[devel] Рекомендации по настройкам системы от ФСТЭК.
Alexey V. Vissarionov
gremlin на altlinux.org
Пн Янв 30 12:24:37 MSK 2023
On 2023-01-29 12:58:29 +0300, Aleksey Novodvorsky wrote:
> Коллеги, предлагаю тем, кому интересно, обсудить этот документ
> https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/2590-informatsionnoe-soobshchenie-fstek-rossii-ot-30-dekabrya-2022-g-n-240-22-6933
Рекомендация про /etc/shadow просто умилила... неужели где-то
до сих пор нет tcb?
PermitRootLogin можно выставить и в prohibit-password, а вот
PasswordAuthentication следует отключать безусловно. И если уж
дошли руки до sshd_config - следует отключить и все ненадежные
криптоалгоритмы.
На su, sudo и прочие исполняемые файлы с SUID нужны права 4710.
То есть, чтобы выполнить что-то с рутовыми правами через sudo,
пользователю нужно состоять в группах sudoers (чтобы запустить
sudo) и wheel (или что там написано в /etc/sudoers). Про то, что
без SUID можно обойтись (и нужно к этому стремиться), я вообще
боюсь писать, чтобы случайно не разрушить кому-нибудь красивую
картинку мира розовых поней циничным предложением использовать,
например, ssh root@::1
Про то, что директории были у Наполеона и Петлюры (и для обоих
это ничем хорошим не закончилось), а в файловой системе бывают
каталоги, авторы этого текста, похоже, даже не подозревают, ну
да и пусть с ними.
Упоминание history-файлов в подобных рекомендациях допустимо
только в связке с глаголом "отключить". На пользовательских
десктопах, понятное дело, их использование всем пофигу, но на
серверах (а особенно на серверах КИИ) это серьезная причина
увести админа за сарай.
Права доступа к $HOME в норме действительно должны быть 700,
но это не догма - в определенных случаях вполне адекватными
будут права 750 или даже 701.
Удивило, что нет рекомендации sysctl kernel.modules_disabled=1
как минимум для серверов (к которым в процессе работы никакое
дополнительное оборудование подключаться не должно).
Ну и общее впечатление от текста ээээ... сказать, что сыроват -
сильно польстить авторам.
Впрочем, http://pics.rsh.ru/img/pervyi_blin_d19bg78k.jpg
--
Alexey V. Vissarionov
gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii
GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net
Подробная информация о списке рассылки Devel