The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной настройки Linux

24.01.2023 11:52

Федеральная служба по техническому и экспортному контролю РФ разработала и утвердила методические рекомендации по повышению защищённости систем на базе ядра Linux. Рекомендации подлежат реализации в государственных информационных системах и на объектах критической информационной инфраструктуры РФ, построенных с использованием Linux, несертифицированных по требованиям безопасности информации.

Документ охватывает такие области, как настройка авторизации, ограничение механизмов получения привилегий, настройка прав доступа, настройка механизмов защиты ядра Linux, уменьшение периметра атак на ядро Linux и настройка средств защиты пользовательского пространства со стороны ядра Linux.

Основные рекомендации:

  • Запрет учётных записей пользователей с пустыми паролями.
  • Отключение входа суперпользователя по SSH (PermitRootLogin=no в /etc/ssh/sshd_config).
  • Ограничение доступа к команде su пользователями из группы wheel ("auth required pam_wheel.so use_uid" в /etc/pam.d/su)
  • Ограничение списка пользователей, которым разрешено использовать команду sudo.
  • Установка корректных прав доступа к файлам с параметрами пользователей (chmod 644 /etc/passwd /etc/group) и хешами паролей (chmod go-rwx /etc/shadow).
  • Установка корректных прав доступа к файлам запущенных процессов через выполнение "chmod go-w /путь/к/файлу" для всех исполняемых файлов и библиотек, связанных с запущенными в настоящий момент процессами, с последующей проверкой, что каталог, содержащий данные файлы, а также все родительские каталоги недоступны для записи непривилегированным пользователям.
  • Установка корректных прав доступа к исполняемым файлам, вызываемым из cron ("chmod go-w путь_к_файлу"), а также к файлам конфигурации cron /etc/crontab и /etc/cron.* ("chmod go-wx путь").
  • Установить корректные права доступа к файлам, выполняемым с помощью sudo ("chown root путь_к_файлу" и "chmod go-w путь_к_файлу").
  • Установить корректные права доступа к стартовым скриптам системы ("chmod o-w filename" к каждому файлу в /etc/rc#.d, а также к файлам .service).
  • Установить корректные права доступа к исполняемым файлам и библиотекам, расположенным по стандартным путям (/bin, /usr/bin, /lib, /lib64 и т.п.), а также к модулям ядра (/lib/modules/версия-текущего-ядра).
  • Установить корректные права доступа к SUID/SGID-приложениям путём проведения аудита всех SUID/SGID-приложений и удаления SUID/SGID-флагов с лишних.
  • Установить корректные права доступа к содержимому домашних каталогов пользователей (.bash_history, .history, .sh_history, .bash_profile, .bashrc, .profile, .bash_logout и т.п.).
  • Установить корректные права доступа к домашним каталогам пользователей (chmod 700 каталог).
  • Ограничить доступ к журналу ядра (sysctl -w kernel.dmesg_restrict=1).
  • Блокирование утечки информации об адресном пространстве через /proc/kallsyms (sysctl -w kernel.kptr_restrict=2).
  • Инициализировать нулями динамическую память ядра (параметр init_on_alloc=1 при загрузке).
  • Запрет слияния кэшей slab-аллокатора ядра (параметр slab_nomerge при загрузке).
  • Инициализировать механизм IOMMU (параметры iommu=force, iommu.strict=1 и iommu.passthrough=0 при загрузке).
  • Рандомизировать расположение ядерного стека (параметр randomize_kstack_offset=1 при загрузке).
  • Включить защиту от аппаратных уязвимостей CPU (параметр mitigations=auto,nosmt при загрузке).
  • Включить защиту подсистемы eBPF (sysctl -w net.core.bpf_jit_harden=2).
  • Отключить устаревший интерфейс vsyscall (параметр vsyscall=none при загрузке).
  • Ограничить доступ к событиям производительности (sysctl -w kernel.perf_event_paranoid=3).
  • Отключить монтирование виртуальной файловой системы debugfs (параметр debugfs=no-mount или off при загрузке).
  • Отключить системный вызов kexec_load (sysctl -w kernel.kexec_load_disabled=1).
  • Ограничить использование user namespaces (sysctl -w user.max_user_namespaces=0).
  • Запретить системный вызов bpf для непривилегированных пользователей (sysctl -w kernel.unprivileged_bpf_disabled=1).
  • Запретить системный вызов userfaultfd для непривилегированных пользователей (sysctl -w vm.unprivileged_userfaultfd=0).
  • Запретить автоматическую загрузку модулей ядра, связанных с TTY Line Discipline (sysctl -w dev.tty.ldisc_autoload=0).
  • Отключить технологию TSX (Transactional Synchronization Extensions) (параметр tsx=off при загрузке).
  • Настроить минимальный виртуальный адрес, который разрешено использовать для mmap (sysctl -w vm.mmap_min_addr = 4096).
  • Включить рандомизацию адресного пространства (sysctl -w kernel.randomize_va_space = 2).
  • Запретить подключение к другим процессам с помощью ptrace (sysctl -w kernel.yama.ptrace_scope=3).
  • Ограничить небезопасные варианты прохода по символическим ссылкам (sysctl -w fs.protected_symlinks=1).
  • Ограничить небезопасные варианты работы с жесткими ссылками (sysctl -w fs.protected_hardlinks=1).
  • Включить защиту от непреднамеренной записи в FIFO-объект (sysctl -w fs.protected_fifos=2).
  • Включить защиту от непреднамеренной записи в файл (sysctl -w fs.protected_regular=2).
  • Запретить создание core dump для исполняемых файлов с флагом suid (sysctl -w fs.suid_dumpable=0).


  1. Главная ссылка к новости (https://fstec.ru/normotvorches...)
Лицензия: CC BY 3.0
Наводку на новость прислал pavlinux
Короткая ссылка: https://opennet.ru/58533-security
Ключевые слова: security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (211) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, pavlinux (ok), 11:56, 24/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    PS Некоторые опции ядра требуют включения отладочных функций,
    что может только усугубить безопасность (BPF/eBPF)
     
     
  • 2.13, ФСТЭК (?), 12:11, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Безопасность кого надо безопасность!
     
  • 2.55, Аноним (55), 13:26, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    eBPF - это не отладочные функции. И они как раз для rootа доступны. Но если у вас есть рут, то зачем вам систему ломать, вы и так её хозяин.
     
     
  • 3.98, pavlinux (ok), 14:51, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > eBPF - это не отладочные функции.

    https://www.opennet.ru/opennews/art.shtml?num=54932

    > зачем вам систему ломать, вы и так её хозяин.

    Рут в виртуалке - не хозяин системы.

     
     
  • 4.160, Аноним (55), 19:58, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • –7 +/
    >https://www.opennet.ru/opennews/art.shtml?num=54932

    1. где там утверждается, что ebpf -  это отладочные функции?
    2. ebpf обычно требует рута.

