Настройка безопасной конфигурации компьютера для работы с ОС Astra Linux

Данная статья применима к:

  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) с установленным оперативным обновлением №20190912SE16
  • Astra Linux Special Edition РУСБ.10015-16 исп.1
    с установленным оперативным обновлением Бюллетень № 20201007SE16

Перед установкой ОС

  • Если планируется использовать ОС в рекомендованном режиме очистки освобождающихся дисковых ресурсов, то исключить использование дисков SSD.

  • При возможности - установить и настроить на компьютере аппаратно-программный модуль доверенной загрузки (АПМДЗ).

  • Установить "взломостойкий" пароль на BIOS компьютера.

    P.S.

    "Взломостойкий" пароль это пароль:

    • Содержащий не менее 8 символов;
    • Не содержащий в себе никаких осмысленных слов (ни в каких раскладках);
    • Содержащий в себе буквы в различных регистрах, цифры и спецсимволы.
  • Обеспечить защиту от "незаметного" вскрытия корпуса и встраивания "имплантов" в соединительные кабели периферийных устройств.
    Для обеспечения защиты могут использоваться специальные корпуса, защитные крышки, пломбы, пломбировочные ленты, для усложнения скрытной установки "имплантов" рекомендуется использование ПК в форм-факторе ноутбук или моноблок.

  • Исключить использование беспроводных периферийных устройств ввода (мыши, клавиатуры, тачпады и пр.).
    Отключить по возможности беспроводные системы передачи данных (WiFi, Bluetooth).
    При необходимости использования WiFi - по возможности использовать для защиты данных сети VPN.

  • При наличии опций для процессоров Intel Execute Disable Bit (XD-Bit) и для процессоров AMD No Execute Bit (NX-Bit) включить их.

  • При наличии на серверах "не доверенных" систем контроля и управления типа ILO, RSA, iDRAC, ThinkServer EasyManage, AMT, iMana - их необходимо отключить, и использовать, при необходимости, альтернативные решения типа IP KVM.

  • Устранить известные уязвимости аппаратной платформы (процессоров, контроллеров, BIOS и пр.). Обычно выполняется обновлением BIOS и микропрограмм устройств или, до получения нейтрализующих обновлений, отключением опций, подверженных уязвимостям. См. эксплуатационную документацию на используемые компоненты аппаратной платформы. В процессе эксплуатации устранять уязвимости аппаратной платформы по мере их выявления.

  • Использовать накопители информации со встроенной защитой данных от несанкционированного доступа, и включать эту защиту.


При установке ОС

  • Обязательно использовать при установке ОС защитное преобразование дисков,
    и по возможности обеспечить невозможность физического доступа к жесткому диску, на котором установлена ОС

  • Создать отдельные дисковые разделы 

    /
    /boot
    /home
    /tmp
    /var/tmp

    Создать отдельные дисковые разделы в соответствии с рекомендациями:


    РазделРекомендации по установке/настройкеРекомендованная файловая системаРекомендованные опции монтирования
    1/С защитным преобразованием (при условии, что каталог /boot размещён в отдельном дисковом разделе).ext4defaults
    2/bootБез защитного преобразования данных.
    Нельзя размещать этот раздел в LVM!!!
    При установке ОС с размещением каталога /boot в отдельном дисковом разделе (в том числе - при установке с использованием LVM) рекомендуется выделить под этот раздел не менее 512МБ.
    ext2, ext3, ext4defaults
    3/homeС защитным преобразованием.ext4noexec,nodev,nosuid
    4/tmpС защитным преобразованием.
    При размере раздела /tmp менее 250МБ весьма вероятно возникновение ошибок при работе с графикой или с большими объёмами данных.
    ext4noexec,nodev,nosuid
    5/var

    С защитным преобразованием.
    Монтирование возможно с опциями noexec,nodev,nosuid, однако использовать их следует с осторожностью:

    • включение опции noexec при установке ОС приведёт к невозможности установки, при необходимости эту опцию можно включить  после установки;
    • использование опции noexec после установки может привести к неработоспособности части ПО (в частности, будет нарушена работа установщика пакетов dpkg);
    ext4defaults
    по возможности noexec,nodev,nosuid
    6/var/tmpС защитным преобразованием.
    В отличие от каталога /var подкаталог /var/tmp рекомендуется монтировать с опциями noexec,nodev,nosuid.
    ext4noexec,nodev,nosuid
    7swap
    По возможности не использовать. См. Область подкачки (swap): особенности применения и обеспечения безопасности
    Если необходимо использовать - то использовать с включенным защитным преобразованием и с включенным гарантированным удалением.
    swap


    Для всех перечисленных дисковых разделов (кроме раздела /boot) рекомендуется использовать журналируемую файловую систему ext4.
    При выборе размера дисковых размеров следует помнить, что при размере раздела /tmp менее 250МБ весьма вероятно возникновение ошибок при работе с графикой или с большими объёмами данных.

