Настройка "безопасной" конфигурации ПК и ОС Astra Linux
1. Настройте BIOS (с целью предотвратить загрузку с внешнего носителя) :
1.1. Установите единственным устройством для загрузки ОС - жесткий диск куда была произведена установка ОС.
1.2. Установите "взломостойкий" пароль на BIOS ПК.
1.3 При возможности - установите и настройте АПМДЗ на ПК.
1.4 Обеспечьте невозможность физического доступа к жесткому диску на котором установлена ОС, или
используйте доступные средства шифрования всего содержимого диска.
2. Настройте загрузчик на загрузку ядра PAX и уберите из меню все другие варианты загрузки, включая режимы восстановления.
2.1. Если есть необходимое ПО которое не работает под PAX ядром добавьте его бинарные
файлы и библиотеки в исключения с помощью paxctl (по умолчанию не установлен).
После настройки удалите пакет paxctl.
2.2 Установите "взломостойкий" пароль на загрузчик Grub(устанавливается по умолчанию
при установке ОС).
3. Установите "взломостойкий" пароли на всех учетных записях в ОС.
3.1 настройте pam_tally на блокировку учетных записей при попытках подбора паролей.
(настроено по умолчанию при установке ОС)
4. Отключите все неиспользуемые сервисы (в т.ч. сетевые) которые запускаются при старте ОС,
используя программы:
chkconfig и fly-admin-runlevel в 1.5
systemctl systemdgenie в 1.6
5. Найстройте iptables в минимально необходимой конфигурации необходимой для работы
(по умолчанию все запрещено, кроме необходимых исключений)
в 1.5 iptables ufw
в 1.6 iptables ufw gufw
6. Отключите механизм SysRq
в /etc/sysctl.conf добавьте строку
kernel.sysrq = 0
Перезагрузите ПК, проверьте что уcтановлен 0 командой
cat /proc/sys/kernel/sysrq
7. Отключите вход в системной консоли без графики
в файле /etc/inittab закомментируйте символом # следующие строки:
#1:2345:respawn:/sbin/getty 38400 tty1 #2:23:respawn:/sbin/getty 38400 tty2 #3:23:respawn:/sbin/getty 38400 tty3 #4:23:respawn:/sbin/getty 38400 tty4 #5:23:respawn:/sbin/getty 38400 tty5 #6:23:respawn:/sbin/getty 38400 tty6
8. Включите контроль цифровой подписи в ELF файлах и в xattr всех файлов
Для этого сгенерируйте ключи и подпишите цифровой подписью в xattr все основные файлы и каталоги в корневой ФС.
рекомендуемые каталоги для подписи: /etc /lib /lib64 /lib32 /bin /sbin /boot /root /opt /srv /usr
для 1.5 см. РУК КСЗ п.13.5.2
9. При возможности используйте шифрование домашних каталогов
С помощью допустимых средств шифрования, или используйте хранение информации на сетевых дисках или сменных носителях.
10. При возможности настройте двухуровневый киоск для пользователя.
см. РУК КСЗ п.15
Как минимум нужно настроить высокоуровневый киоск для пользователя с помощью утилиты fly-kiosk:
см. РУК КСЗ п.15.6
11. При возможности запретите пользователю подключение сменных носителей.
12. Установите запрет установки исполняемого бита:
см. РУК КСЗ п.16
13. Настройте систему аудита на сохранение логов на удаленной машине.
Если возможно используйте систему централизованного протоколирования ossec.
см. РУК АДМИН п.15
14. Установите МКЦ > 0 на всеx основных файлах и каталогах в корневой ФС. (set-fs-ilev)
(в 1.6 и в 1.5 на апдейтах позже 27-10-2017)
Установку МКЦ рекомендуется проводить после всех настроек безопасности, дальнейшее
администрирование возможно только войдя под высоким уровнем целостности или после снятия МКЦ с ФС командой unset-fs-ilev
Установка МКЦ на 1.5 апдейт 27-10-2017:
см. Мандатный контроль целостности
P.S.
"взломостойкий" пароль это пароль не менее 8 символов,
не содержащий в себе никакик осмысленных слов(ни в каких раскладках) и
содержащий в себе буквы в различных регистах, цифры и спецсимволы.
дополнительные средства защиты в 1.6:
ролевое разграничение доступа
отсутствие прямого доступа к терминалу (по умолчанию)