    >Рут в виртуалке - не хозяин системы.

    Виртуальной системы - "хозяин". Ты же не хозяин твоего тела. Это Господь Бог хозяин, а ты так, арендатор, тебе его просто попользоваться дали.

     
     
  • 5.204, pavlinux (ok), 12:06, 25/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>https://www.opennet.ru/opennews/art.shtml?num=54932
    > 1. где там утверждается, что ebpf -  это отладочные функции?

    А где я утверждал, что eBPF - это только отладка?

     
  • 4.201, Аноним (201), 09:29, 25/01/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Можно ли написать кодогенератор на rust в безопасном режиме?
    Там бы значительная часть ошибок проявила себя ещё во время сборки и первого запуска в debug режиме
     

  • 1.2, Zenitur (ok), 11:57, 24/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Инициализировать механизм IOMMU

    Зачем?

     
     
  • 2.46, Аноним (46), 13:02, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Наверное, поощряется использование полной виртуализации для запуска недоверенных приложений. Проброс железяк для них в виртуалки.
     
     
  • 3.62, Аноним (55), 13:34, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    iommu - не про виртуальные машины, он про защиту ОС от DMA-атак через Thunderbolt, FireWire и SCSI.
     
     
  • 4.104, Аноним (-), 15:05, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    А заодно и от левых попыток железок делать с DMA что-то не то. Какая-нибудь PCI железка типа GPU или вайфая может потенциально попытаться слазить через DMA в совершенно левые адреса. Это может инициировать начинка самой железки, ну там сервисная фирмвара вспомогательного ядра какая-нибудь.
     
  • 3.63, Аноним (63), 13:37, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Как я понимаю iommu разрешает железу менять только разрешенные части оперативной памяти и залезть в память приложений и ядра железо уже не может.
    Со стороны железа тоже возможны атаки. Я помню что с помощью thunderbolt можно было сдампить и изменять ОЗУ.
     
     
  • 4.65, Zenitur (ok), 13:48, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Всем спасибо за ответы. Когда-то в 2013 году я целенаправленно искал материнскую плату с поддержкой IOMMU. Приобрёл ASUS Sabertooth 990FX R2.0. Использовал IOMMU для аппаратной виртуализации и проброса видеокарточки в гостевую винду. Но теперь я в этом не вижу необходимости, когда есть DXVK.

    Я выключил IOMMU и больше не включал. А в новости пишут, что его рекомендуется включить. Поэтому и спросил, для чего именно...

    Кстати, в сокет AM3+ вроде как можно вставить AM4-процессор? А какой в данный момент топовый? Я знаю, что для AM3+ таковым является 9590

     
     
  • 5.68, Аноним (68), 13:58, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +8 +/
    > Кстати, в сокет AM3+ вроде как можно вставить AM4-процессор?

    Ну если найдёте, куда лишние 390 ножек впихнуть, то можно, наверное.

     
     
  • 6.74, Zenitur (ok), 14:05, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Тогда зачем знак + в названии сокета? Я помню, что AM2+ подразумевал, что в него можно будет вставить AM3-процессор.
     
     
  • 7.106, Аноним (106), 15:07, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Только маркетинг, ничего личного.
     
  • 7.118, Аноним (118), 15:47, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    + означает, что поддерживаются дополнительные функции по сравнению с версией без +
    В am3+ есть дополнительные возможности по power saving'у.
     
  • 7.119, Аноним (68), 15:54, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если крайне упрощённо, AM3+ — это для FX'ов. И да, та же история, можно вставить в AM3 без плюса, но тут как повезёт.
     
  • 5.168, Аноним (168), 22:26, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А зачем? Топовые камни там вроде бы должны игры тянуть. Главное память разогнать и чтобы ее хватало. Ну и в линуксе желательно иметь видеокарту с большим объемом памяти.

    https://m.youtube.com/watch?v=RYOuH92USEg

     
  • 5.192, Аноним (192), 02:26, 25/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Тоже имел такую доску и 9590 для таких же целей, только был вопрос в начале, почему не работает nested, приходилось его отключать, а когда amd выкатила наконец патч (примерно после выхода уже zen+) я уже поменял железо
     
     
  • 6.199, Zenitur (ok), 08:15, 25/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А что за патч?
     
     
  • 7.216, Аноним (192), 21:29, 25/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Патч решающий проблемы низкой производительности при включённой опции amd nested. В ядрах начинаю помоему с 2021 года включен по умолчанию
     
  • 6.230, Аноним (230), 19:50, 26/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > 9590

    220 ватт TDP… Звучит, как наличие титула, собственного замка и герба с Печью, мое увОжение!

     
     
  • 7.235, Аноним (235), 19:14, 27/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Крематория, не герба?
     
  • 2.103, Аноним (-), 15:01, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Чтобы какой-нибудь GPU или вайфай адаптер не сделал ВНЕЗАПНЫЙ DMA в хрен знает к... большой текст свёрнут, показать
     
     
  • 3.222, Michael Shigorin (ok), 01:18, 26/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > немного пропатчив кернел операционки в процессе, например

    Тут даже с ARM было бы чуть спокойнее, не говоря уж про e2k. :D

     
     
  • 4.228, Аноним (228), 19:30, 26/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    В ночное? Извините )
     
  • 4.229, Аноним (228), 19:33, 26/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Михаил, а как в Симплии сделать снимок экрана с меню "Пуск" с двумя пунктами почтовой программы?
     

  • 1.3, Аноним (3), 11:57, 24/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +42 +/
    Семь страниц это не серьёзно для гос организации. Это даже прочитать можно.
     
     
  • 2.4, Аноним (3), 11:58, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    И пидиэф кстати 404 (404 не запрещено тут писать? - а то ведь полит подтекст)
     
     
  • 3.7, Schwonder Reismus (?), 12:04, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    По первой ссылке переходите, а ссылка на пдф реально битая
     
  • 3.8, Аноним (55), 12:06, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не только PDF, но теперь и страница с ним. Даже в веб-архиве нет пдфки (а вот страница есть).
     
     
  • 4.10, Аноним (55), 12:09, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Ага. Ссылка в новости устарела. А вот новость на сайте ФСТЭК (по другой ссылке в тексте новости) содержит правильную ссылку на PDF
     
  • 3.44, Аноним (44), 12:58, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    а попробуй скажи что-нибудь без полит подтекста
     
     
  • 4.210, Аноним (210), 20:23, 25/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Даже молчание и отсутствие являются признаками бунта )
     
  • 3.53, Аноним (53), 13:23, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Полит подтекст - 451.
    А 404 - это просто 404 :)
     
     
  • 4.94, fi (ok), 14:31, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    ну не скажи, руководители паблика 404 уже седят
     
  • 2.9, Аноним (9), 12:08, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А это не для того чтобы за это наказывать, а чтобы реально работало.
     