    «В качестве файловых систем на носителях информации компьютеров с ОС (в том числе съемных машинных носителях информации) должны использоваться только файловые системы Ext2/Ext3/Ext4, поддерживающие расширенные (в т.ч. мандатные) атрибуты пользователей и обеспечивающие гарантированное уничтожение (стирание) информации»
    «Руководство по КСЗ, Часть 1» РУСБ.10015-01 97 01-1, 2020г., п. 17.3.1 «Условия применения ОС»


  • Разделы /home /tmp /var/tmp рекомендуется монтировать с опциями noexec,nodev,nosuid

  • В ОС Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) для предотвращения возможных атак извне установленные сетевые сервисы по умолчанию НЕ ЗАПУСКАЮТСЯ АВТОМАТИЧЕСКИ.
    Это сервисы:

    • apache2.service

    • bind9.service

    • exim4 dovecot.service

    • ejabberd.service

    • nfs-client.target

    • ntp

    • nfs-server.service

    • nmbd.service

    • smbd.service

    • snmpd.service

    • pppd-dns.service

    • ssh.service

    • vsftpd.service

    • winbind.service

    • bluetooth.service

    • openvpn.service

    • sssd.service

    • firewalld.service

      Настройка параметров (в т.ч. параметров безопасности и параметров автоматического запуска) этих сетевых сервисов до их запуска входит в состав работ по настройке системы после установки.


    • При установке ОС отдельно обрабатывается установка сервиса SSH: после установки ОС сервис SSH, в отличие от указанных выше сервисов, запускается автоматически. Это исключение сделано для того, чтобы обеспечить возможность удаленного администрирования компьютера для дальнейших настроек после установки.



  • В разделе установщика "Дополнительные настройки ОС" включить следующие настройки:
    1. Включить режим замкнутой программной среды;
    2. Запретить установку бита исполнения;
    3. Использовать по умолчанию ядро hardened. При невозможности использования ядра hardened использовать модуль lkrg ядра generic (см. Инструменты командной строки astra-safepolicy)
    4. Запретить вывод меню загрузчика;
    5. Включить очистку разделов страничного обмена (помнить, что очистка освобождаемых ресурсов как правило не работает на SSD-дисках);
    6. Включить очистку освобождаемых областей для EXT-разделов (помнить, что очистка освобождаемых ресурсов как правило не работает на SSD-дисках);
    7. Включить блокировку консоли;
    8. Включить блокировку интерпретаторов;
    9. Включить межсетевой экран ufw;
    10. Включить системные ограничения ulimits;
    11. Отключить возможность трассировки ptrace;

  • Установить "взломостойкий" пароль на загрузчик Grub (устанавливается по умолчанию при установке ОС). См. Изменение параметров загрузчика Grub2

После установки ОС

  • Установить единственным устройством для загрузки ОС жесткий диск, на который была произведена установка ОС.

  • Использовать загрузку ядра HARDENED, и убрать из меню все другие варианты загрузки, включая режимы восстановления. См. Изменение параметров загрузчика Grub2

  • Удалить модули ядра, ответственные за работу с Intel Management Engine (MEI). Удаление модулей ядра, работающих с Intel Management Engine (Intel ME).

  • Установить последнее доступное оперативное обновление безопасности. Если после выхода обновления были выпущены методические указания - выполнить их после установки обновления безопасности.

  • При использовании архитектур, отличных от Intel, установить пароль на загрузчик согласно документации.

  • Настроить монтирование раздела  /boot  с опциями  ro  (перед обновлением ядра перемонтировать в  rw ).

  • Включить режим загрузки secureboot на своих ключах (создать usb-flash носитель с помощью astra-secureboot, и, далее, ключи импортировать в BIOS) в соответствии с инструкцией Загрузка Astra Linux в SecureBoot режиме

  • По возможности - не использовать разделы и/или файлы подкачки. При необходимости их использования включать защитное преобразование данных и гарантированное удаление данных.

