Федеральная служба по техническому и экспортному контролю РФ разработала и утвердила методические рекомендации (PDF, 7 стр.) по повышению защищённости систем на базе ядра Linux. Рекомендации подлежат реализации в государственных информационных системах и на объектах критической информационной инфраструктуры РФ, построенных с использованием Linux, несертифицированных по требованиям безопасности информации...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=58533
PS Некоторые опции ядра требуют включения отладочных функций,
что может только усугубить безопасность (BPF/eBPF)
Безопасность кого надо безопасность!
eBPF - это не отладочные функции. И они как раз для rootа доступны. Но если у вас есть рут, то зачем вам систему ломать, вы и так её хозяин.
> eBPF - это не отладочные функции.https://www.opennet.dev/opennews/art.shtml?num=54932
> зачем вам систему ломать, вы и так её хозяин.
Рут в виртуалке - не хозяин системы.
>https://www.opennet.dev/opennews/art.shtml?num=549321. где там утверждается, что ebpf - это отладочные функции?
2. ebpf обычно требует рута.>Рут в виртуалке - не хозяин системы.
Виртуальной системы - "хозяин". Ты же не хозяин твоего тела. Это Господь Бог хозяин, а ты так, арендатор, тебе его просто попользоваться дали.
>>https://www.opennet.dev/opennews/art.shtml?num=54932
> 1. где там утверждается, что ebpf - это отладочные функции?А где я утверждал, что eBPF - это только отладка?
Можно ли написать кодогенератор на rust в безопасном режиме?
Там бы значительная часть ошибок проявила себя ещё во время сборки и первого запуска в debug режиме
> Инициализировать механизм IOMMUЗачем?
Наверное, поощряется использование полной виртуализации для запуска недоверенных приложений. Проброс железяк для них в виртуалки.
iommu - не про виртуальные машины, он про защиту ОС от DMA-атак через Thunderbolt, FireWire и SCSI.
А заодно и от левых попыток железок делать с DMA что-то не то. Какая-нибудь PCI железка типа GPU или вайфая может потенциально попытаться слазить через DMA в совершенно левые адреса. Это может инициировать начинка самой железки, ну там сервисная фирмвара вспомогательного ядра какая-нибудь.
Как я понимаю iommu разрешает железу менять только разрешенные части оперативной памяти и залезть в память приложений и ядра железо уже не может.
Со стороны железа тоже возможны атаки. Я помню что с помощью thunderbolt можно было сдампить и изменять ОЗУ.
Всем спасибо за ответы. Когда-то в 2013 году я целенаправленно искал материнскую плату с поддержкой IOMMU. Приобрёл ASUS Sabertooth 990FX R2.0. Использовал IOMMU для аппаратной виртуализации и проброса видеокарточки в гостевую винду. Но теперь я в этом не вижу необходимости, когда есть DXVK.Я выключил IOMMU и больше не включал. А в новости пишут, что его рекомендуется включить. Поэтому и спросил, для чего именно...
Кстати, в сокет AM3+ вроде как можно вставить AM4-процессор? А какой в данный момент топовый? Я знаю, что для AM3+ таковым является 9590
> Кстати, в сокет AM3+ вроде как можно вставить AM4-процессор?Ну если найдёте, куда лишние 390 ножек впихнуть, то можно, наверное.
Тогда зачем знак + в названии сокета? Я помню, что AM2+ подразумевал, что в него можно будет вставить AM3-процессор.
Только маркетинг, ничего личного.
+ означает, что поддерживаются дополнительные функции по сравнению с версией без +
В am3+ есть дополнительные возможности по power saving'у.
Если крайне упрощённо, AM3+ — это для FX'ов. И да, та же история, можно вставить в AM3 без плюса, но тут как повезёт.
А зачем? Топовые камни там вроде бы должны игры тянуть. Главное память разогнать и чтобы ее хватало. Ну и в линуксе желательно иметь видеокарту с большим объемом памяти.
Тоже имел такую доску и 9590 для таких же целей, только был вопрос в начале, почему не работает nested, приходилось его отключать, а когда amd выкатила наконец патч (примерно после выхода уже zen+) я уже поменял железо
А что за патч?
