[devel] Рекомендации по настройкам системы от ФСТЭК.

[Vitaly Chikunov]

On Sun, Jan 29, 2023 at 10:49:12PM +0300, Vitaly Chikunov wrote:
> Hi,
> 
> On Sun, Jan 29, 2023 at 12:58:29PM +0300, Aleksey Novodvorsky wrote:
> > Коллеги,
> > предлагаю тем, кому интересно, обсудить этот документ
> > https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/2590-informatsionnoe-soobshchenie-fstek-rossii-ot-30-dekabrya-2022-g-n-240-22-6933
> > 
> > содержательно.
> 
> 1.
>   "Настоящие Рекомендации подлежат реализации в государственных
>   информационных системах и на объектах критической информационной
>   инфраструктуры Российской Федерации, построенных с использованием
>   операционных систем Linux, несертифицированных по требованиям
>   безопасности информации, до их замены на сертифицированные
>   отечественные операционные системы."
> 
> То есть не для любой системы, а только для систем требующих наибольших
> ограничений по безопасности. Значит в универсальную конфигурацию эти
> изменения добавлять нужно с осторожностью - так как они ограничивают
> пользовательский функционал, откатывая технологии на годы в прошлое.
> 
> [2. Часть рекомендация действительно как из девяностых - что видно по
> упоминанию R-сервисов и SUID.]
> 
> 3. `iommu=force`, на сколько я знаю, может ухудшить производительность и
> стабильность системы где нет идеальной совместимости железа с IOMMU.

Я нашел чем, возможно, частично вдохновлялись (в отношении опций
ядра / sysctl):

  https://madaidans-insecurities.github.io/guides/linux-hardening.html

Только в оригинале гораздо больше рекомендаций и объяснений зачем они
делаются.

> 
> 
> > 
> > 
> > 
> > 
> > Rgrds, Алексей
> 
> > _______________________________________________
> > Devel mailing list
> > Devel на lists.altlinux.org
> > https://lists.altlinux.org/mailman/listinfo/devel
> 
> _______________________________________________
> Devel mailing list
> Devel на lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/devel