  • При возможности не использовать спящие режимы энергосбережения (т.н. сон, sleep, suspend-to-disk, hibernation, гибридный сон и пр.).

  • Из соображений безопасности рекомендуется не использовать хранитель экрана и обязать пользователей завершать открытую сессию при необходимости покинуть рабочее место.

  • На компьютерах, введенных в домен, при наличии возможности ограничить вход локальных пользователей, для чего в файле /etc/parsec/parsec.conf выбрать параметр login_local no для полного запрета входа локальных пользователей.

С помощью графического инструмента fly-admin-smc:

"Пуск" - "Панель управления" - "Безопасность" - "Политика безопасности" - "Настройки безопасности" - "Политика консоли и интерпретаторов"

  • Включить блокировку консоли для пользователей, не входящих в группу astra-console;

  • Включить ввод пароля для sudo;

  • Включить блокировку интерпретаторов кроме bash для пользователей;

  • Включить блокировку интерпретатора bash для пользователей;

После изменения состояния переключателей сохранить изменения.
После включения блокировки консоли для предоставления доступа к консоли отдельным пользователям необходимо добавить их в группу astra-console.

Изменение политик без использования графического интерфейса

Изменение политик без использования графического интерфейса

Блокировка консоли:

astra-console-lock enable
Включение запроса пароля sudo:
astra-sudo-control enable

Дополнительно, для того, чтобы пароль не запоминался для выполнения последующих команд и запрашивался для каждой команды, в файл /etc/sudoers добавить строку

Defaults timestamp_timeout=0

Для снижения риска нарушения нормальной работы компьютера в результате ошибок при изменении файла /etc/sudoers редактирование этого файла следует выполнять с помощью команды:

sudo visudo

Блокировка интерпретаторов кроме bash:

astra-interpreters-lock enable
Блокировка интерпретатора bash:
astra-bash-lock enable

Политика очистки памяти

Система очистки накопителей Astra Linux SE гарантирует невозможность восстановления файловых данных при доступе к накопителю с помощью штатных средств операционной системы. Однако, при включённом журнале файловой системы может быть получен несанкционированный доступ к именам удалённых конфиденциальных файловых объектов (файлов и каталогов), а при наличии физического доступа к накопителю, дающего возможность использования нештатных средств (использование сервисных режимов работы накопителя, вскрытие корпуса, прямое чтение чипов памяти и пр.) недоступность удалённых файловых данных не гарантируется. В связи с этим рекомендуется  отключать журналы файловой системы, использовать защитное преобразование файловых данных, а также физически уничтожать любые выводимые из эксплуатации накопители.

Подробности про работу SSD см. в статье Накопители информации с твердотельными носителями информации (SSD): особенности применения а также Отключение журналирования в файловой системе ext4

С помощью графического инструмента fly-admin-smc

"Пуск" - "Панель управления" - "Безопасность" - "Политика безопасности" - "Настройки безопасности" - "Политики очистки памяти"


  • Включить очистку разделов подкачки;
  • Включить гарантированное удаление файлов и папок;

Без использования графического интерфейса

Без использования графического интерфейса

Очистка разделов подкачки:

astra-swapwiper-control enable
Гарантированное удаление файлов:
astra-secdel-control enable

Системные параметры

С помощью графического инструмента fly-admin-smc

"Пуск" - "Панель управления" - "Безопасность" - "Политика безопасности" - "Настройки безопасности" - "Системные параметры"



  • Включить запрет установки бита исполнения;

  • Включить блокировку макросов;

  • Включить блокировку трассировки ptrace;
  • Включить блокировку одновременной работы с разными уровнями конфиденциальности в пределах одной сессии;
  • Включить системные ограничения ulimits;
  • Включить блокировку выключения/перезагрузки ПК для пользователей;
  • Включить блокировку системных команд для пользователей;
  • Включить межсетевой экран;
  • Включить запрет монтирования носителей непривилегированными пользователями;
  • Включить блокировку клавиш SysRq для всех пользователей, включая администраторов;
  • По возможности включить режим работы файловой системы ОС - "только чтение"

    При включении данного режима дисковый раздел, в котором находится корневая файловая система будет перемонтирован в специальном режиме временной файловой системы, при котором вносимые в файлы изменения будут сохраняться только до перезагрузки. Данный режим позволяет защитить от изменений системные файлы, однако файлы, в которых должны сохраняться постоянные изменения (например, домашние каталоги пользователей) должны находиться в другом дисковом разделе.

