[devel] Рекомендации по настройкам системы от ФСТЭК.

Alexey V. Vissarionov gremlin на altlinux.org
Пн Янв 30 12:24:37 MSK 2023 

On 2023-01-29 12:58:29 +0300, Aleksey Novodvorsky wrote:

 > Коллеги, предлагаю тем, кому интересно, обсудить этот документ
 > https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/2590-informatsionnoe-soobshchenie-fstek-rossii-ot-30-dekabrya-2022-g-n-240-22-6933

Рекомендация про /etc/shadow просто умилила... неужели где-то
до сих пор нет tcb?

PermitRootLogin можно выставить и в prohibit-password, а вот
PasswordAuthentication следует отключать безусловно. И если уж
дошли руки до sshd_config - следует отключить и все ненадежные
криптоалгоритмы.

На su, sudo и прочие исполняемые файлы с SUID нужны права 4710.
То есть, чтобы выполнить что-то с рутовыми правами через sudo,
пользователю нужно состоять в группах sudoers (чтобы запустить
sudo) и wheel (или что там написано в /etc/sudoers). Про то, что
без SUID можно обойтись (и нужно к этому стремиться), я вообще
боюсь писать, чтобы случайно не разрушить кому-нибудь красивую
картинку мира розовых поней циничным предложением использовать,
например, ssh root@::1

Про то, что директории были у Наполеона и Петлюры (и для обоих
это ничем хорошим не закончилось), а в файловой системе бывают
каталоги, авторы этого текста, похоже, даже не подозревают, ну
да и пусть с ними.

Упоминание history-файлов в подобных рекомендациях допустимо
только в связке с глаголом "отключить". На пользовательских
десктопах, понятное дело, их использование всем пофигу, но на
серверах (а особенно на серверах КИИ) это серьезная причина
увести админа за сарай.

Права доступа к $HOME в норме действительно должны быть 700,
но это не догма - в определенных случаях вполне адекватными
будут права 750 или даже 701.

Удивило, что нет рекомендации sysctl kernel.modules_disabled=1
как минимум для серверов (к которым в процессе работы никакое
дополнительное оборудование подключаться не должно).

Ну и общее впечатление от текста ээээ... сказать, что сыроват -
сильно польстить авторам.

Впрочем, http://pics.rsh.ru/img/pervyi_blin_d19bg78k.jpg


-- 
Alexey V. Vissarionov
gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii
GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net

Подробная информация о списке рассылки Devel