Справочный центр

Дерево страниц

Вы просматриваете старую версию данной страницы. Смотрите текущую версию.

Сравнить с текущим просмотр истории страницы

« Предыдущий Версия 25 Следующий »

                                Настройка безопасной конфигурации ПК и ОС Astra Linux

1. Настройте BIOS (с целью предотвратить загрузку с внешнего носителя) 

1.1. Установите единственным устройством для загрузки ОС - жесткий диск куда была произведена установка ОС.

1.2. Установите "взломостойкий" пароль на BIOS ПК.

1.3 Отключить в BIOS-е Intel SGX (в связи с обнаруженной уязвимостью в механизме).

1.4. Необходимо обеспечить защиту от "незаметного" вскрытия корпуса и встраивания "имплантов" в соединительные кабели периферийных устройств".
Для обеспечения защиты могут использоваться специальные корпуса, защитные крышки, пломбы, пломбировочные ленты, для усложнения скрытной установки "имплантов" рекомендуется использование ПК в форм-факторе ноутбук или моноблок.

1.5. При возможности - установите и настройте АПМДЗ на ПК.

1.6. Обеспечьте невозможность физического доступа к жесткому диску на котором установлена ОС, или  используйте доступные средства защитного преобразования всего содержимого диска.

1.7. При наличии опций для процессоров Intel Execute Disable Bit (XD-Bit) и для процессоров AMD No Execute Bit (NX-Bit) включите их.

1.8. При наличии на серверах "не доверенных" систем контроля и управления типа ILO,RSA,iDRAC,ThinkServer EasyManage,AMT,iMana - их необходимо отключить, и использовать при необходимости альтернативные решения типа IP KVM.

1.9. Включить secureboot на платформах где это возможно согласно инструкции.

1.10. Устранить известные уязвимости аппаратной платформы (процессоров, контроллеров, BIOS и пр.). Обычно выполняется обновлением BIOS и микропрограмм устройств или, до получения нейтрализующих обновлений, отключением опций, подверженных уязвимостям. См. эксплуатационную документацию на используемые компоненты аппаратной платформы. В процессе эксплуатации устранять уязвимости аппаратной платформы по мере их выявления.


3. Установить все доступные оперативные обновления ОС Astra Linux

Оперативные обновления для Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5)

4. Настроть загрузчик на загрузку ядра GENERIC и уберать из меню все другие варианты загрузки, включая режимы восстановления.

4.1 Установить "взломостойкий" пароль на загрузчик Grub (устанавливается по умолчанию при установке ОС).

4.2 При использовании архитектур отличных от Intel установить пароль на загрузчик согласно документации.

5. При установке рекомендуется создать отдельные разделы / /boot /home /tmp /var/tmp

Раздел /boot рекомендуется монтировать с опциями ro (перед обновлением ядра смонтировать в rw)

Разделы /home /tmp /var/tmp рекомендуется монтировать с опциями noexec,nodev,nosuid

6. Установить "взломостойкий" пароли на всех учетных записях в ОС.

6.1 Настроить pam_tally на блокировку учетных записей при попытках подбора паролей. (настроено по умолчанию при установке ОС)

7. Настроить дисковые квоты в ОС

Для настройки дисковых квот:

  • установить пакет quota;
  • настроить /etc/fstab;
  • использовать инструмент edquota для установки квот.

8. Настроить ограничения ОС: ulimits

Рекомендуемые настройки (файл /etc/security/limits.conf):

/etc/security/limits.conf
#размер дампа ядра
* hard core 0
#максимальный размер создаваемого файла
* hard fsize 50000000
#блокировка форк-бомбы(большого количества процессов)
* hard nproc 1000

9. Отключить все неиспользуемые сервисы (в т.ч. сетевые) которые запускаются при старте ОС

Для поиска неиспользуемых сервисов можно применить командыпрограммы chkconfig и fly-admin-runlevel

10. Настроить iptables в минимально необходимой конфигурации необходимой для работы

(по умолчанию все запрещено, кроме необходимых исключений)

в 1.5 iptables ufw

в 1.6 iptables ufw gufw

11. Настроить параметры ядра в /etc/sysctl.conf:

11.1 Отключите механизм SysRq

в /etc/sysctl.conf добавьте строку

/etc/sysctl.conf
kernel.sysrq = 0

Перезагрузить компьютер и убедиться, что установлено значение 0. Команда:

cat /proc/sys/kernel/sysrq
11.2 Установить дополнтельные рекомендуемые параметры

/etc/sysctl.conf
fs.suid_dumpable=0
kernel.randomize_va_space=2
net.ipv4.ip_forward=0
net.ipv4.conf.all.send_redirects=0
net.ipv4.conf.default.send_redirects=0

