуемые каталоги для подписи: /etc /lib /lib64 /lib32 /bin /sbin /boot /root /opt /srv /usr

16.1 Для включения механизма контроля подписи в ELF:

Установите в файле /etc/digsig/digsig_initramfs.conf:

Блок кода
title /etc/digsig/digsig_initramfs.conf
DIGSIG_ENFORCE=1

DIGSIG_LOAD_KEYS=1

выполните команду:

Command

update-initramfs -u -k all

перезагрузите ПК.

16.2 Для включения механизма контроля подписи в xattr см. РУК КСЗ п.13.5.2

17. При возможности используйте защитное преобразование домашних каталогов с помощью допустимых средств или используйте хранение информации на сетевых дисках или сменных носителях.

18. При возможности настройте двухуровневый киоск для пользователя.

см. РУК КСЗ п.15

Как минимум, нужно настроить высокоуровневый киоск для пользователя с помощью утилиты fly-kiosk:

см. РУК КСЗ п.15.6

19. При возможности запретите пользователю подключение сменных носителей.

20. Установите запрет установки исполняемого бита:

Command

echo 1 > /parsecfs/nochmodx
echo 1 > /etc/parsec/nochmodx

см. РУК КСЗ п.16

21. Настройте систему аудита на сохранение логов на удаленной машине.

Если возможно используйте систему централизованного протоколирования ossec.

см. РУК АДМИН п.15