Методические указания не являются кумулятивными. При выполнении методических указаний другие виды обновлений автоматически не применяются и должны быть установлены отдельно.
Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости ПО Xen
в случае возможности отказаться от использования ПО Xen в пользу сертифицированной виртуализации libvirt/qemu, поскольку это позволит:
- включить дискреционное управление доступом к виртуальным машинам и изоляции процессов внутри ВМ, между ВМ и по отношению к гипервизору;
- включить регистрацию событий безопасности в среде виртуализации;
- активировать ограничения прав доступа к страницам виртуальной памяти;
Для нейтрализации угрозы эксплуатации уязвимости команды dmidecode
необходимо исключить возможность выполнения непривилегированными пользователями команды dmidecode
с повышенными привилегиями без запроса пароля. Необходимо провести ревизию файла /etc/sudoers
и файлов в каталоге /etc/sudoers.d/
и убедиться, что в файлах отсутствует разрешение на запуск dmidecode
с повышенными привилегиями. Для этого выполнить команду:
Если разрешение на запуск dmidecode
с повышенными привилегиями отсутствует, то в результате выполнения команды будет пустой вывод.
/etc/sudoers:<группа_пользователей> (ALL) NOPASSWD: /usr/sbin/dmidecode
где <группа_пользователей> – наименование группы, в которую включены непривилегированные пользователи.
Такие строки должны быть удалены или закомментированы;
Для минимизации угроз безопасности в Astra Linux, функционирующей на уровне защищенности «Усиленный» или «Максимальный», рекомендуется включить (если были ранее выключены) следующие функций безопасности системы:
- мандатный контроль целостности (МКЦ), включая режим МКЦ на файловой системе;
- замкнутая программная среда (ЗПС);
- для непривилегированных пользователей активировать блокировку интерпретаторов, в том числе, если возможно — блокировку интерпретатора
bash
.
Порядок включения функций безопасности системы представлен в документе «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1».