Патч решающий проблемы низкой производительности при включённой опции amd nested. В ядрах начинаю помоему с 2021 года включен по умолчанию
> 9590220 ватт TDP… Звучит, как наличие титула, собственного замка и герба с Печью, мое увОжение!
Крематория, не герба?
Чтобы какой-нибудь GPU или вайфай адаптер не сделал ВНЕЗАПНЫЙ DMA в хрен знает какие адреса фиг знает почему. Ну вот решит какой-то блобик их многочисленных фирмвар что им так хочется - и запрограммит DMA со стороны железки вот так, немного пропатчив кернел операционки в процессе, например.Обычный MMU - со стороны проца, он для железок арбитраж прав доступа к памяти не обеспечивает. А IOMMU это как раз логичное дополнение, обеспечивающее энфорс прав доступа и для железок. Одно из очевидных применений это виртуализация - т.к. кроме всего прочего можно перехыватывать и редиректить доступы, так что для виртуалки все будет выглядеть как будто запрос сработал, хотя его виртуализатор перехватил и оттранслировал адреса как надо. Если этого не сделать, драйвер в VM видит свои адреса, виртуалочные. Которые без задней мысли скормит железкам с DMA и прочему, а поскольку это настоящие железки, они без специальных мер вот именно эти адреса и задействуют. Что там у хоста было по этим адресам - обычно без IOMMU все быстро и жестоко умирает. Однако кроме виртуализации это и просто секурити фича, ловящая явно внеплановые доступы железок в левые регионы памяти. В IOMMU прописывается куда какие железки должны лазить по мнению их дров, а если получилось не это - окей, это заворачивается и вместо этого генерится исключение показывающее что нечто пошло не по плану.
> немного пропатчив кернел операционки в процессе, напримерТут даже с ARM было бы чуть спокойнее, не говоря уж про e2k. :D
В ночное? Извините )
Михаил, а как в Симплии сделать снимок экрана с меню "Пуск" с двумя пунктами почтовой программы?
Семь страниц это не серьёзно для гос организации. Это даже прочитать можно.
И пидиэф кстати 404 (404 не запрещено тут писать? - а то ведь полит подтекст)
По первой ссылке переходите, а ссылка на пдф реально битая
Не только PDF, но теперь и страница с ним. Даже в веб-архиве нет пдфки (а вот страница есть).
Ага. Ссылка в новости устарела. А вот новость на сайте ФСТЭК (по другой ссылке в тексте новости) содержит правильную ссылку на PDF
а попробуй скажи что-нибудь без полит подтекста
Даже молчание и отсутствие являются признаками бунта )
Полит подтекст - 451.
А 404 - это просто 404 :)
ну не скажи, руководители паблика 404 уже седят
А это не для того чтобы за это наказывать, а чтобы реально работало.
Сейчас ещё окажется что это не публикация, а внутренняя утечка.
Ну кстати, тот же ФСБ ещё лет 10-15 назад очень активно набирал новых сотрудников с ВУЗов, учащихся по специальностям, связанным с безопасностью в ИТ. Причём, по всей стране
Ну чтож пришло время и тебе узнать правду. Они не только 10-15 лет нанимали студентов ВУЗов по профильным специальностям, но и всегда нанимали студентов по профильным специальностям. Даже вот прямо сейчас это происходит и 30 лет назад происходило тоже самое ничего за это время не изменилось. От слова ваще.
Более того: это повсеместная практика.
Вопрос не в том, что всегда, а в том, что массово. Там реально списки пускали тех, кто хотел бы и после - почти всех принимали
Причём, списки пускали по всем специальностям, но гребли в основном безопасников - у тех практически все отметившиеся отправились туда куда записались.
Причём, само приёмное отделение находилось там где и не подумаешь.. >> Читать далее
Я конечно понимаю что у тебя яркие впечатления о молодости, но и сейчас в любую госконтору берут без особого конкурса. Не знаю ни одного случае чтобы допустим кто-то пошел на практику во время инста в госконтору и его бы потом не приняли или отказали в приёме. А то о чём ты говоришь это обычная госконтора. Условия в них во всех одинаковые и зарплаты примерно одинаковые.