     
  • 3.11, Аноним (9), 12:10, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Сейчас ещё окажется что это не публикация, а внутренняя утечка.
     
     
  • 4.56, Бывалый смузихлёб (?), 13:27, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну кстати, тот же ФСБ ещё лет 10-15 назад очень активно набирал новых сотрудников с ВУЗов, учащихся по специальностям, связанным с безопасностью в ИТ. Причём, по всей стране
     
     
  • 5.91, Аноним (91), 14:29, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Ну чтож пришло время и тебе узнать правду. Они не только 10-15 лет нанимали студентов ВУЗов по профильным специальностям, но и всегда нанимали студентов по профильным специальностям. Даже вот прямо сейчас это происходит и 30 лет назад происходило тоже  самое ничего за это время не изменилось. От слова ваще.
     
     
  • 6.108, Аноним (108), 15:15, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Более того: это повсеместная практика.
     
  • 6.112, Бывалый смузихлёб (?), 15:25, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вопрос не в том, что всегда, а в том, что массово. Там реально списки пускали тех, кто хотел бы и после - почти всех принимали
    Причём, списки пускали по всем специальностям, но гребли в основном безопасников - у тех практически все отметившиеся отправились туда куда записались.
    Причём, само приёмное отделение находилось там где и не подумаешь.. >> Читать далее
     
     
  • 7.144, Аноним (91), 17:39, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я конечно понимаю что у тебя яркие впечатления о молодости, но и сейчас в любую госконтору берут без особого конкурса. Не знаю ни одного случае чтобы допустим кто-то пошел на практику во время инста в госконтору и его бы потом не приняли или отказали в приёме. А то о чём ты говоришь это обычная госконтора. Условия в них во всех одинаковые и зарплаты примерно одинаковые.
     
  • 2.54, Бывалый смузихлёб (?), 13:25, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Чёрт с ним, с количеством, но даже конкретика есть, даже как оно делается часто упомянуто.
    Пожалуй, сохраню-ка где-нибудь

    А не вида "стремиться ко всему достаточно безопасному и избегать всего недостаточно безопасного" на 500+ страниц, по итогу прочтения которых так и неясно, что является достаточно безопасным, а что - нет

     
     
  • 3.76, X86 (ok), 14:05, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Про sudo, кстати, это же вообще свежачок (CVE-2023-22809). Как они могли знать?)
     
     
  • 4.132, Деанон (?), 17:06, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    ToDo с анонимов тутошных собирают
     
  • 4.223, Michael Shigorin (ok), 01:22, 26/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Про sudo, кстати, это же вообще свежачок (CVE-2023-22809). Как они могли знать?)

    Так это не то sudo, про него много у кого соображения были вида "подальше-подальше".

    Удивился в этом плане как раз предложению PermitRootLogin=no вместо without-password (нет, это не то, что первым приходит в голову): это предполагает минимум ещё один бинарник для осуществления администрирования, да не просто от рута бегающий, а suid-ный и предназначенный для _повышения_ привилегий.

     
     
  • 5.244, Аноним (244), 14:11, 03/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Все правильно.

    chown root:wheel /bin/su
    chmod o-rwxst /bin/su
    usermod -a -G wheel admin_wheel

    Или другую спец групу завести.
    Так атакующему надо угадать имя пользователя и аж два пароля.

    А ключи воруют.

     

  • 1.5, ГруднаяЖаба (?), 11:59, 24/01/2023 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –10 +/
     

  • 1.12, КО (?), 12:10, 24/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –12 +/
    Всё это конечно безумно интересно, но где же всё-таки отечественный windows?
    Вот прям с родным товарищем майором.
     
     
  • 2.15, Аноним (15), 12:13, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не потому что линукс опенсорс, а венда нет.
     
  • 2.16, Аноним (91), 12:14, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +12 +/
    А где финский или например австралийский?
     
     
  • 3.70, Аноним (68), 14:00, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Вы ещё спросите, где финские или австралийские процессоры.
     
     
  • 4.93, Аноним (91), 14:31, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +7 +/
    У меня тут такой вопрос резко возник. А где финские или австралийские процессоры?
     
     
  • 5.125, Аноним (68), 16:21, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    У финнов ещё и легкового автопрома нет, вот где днище-то. В то время, как мы тут с автовазом корячимся.
     
     
  • 6.145, Аноним (91), 17:40, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну похоже перегнали, а кто-то не верил.  
     
  • 6.165, Аноним (165), 21:38, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А тут внезапнор и шведы продали китайцам свой автопром.
    Заговор?
     
  • 2.21, Анонемистик (?), 12:20, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не осилили
     
  • 2.28, Аноним (28), 12:32, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    QP OS
     
  • 2.48, Аноним (46), 13:05, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    На отечественный Виндус, в своё время, у Алксниса не удалось денег выпросить.
     
  • 2.58, Kol (ok), 13:30, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Тут доступно объяснили
    https://olegmakarenko.ru/2618158.html
     
  • 2.72, Kuromi (ok), 14:02, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ляликс теперь "Русский виндовс", считай официально. Даже "взять исходники Андроид и переменовать" освещается как "сделали свою ОС".
     
     
  • 3.134, Аноним (134), 17:12, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > взять исходники Андроид и переменовать

    гугл ещё проще сделал: взял исходники Андроид и ... не переименовывал даже.

     
  • 3.146, Аноним (146), 17:47, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Анонимный эксперт может лично взять "взять исходники Андроид и переменовать" и сделать "свою ОС".
    Только на голом AOSP ничего работать не будет и почти ничего полезного написать не получиться ведь в нем не будет:
    Firebase Notifications
    Firebase Crashlytics
    кучи других компонентов Firebase
    WebView
    Api для карт
    geolocation api
    Кучи программ которые идут в комплекте к любому телефону, но не в опенсорс

    и это сильно не полный список.

    Все это написать в бесконечное количество раз сложнее чем вывалить очередную кучу в комментарии.

     
     
  • 4.181, Kuromi (ok), 00:02, 25/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    gt оверквотинг удален Но ведь очевидно же что Firebase Notifications - не нуж... большой текст свёрнут, показать
     
  • 2.202, Ананий (?), 10:48, 25/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Зачем она тов. майору? В доточку с ксиком играть?
    Жри со швитым забугорным и не отсвечивай.
     

  • 1.14, ryoken (ok), 12:13, 24/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Гм.. Вроде хорошая вещь, а вот PDF-ку в Word2016 варганили...
     
     
  • 2.17, Аноним (91), 12:14, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Зато безопасно.
     
