• Запускать программное обеспечение (ПО) в изолированной программной среде с применением инструмента Firejail;

  Изоляция приложений с использованием инструмента Firejail описана в документе РУСБ.10015-01 97 01-1 «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1».

• По возможности запускать прикладное ПО в отдельной сессии. Для этого в графическом интерфейсе выбрать Пуск — Завершение работы — Новый вход.  После чего выбрать тип сессии: Отдельный или В окне (см. рис. ниже);

• Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями. По возможности активировать режим Киоск-2, подробнее - см. Системный Киоск: пакет parsec-kiosk2 (ограничения пользователя);

• Для непривилегированных пользователей активировать блокировку интерпретаторов, в том числе, если возможно —  интерпретатора bash;

  Блокировка интерпретатора bash может ограничить функционал некоторых программ и служб, не очевидным образом использующих bash, что приведет к нарушению штатной работы ОС.

  После блокировки интерпретатора bash консольный вход пользователей с оболочкой bash будет невозможен.

  В графической утилите «Управление политикой безопасности»

  Блокировку интерпретаторов можно включить используя графическую утилиту fly-admin-smc. Для этого:

  • через графический интерфейс запустить утилиту (необходимы права администратора): Пуск — Панель управления — Безопасность — Политика безопасности;
  • на боковой панели навигации выбрать пункт Настройки безопасности — Политика консоли и интерпретаторов и на рабочей панели установить следующие флаги:
    • Включить блокировку интерпретатора Bash для пользователей;
      
    • Включить блокировку интерпретаторов кроме Bash для пользователей;

  • применить изменения — нажать комбинацию клавиш <Ctrl+S>.
  Без использования графического интерфейса

  Для блокировки интерпретаторов (кроме интерпретатора bash) необходимо выполнить в терминале команду:

  sudo astra-interpreters-lock enable

  Для того чтобы проверить состояние блокировки интерпретаторов, необходимо в терминале выполнить команду:

  sudo astra-interpreters-lock status

  Если блокировка включена, то результатом выполнения команды будет вывод сообщения:

  АКТИВНО

  Для блокировки интерпретатора bash необходимо выполнить в терминале команду:

  sudo astra-bash-lock enable

  Для того чтобы проверить состояние блокировки интерпретатора bash, необходимо в терминале выполнить команду:

  sudo astra-bash-lock status

  Если блокировка включена, то результатом выполнения команды будет вывод сообщения:

  АКТИВНО

• Для уровней защищенности «Усиленный» и «Максимальный» включить (если были ранее выключены) следующие функции подсистемы безопасности:
  • Мандатный контроль целостности (МКЦ);
  • Замкнутая программная среда (ЗПС);
  В графической утилите «Управление политикой безопасности»

  Функции подсистемы безопасности можно включить используя графическую утилиту fly-admin-smc. Для этого:

  • через графический интерфейс запустить утилиту (необходимы права  суперпользователя с высоким уровнем целостности): Пуск — Панель управления — Безопасность — Политика безопасности;
  • на боковой панели навигации выбрать пункт Мандатный контроль целостности и на рабочей панели установить флаг Подсистема Мандатного Контроля Целостности;
  • на боковой панели навигации выбрать пункт Замкнутая программная среда и во вкладке Настройки на переключателе Контроль исполняемых файлов выбрать значение Включить;
  • применить изменения — нажать комбинацию клавиш <Ctrl+S>.

  После включения МКЦ и ЗПС необходимо перезагрузить ОС.

  Без использования графического интерфейса

  Для включения функции подсистемы безопасности МКЦ необходимо выполнить в терминале команду:

  sudo astra-mic-control enable

  После включения МКЦ необходимо перезагрузить ОС.

  Для того чтобы проверить состояние функции подсистемы безопасности МКЦ, необходимо в терминале выполнить команду:

  sudo astra-mic-control status

  Если функция подсистемы безопасности МКЦ включена, то результатом выполнения команды будет вывод сообщения:

  АКТИВНО

  Для включения функции подсистемы безопасности ЗПС необходимо выполнить в терминале команду:

  sudo astra-digsig-control enable

  После включения ЗПС необходимо перезагрузить ОС.