Чёрт с ним, с количеством, но даже конкретика есть, даже как оно делается часто упомянуто.
Пожалуй, сохраню-ка где-нибудьА не вида "стремиться ко всему достаточно безопасному и избегать всего недостаточно безопасного" на 500+ страниц, по итогу прочтения которых так и неясно, что является достаточно безопасным, а что - нет
Про sudo, кстати, это же вообще свежачок (CVE-2023-22809). Как они могли знать?)
ToDo с анонимов тутошных собирают
> Про sudo, кстати, это же вообще свежачок (CVE-2023-22809). Как они могли знать?)Так это не то sudo, про него много у кого соображения были вида "подальше-подальше".
Удивился в этом плане как раз предложению PermitRootLogin=no вместо without-password (нет, это не то, что первым приходит в голову): это предполагает минимум ещё один бинарник для осуществления администрирования, да не просто от рута бегающий, а suid-ный и предназначенный для _повышения_ привилегий.
Все правильно.chown root:wheel /bin/su
chmod o-rwxst /bin/su
usermod -a -G wheel admin_wheelИли другую спец групу завести.
Так атакующему надо угадать имя пользователя и аж два пароля.А ключи воруют.
если убрать системд то половину этих пунктов можно не читать
Любители девуана вообще читать не умеют.
Всё это конечно безумно интересно, но где же всё-таки отечественный windows?
Вот прям с родным товарищем майором.
Не потому что линукс опенсорс, а венда нет.
А где финский или например австралийский?
Вы ещё спросите, где финские или австралийские процессоры.
У меня тут такой вопрос резко возник. А где финские или австралийские процессоры?
У финнов ещё и легкового автопрома нет, вот где днище-то. В то время, как мы тут с автовазом корячимся.
Ну похоже перегнали, а кто-то не верил.
А тут внезапнор и шведы продали китайцам свой автопром.
Заговор?
Не осилили
QP OS
На отечественный Виндус, в своё время, у Алксниса не удалось денег выпросить.
Тут доступно объяснили
https://olegmakarenko.ru/2618158.html
Ляликс теперь "Русский виндовс", считай официально. Даже "взять исходники Андроид и переменовать" освещается как "сделали свою ОС".
> взять исходники Андроид и переменоватьгугл ещё проще сделал: взял исходники Андроид и ... не переименовывал даже.
Анонимный эксперт может лично взять "взять исходники Андроид и переменовать" и сделать "свою ОС".
Только на голом AOSP ничего работать не будет и почти ничего полезного написать не получиться ведь в нем не будет:
Firebase Notifications
Firebase Crashlytics
кучи других компонентов Firebase
WebView
Api для карт
geolocation api
Кучи программ которые идут в комплекте к любому телефону, но не в опенсорси это сильно не полный список.
Все это написать в бесконечное количество раз сложнее чем вывалить очередную кучу в комментарии.
>[оверквотинг удален]
> Firebase Crashlytics
> кучи других компонентов Firebase
> WebView
> Api для карт
> geolocation api
> Кучи программ которые идут в комплекте к любому телефону, но не в
> опенсорс
> и это сильно не полный список.
> Все это написать в бесконечное количество раз сложнее чем вывалить очередную кучу
> в комментарии.Но ведь очевидно же что:
Firebase Notifications - не нужно нам наши суверенные уведомления через иностранные сервера гонять!
Firebase Crashlytics - тоже ненужно потому что Русский Софт не сдается и падает.
кучи других компонентов Firebase - "ну вы понели"
WebView - "не нужон нам этот ваш"...хотя если что возьмут Geckoview. Опять же не зря же всюду призывают использовать "российские браузеры".
Api для карт - Яндекс, Яндекс, Яндекс...ну или 2GIS, им вообще Сбер владеет теперь. На крайний случай есть OSM.
geolocation api - очевидно что эти шпионские API не нужны пользователям. Те кому надо знают где пользователь. Остальным знать не положено. Еси пользователь не знает где он - пускай спросит у других.Тут конечно велика доля шутки, если кто не уловил сарказма.