  • 2.30, Попандопала (?), 12:32, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • –3 +/
    У меня ртфка вообще в вайновском вордпад открывается и не жужжу.XD
     

  • 1.18, Аноним (18), 12:15, 24/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Семь страничек? Смешно. Рекомендации от CIS (Center for Internet Security) едва умещаются в 700 (на примере CIS Red Hat Enterprise Linux 8 Benchmark).
     
     
  • 2.20, Аноним (20), 12:20, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    "Я сделяль" (с) ФСТЭК
     
  • 2.24, PnD (??), 12:28, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +5 +/
    При этом там 90% воды, а в оставшемся бо́льшую часть занимают примеры.
    Было дело, пришлось мне готовить из него (для 7-ки) выжимку для "нормальных" админов.

    Здесь (прочёл по диагонали) как раз подобная выжимка.
    Даёт шансик не дать толпе народу списать рабочую неделю на "читал CIS". (А чё так долго? — Ну, английский не родной, надо примеры покрутить, все дела…)

     
  • 2.25, Попандопала (?), 12:28, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    7 страниц рили можно осилить,а за 700 платить придется в поддержку.
     
  • 2.34, anonfdfd4 (?), 12:36, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    так там selinux, а на кой хрен он нужен? (как и его аналоги)
     
     
  • 3.40, Аноним (146), 12:51, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Как всегда местным экспертам ничего не нужно, они и так самые умные.
     
     
  • 4.71, Аноним (-), 14:01, 24/01/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 2.41, Аноним (41), 12:52, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    PCI DSS 4.0 - 360 страниц увлекательного чтения с экзаменациями, аудитами, комплаенсами.
     
     
  • 3.42, Аноним (41), 12:54, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вот PDFка, если что, наслаждайтесь. https://disk.yandex.ru/i/cVWSH1QvQCeSfQ
     
     
  • 4.169, Аноним (169), 22:36, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо за pdf. Однако нормально загрузить не получилось. Yandex disk - такая отвратительная система, если честно
     
  • 2.224, Michael Shigorin (ok), 01:27, 26/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Думал было написать Ваш комментарий слишком краток Но давайте попробую менее ... большой текст свёрнут, показать
     
     
  • 3.231, Аноним (228), 20:04, 26/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Михаил, по CNews можно предположить (https://importfree.cnews.ru/news/top/2023-01-24_rossijskij_voennyj_linux), что вас меняют на ОС «МСВСфера»?
     

  • 1.19, Иваня (?), 12:19, 24/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Интересно, спасибо.
     
  • 1.23, Попандопала (?), 12:27, 24/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Проще Альторосу поставить и колупаться не надо.D
     
     
  • 2.211, Аноним (210), 20:33, 25/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Там 86 клавиш
     

  • 1.26, Hanyuu (?), 12:29, 24/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Где пункты "удалить systemd" и "собрать ядро без поддержки Rust" ?
    Опять икспертов нипаслушали!
     
     
  • 2.36, Аноним (36), 12:41, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Для тех, кто линукс изучает по цитаткам с башорга, рассказываю правду: Rust в ядре (на данный момент 6.1) не поддерживается, если включена генерация отладочной информации в формате BTF, которая, - сюрприз! - нужна для полноценной и корректной работы eBPF.
     
  • 2.157, fuggy (ok), 19:05, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Для кого тогда написали?
    > "chmod o-w filename" к каждому файлу в /etc/rc#.d
     
     
  • 3.191, Валерий (??), 02:11, 25/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Вопрос правильный, хотя и задан некорректно. Правильный вопрос - зачем писать советы, если можно предложить патч/коммит. Ну, не доросли пока авторы, значит.
     
     
  • 4.197, www2 (??), 06:26, 25/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Чтобы не следить за изменениями во всех Linux-дистрибутивах и не делать новые патчи. Дать удочку, а не рыбу.
     

  • 1.29, pashev.ru (?), 12:32, 24/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    X. Ограничить доступ к /proc. Так чтобы пользователь (или процесс) мог видеть только свои процессы (подпроцессы).
     
  • 1.31, Аноним (31), 12:33, 24/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +14 +/
    а где скрипт vfstek.sh, который всё это проверяет (не меняет, а просто чекает и выдаёт, где не соответствует)?
     
     
  • 2.35, anonfdfd4 (?), 12:37, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    ишт ты умник!!1
     
  • 2.39, Аноним (39), 12:50, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Это за деньги.
     
  • 2.50, Аноним (55), 13:07, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    cat /boot/config-6.0.0-6-amd64 | grep -P "CONFIG_(INIT_ON_ALLOC_DEFAULT_ON|INIT_ON_FREE_DEFAULT_ON|RANDOMIZE_KSTACK_OFFSET_DEFAULT|IOMMU_DEFAULT_DMA_LAZY|IOMMU_DEFAULT_DMA_STRICT|HAVE_ARCH_RANDOMIZE_KSTACK_OFFSET|RANDOMIZE_KSTACK_OFFSET_DEFAULT)"
     
     
  • 3.236, швондер (?), 20:25, 27/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > cat /boot/config-6.0.0-6-amd64 | grep -P "CONFIG_(INIT_ON_ALLOC_DEFAULT_ON|INIT_ON_FREE_DEFAULT_ON|RANDOMIZE_KSTACK_OFFSET_DEFAULT|IOMMU_DEFAULT_DMA_LAZY|IOMMU_DEFAULT_DMA_STRICT|HAVE_ARCH_RANDOMIZE_KSTACK_OFFSET|RANDOMIZE_KSTACK_OFFSET_DEFAULT)"

    useless use of cat

     
  • 2.51, Аноним (46), 13:08, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Он ещё и отчёт должен сам отправлять.
     
  • 2.163, SubGun (ok), 21:36, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Запускать этот скрипт будут специально аффилированные компании.
     
  • 2.251, Аноним (244), 15:47, 03/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Проверяющий скрипт:

    https://www.opennet.ru/openforum/vsluhforumID3/129586.html#248
    https://www.opennet.ru/openforum/vsluhforumID3/129586.html#249

     

  • 1.38, Аноним (146), 12:47, 24/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вроде бы адекватные рекомендации, правда я не все из них понимаю.
     
     
  • 2.43, Аноним (146), 12:57, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Очень полезно иметь такой список когда новый сервер запускаешь.
    На работе даже пароль root на mysql забывали установить и вы итоге базы данных клиентов удаляли и пароль получали из доступного на чтение домашнего каталога администраторов и root.

    А так прошел, по списку проверил что всё соответствует и всё сделано. В итоге по крайней мере самыми простыми и глупыми способами пароли не утащат и сервер не взломают.

     
     
  • 3.86, Аноним (86), 14:19, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • –8 +/
    Тут надо не список иметь, а бить по рукам за ручную настройку серверов. Это задача ансибла/терраформа и облачной платформы, а не человека.

    Любая правка - коммит в плейбук.