  Для того чтобы проверить состояние функции подсистемы безопасности ЗПС, необходимо в терминале выполнить команду:

  sudo astra-digsig-control status

  Если функция подсистемы безопасности ЗПС включена, то результатом выполнения команды будет вывод сообщения:

  АКТИВНО

• Для уровней защищенности «Усиленный» и «Максимальный» — запускать прикладное ПО только в сессиях с низким или промежуточным (отличном от максимального) уровнем целостности (предварительно должен быть включен МКЦ):

  • при графическом входе в систему указать уровень целостности в диалоговом окне, которое появляется после успешного ввода аутентификационных параметров;

  • при консольном входе в систему дополнительных действий не требуется;

• Для уровней защищенности «Усиленный» и «Максимальный» активировать режим запуска программных сервисов apache2 и exim4 на первом уровне целостности (предварительно должен быть включен МКЦ). Для этого необходимо выполнить в терминале команду:

  sudo astra-ilev1-control enable
  Для того чтобы проверить состояние режима запуска сервисов apache2 и exim4, необходимо в терминале выполнить команду:
  sudo astra-ilev1-control status
  Если режим запуска сервисов apache2 и exim4 на первом уровне целостности активирован, то результатом выполнения команды будет вывод сообщения:

  АКТИВНО

добавить правило, выполнив в терминале команду, например такого вида:

добавить правило, выполнив в терминале следующую команду:

Методика безопасности, нейтрализующая угрозу эксплуатации CVE-2021-23958

Для нейтрализации угрозы эксплуатации уязвимости необходимо отключить компонент WebRTC (если он включен), для этого:

• запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Firefox;
• в адресную строку ввести "about:config" и нажать клавишу <Enter>;
• на открывшейся странице с предупреждением нажать на кнопку [Accept the Risk and Continue] (Принять риск и продолжить);
• на открывшейся странице Расширенные настройки в поле поиска ввести следующее наименование параметра: "media.peerconnection.enabled";
• в появившейся строке с параметром установить значение false, нажав на кнопку [Переключить] (см. рисунок ниже);

• перезапустить веб-браузер Firefox.

Методика безопасности, нейтрализующая угрозу эксплуатации CVE-2021-23954 и CVE-2021-23960

Для нейтрализации угрозы эксплуатации уязвимости необходимо отключить компонент JavaScript (если он включен), для этого:

• запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Firefox;
• в адресную строку ввести "about:config" и нажать клавишу <Enter>;
• на открывшейся странице с предупреждением нажать на кнопку [Accept the Risk and Continue] (Принять риск и продолжить);
• на открывшейся странице Расширенные настройки в поле поиска ввести следующее наименование параметра: "javascript.enabled";
• в появившейся строке с параметром установить значение false, нажав на кнопку [Переключить];
• перезапустить веб-браузер Firefox.

Методика безопасности, нейтрализующая угрозу эксплуатации CVE-2021-23994

Для нейтрализации угрозы эксплуатации уязвимости необходимо отключить компонент WebGL (если он включен), для этого:

• запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Firefox;
• в адресную строку ввести "about:config" и нажать клавишу <Enter>;
• на открывшейся странице с предупреждением нажать на кнопку [Accept the Risk and Continue] (Принять риск и продолжить);
• на открывшейся странице Расширенные настройки в поле поиска ввести следующее наименование параметра: "webgl.disabled";
• в появившейся строке с параметром установить значение true, нажав на кнопку [Переключить];
• перезапустить веб-браузер Firefox.

Методика безопасности, нейтрализующая угрозу эксплуатации CVE-2021-23995

Для нейтрализации угрозы эксплуатации уязвимости необходимо отключить режим адаптивного дизайна (если он активен), для этого:

• запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Firefox;
• в адресную строку ввести "about:config" и нажать клавишу <Enter>;
• на открывшейся странице с предупреждением нажать на кнопку [Accept the Risk and Continue] (Принять риск и продолжить);
• на открывшейся странице Расширенные настройки в поле поиска ввести следующее наименование параметра: "devtools.policy.disabled";
• в появившейся строке с параметром установить значение true, нажав на кнопку [Переключить];
• перезапустить веб-браузер Firefox.

