Astra linux тонкая настройка

Настройка безопасной конфигурации ПК и ОС Astra Linux

1.1. Установите единственным устройством для загрузки ОС — жесткий диск куда была произведена установка ОС.
1.2. Установите » взломостойкий » пароль на BIOS ПК.
1.3 При возможности — установите и настройте АПМДЗ на ПК.
1.4 Обеспечьте невозможность физического доступа к жесткому диску на котором установлена ОС, или
используйте доступные средства шифрования всего содержимого диска.
1.5 При наличии опций для процессоров Intel Execute Disable Bit (XD-Bit) и для процессоров AMD No Execute Bit (NX-Bit) включите их.

2. Для Intel платформ

Необходимо обязательно отключить Intel Management Engine , если он интегрирован в процессор. (производитель оборудования должен обеспечить данную возможность).

3. При установке рекомендуется создать отдельные разделы / /boot /home /tmp /var/tmp

Раздел /boot рекомендуется монтировать с опциями ro (перед обновлением ядра смонтировать в rw )

Разделы /home /tmp /var/tmp рекомендуется монтировать с опциями noexec,nodev,nosuid

4. Установите все доступные обновления безопасности ОС Astra Linux

5. Настройте загрузчик на загрузку ядра PAX и уберите из меню все другие варианты загрузки, включая режимы восстановления.

5.1. Если есть необходимое ПО которое не работает под PAX ядром добавьте его бинарные файлы и библиотеки в исключения с помощью paxctl(по умолчанию не установлен). После настройки удалите пакет paxctl.

5.2 Установите » взломостойкий » пароль на загрузчик Grub (устанавливается по умолчанию при установке ОС).

5.3 При использовании архитектур отличных от Intel установите пароль на загрузчик согласно документации.

6. Установите » взломостойкий » пароли на всех учетных записях в ОС.

6.1 настройте pam_tally на блокировку учетных записей при попытках подбора паролей. (настроено по умолчанию при установке ОС)

7. Настройте дисковые квоты в ОС

Для этого установите пакет quota настройте /etc/fstab и используйте edquota для установки квот.

8. Настройте ограничения ОС: ulimits

рекомендуемые настройки /etc/security/limits.conf:

#размер дампа ядра * hard core 0 #максимальный размер создаваемого файла * hard fsize 50000000 #блокировка форк-бомбы(большого количества процессов) * hard nproc 1000

9. Отключите все неиспользуемые сервисы (в т.ч. сетевые) которые запускаются при старте ОС, используя программы:

chkconfig и fly-admin-runlevel в 1.5

systemctl systemdgenie в 1.6

10. Найстройте iptables в минимально необходимой конфигурации необходимой для работы

(по умолчанию все запрещено, кроме необходимых исключений)

11. Настройте параметры ядра в /etc/sysctl.conf:

11.1 Отключите механизм SysRq

в /etc/sysctl.conf добавьте строку

Перезагрузите ПК, проверьте что уcтановлено значение 0, командой:

fs.suid_dumpable=0 kernel.randomize_va_space=2 net.ipv4.ip_forward=0 net.ipv4.conf.all.send_redirects=0 net.ipv4.conf.default.send_redirects=0

12. Заблокируйте исполнение модулей python с расширенным функционалом:

find /usr/lib/python* -type f -name «_ctype*» -exec sudo dpkg-statoverride —update —add root root 600 <> \;

14. Обязательно отключите доступ к консоли пользователям:

(Инструкция для Смоленск 1.5, для 1.6 правила работают из коробки)

Добавьте группу astra-console выполнив команду:

#!/bin/sh -e chown root:astra-console /dev/ chmod g+rx /dev/ chmod o-rx /dev/ exit 0

Добавьте правило в файл /etc/security/access.conf командой:

14. Включите контроль цифровой подписи в ELF файлах и в xattr всех файлов,(Режим Замкнутой Программной Среды)

для этого сгенерируйте ключи и подпишите цифровой подписью в xattr все основные файлы и каталоги в корневой ФС.

рекомендуемые каталоги для подписи: /etc /lib /lib64 /lib32 /bin /sbin /boot /root /opt /srv /usr

14.1 Для включения механизма контроля подписи в ELF:

Установите в файле /etc/digsig/digsig_initramfs.conf:

DIGSIG_ENFORCE=1 DIGSIG_LOAD_KEYS=1

14.2 Для включения механизма контроля подписи в xattr см. РУК КСЗ п.13.5.2

15. При возможности используйте шифрование домашних каталогов с помощью допустимых средств шифрования, или используйте хранение информации на сетевых дисках или сменных носителях.

16. При возможности настройте двухуровневый киоск для пользователя.

Как минимум, нужно настроить высокоуровневый киоск для пользователя с помощью утилиты fly-kiosk:

17. При возможности запретите пользователю подключение сменных носителей.

18. Установите запрет установки исполняемого бита:

19. Настройте систему аудита на сохранение логов на удаленной машине.

Если возможно используйте систему централизованного протоколирования ossec .

20. Установите МКЦ > 0 на всеx основных файлах и каталогах в корневой ФС. (set-fs-ilev)

(в 1.6 и в 1.5 на апдейтах позже 27-10-2017)

Установку МКЦ рекомендуется проводить после всех настроек безопасности, дальнейшее

администрирование возможно только войдя под высоким уровнем целостности или после снятия МКЦ с ФС командой unset-fs-ilev

Установка МКЦ на 1.5 апдейт 27-10-2017:

«взломостойкий» пароль это пароль не менее 8 символов, не содержащий в себе никакик осмысленных слов(ни в каких раскладках) и содержащий в себе буквы в различных регистах, цифры и спецсимволы.