     
     
  • 4.174, Аноним (174), 23:40, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ага, осталось всего ничего - нанять еще одного человека, который будет настраивать нам анзиблы.
     
     
  • 5.225, Michael Shigorin (ok), 01:30, 26/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ага, осталось всего ничего - нанять еще одного человека, который будет настраивать
    > нам анзиблы.

    Какого одного -- минимум двух, плюс ещё двух -- писать плейбуки и к каждому проверяющего.

    Ну и кого-нить для зачитывания итиля вслух.  Тоже двух лучше.

     
     
  • 6.241, ivan_erohin (?), 16:37, 28/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну и кого-нить для зачитывания итиля вслух.

    по-моему практики девляпс и ИТИЛ ортогональны, а местами противоречат друг другу.


     
  • 4.193, Валерий (??), 02:52, 25/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Пациенты тебя люто ненавидят.
    Следовательно, как врач, ты прав.
     
  • 3.175, Аноним (174), 23:42, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Чек-лист при установке не пользуете?
    Рекомендую хотя бы его.
     
  • 2.96, Аноним (134), 14:49, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну, например, вот это правило нужно для ликвидации уязвимости libXpm:

    ... для всех исполняемых файлов и библиотек ... с последующей проверкой, что каталог, содержащий данные файлы, а также все родительские каталоги недоступны для записи непривилегированным пользователям.

    Кратко: нельзя запускать проги оттуда, куда может писать юзер.

     
     
  • 3.127, Аноним (127), 16:38, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Теперь нельзя выполнять проги из /tmp/.private/? Как жить дальше?
     
     
  • 4.136, Аноним (134), 17:15, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Как жить дальше?

    Начать питаться на кухне, а не на помойке.

     
     
  • 5.142, Аноним (127), 17:31, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Рекомендация того же порядка, что и noexec.
     
     
  • 6.158, Аноним (146), 19:05, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А чем noexec плохо?
     
  • 5.226, Michael Shigorin (ok), 01:31, 26/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Как жить дальше?
    > Начать питаться на кухне, а не на помойке.

    На помойке будет как раз не /tmp/.private/, а 755 /root, как вон выше упоминали...

     
  • 3.143, Аноним (146), 17:31, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Каким образом делать такую проверку, там не написано.

    Если файловую систему /home, /tmp и т.д. смонтировать с флагом noexec, как раз нельзя будет просто так запустить исполняемый файл или скрипт на выполнение.
    Но это не для всех ситуаций подходит.

     
     
  • 4.250, Аноним (244), 15:39, 03/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Популярные варианты дающие примерно тот-же результат 1 Соблюдение правила чт... большой текст свёрнут, показать
     
  • 3.194, ivan_erohin (?), 04:53, 25/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    и мне нельзя запускать свои же скрипты из ~/bin и ~/.local/bin ?
    и tor browser нельзя запустить из ~/.local/....
    и palemoon нельзя запустить из куда его там рекомендуют ставить.
    и wine (хотя я забил на него, но вдруг понадобится).

    спасибо тебе большое добрый анон.

     

  • 1.45, mos87 (ok), 13:01, 24/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Безо сферическая в вакууме.
     
  • 1.47, Аноним (55), 13:02, 24/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >Отключить технологию TSX (Transactional Synchronization Extensions) (параметр tsx=off при загрузке).

    Как бы "за щоо", однако

    https://www.kernel.org/doc/html/latest/admin-guide/hw-vuln/tsx_async_abort.htm

    >Not specifying this option is equivalent to tsx=off.

     
     
  • 2.150, Аноним (150), 18:13, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Дефолты имеют свойство меняться. Иногда без предупреждения.
     

  • 1.49, Аноним (-), 13:07, 24/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    >Рекомендации подлежат реализации в государственных информационных системах и на объектах критической информационной инфраструктуры РФ, построенных с использованием Linux, несертифицированных по требованиям безопасности информации.

    О чём это говорит? Это говорит о том, что даже в госшарагах на якобы обязательную под страхом смертной казни альтоастру плюются и втихую, но массово, ставят нормальные дистрибутивы.

     
     
  • 2.52, Аноним (55), 13:10, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Это говорит о том, что здравомыслие в конечном итоге побеждает.
     
     
  • 3.213, Аноним (210), 20:49, 25/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Тётка с косой в итоге )
     
  • 2.64, Атон (?), 13:43, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +7 +/
    > якобы обязательную под страхом смертной казни альтоастру

    Это говорит о том что, там используются много разных дистрибутивов, а обязательность "альтоастры" ваши влажные фантазии.

     
  • 2.66, _kp (ok), 13:51, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну не все компы для офисной работы, разные задачи бывают, просто выставили требования по безопасности.
    Более того, на 90% даже общепринятые требования.
     

  • 1.57, YetAnotherOnanym (ok), 13:28, 24/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    ФСТЭК решил заняться тем, чем CERT/CISA занимается уже джвадцать лет.
    Ну, чо... Лучше поздно, чем никогда.
     
     
  • 2.116, pavlinux (ok), 15:39, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > ФСТЭК решил заняться тем, чем CERT/CISA занимается уже джвадцать лет.

    Решил опубликовать и решил заняться - это разное :)

     
     
  • 3.139, Аноним (-), 17:19, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    У нас есть такие приборы! Но мы вам о них не расскажем.
     
     
  • 4.161, Аноним (161), 20:17, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Это про Эльбрусы, да?
     
     
  • 5.166, анонна (?), 21:45, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    вы бы лучше обратили внимание на специализированные чипы и микроэлктронику в производстве. удивитесь. цп это всего лишь чипы для компьютеров. куда важнее чипы для производства и изделий практического характера. вот там у россии куда более широкие возможности. я бы сказал очень широкие. по всем видам почти.
     
     
  • 6.214, Аноним (210), 21:14, 25/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    157УД3?
     
  • 5.227, Michael Shigorin (ok), 01:37, 26/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Это про Эльбрусы, да?

    Не, их-то как раз хоть в яндекс-музее можно пощупать собственными клешнями :)

     
     
  • 6.232, Аноним (228), 20:12, 26/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Так задача была по наполнению музея Яндекса исчерпавшими себя продуктами?
     

  • 1.59, Ку (?), 13:31, 24/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Почему бы кому-нибудь не запилить скрипт, выполняющий большинство из этих рекомендаций?
     
     
  • 2.113, Аноним (113), 15:34, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Ну так вперед, к мечте!
     
  • 2.149, Аноним (9), 18:07, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Луче расскажи какого хрена ты его так до сих и не запилил?
     
     
  • 3.167, анонна (?), 21:47, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    а че там пилить? взял пдф и строчишь echo "что то там" > файл. куда сложнее это все напечатать))
     
     
  • 4.215, Аноним (210), 21:15, 25/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Разве не секретарша для набора полагается?
     