Зачем она тов. майору? В доточку с ксиком играть?
Жри со швитым забугорным и не отсвечивай.
Гм.. Вроде хорошая вещь, а вот PDF-ку в Word2016 варганили...
Зато безопасно.
У меня ртфка вообще в вайновском вордпад открывается и не жужжу.XD
Семь страничек? Смешно. Рекомендации от CIS (Center for Internet Security) едва умещаются в 700 (на примере CIS Red Hat Enterprise Linux 8 Benchmark).
"Я сделяль" (с) ФСТЭК
При этом там 90% воды, а в оставшемся бо́льшую часть занимают примеры.
Было дело, пришлось мне готовить из него (для 7-ки) выжимку для "нормальных" админов.Здесь (прочёл по диагонали) как раз подобная выжимка.
Даёт шансик не дать толпе народу списать рабочую неделю на "читал CIS". (А чё так долго? — Ну, английский не родной, надо примеры покрутить, все дела…)
7 страниц рили можно осилить,а за 700 платить придется в поддержку.
так там selinux, а на кой хрен он нужен? (как и его аналоги)
Как всегда местным экспертам ничего не нужно, они и так самые умные.
selinux и в правду не нужен
PCI DSS 4.0 - 360 страниц увлекательного чтения с экзаменациями, аудитами, комплаенсами.
Вот PDFка, если что, наслаждайтесь. https://disk.yandex.ru/i/cVWSH1QvQCeSfQ
Спасибо за pdf. Однако нормально загрузить не получилось. Yandex disk - такая отвратительная система, если честно
> Семь страничек? Смешно.Думал было написать "Ваш комментарий слишком краток".
Но давайте попробую менее смешно.
At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet.
Duis autem vel eum iriure dolor in hendrerit in vulputate velit esse molestie consequat, vel illum dolore eu feugiat nulla facilisis at vero eros et accumsan et iusto odio dignissim qui blandit praesent luptatum zzril delenit augue duis dolore te feugait nulla facilisi. Lorem ipsum dolor sit amet, consectetuer adipiscing elit, sed diam nonummy nibh euismod tincidunt ut laoreet dolore magna aliquam erat volutpat.
Ut wisi enim ad minim veniam, quis nostrud exerci tation ullamcorper suscipit lobortis nisl ut aliquip ex ea commodo consequat. Duis autem vel eum iriure dolor in hendrerit in vulputate velit esse molestie consequat, vel illum dolore eu feugiat nulla facilisis at vero eros et accumsan et iusto odio dignissim qui blandit praesent luptatum zzril delenit augue duis dolore te feugait nulla facilisi.
Nam liber tempor cum soluta nobis eleifend option congue nihil imperdiet doming id quod mazim placerat facer possim assum. Lorem ipsum dolor sit amet, consectetuer adipiscing elit, sed diam nonummy nibh euismod tincidunt ut laoreet dolore magna aliquam erat volutpat. Ut wisi enim ad minim veniam, quis nostrud exerci tation ullamcorper suscipit lobortis nisl ut aliquip ex ea commodo consequat.
Duis autem vel eum iriure dolor in hendrerit in vulputate velit esse molestie consequat, vel illum dolore eu feugiat nulla facilisis.
At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, At accusam aliquyam diam diam dolore dolores duo eirmod eos erat, et nonumy sed tempor et et invidunt justo labore Stet clita ea et gubergren, kasd magna no rebum. sanctus sea sed takimata ut vero voluptua. est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat.
Consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus.
Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet.
Duis autem vel eum iriure dolor in hendrerit in vulputate velit esse molestie consequat, vel illum dolore eu feugiat nulla facilisis at vero eros et accumsan et iusto odio dignissim qui blandit praesent luptatum zzril delenit augue duis dolore te feugait nulla facilisi. Lorem ipsum dolor sit amet, consectetuer adipiscing elit, sed diam nonummy nibh euismod tincidunt ut laoreet dolore magna aliquam erat volutpat.
