Содержание

Skip to end of metadata
Go to start of metadata

Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)  в информационных системах.

Методические указания не являются кумулятивными. При выполнении методических указаний другие виды обновлений автоматически не применяются и должны быть установлены отдельно.

Методика безопасности, нейтрализующая угрозы эксплуатации уязвимостей

Внимание

Применение методических указаний необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.
На время выполнения действий по применению методических указаний необходимо снять запрет на установку бита исполнения в политиках безопасности.

Настоящая методика предназначена для нейтрализации угрозы эксплуатации уязвимостей, перечисленных в Списке уязвимостей, закрываемых обновлением №20210128SE16MD путём обновления пакетов, подверженных уязвимостям. Для реализации настоящей методики предоставляется архив, содержащий файлы с обновлёнными пакетами. Обновление пакетов может выполняться непосредственно из распакованных файлов, централизованно из общего репозитория, или индивидуально из локальных репозиториев. Для использования репозиториев их настройку следует выполнить в соответствии с указаниями Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов а также Создание локального репозитория

Порядок применения методики безопасности

Для минимизации угроз безопасности рекомендуется проверить корректность задания уровней целостности для непривилегированных пользователей (пользователей, не являющихся администраторами системы), вход в систему которым должен быть разрешен только на низком уровне целостности. Любые действия по администрированию системы, не требующие высокого уровня целостности, должны производиться на низком уровне целостности.
В качестве дополнительной меры защиты рекомендуется включить блокировку  консоли для пользователей и блокировку интерпретаторов. (см. руководство по КСЗ. Часть 1, раздел 16.5).

1. Загрузить архив по ссылке: Cсылка. При наличии подключения к Интернет это можно сделать с помощью web-браузера или командой:

2. Проверить соответствие контрольной суммы полученного архива, выполнив команду:

gostsum 20210128se16md.tar.gz

Контрольная сумма:

46289e8cb3643afe0233b719eae852319b43961a6fe21f6190e8f580b8243d6a  20210128se16md.tar.gz


В архиве содержатся файлы для обновления двух несовместимых пакетов: пакета sudo и пакета sudo-ldap. Обновлять следует только тот пакет, который уже установлен в системе. Обычно в ОС Astra Linux установен пакет sudo. Проверить какой именно пакет установлен можно командой:

apt-cache policy sudo sudo-ldap

3. Распаковать архив, выполнив команду:

tar xzf 20210128se16md.tar.gz

После распаковки архива для установки будут доступны два файла обновлений для двух пакетов и файл gostsums.txt для проверки контрольных сумм файлов, входящих в ОС (см. руководство по КСЗ. Часть 1, раздел 9.1):

  • Файлы для обновления пакетов:
    • файл sudo_1.8.19p1-2.1+deb9u3_amd64.deb для обновления пакета sudo;
    • файл sudo-ldap_1.8.19p1-2.1+deb9u3_amd64.deb для обновления пакета sudo-ldap;.

4. После распаковки архива обновление можно выполнить одной из команд:

Обновление пакета
sudo
Обновление пакета
sudo-ldap
sudo dpkg -i sudo_1.8.19p1-2.1+deb9u3_amd64.debsudo dpkg -i sudo-ldap_1.8.19p1-2.1+deb9u3_amd64.deb

Или обновить только установленный пакет командами:

dpkg -s sudo && sudo dpkg -i sudo_1.8.19p1-2.1+deb9u3_amd64.deb
dpkg -s sudo-ldap && sudo dpkg -i sudo-ldap_1.8.19p1-2.1+deb9u3_amd64.deb


Внимание

Обновление пакетов необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности.
На время установки обновления необходимо снять запрет на установку бита исполнения в политиках безопасности.

Организационные мероприятия по снижению угрозы эксплуатации уязвимости

  1. Если не был активирован Мандатный Контроль Целостности (МКЦ), то активировать МКЦ с помощью графического инструмента fly-admin-smc или используя команду:

    sudo astra-mic-control enable

    Если не был включен контроль целостности на файловой системе, то включить его с помощью графического инструмента fly-admin-smc или используя команду set-fs-ilev (см. руководство по КСЗ. Часть 1, раздел 4.3.2):

    sudo set-fs-ilev

    После выполнения указанных операций перезагрузить машину.

  2. При включенном МКЦ проверить корректность задания уровней целостности для непривилегированных пользователей (пользователей, не являющихся администратором системы), вход в систему которым должен быть разрешен только на низком уровне целостности.  Проверить текущий уровень целостности пользователей можно с помощью графического инструмента fly-admin-smc или выполнив для каждого пользователя команду:

    pdpl-user имя_пользователя

    Установить для пользователя низкий уровень целостности можно с помощью графического инструмента fly-admin-smc или выполнив для каждого пользователя команду:

    pdpl-user -i 0 имя_пользователя

  3. Включить блокировку консоли для пользователей, не входящих в группу astra-console:

    sudo astra-console-lock enable
    sudo astra-interpreters-lock enable

  4. Проверить список пользователей, входящих в группу astra-console графического инструмента fly-admin-smc или с помощью команды:

    getent group | grep astra-console

    и исключить из группы astra-console всех недоверенных пользователей или с помощью графического инструмента fly-admin-smc или выполнив для каждого такого пользователя команду:

    gpasswd -d имя_пользователя astra-console


  • No labels