  • 2.164, SubGun (ok), 21:37, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А что тогда будут кушать компании, которые специализируются на запуске этого скрипта?
     
  • 2.249, Аноним (244), 15:03, 03/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Скрипт делающий ненужен. Не все фичи безопасности в конкретном дистре можно включить. Дистр сломается! Hardened система дело больше разрабов дистра. И тогда сделать для безопасности Linux можно намного больше чем предлагается в методике ФСТЭК.


    Есть утилита для проверки безопасности:
    https://cisofy.com/lynis/
    Вот для нее модули https://cisofy.com/lynis/#lynis-plugins с требованиями ФСТЭК будут к стати.

     

  • 1.60, Аноним (55), 13:31, 24/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=928362 - related
     
  • 1.61, mos87 (ok), 13:33, 24/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Astra Linux SE 1.7.3

    >Отключение входа суперпользователя по SSH (PermitRootLogin=no в /etc/ssh/sshd_config).

    $ /sbin/sshd -T|ag -i PermitRootLogin
    permitrootlogin without-password

    >Ограничение доступа к команде su пользователями из группы wheel ("auth required pam_wheel.so use_uid" в /etc/pam.d/su)

    $ ag pam_wheel /etc/pam.d/su
    15:# auth       required   pam_wheel.so
    19:# auth       sufficient pam_wheel.so trust
    23:# auth       required   pam_wheel.so deny group=nosu

    >Блокирование утечки информации об адресном пространстве через /proc/kallsyms (sysctl -w kernel.kptr_restrict=2).

    kernel.kptr_restrict = 0

    >Включить защиту подсистемы eBPF (sysctl -w net.core.bpf_jit_harden=2).

    net.core.bpf_jit_harden = 0

    дальше надоело. Параметров ведра в cmdline конечно нет.

     
     
  • 2.117, pavlinux (ok), 15:41, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Astra Linux SE 1.7.3

    Астара - хардкорная RBAC операционка, там даже рут - не человек.

     
     
  • 3.176, Аноним (174), 23:47, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так, извиняюсь заранее, "мандатный доступ"!
     
     
  • 4.195, Аноним (195), 06:11, 25/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Главное чтобы этот доступ не запрещал играть в героев меча и магии 3, иначе прапорщики и лейтенанты будут не довольны ОС.
     
     
  • 5.206, mos87 (ok), 12:35, 25/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    они разве не в косынку
     
     
  • 6.237, Аноним (237), 20:32, 27/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Неправда. В части, где я проходил срочную службу, на рабочем ПК ЗНШ полка (в звании майора), мной, в ходе выполнения дежурного осмотра, была обнаружена глубоко законсперированная (см. "Russian military deception") HoM&M5. Отечественного производства, кстати. Патриотизм в нашей армии -- не пустой звук!
     
  • 6.253, Аноним (253), 19:52, 13/08/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Там где я срочку проходил, кап-лей-т гонял в NFS MW и что-то еще (не помню что)
     
     
  • 7.254, mos87 (ok), 10:50, 14/08/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > еще (не помню что)

    NSFW

     

  • 1.67, Kuromi (ok), 13:57, 24/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    " Ограничить использование user namespaces (sysctl -w user.max_user_namespaces=0). "

    Вероятнее всего поломает браузеры, тот же Brave это уже требует для работы. ФФ непонятно, толи да толи не обязательно.

     
     
  • 2.75, Sunderland93 (ok), 14:05, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А на работу контейнеров этот параметр влияет?
     
     
  • 3.85, Аноним (85), 14:15, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Если контейнер непривилегированный (а таких большинство) - да, все сломается.
     
  • 2.79, Попандопала (?), 14:09, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    102.7 работает с этим параметром в sysctl.conf
     
     
  • 3.82, Аноним (127), 14:11, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Песочница то поди отвалилась.
     
     
  • 4.92, Попандопала (?), 14:30, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Черт ее знает,но убрал на всякий случай этот параметр.
     
  • 2.81, Аноним (127), 14:10, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Все браузеры используют как дополнительный уровень в песочницах, да и в целом отличный совет отключить средства изоляции. Впрочем, там половина такого же бреда.
     
     
  • 3.114, pavlinux (ok), 15:36, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Когда делаешь clone(CLONE_NEWUSER, ...)  наследуются все разрешения,
    а ограничения и лимиты не наследуются. Увася, у которого лимит на max open files = 1024
    клонирует себя и лимит может стать 131071 (дефолтным для не рутов)...

    Дыры с USER_NS появляются регулярно, уже лет 10+  https://lwn.net/Articles/543273/


    Там дох.. нюансов, чтоб с разбегу сказать да или нет.


     
     
  • 4.122, Аноним (127), 16:11, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Без обид, но похоже именно ты тут не понимаешь, о чём говоришь, ещё и оскорбить ... большой текст свёрнут, показать
     
     
  • 5.129, Аноним (129), 16:44, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    В немспейсах уже было/нашлось несколько десятков багов, как логических, так и технических.

    Немспейсы добавляют еще один уровень изоляции/контроля, но это уже пробивалось и не верифицировалось.
    Одновременно, немспейсы увеличивают поверхность атаки и сложность анализа возможных сценариев.

    Поэтому рекомендация "выключить по-умолчанию" вполне рациональна.
    Кому надо - путь думает, обосновывает и т.д.

     
     
  • 6.131, Аноним (127), 16:59, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А где их не было, этих багов? Однако, их находят и исправляют. К тому же, примерно все они в контексте контейнеров (суид или CAP_SYSADMIN) и не в контексте CLONE_NEWNET, что интересует браузерные песочницы. Да и в целом, отключить универсальный механизм, востребованный софтом? Ну да, конечно, лучше вообще без него. Можно запускать всё под рутам, а пользователям тоже дать рутовые права, это намного безопаснее.
     
     
  • 7.162, Аноним (162), 20:23, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Любезнейший, а где вы видели "браузеры" в составе (цитата) "...государственных информационных системах и на объектах критической информационной инфраструктуры Российской Федерации, построенных с использованием операционных систем Linux, несертифицированных по требованиям безопасности
    информации..." ?

    Если вдруг видели - сообщите (может где-то еще нужно поправить соответствие голов занимаемым должностям).

     
  • 3.182, Kuromi (ok), 00:13, 25/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Все браузеры используют как дополнительный уровень в песочницах, да и в целом
    > отличный совет отключить средства изоляции. Впрочем, там половина такого же бреда.

    Вероятнее всего идею выключить неймспейсы взяли отсюда - https://www.stigviewer.com/stig/red_hat_enterprise_linux_8/2020-11-25/finding/

     
     
  • 4.217, ыы (?), 21:32, 25/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    If containers are in use, this requirement is not applicable.
     
