Справочный центр

Дерево страниц

Вы просматриваете старую версию данной страницы. Смотрите текущую версию.

Сравнить с текущим просмотр истории страницы

« Предыдущий Версия 34 Следующий »

                                Настройка безопасной конфигурации компьютра для работы с ОС Astra Linux

Перед установкой ОС

  1. При возможности - установить и настроить на компьютере аппаратно-программный модуль доверенной загрузки (АПМДЗ)

  2. Установить "взломостойкий" пароль на BIOS компьютера.

    P.S.

    "взломостойкий" пароль это пароль

    • не менее 8 символов,
    • не содержащий в себе никакик осмысленных слов (ни в каких раскладках),
    • и  содержащий в себе буквы в различных регистах, цифры и спецсимволы.

  3. При наличии опций для процессоров Intel Execute Disable Bit (XD-Bit) и для процессоров AMD No Execute Bit (NX-Bit) включите их.

  4. При наличии на серверах "не доверенных" систем контроля и управления типа ILO,RSA,iDRAC,ThinkServer EasyManage,AMT,iMana - их необходимо отключить, и использовать, при необходимости, альтенативные решения типа IP KVM.

  5. Для Intel платформ необходимо устранить уязвимости Intel-SA-00086 в Intel Management Engine (если он инегрирован в процессор)
    посредством установки обновления микропрограммы Intel Management Engine
    (производитель оборудования должен обеспечить данную возможность - это либо обновления BIOS, либо ПО для интеграции обновлений).
    Для частичных проверок используйте: Intel-SA-00086 Detection Tool.
    Более подробно: https://www.intel.ru/content/www/ru/ru/support/articles/000025619/software.html

  6. Установить ОССН (обязательно с включенным защитным преобразованием диска),
    и по возможность обеспечить невозможность физического доступа к жесткому диску, на котором установлена ОС 

При установке ОС

  1. Установите "взломостойкий" пароль на загрузчик Grub (устанавливается по умолчанию при установке ОС).

  2. Создать отдельные дисковые разделы  
    /
    /boot
    /home
    /tmp
    /var/tmp

  3. Раздел /boot рекомендуется монтировать с опциями ro (перед обновлением ядра смонтировать в rw)

  4. Разделы /home /tmp /var/tmp рекомендуется монтировать с опциями noexec,nodev,nosuid

После установки ОС

  1. Установите все доступные обновления безопасности ОС Astra Linux

    для ОС СН Смоленск: http://astralinux.ru/update.html  и Обновления безопасности Astra Linux Special Edition 1.5
    для ОС ОН Орёл: http://mirror.yandex.ru/astra/stable/orel/latest/repository-update/

  2. Настройте загрузчик на загрузку ядра GENERIC, и уберите из меню все другие варианты загрузки, включая режимы восстановления.
    При использовании архитектур отличных от Intel, установите пароль на загрузчик согласно документации.

  3. Установите единственным устройством для загрузки ОС - жесткий диск, на который была произведена установка ОС

  4. Включить режим загрузки secureboot на своих ключах (создать usb-flash носитель с помощью astra-secureboot, и, далее, ключи импортировать в BIOS). инструкции

  5. Включить блокировку консоли

  6. Включить блокировку интерпретаторов

  7. Включить Блокировку установки бита исполнения

    echo 1 > /parsecfs/nochmodx
    echo 1 > /etc/parsec/nochmodx

    или командой

    astra-nochmodx-lock enable

    см. РУК КСЗ п.16

  8. По возможности, включить блокировку макросов

    1. В Libreoffice

    2. В VLC

      find /usr/lib/ -type f -name "liblua_plugin*" -exec sudo dpkg-statoverride --update --add root root 640 {} \;
  9. Включить блокировку трассировки ptrace

  10. Включить ЗПС

  11. Включить гарантированное удаление файлов и папок

  12. Включить межсетевой экран ufw

  13. Включить системные ограничения ulimits

  14. Включить, при наличии возможности, режим киоска для пользователя.
    Киоск можно настроить с помощью графического инструмента командной строки fly-kiosk (РУК КСЗ п.15.6).

  15. Включить, при наличии возможности, системный киоск Fly
    Киоск можно настроить с помощью графического инструмента fly-admin-smc (см. РУК КСЗ п.15)

  16. Включить, при наличии возможности, второй уровень контроля подписей в расширенных атрибутах (xattr).
    (Это можно выполнить в программе fly-admin-smc).

  17. Установить мандатный контроль целостности (МКЦ > 0) на всеx основных файлах и каталогах в корневой файловой системе.
    (в Смоленск 1.6 и в Смоленск 1.5 на апдейтах позже 27-10-2017)
    Для этого в графическом инструменте fly-admin-smc «Политика безопасности» -> «мандатный контроль целостности» -> «целостность файловой системы» -> установить «высокий 63», или в консоли set-fs-ilev.