Без использования графического интерфейса

Без использования графического интерфейса

Запрет установки бита исполнения

astra-nochmodx-lock enable
Блокировка макросов:
astra-macros-lock enable

Включить блокировку трассировки ptrace:

astra-ptrace-lock enable
Блокировка одновременной работы с разными уровнями конфиденциальности в пределах одной сессии:
astra-sumac-lock enable
Системные ограничения ulimits:
astra-ulimits-control enable
Блокировка выключения/перезагрузки ПК для пользователей:
astra-shutdown-lock enable
Блокировка системных команд для пользователей:
astra-commands-lock enable
Включение межсетевого экрана:
astra-ufw-control enable
Запрет монтирования носителей непривилегированными пользователями:
astra-mount-lock enable
Блокировку клавиш SysRq для всех пользователей, включая администраторов:
astra-sysrq-lock enable

Режим работы файловой системы ОС - "только чтение"

astra-overlay enable

Режим замкнутой программной среды

С помощью графического инструмента fly-admin-smc:

"Пуск" - "Панель управления" - "Безопасность" - "Политика безопасности" - "Настройки безопасности" - "Замкнутая программная среда"


  • Включить контроль цифровой подписи в исполняемых файлах (ELF-файлах) и в xattr всех файлов (Режим Замкнутой Программной Среды) (см. РУК КСЗ п.16.1).
    Для этого:

    • Создать ключи;

    • Подписать цифровой подписью в xattr все файлы, относящиеся к СПО и не имеющие цифровой подписи производителя;

    • При этом рекомендуется подписывать только каталоги, содержащие неизменяемые (между обновлениями) файлы.
      Обычно такие файлы находятся в подкаталогах каталога /opt/.

Без использования графического интерфейса

Без использования графического инструмента

Установить в файле /etc/digsig/digsig_initramfs.conf (подробности см. в соответствующем "Руководстве по КСЗ"):

Для ОС Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) (см. РУК КСЗ п.16.1):

DIGSIG_ELF_MODE=1
DIGSIG_XATTR_MODE=1


Для ОС Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5) (см. РУК КСЗ п.13.5):

DIGSIG_ENFORCE=1
DIGSIG_LOAD_KEYS=1
DIGSIG_USE_XATTR=1

после чего выполнить команду:

update-initramfs -u -k all

и перезагрузить ПК


Примечание:
Включение ЗПС крайне рекомендуется сочетать с блокировкой интерпретаторов.
Блокировку интерпретаторов крайне рекомендуется сочетать с включенным МКЦ и включенной защитой файловой системы

Режим системного киоска

Режим графического киоска

  • Включить, при наличии возможности, режим графического киоска (ограниченный набор приложений) для каждого пользователя. Режим графического киоска можно настроить с помощью графического инструмента fly-admin-smc (см. РУК КСЗ п.16.2.2):

    "Пуск" - "Панель управления" - "Безопасность" - "Политика безопасности" - "Настройки безопасности" - "Пользователи"
    Выбрать пользователя
    Закладка "Графический киоск Fly"


    При этом:

  • Для пользователей

    • Установить ограничения на изменение внешнего вида и/или размещение файлов на рабочем столе;

    • Назначить допустимые придожения;

      • Для допустимых приложений, по необходимости, назначить режим "Запускать приожения в песочнице (Firejail)";
        • Для приложений, запускаемых в "песочнице" назначить дополнительные ограничения:
          • Запускать с чистой домашней папкой;
          • Отключить аппаратное ускорение трёхмерной графики;
          • Отключить звуковую систему;
          • Включить фильтр seccomp;
          • Запускать с чистой папкой /tmp;
          • Отключить доступ к сети;

Прочие системные ограничения

  • Убедиться, что pam_tally  настроен на блокировку учетных записей при попытках подбора паролей (настроено по умолчанию при установке ОС).

  • Настроить дисковые квоты в ОС, для этого настроить /etc/fstab, и использовать для установки дисковых квот команду

    sudo edquota


  • Проверить наличие работающих сервисов, отключить все неиспользуемые сервисы (в т.ч. сетевые),  запускающиеся при старте ОС:

    В ОС Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) командой  systemdgenie   или
    В ОС Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5) командами  chkconfig и fly-admin-runlevel

Настройка межсетевого экрана

  • Включить и настроить межсетевой экран ufw и iptables в минимально необходимой конфигурации, необходимой для работы: по умолчанию все запрещено, кроме необходимых исключений

    В ОС Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) командами

    • iptables
    • ufw
    • gufw

    Для выполнения этой настройки можно использовать графический инструмент gufw:

    "Пуск" -  "Панель управления" - Прочее" - "Настройка межсетевого экрана"



Параметры ядра

  • Настроить параметры ядра используя графический инструмент fly-admin-smc или добавить соответствующие строки в файл в каталоге /etc/sysctl.d/ с любым именем и расширением .conf:

    fs.suid_dumpable=0
    kernel.randomize_va_space=2
    kernel.sysrq=0
    net.ipv4.ip_forward=0
    net.ipv4.conf.all.send_redirects=0
    net.ipv4.conf.default.send_redirects=0

    после внесения изменений перезагрузить компьютер, и убедиться, что все параметры сохранены правильно.
    Сделать проверку можно командой:

    sudo sysctl -a | more

Работа с конфиденциальной информацией

  • Установить "взломостойкие" пароли на все учетные записи в ОС

    P.S.

    "взломостойкий" пароль это пароль

    • Содержащий не менее 8 символов;
    • Не содержащий в себе никаких осмысленных слов (ни в каких раскладках);
    • Содержащий в себе буквы в различных регистрах, цифры и спецсимволы.
  • Работу с конфиденциальной информацией под "уровнями конфиденциальности" нужно проводить, используя защитное преобразование файлов
    (возможность встроена в Файловый менеджер fly-fm). При возможности, использовать защитное преобразование домашних каталогов пользователей с помощью допустимых средств, или использовать хранение информации на сетевых дисках или на защищенных от несанкционированного доступа сменных носителях.

  • Работу с конфиденциальной информацией в сети необходимо производить, используя защитное преобразование пакетов с помощью создания доверенной VPN сети
    (средства встроены в ОС).

  • Работу с конфиденциальной информацией при обмене электронной почтой необходимо производить, используя защитные GPG-преобразования писем с помощью плагина для Thunderbird Enigmail
    (средства встроены в ОС).

  • По возможности, запретить пользователям подключение сменных носителей, к которым может быть осуществлён любой несанкционированный доступ:
    В Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) такой доступ запрещен по умолчанию.
    В Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5) см. информацию по обновлению безопасности БЮЛЛЕТЕНЬ № 27082018SE15

  • Настроить систему аудита на сохранение логов на удаленной машине.
    Если возможно, использовать систему централизованного протоколирования.
    см.  Руководство администратора, п. 15

  • Для запуска WEB-браузеров всегда использовать дополнительный уровни изоляции (см. Система изоляции пользовательских приложений FireJail);

  • Для запуска сторонних приложений по возможности использовать дополнительные уровни изоляции:

Мандатный контроль целостности и защита файловой системы

  • В ОС Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) с установленным обновлением безопасности № 20190912SE16 подсистема мандатного контроля целостности включена по умолчанию, защита файловой системы ("МКЦ на ФС") по умолчанию отключена.
    В более ранних системах следует убедиться, что мандатный контроль целостности включен (МКЦ > 0) на всеx основных файлах и каталогах в корневой файловой системе (актуально для ОС Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) и  ОС Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5)), для чего использовать графический инструмент fly-admin-smc:

    "Пуск" - "Панель управления" - "Безопасность" - "Политика безопасности" - "Мандатный контроль целостности" -> «целостность файловой системы» -> установить «высокий 63», или в консоли set-fs-ilev.
  • Включить защиту файловой системы ("установить МКЦ на ФС"):

    "Пуск" - "Панель управления" - "Безопасность" - "Политика безопасности" - "Мандатный контроль целостности" -> «Защита файловой системы»
    Включение защиты рекомендуется проводить после завершения всех настроек безопасности, так как дальнейшее администрирование системы будет возможно только под высоким уровнем целостности, и после снятия защиты с файловой системы командой unset-fs-ilev
    Установка МКЦ на ОС Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5) обновление безопасности 27102017SE15: см.  Оперативные обновления для Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5) и Мандатный контроль целостности