  • 3.187, Аноним (187), 01:45, 25/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > браузеры используют как дополнительный уровень

    Какие браузеры? Тут рекомендация скорее всего для серверов и т.п., а не для твоего десктопа

     
     
  • 4.203, Аноним (127), 11:16, 25/01/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Это чтобы было понятно, как оно используется. На серверах без неймспейсов жизни тем более нет, каждая 2 прога.
     
  • 3.240, Аноним (237), 20:47, 27/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, совет в том, чтобы сместить ответственность со случайной прикладной программы и её сомнительных средств изоляции (веб-обозревателя) на администратора системы (компетентное лицо), чтобы избежать запуска программм, с повышенными привилегиями. Тем более, что большая часть машин, подпадающая под рекомендации, - серверные, где обычно нет графического сервера, графических программ и надобности в них.
     
  • 2.239, Аноним (237), 20:40, 27/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Это отключаемо в браузерах и программах на их движках (Webkit, Chromium и т.п.)
    Причем, вкладки продолжат использовать раздельный DOM и т.п., если предполагалось. По крайней мере, до первой обнаруженной уязвимости. Но в user namespaces также находят уязвимости, это не панацея.
     

  • 1.77, Амомин (?), 14:07, 24/01/2023 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –1 +/
     

  • 1.80, Аноним (-), 14:10, 24/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    >Запрет учётных записей пользователей с пустыми паролями.

    На печатных машинках так проще. Разумеется тут не суперпользователь.

    >Отключение входа суперпользователя по SSH (PermitRootLogin=no в /etc/ssh/sshd_config)

    Усложнять жизнь админу? Дурость.

    >Ограничение доступа к команде su пользователями из группы wheel ("auth required pam_wheel.so use_uid" в /etc/pam.d/su)

    Так в том и соль группы wheel, что модно админские команды в sudo без переключения использовать. Просто не надо обычного пользователя вводить в группу wheel.

    Админ сетки бог, ему никто не указ.

     
     
  • 2.90, _kp (ok), 14:25, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Если Комп без доступа к сети, типа Live системы без сохранения документов. Включил набил текст, распечатал, то такую "печатную машинку" можно.
    Ни один строгий админ не возразит. ;)

    >Отключение входа суперпользователя по SSH

    Это не какое то редкое требование, а вполне обычное.
    В отличии, например, от user_namespaces.

    >>Админ сетки бог, ему никто не указ.

    Бог, но нанятый за зарплату, для выполнения конкретных работ, более крутым богом. ;)

     
     
  • 3.155, Аноним (155), 18:30, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Требование отключать доступ по SSH напрямую к root вводит в заблуждение Нет ник... большой текст свёрнут, показать
     
     
  • 4.185, OpenEcho (?), 01:17, 25/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Плюс sudo вообще не обязателен для нормального функционирования системы, а тут на него (с этой рекомендацией ограничивать доступ к su) делается вся ставка, хотя не понятно зачем.

    Вероятно кто свято верит в sudo пытаясь защитить замок другим замком забывая простую истину, чем больше програм тем выше шанс вулнерабилити

    https://www.cvedetails.com/vulnerability-list/vendor_id-118/product_id-200/Tod

     
  • 4.238, швондер (?), 20:38, 27/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    > зачем-то пускаете людей по ssh на тачки, не давая им возможность
    > настроить что-то от root, тот же самый nginx в /etc, попытаться
    > использовать какой-то свежий эксплоит или иным образом напакастить на машине), или
    > напрямую в root. Единственный смысл от этого только в логе того,
    > кто под каким пользователем и ключом заходил, но такие логи тоже
    > имеют смысл только если они отправляются наружу перед тем, как пустить
    > кого-то на сервер. sshd, если имеет какие-то уязвимости, уже работает из-под
    > root. Плюс sudo вообще не обязателен для нормального функционирования системы, а
    > тут на него (с этой рекомендацией ограничивать доступ к su) делается
    > вся ставка, хотя не понятно зачем.

    угадай логин для начала.

     
  • 3.184, OpenEcho (?), 01:12, 25/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>Отключение входа суперпользователя по SSH
    > Это не какое то редкое требование, а вполне обычное.

    Ну если про
    '''
        PermitRootLogin prohibit-password                                                                                                                                                    
        PubkeyAuthentication yes                                                                                                                                                              
        PasswordAuthentication no
    '''

    не слышали, то оно конечно...

    Я уж не говорю про то, что рулить доступом через SSH сертификаты  можно даже для рутов

     
     
  • 4.186, _kp (ok), 01:31, 25/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >  можно даже для рутов

    Можно. Я имел ввиду, что запрет логина под root, встречается часто, и не вызвал удивления. Если уж докапываться, так это пережиток прошлого, появившийся до примегения ssh.

     
     
  • 5.207, OpenEcho (?), 20:03, 25/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Я имел ввиду, что запрет логина под root, встречается часто, и не вызвал удивления.

    У меня запрет рутам заходить как рут - давно вызывает удивление, - это как у страусов, засунул башку в песок и думает что его не видно, а то что заставлять рутов светить пароли в вечо висящий агент, кэширующий ключи - которые при удобном случае могут быть дампнуты - то это до таких специалистов то секюриту доходет сложно

    > Если уж докапываться, так это пережиток прошлого

    Согласен, но документ то вот довольно свеженький, не студенты небось копи пастили

     
     
  • 6.242, Аноним (242), 20:35, 28/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >агент, кэширующий ключи - которые при удобном случае могут быть дампнуты

    Используйте агента, спрашивающего, можно ли отдать ключ тому то и тому то.

     
     
  • 7.243, OpenEcho (?), 06:10, 29/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >>агент, кэширующий ключи - которые при удобном случае могут быть дампнуты
    > Используйте агента, спрашивающего, можно ли отдать ключ тому то и тому то.

    Это gpg или ssh которые? Ну так они тоже IV хранят в памяти, и к стати назойливо/принудительное присутствие gpg агента (которое как бы случайно появилось после вскормления мордокнигой) очень напоминает - "мы лучше знаем что вам надо" и не вызывает никакого доверия


     

  • 1.84, Аноним (84), 14:14, 24/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    почему это не плейбук для ансибла?
     
     
  • 2.140, Аноним (134), 17:19, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    дак сделай. Тебе тут никто ничем не обязан.
     

  • 1.87, Аноним (87), 14:20, 24/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Видно толковый человек поработал над написанием документа, что выглядит очень и очень странно...
     
     
  • 2.89, Аноним (86), 14:23, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А что странного?
     
     
  • 3.99, Аноним (134), 14:55, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ему не понравилось, что дырку с libXpm заткнули этими правилами...
     