Методика безопасности, нейтрализующая угрозу эксплуатации CVE-2021-23997

Для нейтрализации угрозы эксплуатации уязвимости необходимо отключить функцию кэширования страниц, для этого:

1. запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Firefox;
2. в адресную строку ввести "about:config" и нажать клавишу <Enter>;
3. на открывшейся странице с предупреждением нажать на кнопку [Accept the Risk and Continue] (Принять риск и продолжить);
4. на открывшейся странице Расширенные настройки в поле поиска ввести следующее наименование параметра: "browser.cache.offline.enable";
5. в появившейся строке с параметром установить значение false, нажав на кнопку [Переключить];
6. повторить шаги 4 и 5 для следующих параметров:
   • browser.cache.disk.enable;
   • browser.cache.disk_cache_ssl;
   • browser.cache.memory.enable;
7. на странице Расширенные настройки в поле поиска ввести следующее наименование параметра: "network.http.use-cache";
8. в появившейся строке с параметром нажать на кнопку [+], а затем установить значение false, нажав на кнопку [Переключить];
9. перезапустить веб-браузер Firefox.

Методика безопасности, нейтрализующая угрозу эксплуатации CVE-2021-29952

Для нейтрализации угрозы эксплуатации уязвимости необходимо отключить компонент WebRender (если он включен), для этого:

• запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Firefox;
• в адресную строку ввести "about:config" и нажать клавишу <Enter>;
• на открывшейся странице с предупреждением нажать на кнопку [Accept the Risk and Continue] (Принять риск и продолжить);
• на открывшейся странице Расширенные настройки в поле поиска ввести следующее наименование параметра: "gfx.webrender.all";
• в появившейся строке с параметром установить значение false, нажав на кнопку [Переключить];
• перезапустить веб-браузер Firefox.

Методика безопасности, нейтрализующая угрозу эксплуатации CVE-2021-29970

Для нейтрализации угрозы эксплуатации уязвимости необходимо отключить функцию специальные возможности (Accessibility features), для этого:

• запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Firefox;
• в адресную строку ввести "about:config" и нажать клавишу <Enter>;
• на открывшейся странице с предупреждением нажать на кнопку [Accept the Risk and Continue] (Принять риск и продолжить);
• на открывшейся странице Расширенные настройки в поле поиска ввести следующее наименование параметра: "accessibility.force_disabled";
• в появившейся строке с параметром нажать на кнопку [Изменить] и в текстовом поле ввести цифру "1";
• в строке с параметром нажать на кнопку [Сохранить];
• перезапустить веб-браузер Firefox.

Методика безопасности, нейтрализующая угрозу эксплуатации CVE-2021-30547

Для нейтрализации угрозы эксплуатации уязвимости необходимо отключить модуль ANGLE (если он включен), для этого:

• запустить браузер, например, с использованием графического интерфейса: Пуск — Сеть — Веб-браузер Firefox;
• в адресную строку ввести "about:config" и нажать клавишу <Enter>;
• на открывшейся странице с предупреждением нажать на кнопку [Accept the Risk and Continue] (Принять риск и продолжить);
• на открывшейся странице Расширенные настройки в поле поиска ввести следующее наименование параметра: "webgl.disable-angle";
• в появившейся строке с параметром установить значение true, нажав на кнопку [Переключить];
• перезапустить веб-браузер Firefox.

добавить правила, выполнив в терминале команды, например такого вида:

добавить правила, выполнив в терминале следующие команды:

Для того чтобы просмотреть установленные локали, необходимо в терминале выполнить команду:

Результатом выполнения команды будет вывод строк с поддерживаемыми кодировками. Если в ОС поддерживается корейская кодировка EUC-KR, то в терминале среди прочих отобразится строка следующего вида:

ko_KR.euckr

Для удаления локалей используется утилита localepurge. Для её установки необходимо в терминале выполнить команду:

Во время установки утилиты во вкладке Файлы локалей, которые нужно оставить в системе, необходимо снять флаг ko_KR.EUC-KR (см. рисунок ниже).

