Применение методических указаний необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности. На время выполнения действий по применению методических указаний необходимо снять запрет на установку бита исполнения в политиках безопасности. |
В настоящей методике безопасности приведены следующие варианты нейтрализации угроз безопасности:
Нейтрализовать возможность эксплуатации уязвимостей можно применив любой из указанных способов или применив их совместно в любом сочетании.
При использовании способов 3 "Переключение загрузочного раздела /boot в режим "только чтение" (read-only)" и 4 "Установка высокого уровня целостности на файловую систему" дополнительно необходимо обеспечить невозможности модификации данных средствами других ОС (например, модификации при помощи загрузки другой ОС с диска или подключаемого устройства). |
Обновление загрузчика grub2
Обновление загрузчика grub2 полностью устраняет обнаруженные уязвимости.Проверить соответствие контрольной суммы архива, выполнив команду:
3de1343e259d509ac056a33af140554664f3753c3341a1f91b7a0adac907f8ec 20200807se16md.tar.gz |
Архив подписан усиленной квалифицированной электронной подписью ООО "РусБИТех-Астра" (Скачать). Порядок проверки обновления безопасности описан в статье Проверка отсоединенной подписи файлов. |
Распаковать архив, выполнив команду:
tar xzf 20200807se16md.tar.gz |
Перейти в распакованный каталог :
cd 20200807se16md |
Выполнить обновление установленных пакетов:
sudo ./update.sh |
Использование контроля целостности при помощи АПМДЗ нейтрализует возможность эксплуатации существующих уязвимостей для пользователей, не являющихся администраторами АПМДЗ.
При возможности использовать АПМДЗ настроить контроль целостности средствами АПМДЗ в соответствии с документацией. Для АПМДЗ Максим-М1 рекомендации приведены в документе "Руководство администратора РУСБ.468266.003 И1" пункт 7.5 "Контроль целостности". Для АПМДЗ других производителей необходимая информация должна быть приведена в прилагаемой эксплуатационной документации. Минимальный набор контролируемых файлов:
При корректном применении настроек, доступ к операционной системе при изменении файла grub.cfg будет только у администратора АПМДЗ.
Переключение загрузочного раздела /boot в режим "только чтение" (read-only) нейтрализует возможность эксплуатации существующих уязвимостей.
При использовании этого варианта дополнительно необходимо обеспечить невозможности модификации данных средствами других ОС (например, модификации при помощи загрузки другой ОС с диска или подключаемого устройства). Данный вариант доступен только в случаях, если каталог /boot размещён на отдельном дисковом разделе. |
Для перевода раздела в режим "только чтение" (read-only) отредактировать конфигурационный файл /etc/fstab добавив опцию монтирования ro:
UUID=8ea2a0d4-611f-4614-a41c-34d24c69eea6 /boot ext4 ro,noatime,nodiratime 0 2 |
После перезагрузки или перемонтирования дискового раздела файловая система в каталоге /boot будет доступна только для чтения.
Установка высокого уровня целостности на файловую систему нейтрализует возможность эксплуатации существующих уязвимостей.
При использовании этого варианта дополнительно необходимо обеспечить невозможности модификации данных средствами других ОС (например, модификации при помощи загрузки другой ОС с диска или подключаемого устройства). |
Для установки высокого уровня целостности на файловую систему выполнить команду:
sudo set-fs-ilev |
Или воспользоваться графической утилитой "Политика безопасности":