  • 1.120, pavlinux (ok), 15:58, 24/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    init_on_free=1
    slub_debug=FZ
    page_alloc.shuffle=1

    vm.mmap_rnd_bits=32
    vm.mmap_rnd_compat_bits=16

    у кого ECC RAM - mce=0


     
  • 1.128, fuggy (ok), 16:39, 24/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    В целом советы полезные, но

    >Установить корректные права доступа к исполняемым файлам и библиотекам

    Так разве не везде на /bin /usr/bin стоит только чтение.
    >удаления SUID/SGID-флагов с лишних

    Как понять какие лишние?
    >mitigations=auto,nosmt

    Отключаем гипертрединг и прочее, и получаем тормозную систему. Правильно если система тормозит, то тогда уязвимостей не будет. А если вообще не включать, то ни один хакер не доберётся.

    Такое чувство будто надёргали случайных советов из linux hardening и готово.

     
     
  • 2.137, Аноним (134), 17:16, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Так разве не везде на /bin /usr/bin стоит только чтение

    Открой недавнюю тему про libXpm... поймёшь, про что речь.

     
     
  • 3.148, Попандопала (?), 17:53, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я зря xterm удалял?
     
  • 2.170, Аноним (146), 22:46, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Отключаем гипертрединг и прочее

    Уточните что именно прочее? mitigations=auto включает смягчение всех известных уязвимостей в процессоре
    >Отключаем гипертрединг

    ФСТЭК ни одни такие "умные", разработчики OpenBSD тоже отключили hyper-threading, только у всех. Это демонстрирует их реальный уровень во всей красе.

    >Такое чувство будто надёргали случайных советов из linux hardening и готово.

    Как хорошо, общаться с таким по настоящему умным и проницательным человеком, как вы. Вы видите эту контору насквозь.

     
     
  • 3.196, Аноним (195), 06:24, 25/01/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Покупаем 40 ядер 80 потоков Xeon Platinum 8380 за миллион рублей и отключаем у него 40 потоков. Что не смеётесь? Что не поняли да? Это Россия!
     
     
  • 4.198, Аноним (198), 07:25, 25/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Покупаем 40 ядер 80 потоков Xeon Platinum 8380 за много тысяч долларов, ставим на него openbsd и у него отключаются 40 потоков. Что не смеётесь? Что не поняли да? Это США!
     
     
     
  • 5.200, Аноним (200), 09:15, 25/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И будет ли выигрыш от виртуальных процессоров больше чем накладные расходы на синхронизацию это не очевидно.
    В прочем, для профессиональных экспертов с опеннет всё всегда очевидно
     
  • 4.205, pavlinux (ok), 12:19, 25/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Что не смеётесь?

    После патчей от Spectre, Meltdown, Retbleed и т.п., гыпертрединг бесполезен.

     

  • 1.141, Аноним (141), 17:21, 24/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Самое главное забыли 'apt install safe-rm'

    А вообще советую ещё монтировать хомяк с noexec.

    > Отключаем гипертрединг

    Ты путаешь потоки и ядра. Лучше б его вообще не изобретали.

     
     
  • 2.159, Аноним (134), 19:22, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > монтировать хомяк с noexec

    +100500!

     
  • 2.247, Аноним (244), 14:34, 03/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > А вообще советую ещё монтировать хомяк с noexec.

    /home, /proc, /sys, /tmp, /var, ... - nodev,noexec,nosuid,rw

    /dev - noexec,nosuid,rw

    /, /opt, /usr, - nodev,ro

    Проверка:

    mount |grep -v -E '(noexec|ro),'

    Не должно ничего выводить!

     

  • 1.151, FreeStyler (ok), 18:16, 24/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А скрипт делающий это всё не выпустили? -__-
     
     
  • 2.154, Аноним (113), 18:27, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Но ведь ты исправишь эту оплошность?)
     
  • 2.173, Аноним (173), 23:14, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Все это уже давно применяется в дистрибутивах.
     
  • 2.248, Аноним (244), 14:39, 03/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Есть скрипты для проверки!

    Lynis, ...

    https://en.wikipedia.org/wiki/Lynis

    https://habr.com/ru/company/vdsina/blog/503148/

     

  • 1.183, OpenEcho (?), 00:47, 25/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Странно, усё так завинченно, а про банальный

       proc /proc proc    nodev,noexec,nosuid,hidepid=2  0  0

    в fstab забыли, пущай типа все юзеры видят все процессы других

     
     
  • 2.188, Аноним (188), 01:54, 25/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    https://wiki.debian.org/Hardening#Runtime_hardening  с systemd плохо сочетается.
    Когда я так делал, у меня еще и sway перестал запускаться.
     
     
  • 3.189, Попандопала (?), 02:01, 25/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А мне прикольнуло,как у бздунов прям.D
     
  • 3.190, Аноним (134), 02:09, 25/01/2023 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > с systemd плохо сочетается.

    Очевидно, что сначала надо от системды избавиться.

     
  • 3.208, OpenEcho (?), 20:07, 25/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > https://wiki.debian.org/Hardening#Runtime_hardening  с systemd плохо сочетается.
    > Когда я так делал, у меня еще и sway перестал запускаться.

    Да маковка о которой я хотел сказать - это hidepid=2
    который скрывет показ не своих процессов, хотя и этого в линуксе недостаточно, т.к. в /proc по умолчанию доступно почти все на чтение всем

     
     
  • 4.219, Аноним (219), 00:10, 26/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Именно об hidepid=2 и речь. Или ты только в fstab это прописал и думаешь, что у тебя всё работает, как надо? )
     
     
  • 5.220, OpenEcho (?), 00:30, 26/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Именно об hidepid=2 и речь. Или ты только в fstab это прописал
    > и думаешь, что у тебя всё работает, как надо? )

    А ты уверен, что до конца прочитал мой предыдущий пост?

     
  • 2.245, Аноним (244), 14:21, 03/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Запретить подключение к другим процессам с помощью ptrace (sysctl -w kernel.yama.ptrace_scope=3).

    YAMA даст больше защиты процессов.

     
     
  • 3.246, Аноним (244), 14:23, 03/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Хотя hidepid=2 у меня тоже стоит.
     

  • 1.221, pavlinux (ok), 00:52, 26/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Кто забыл, и кому нужен "скрипт" для генерации конфига.
    Уже лет 5 как Попов замутил такой:

    https://github.com/a13xp0p0v/kconfig-hardened-check

     
  • 1.252, Аноним (252), 17:48, 04/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    KSPP:
    https://www.kernel.org/doc/html/latest/security/self-protection.html
    https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project

    GrSecurity:
    https://en.m.wikibooks.org/wiki/Grsecurity/Appendix/Grsecurity_and_PaX_Configu

    Gentoo:
    https://wiki.gentoo.org/wiki/Hardened_Gentoo
    https://wiki.gentoo.org/wiki/Project:Hardened
    https://wiki.gentoo.org/wiki/Security_Handbook

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру