Вы просматриваете старую версию данной страницы. Смотрите текущую версию.

Сравнить с текущим просмотр истории страницы

« Предыдущий Версия 9 Следующий »

Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6), далее по тексту - Astra Linux, в информационных системах.

Методические указания не являются кумулятивными. При выполнении методических указаний другие виды обновлений автоматически не применяются и должны быть установлены отдельно.

Настоящее методические указания предназначены для нейтрализации угрозы эксплуатации уязвимости в Astra Linux с установленным оперативным обновлением 12 (бюллетень № 20221220SE16).

Обновленные пакеты, в которых устранена угроза эксплуатации уязвимости, будут включены в состав следующего оперативного обновления.

Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости службы сервера FreeIPA

Информация об уязвимости, закрываемой при выполнении настоящих методических указаний, предоставляется после соответствующего обращения в техническую поддержку.

ВНИМАНИЕ!

Применение методических указаний необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.

Для нейтрализации угрозы эксплуатации уязвимости службы сервера FreeIPA на каждом сервере (реплике) необходимо выполнить действия, описанные ниже.

  1. Уточнить наименование домена командой:

    astra-freeipa-server -i
    Пример вывода после выполнения команды:

    Обнаружен настроенный домен my.domain.local
    WEB: https://dc.my.domain.local
  2. Запустить инструмент командной строки ldapmodify, выполнив следующую команду:

    ldapmodify -D "cn=Directory Manager" -W

  3. Ввести пароль администратора домена, после успешной авторизации появится приглашение для ввода.

  4. Указать компоненты наименования домена, для этого ввести строку вида:

    dn: dc=<N-й_компонент_наименования_домена>,...dc=<2-й_компонент_наименования_домена>,dc=<1-й_компонент_наименования_домена>

    для примера, приведенного выше, строка будет иметь вид:

    dn: dc=my,dc=domain,dc=local


  5. Изменить ACL (список прав доступа) атрибута userPassword с anyone (все пользователи) на all (только аутентифицированные пользователи). Для этого ввести следующие строки:

    changetype: modify
    delete: aci
    aci: (targetattr = "userPassword")(version 3.0; acl "Users can read attr userPassword"; allow (read, compare,search) groupdn = "ldap:///anyone";)
    -
    add: aci
    aci: (targetattr = "userPassword")(version 3.0; acl "Users can read attr userPassword"; allow (read, compare,search) groupdn = "ldap:///all";)
    -

    нажать клавишу <ENTER> (дважды). О начале процесса внесения изменений в настройки свидетельствует следующее сообщение:

    modifying entry "<компоненты_наименования_домена>"

    после появления приглашения для ввода (и при отсутствии сообщений об ошибках) завершить работу инструмента командной строки ldapmodify, например, нажав комбинацию клавиш <Ctrl+C>.

После применения настоящей методики рекомендуется провести смену паролей пользователей.

По умолчанию в домене FreeIPA используются следующие настройки сложности пароля:

  • минимальная длина пароля — 8 символов;
  • количество классов символов, используемых в пароле, — не менее чем два класса символов. 

    Применяется следующий перечень классов символов:

    • буквы верхнего регистра;
    • буквы нижнего регистра;
    • цифры;
    • специальные символы;
    • пробелы и непечатаемые символы.
  • Нет меток