Справочный центр

Дерево страниц

Сравнение версий

Старая версия 36

changes.mady.by.user Александр Левдонский

Сохранено

по сравнению с

Новая версия 37

changes.mady.by.user Александр Левдонский

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

  1. Установите все доступные обновления безопасности ОС Astra Linux

    для ОС СН Смоленск: http://astralinux.ru/update.html  и Обновления безопасности Astra Linux Special Edition 1.5
    для ОС ОН Орёл: http://mirror.yandex.ru/astra/stable/orel/latest/repository-update/

  2. Настройте загрузчик на загрузку ядра GENERIC, и уберите из меню все другие варианты загрузки, включая режимы восстановления.
    При использовании архитектур отличных от Intel, установите пароль на загрузчик согласно документации.

  3. Установите единственным устройством для загрузки ОС - жесткий диск, на который была произведена установка ОС

  4. Включить режим загрузки secureboot на своих ключах (создать usb-flash носитель с помощью astra-secureboot, и, далее, ключи импортировать в BIOS). инструкции

  5. Отключить доступ к консоли пользователям:

    (Инструкция актуальна для ОССН Смоленск 1.5,  как для ОССН Смоленск 1.6 правила работают из коробки)

    Добавьте группу astra-console выполнив команду:

    Информация

    addgroup --gid 333 astra-console

    Создайте файл /etc/rc.local со следующим содержимым:

    Информация

    #!/bin/sh -e
    chown root:astra-console /dev/{pts,pts/*,ptmx,tty*}
    chmod g+rx /dev/{pts,pts/*,ptmx,tty*}
    chmod o-rx /dev/{pts,pts/*,ptmx,tty*}
    exit 0

    Добавьте правило в файл /etc/security/access.conf командой:

    Информация
    echo "-:ALL EXCEPT astra-console :LOCAL" >> /etc/security/access.conf

    Включите в /etc/pam.d/login обработку заданных правил командой

    Информация
    sed -i 's|.*account.*pam_access.*|account required pam_access.so|' /etc/pam.d/login

    Для включения доступа к консоли администраторам необходимо добавить их в группу astra-console.

  6. Включить блокировку интерпретаторов

  7. Включить Блокировку установки бита исполнения

    Информация
    echo 1 > /parsecfs/nochmodx
    echo 1 > /etc/parsec/nochmodx

    или командой

    Информация
    astra-nochmodx-lock enable

    см. РУК КСЗ п.16

  8. По возможности, включить блокировку макросов

    1. В Libreoffice

    2. В VLC

      Информация
      find /usr/lib/ -type f -name "liblua_plugin*" -exec sudo dpkg-statoverride --update --add root root 640 {} \;


  9. Включить блокировку трассировки ptrace

  10. Включить контроль цифровой подписи в ELF файлах и в xattr всех файлов (Режим Замкнутой Программной Среды).
    Для этого сгенерируйте ключи и подпишите цифровой подписью в xattr все основные файлы и каталоги в корневой ФС.
    Рекомендуемые каталоги для подписи:

    Информация
     /etc
    /lib
    /lib64
    /lib32
    /bin
    /sbin
    /boot
    /root
    /opt
    /srv
    /usr

    для включения механизма контроля подписи в ELF установите в файле /etc/digsig/digsig_initramfs.conf:

    Информация
    DIGSIG_ENFORCE=1
    DIGSIG_LOAD_KEYS=1

    после чего выполните команду:

    Информация
    update-initramfs -u -k all

    и перезагрузите ПК

    Информация

    Примечание:
    Включение ЗПС крайне рекомендуется сочетать с блокировкой интерпретаторов
    Блокировку интерпретаторов крайне рекомендуется сочетать с включенным МКЦ


  11. Включить гарантированное удаление файлов и папок

  12. Включить межсетевой экран ufw

  13. Включить системные ограничения ulimits

  14. Включить, при наличии возможности, режим графического киоска для пользователя.
    Киоск можно настроить с помощью графического инструмента командной строки fly-kiosk (РУК КСЗ п.15.6).