• вместо критерия «--syn» использовать критерий «--tcp-flags SYN,ACK,FIN SYN»;

• добавить правило сброса TCP-пакетов, в которых одновременно установлены флаги SYN и FIN;

  Пример команды добавления правила

  sudo iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j REJECT

  После добавления правила необходимо удостоверится в том, что изменения будут сохранены после перезагрузки ОС. Подробнее — см. Сохранение и восстановление правил iptables.

• Если возможно, использовать только сетевой интерфейс внутренней сети (без доступа в Интернет). Пример команды запуска службы ptp4l с использованием сетевого интерфейса eno1:

  sudo ptp4l -i eno1 -m -S

• Если нет возможности использовать только сетевой интерфейс внутренней сети — с помощью межсетевого экрана блокировать входящие сообщения управления PTP, для этого:

  С помощью iptables

  Добавить правило, выполнив в терминале команду, например такого вида:

  sudo iptables -A INPUT -p udp --dport 320 -j DROP

  После добавления правила необходимо удостоверится в том, что изменения будут сохранены после перезагрузки ОС. Подробнее — см. Сохранение и восстановление правил iptables.

  С помощью межсетевого экрана ufw

  Добавить правило, выполнив в терминале следующую команду:

  sudo ufw deny 320/udp

• Для уровней защищенности «Усиленный» и «Максимальный» — запускать прикладное ПО только в сессиях с низким или промежуточным (отличном от максимального) уровнем целостности (предварительно должен быть включен МКЦ):
  • при графическом входе в систему указать уровень целостности в диалоговом окне, которое появляется после успешного ввода аутентификационных параметров;
  • при консольном входе в систему дополнительных действий не требуется.

• Проверить корректность  IP-адресов уже используемых NTP-серверов, для этого в терминале выполнить команду:

  sudo ntpdate -q <доменное имя NTP-сервера>
  
  В результате выполнения команды отобразится информация о NTP-серврере, в том числе и его IP-адрес.

  Чтобы проверить, не является ли IP-адрес NTP-серверов поддельным, можно воспользоваться Whois-сервисом, например, на web-сайте https://2ip.ru/whois/.

  Пример

  Для того чтобы проверить корректность  IP-адреса NTP-сервера ntp4.vniiftri.ru , необходимо:

  • в терминале выполнить команду:

    sudo ntpdate -q ntp4.vniiftri.ru

    пример вывода после выполнения команды:

    server 89.109.251.24, stratum 1, offset 1.294563, delay 0.03233
    5 Aug 13:42:09 ntpdate[1640]: step time server 89.109.251.24 offset 1.294563 sec

  • на  web-сайте https://2ip.ru/whois/ в поле IP адрес или домен ввести доменное имя NTP-сервера и нажать на кнопку [Проверить].

  После этого на открывшейся странице отобразится информация о домене, в том числе зарегистрированный  IP-адрес (см. рис ниже).

  

• Не использовать недоверенные, не прошедшие проверку подлинности NTP-серверы.

  Рекомендуется использовать российские NTP-серверы ФГУП «ВНИИФТРИ», перечень которых доступен на официальном web-сайте ФГУП «ВНИИФТРИ» по ссылке: https://www.vniiftri.ru/catalog/services/sinkhronizatsiya-vremeni-cherez-ntp-servera/.

• Обязать пользователей использовать только HTTPS-соединения для доступа на ресурсы сети Интернет и для передачи сообщений;

• Если возможно, полностью отключить доступ к Cache Manager. Для этого в конфигурационном файле /etc/squid/squid.conf необходимо перед строками, содержащими "allow", добавить следующую строку:

  http_access deny manager

• Если нет возможности полностью отключить доступ к Cache Manager, то необходимо усилить контроль доступа к Cache Manager — например, использовать аутентификацию или другие средства управления доступом. Подробнее — см. Кеширующий прокси-сервер squid.