    Установку МКЦ рекомендуется проводить после всех настроек безопасности,
    так как дальнейшее администрирование возможно только войдя под высоким уровнем целостности,
    или после снятия МКЦ с файловой системы командой unset-fs-ilev Установка МКЦ на 1.5 апдейт 27-10-2017: см. Мандатный контроль целостности
  18. Работу с конфиденциальной информацией под "уровнями конфиденциальности" нужно проводить, используя защитное преобразование файлов
    (возможность встроена в Файловый менеджер fly-fm).

  19. Работу с конфиденциальной информацией в сети необходимо производить, используя защитное преобразование пакетов с помощью создания доверенной VPN сети
    (средства встроены в ОС).
  20. Работу с конфиденциальной информацией при обмене почтой необходимо производить, используя защитные GPG-преобразования писем с помощью плагина для Thunderbird Enigmail
  21. (средства встроены в ОС)

  22. Установите "взломостойкие" пароли на все учетные записи в ОС

    P.S.

    "взломостойкий" пароль это пароль

    • не менее 8 символов,
    • не содержащий в себе никакик осмысленных слов (ни в каких раскладках),
    • и  содержащий в себе буквы в различных регистах, цифры и спецсимволы.
  23. Настройте pam_tally на блокировку учетных записей при попытках подбора паролей (настроено по умолчанию при установке ОС).

  24. Настройте дисковые квоты в ОС
    Для этого установите пакет quota, настройте /etc/fstab, и используйте edquota для установки квот.

  25. Настройте ограничения ОС (так называемые ulimits).
    Рекомендуемые настройки /etc/security/limits.conf:


    #размер дампа ядра
    * hard core 0

    #максимальный размер создаваемого файла
    * hard fsize 50000000

    #блокировка форк-бомбы(большого количества процессов)
    * hard nproc 1000

  26. Отключите все неиспользуемые сервисы (в т.ч. сетевые) которые запускаются при старте ОС:

    командой systemdgenie в Смоленск 1.6 или
    командами chkconfig и fly-admin-runlevel в Смоленск 1.5

  27. Найстройте iptables в минимально необходимой конфигурации, необходимой для работы:
    (по умолчанию все запрещено, кроме необходимых исключений)

    командой iptables ufw gufw в ОССН Смоленск 1.6 или
    командой iptables ufw               в ОССН Смоленск 1.5 

  28. Настройте параметры ядра в /etc/sysctl.conf:

    Отключите механизм SysRq, для чего в /etc/sysctl.conf добавьте строку

    kernel.sysrq = 0

    после чего перезагрузите ПК, и проверьте что уcтановлено значение 0, командой:

    cat /proc/sys/kernel/sysrq

    дополнтельные рекомендуемые параметры ядра:

    fs.suid_dumpable=0
    kernel.randomize_va_space=2
    net.ipv4.ip_forward=0
    net.ipv4.conf.all.send_redirects=0
    net.ipv4.conf.default.send_redirects=0

  29. Заблокируйте исполнение модулей python с расширенным функционалом:

    find /usr/lib/python* -type f -name "_ctype*" -exec sudo dpkg-statoverride --update --add root root 640 {} \;

  30. По возможности, запретите пользователям подключение сменных носителей.

  31. Настройте систему аудита на сохранение логов на удаленной машине.
    Если возможно, используйте систему централизованного протоколирования ossec.
    см. РУК АДМИН п.15


15. Обязательно отключите доступ к консоли пользователям:

(Инструкция для Смоленск 1.5, для 1.6 правила работают из коробки)

Добавьте группу astra-console выполнив команду:


/etc/rc.local
#!/bin/sh -e
chown root:astra-console /dev/{pts,pts/*,ptmx,tty*}
chmod g+rx /dev/{pts,pts/*,ptmx,tty*}
chmod o-rx /dev/{pts,pts/*,ptmx,tty*}
exit 0

Создайте файл /etc/rc.local со следующим содержимым:

Добавьте правило в файл /etc/security/access.conf командой:

echo "-:ALL EXCEPT astra-console :LOCAL" >> /etc/security/access.conf

Включите в /etc/pam.d/login обработку заданных правил командой
sed -i 's|.*account.*pam_access.*|account required pam_access.so|' /etc/pam.d/login
Для включения доступа к консоли администраторам необходимо добавить их в группу astra-console.

16. Включите контроль цифровой подписи в ELF файлах и в xattr всех файлов,(Режим Замкнутой Программной Среды)

для этого сгенерируйте ключи и подпишите цифровой подписью в xattr все основные файлы и каталоги в корневой ФС.

рекомендуемые каталоги для подписи: /etc /lib /lib64 /lib32 /bin /sbin /boot /root /opt /srv /usr

16.1 Для включения механизма контроля подписи в ELF:

Установите в файле /etc/digsig/digsig_initramfs.conf:

/etc/digsig/digsig_initramfs.conf
DIGSIG_ENFORCE=1

DIGSIG_LOAD_KEYS=1

выполните команду:

update-initramfs -u -k all
перезагрузите ПК.

16.2 Для включения механизма контроля подписи в xattr см. РУК КСЗ п.13.5.2

17. При возможности используйте защитное преобразование домашних каталогов с помощью допустимых средств или используйте хранение информации на сетевых дисках или сменных носителях.


  • Нет меток