  15. Включить, при наличии возможности, системный киоск Fly
    Киоск можно настроить с помощью графического инструмента fly-admin-smc (см. РУК КСЗ п.15)

  16. Включить, при наличии возможности, второй уровень контроля подписей в расширенных атрибутах (xattr).
    (Это можно выполнить в программе fly-admin-smc).  (см. РУК КСЗ п.13.5.2)

  17. Установить мандатный контроль целостности (МКЦ > 0) на всеx основных файлах и каталогах в корневой файловой системе.
    (в Смоленск 1.6 и в Смоленск 1.5 на апдейтах позже 27-10-2017)
    Для этого в графическом инструменте fly-admin-smc «Политика безопасности» -> «мандатный контроль целостности» -> «целостность файловой системы» -> установить «высокий 63», или в консоли set-fs-ilev.

    Установку МКЦ рекомендуется проводить после всех настроек безопасности,
    так как дальнейшее администрирование возможно только войдя под высоким уровнем целостности,
    или после снятия МКЦ с файловой системы командой unset-fs-ilev

    Установка МКЦ на 1.5 апдейт 27-10-2017: см. Мандатный контроль целостности

  18. Работу с конфиденциальной информацией под "уровнями конфиденциальности" нужно проводить, используя защитное преобразование файлов
    (возможность встроена в Файловый менеджер fly-fm).

  19. Работу с конфиденциальной информацией в сети необходимо производить, используя защитное преобразование пакетов с помощью создания доверенной VPN сети
    (средства встроены в ОС).

  20. Работу с конфиденциальной информацией при обмене почтой необходимо производить, используя защитные GPG-преобразования писем с помощью плагина для Thunderbird Enigmail
    (средства встроены в ОС)

  21. Установите "взломостойкие" пароли на все учетные записи в ОС

    Информация
    titleP.S.

    "взломостойкий" пароль это пароль

    • не менее 8 символов,
    • не содержащий в себе никакик осмысленных слов (ни в каких раскладках),
    • и  содержащий в себе буквы в различных регистах, цифры и спецсимволы.


  22. Настройте pam_tally на блокировку учетных записей при попытках подбора паролей (настроено по умолчанию при установке ОС).

  23. Настройте дисковые квоты в ОС
    Для этого установите пакет quota, настройте /etc/fstab, и используйте edquota для установки квот.

  24. Настройте ограничения ОС (так называемые ulimits).
    Рекомендуемые настройки /etc/security/limits.conf:

    Информация

    #размер дампа ядра
    * hard core 0

    #максимальный размер создаваемого файла
    * hard fsize 50000000

    #блокировка форк-бомбы(большого количества процессов)
    * hard nproc 1000


  25. Отключите все неиспользуемые сервисы (в т.ч. сетевые) которые запускаются при старте ОС:

    Информация
    командой systemdgenie в Смоленск 1.6 или
    командами chkconfig и fly-admin-runlevel в Смоленск 1.5


  26. Найстройте iptables в минимально необходимой конфигурации, необходимой для работы:
    (по умолчанию все запрещено, кроме необходимых исключений)

    Информация
    командой iptables ufw gufw в ОССН Смоленск 1.6 или
    командой iptables ufw               в ОССН Смоленск 1.5 


  27. Настройте параметры ядра в /etc/sysctl.conf:

    Отключите механизм SysRq, для чего в /etc/sysctl.conf добавьте строку

    Информация
    kernel.sysrq = 0

    после чего перезагрузите ПК, и проверьте что уcтановлено значение 0, командой:

    Информация
    cat /proc/sys/kernel/sysrq

    дополнтельные Дополнительные рекомендуемые параметры ядра:

    Информация
    fs.suid_dumpable=0
    kernel.randomize_va_space=2
    net.ipv4.ip_forward=0
    net.ipv4.conf.all.send_redirects=0
    net.ipv4.conf.default.send_redirects=0


  28. Заблокируйте исполнение модулей python с расширенным функционалом:

    Информация
    find /usr/lib/python* -type f -name "_ctype*" -exec sudo dpkg-statoverride --update --add root root 640 {} \;


  29. При возможности используйте защитное преобразование домашних каталогов полььзователей с помощью допустимых средств,
    или используйте хранение информации на сетевых дисках или сменных носителях.

  30. По возможности, запретите пользователям подключение сменных носителей.

  31. Настройте систему аудита на сохранение логов на удаленной машине.
    Если возможно, используйте систему централизованного протоколирования ossec.
    см. РУК АДМИН п.15

...