Настройка безопасной конфигурации ПК и ОС Astra Linux
1. Настройте BIOS (с целью предотвратить загрузку с внешнего носителя)
1.1. Установите единственным устройством для загрузки ОС - жесткий диск куда была произведена установка ОС.
1.2. Установите "взломостойкий" пароль на BIOS ПК.
1.3 Отключить в BIOS-е Intel SGX (в связи с обнаруженной уязвимостью в механизме).
1.4. Необходимо обеспечить защиту от "незаметного" вскрытия корпуса и встраивания "имплантов" в соединительные кабели периферийных устройств".
Для обеспечения защиты могут использоваться специальные корпуса, защитные крышки, пломбы, пломбировочные ленты, для усложнения скрытной установки "имплантов" рекомендуется использование ПК в форм-факторе ноутбук или моноблок.
1.5. При возможности - установите и настройте АПМДЗ на ПК.
1.6. Обеспечьте невозможность физического доступа к жесткому диску на котором установлена ОС, или используйте доступные средства защитного преобразования всего содержимого диска.
1.7. При наличии опций для процессоров Intel Execute Disable Bit (XD-Bit) и для процессоров AMD No Execute Bit (NX-Bit) включите их.
1.8. При наличии на серверах "не доверенных" систем контроля и управления типа ILO,RSA,iDRAC,ThinkServer EasyManage,AMT,iMana - их необходимо отключить, и использовать при необходимости альтернативные решения типа IP KVM.
1.9. Включить secureboot на платформах где это возможно согласно инструкции.
1.10. Устранить известные уязвимости аппаратной платформы (процессоров, контроллеров, BIOS и пр.). Обычно выполняется обновлением BIOS и микропрограмм устройств или, до получения нейтрализующих обновлений, отключением опций, подверженных уязвимостям. См. эксплуатационную документацию на используемые компоненты аппаратной платформы. В процессе эксплуатации устранять уязвимости аппаратной платформы по мере их выявления.
3. Установить все доступные оперативные обновления ОС Astra Linux
Оперативные обновления для Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5)
4. Настроть загрузчик на загрузку ядра GENERIC и уберать из меню все другие варианты загрузки, включая режимы восстановления.
4.1 Установить "взломостойкий" пароль на загрузчик Grub (устанавливается по умолчанию при установке ОС).
4.2 При использовании архитектур отличных от Intel
установить пароль на загрузчик согласно документации.
5. При установке рекомендуется создать отдельные разделы / /boot /home /tmp /var/tmp
Раздел /boot рекомендуется монтировать с опциями ro
(перед обновлением ядра смонтировать в rw
)
Разделы /home /tmp /var/tmp рекомендуется монтировать с опциями noexec,nodev,nosuid
6. Установить "взломостойкий" пароли на всех учетных записях в ОС.
6.1 Настроить pam_tally
на блокировку учетных записей при попытках подбора паролей. (настроено по умолчанию при установке ОС)
7. Настроить дисковые квоты в ОС
Для настройки дисковых квот:
- установить пакет
quota
; - настроить /etc/fstab;
- использовать инструмент
edquota
для установки квот.
8. Настроить ограничения ОС: ulimits
Рекомендуемые настройки (файл /etc/security/limits.conf):
#размер дампа ядра * hard core 0 #максимальный размер создаваемого файла * hard fsize 50000000 #блокировка форк-бомбы(большого количества процессов) * hard nproc 1000
9. Отключить все неиспользуемые сервисы (в т.ч. сетевые) которые запускаются при старте ОС
Для поиска неиспользуемых сервисов можно применить командыпрограммы chkconfig
и fly-admin-runlevel
10. Настроить iptables в минимально необходимой конфигурации необходимой для работы
(по умолчанию все запрещено, кроме необходимых исключений)
в 1.5 iptables ufw
в 1.6 iptables ufw gufw
11. Настроить параметры ядра в /etc/sysctl.conf:
11.1 Отключите механизм SysRq
в /etc/sysctl.conf добавьте строку
kernel.sysrq = 0
Перезагрузить компьютер и убедиться, что установлено значение 0. Команда:
fs.suid_dumpable=0 kernel.randomize_va_space=2 net.ipv4.ip_forward=0 net.ipv4.conf.all.send_redirects=0 net.ipv4.conf.default.send_redirects=0
12. Заблокировать исполнение модулей python с расширенным функционалом:
13. Заблокировать макросы в VLC
14. При возможности заблокировать макросы в Libreoffice
15. Отключить доступ к консоли пользователям:
(Инструкция для Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5), для оперативного обновления 1.6 правила работают из коробки)
Добавить группу astra-console выполнив команду:
Создать файл /etc/rc.local со следующим содержимым:
#!/bin/sh -e chown root:astra-console /dev/{pts,pts/*,ptmx,tty*} chmod g+rx /dev/{pts,pts/*,ptmx,tty*} chmod o-rx /dev/{pts,pts/*,ptmx,tty*} exit 0
Добавить правило в файл /etc/security/access.conf командой:
16. Включить контроль цифровой подписи в ELF файлах и в xattr всех файлов,(Режим Замкнутой Программной Среды)
Для включения цифровой подписи сгенерировать ключи и подписать цифровой подписью в xattr все основные файлы и каталоги в корневой ФС. Рекомендуемые каталоги для подписи: /etc /lib /lib64 /lib32 /bin /sbin /boot /root /opt /srv /usr
16.1 Для включения механизма контроля подписи в ELF:
Установить в файле /etc/digsig/digsig_initramfs.conf:
DIGSIG_ENFORCE=1 DIGSIG_LOAD_KEYS=1
Выполнить команду:
16.2 Для включения механизма контроля подписи в xattr
см. РУК КСЗ п.13.5.2
17. При возможности использовать защитное преобразование данных домашних каталогов пользователей с помощью допустимых средств преобразования.
18. При возможности настроить двухуровневый киоск для пользователя.
см. РУК КСЗ п.15
Как минимум, настроить высокоуровневый киоск для пользователя с помощью утилиты fly-kiosk:
см. РУК КСЗ п.15.6
19. При возможности запретить пользователям подключение сменных носителей.
20. Установить запрет установки исполняемого бита:
echo 1 > /etc/parsec/nochmodx
21. Настроить систему аудита на сохранение журналов на удаленной машине.
Если возможно использовать систему централизованного протоколирования ossec
, см. РУК АДМИН п.15
22. Установить МКЦ > 0 на всеx основных файлах и каталогах в корневой ФС. (set-fs-ilev)
(в 1.6 и в 1.5 на апдейтах позже 27-10-2017)
Установку МКЦ проводить после всех настроек безопасности, так как дальнейшее администрирование будет возможно только после входа под высоким уровнем целостности или после снятия МКЦ с ФС командой unset-fs-ilev
Установка МКЦ на 1.5 апдейт 27-10-2017: см. Мандатный контроль целостности
P.S.
"Взломостойкий" пароль - это пароль не менее 8 символов, не содержащий в себе никаких осмысленных слов(ни в каких раскладках) и содержащий в себе буквы в различных регистрах, цифры и спецсимволы.
23. Включить запрос пароля при каждом выполнении команды sudo, для чего внести следующие изменения в файл /etc/sudoers:
Для того, чтобы для выполнения первой команды sudo требовалось ввести пароль:
удалить "NOPASSWD:" из строки:%astra-admin ALL=(ALL:ALL)NOPASSWD:ALLДля того, чтобы пароль не запоминался для выполнения последующих команд и запрашивался для каждой команды:
добавить строкуDefaults timestamp_timeout=0