Дополнительные средства защиты в 1.6:

Источник

Первоначальная настройка Astra Linux

Мы уже писали о необходимости перехода государственных органов на использование отечественного офисного программного обеспечения и подробно разбирали предпосылки перехода, порядок и сроки. Перед техническими специалистами стоит главная задача — сохранить возможность использования привычных функций под управлением операционных систем, включенных в реестр отечественного ПО. Сегодня мы расскажем, как получить машину для выполнения минимально необходимого набора офисных задач.

После того, как будет установлена операционная система Astra Linux, необходимо произвести базовые настройки. Рассмотрим настройку сетевого подключения в Astra Linux Special Edition, релиз «Смоленск».

Для проверки работы или настройки сетевого интерфейса (при необходимости) заходим в консоль (Терминал Fly) и проверяем, какие сетевые интерфейсы сейчас присутствуют на компьютере, с помощью команды sudo ifconfig.

Если отобразится только интерфейс lo – интерфейс, по умолчанию присутствующий в операционной системе (от английского loopback – «петля»), то это означает, что необходимо отредактировать файл с сетевыми интерфейсами, добавив необходимые нам.

Открываем файл через редактор nano с правами администратора:

sudo nano /etc/network/interface

Сейчас в нём присутствуют всего лишь 2 строки:

auto lo
iface lo inet loopback

Необходимо отредактировать этот файл так, чтобы в сетевых настройках операционной системы появился необходимый сетевой интерфейс с нужным статическим адресом.

Для этого отредактируем его следующим образом:

auto lo eth0 # эта строка указывает, какие интерфейсы должны быть запущены
# при загрузке операционной системы – добавили сюда eth0
iface lo inet loopback # эту строку не редактируем
iface eth0 inet static # эта строка указывает на то, что далее будут настройки интерфейса
address 192.168.111.111 # адрес компьютера
netmask 255.255.255.0 # маска
gateway 192.168.0.1 # шлюз

Сохраняем настройки в этом файле (Ctrl + X, затем Y).

Проверяем в терминале Fly, поднят ли интерфейс eth0 – тот, настройки которого мы прописали:

После выполнения этой команды мы увидим состояние интерфейса – UP или DOWN. Если статус интерфейса DOWN, то необходимо поднять этот интерфейс:

Перезапускаем службу поддержки сети. Если необходимо её предварительно демаскировать, следует использовать следующую команду:

sudo systemctl unmask NetworkManager
sudo service networking restart #перезапуск службы

Проверяем статус подключений и интерфейсов командами sudo nmcli general status и sudo nmcli device status. В случае, если все необходимые интерфейсы включены и соединения установлены, настройка сети завершена успешно.

Для того, чтобы добавить принтер, необходимо зайти в меню «Пуск» и выбрать раздел «Панель управления», далее выбрать «Оборудование» и «Принтеры»:

В появившемся окне на панели инструментов необходимо выбрать пункт «Принтер» и нажать «Добавить», «Принтер» и «Далее».

Появится окно со списком принтеров, подключённых к компьютеру (как сетевых, так и USB). В этом окне необходимо выбрать нужный принтер, кликнуть «Далее» и проверить информацию о принтере:

Нажимаем на кнопку «Завершить», и установка выбранного принтера будет завершена. Для проверки можно распечатать тестовую страницу.

Переходим к установке пакета офисных программ Р7.

Для этого нужно вставить установочный диск в дисковод либо разместить файл с образом Astra Linux на Рабочем столе (путь – /home/имя_учетной_записи/Desktop/smolensk-1.6-20.06.2018_15.56.iso) и смонтировать его в cd-rom.

Рассмотрим вариант установки, когда установочного диска нет, но есть образ Astra Linux.

sudo mount /home/имя_учетной_записи/Desktop/smolensk-1.6-20.06.2018_15.56.iso /media/cdrom

Из этого образа нужно установить необходимые для дальнейшей установки пакеты:

sudo apt-get install fonts-crosextra-carlito fonts-dejavu fonts-liberation fonts-opensymbol curl gstreamer1.0-libav gstreamer1.0-plugins-ugly libasound2 libc6 libcairo2 libgcc1 libgconf-2-4 libgtk-3-0 libstdc++6 libx11-6 libxss1 x11-common xdg-utils

Если появляется сообщение о неудовлетворённых зависимостях, необходимо использовать следующую команду:

sudo apt —fix-broken install

И далее нужно снова попробовать установить пакеты из примонтированного диска с Astra Linux:

sudo apt-get install fonts-crosextra-carlito fonts-dejavu fonts-liberation fonts-opensymbol curl gstreamer1.0-libav gstreamer1.0-plugins-ugly libasound2 libc6 libcairo2 libgcc1 libgconf-2-4 libgtk-3-0 libstdc++6 libx11-6 libxss1 x11-common xdg-utils

Следующая команда непосредственно устанавливает офис Р7:

sudo dpkg -i /home/ имя_учетной_записи /Desktop/r7-office.deb

Получившаяся машина способна справиться с обязательным минимумом офисных задач.

Источник