https://opennet.dev/openforum/vsluhforumID3/129586.html Федеральная служба по техническому и экспортному контролю РФ разработала и утвердила методические рекомендации (PDF, 7 стр.) по повышению защищённости систем на базе ядра Linux. Рекомендации подлежат реализации в государственных информационных системах и на объектах критической информационной инфраструктуры РФ, построенных с использованием Linux, несертифицированных по требованиям безопасности информации...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=58533<br> https://opennet.dev/openforum/vsluhforumID3/129586.html#254 Mon, 14 Aug 2023 07:50:30 GMT &gt; еще (не помню что) <br><br>NSFW<br><br> https://opennet.dev/openforum/vsluhforumID3/129586.html#253 Sun, 13 Aug 2023 16:52:01 GMT Там где я срочку проходил, кап-лей-т гонял в NFS MW и что-то еще (не помню что)<br> https://opennet.dev/openforum/vsluhforumID3/129586.html#252 Sat, 04 Feb 2023 14:48:47 GMT KSPP:<br>https://www.kernel.org/doc/html/latest/security/self-protection.html<br>https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project<br><br>GrSecurity:<br>https://en.m.wikibooks.org/wiki/Grsecurity/Appendix/Grsecurity_and_PaX_Configuration_Options<br><br>Gentoo:<br>https://wiki.gentoo.org/wiki/Hardened_Gentoo<br>https://wiki.gentoo.org/wiki/Project:Hardened<br>https://wiki.gentoo.org/wiki/Security_Handbook<br> https://opennet.dev/openforum/vsluhforumID3/129586.html#251 Fri, 03 Feb 2023 12:47:08 GMT Проверяющий скрипт:<br><br>https://www.opennet.ru/openforum/vsluhforumID3/129586.html#248<br>https://www.opennet.ru/openforum/vsluhforumID3/129586.html#249<br> https://opennet.dev/openforum/vsluhforumID3/129586.html#250 Fri, 03 Feb 2023 12:39:06 GMT &gt;&gt; ... для всех исполняемых файлов и библиотек ... с последующей проверкой, что каталог, содержащий данные файлы, а также все родительские каталоги недоступны для записи непривилегированным пользователям.<br>&gt; Каким образом делать такую проверку, там не написано.<br><br>Популярные варианты дающие примерно тот-же результат:<br><br>1. Соблюдение правила: "что исполняется не должно изменятся, а что изменяется не должно исполнятся", при разбиении дисков: https://www.opennet.ru/openforum/vsluhforumID3/129586.html#247<br><br>2. Патчить DAC в ядре Linux чтобы он поддерживал "исполнение по доверительному пути" (имеется ввиду именно это решение)<br><br>3. Integrity - политика запрещаются исполнение неподписаных файлов.<br><br>4. MAC - политика запрещаются запуск файлов с мест доступных на запись.<br><br>5. ... Ваш вариант.<br><br>Вот общая оценка безопасности системы:<br>https://www.opennet.ru/openforum/vsluhforumID3/129586.html#248<br> https://opennet.dev/openforum/vsluhforumID3/129586.html#249 Fri, 03 Feb 2023 12:03:52 GMT Скрипт делающий ненужен. Не все фичи безопасности в конкретном дистре можно включить. Дистр сломается! Hardened система дело больше разрабов дистра. И тогда сделать для безопасности Linux можно намного больше чем предлагается в методике ФСТЭК.<br><br><br>Есть утилита для проверки безопасности:<br>https://cisofy.com/lynis/<br>Вот для нее модули https://cisofy.com/lynis/#lynis-plugins с требованиями ФСТЭК будут к стати.<br> https://opennet.dev/openforum/vsluhforumID3/129586.html#248 Fri, 03 Feb 2023 11:39:25 GMT Есть скрипты для проверки!<br><br>Lynis, ...<br><br>https://en.wikipedia.org/wiki/Lynis<br><br>https://habr.com/ru/company/vdsina/blog/503148/<br> https://opennet.dev/openforum/vsluhforumID3/129586.html#247 Fri, 03 Feb 2023 11:34:55 GMT &gt; А вообще советую ещё монтировать хомяк с noexec.<br><br>/home, /proc, /sys, /tmp, /var, ... - nodev,noexec,nosuid,rw<br><br>/dev - noexec,nosuid,rw<br><br>/, /opt, /usr, - nodev,ro<br><br>Проверка:<br><br>mount &#124;grep -v -E '(noexec&#124;ro),'<br><br>Не должно ничего выводить!<br> https://opennet.dev/openforum/vsluhforumID3/129586.html#246 Fri, 03 Feb 2023 11:23:23 GMT Хотя hidepid=2 у меня тоже стоит.<br>