12. Заблокировать исполнение модулей python с расширенным функционалом:

find /usr/lib/python* -type f -name "_ctype*" -exec sudo dpkg-statoverride --update --add root root 640 {} \;

13. Заблокировать макросы в VLC

find /usr/lib/ -type f -name "liblua_plugin*" -exec sudo dpkg-statoverride --update --add root root 640 {} \;

14. При возможности заблокировать макросы в Libreoffice

15. Отключить доступ к консоли пользователям:

(Инструкция для Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5), для оперативного обновления 1.6 правила работают из коробки)

Добавить группу astra-console выполнив команду:

addgroup --gid 333 astra-console

Создать файл /etc/rc.local со следующим содержимым:

/etc/rc.local
#!/bin/sh -e
chown root:astra-console /dev/{pts,pts/*,ptmx,tty*}
chmod g+rx /dev/{pts,pts/*,ptmx,tty*}
chmod o-rx /dev/{pts,pts/*,ptmx,tty*}
exit 0

Добавить правило в файл /etc/security/access.conf командой:

echo "-:ALL EXCEPT astra-console :LOCAL" >> /etc/security/access.conf
Включить в /etc/pam.d/login обработку заданных правил командой
sed -i 's|.*account.*pam_access.*|account required pam_access.so|' /etc/pam.d/login
Для включения доступа к консоли администраторам добавить их в группу astra-console.

16. Включить контроль цифровой подписи в ELF файлах и в xattr всех файлов,(Режим Замкнутой Программной Среды)

Для включения цифровой подписи сгенерировать ключи и подписать цифровой подписью в xattr все основные файлы и каталоги в корневой ФС. Рекомендуемые каталоги для подписи: /etc /lib /lib64 /lib32 /bin /sbin /boot /root /opt /srv /usr

16.1 Для включения механизма контроля подписи в ELF:

Установить в файле /etc/digsig/digsig_initramfs.conf:

/etc/digsig/digsig_initramfs.conf
DIGSIG_ENFORCE=1
DIGSIG_LOAD_KEYS=1

Выполнить команду:

update-initramfs -u -k all
Перезагрузить компьютер.

16.2 Для включения механизма контроля подписи в xattr см. РУК КСЗ п.13.5.2

17. При возможности использовать защитное преобразование данных домашних каталогов пользователей с помощью допустимых средств преобразования.

18. При возможности настроить двухуровневый киоск для пользователя.

см. РУК КСЗ п.15

Как минимум, настроить высокоуровневый киоск для пользователя с помощью утилиты fly-kiosk:

см. РУК КСЗ п.15.6

19. При возможности запретить пользователям подключение сменных носителей.

20. Установить запрет установки исполняемого бита:

echo 1 > /parsecfs/nochmodx
echo 1 > /etc/parsec/nochmodx
см. РУК КСЗ п.16

21. Настроить систему аудита на сохранение журналов на удаленной машине.

Если возможно использовать систему централизованного протоколирования ossec, см. РУК АДМИН п.15

22. Установить МКЦ > 0 на всеx основных файлах и каталогах в корневой ФС. (set-fs-ilev)

(в 1.6 и в 1.5 на апдейтах позже 27-10-2017)

Установку МКЦ проводить после всех настроек безопасности, так как дальнейшее администрирование будет возможно только после входа под высоким уровнем целостности или после снятия МКЦ с ФС командой unset-fs-ilev

Установка МКЦ на 1.5 апдейт 27-10-2017: см. Мандатный контроль целостности

P.S.

"Взломостойкий" пароль - это пароль не менее 8 символов, не содержащий в себе никаких осмысленных слов(ни в каких раскладках) и  содержащий в себе буквы в различных регистрах, цифры и спецсимволы.

23. Включить запрос пароля при каждом выполнении команды sudo, для чего внести следующие изменения в файл /etc/sudoers:

  1. Для того, чтобы для выполнения первой команды sudo требовалось ввести пароль:
    удалить "NOPASSWD:" из строки:

    %astra-admin ALL=(ALL:ALL) NOPASSWD: ALL

  2. Для того, чтобы пароль не запоминался для выполнения последующих команд и запрашивался для каждой команды:
    добавить строку

    Defaults timestamp_timeout=0
  • Нет меток