Ut wisi enim ad minim veniam, quis nostrud exerci tation ullamcorper suscipit lobortis nisl ut aliquip ex ea commodo consequat. Duis autem vel eum iriure dolor in hendrerit in vulputate velit esse molestie consequat, vel illum dolore eu feugiat nulla facilisis at vero eros et accumsan et iusto odio dignissim qui blandit praesent luptatum zzril delenit augue duis dolore te feugait nulla facilisi.
Nam liber tempor cum soluta nobis eleifend option congue nihil imperdiet doming id quod mazim placerat facer possim assum. Lorem ipsum dolor sit amet, consectetuer adipiscing elit, sed diam nonummy nibh euismod tincidunt ut laoreet dolore magna aliquam erat volutpat. Ut wisi enim ad minim veniam, quis nostrud exerci tation ullamcorper suscipit lobortis nisl ut aliquip ex ea commodo...
Михаил, по CNews можно предположить (https://importfree.cnews.ru/news/top/2023-01-24_rossijskij_v...), что вас меняют на ОС «МСВСфера»?
Интересно, спасибо.
Проще Альторосу поставить и колупаться не надо.D
Там 86 клавиш
Где пункты "удалить systemd" и "собрать ядро без поддержки Rust" ?
Опять икспертов нипаслушали!
Для тех, кто линукс изучает по цитаткам с башорга, рассказываю правду: Rust в ядре (на данный момент 6.1) не поддерживается, если включена генерация отладочной информации в формате BTF, которая, - сюрприз! - нужна для полноценной и корректной работы eBPF.
Для кого тогда написали?
> "chmod o-w filename" к каждому файлу в /etc/rc#.d
Вопрос правильный, хотя и задан некорректно. Правильный вопрос - зачем писать советы, если можно предложить патч/коммит. Ну, не доросли пока авторы, значит.
Чтобы не следить за изменениями во всех Linux-дистрибутивах и не делать новые патчи. Дать удочку, а не рыбу.
X. Ограничить доступ к /proc. Так чтобы пользователь (или процесс) мог видеть только свои процессы (подпроцессы).
а где скрипт vfstek.sh, который всё это проверяет (не меняет, а просто чекает и выдаёт, где не соответствует)?
ишт ты умник!!1
Это за деньги.
cat /boot/config-6.0.0-6-amd64 | grep -P "CONFIG_(INIT_ON_ALLOC_DEFAULT_ON|INIT_ON_FREE_DEFAULT_ON|RANDOMIZE_KSTACK_OFFSET_DEFAULT|IOMMU_DEFAULT_DMA_LAZY|IOMMU_DEFAULT_DMA_STRICT|HAVE_ARCH_RANDOMIZE_KSTACK_OFFSET|RANDOMIZE_KSTACK_OFFSET_DEFAULT)"
> cat /boot/config-6.0.0-6-amd64 | grep -P "CONFIG_(INIT_ON_ALLOC_DEFAULT_ON|INIT_ON_FREE_DEFAULT_ON|RANDOMIZE_KSTACK_OFFSET_DEFAULT|IOMMU_DEFAULT_DMA_LAZY|IOMMU_DEFAULT_DMA_STRICT|HAVE_ARCH_RANDOMIZE_KSTACK_OFFSET|RANDOMIZE_KSTACK_OFFSET_DEFAULT)"useless use of cat
Он ещё и отчёт должен сам отправлять.
Запускать этот скрипт будут специально аффилированные компании.
Проверяющий скрипт:https://www.opennet.dev/openforum/vsluhforumID3/129586.html#248
https://www.opennet.dev/openforum/vsluhforumID3/129586.html#249
Вроде бы адекватные рекомендации, правда я не все из них понимаю.
Очень полезно иметь такой список когда новый сервер запускаешь.
На работе даже пароль root на mysql забывали установить и вы итоге базы данных клиентов удаляли и пароль получали из доступного на чтение домашнего каталога администраторов и root.А так прошел, по списку проверил что всё соответствует и всё сделано. В итоге по крайней мере самыми простыми и глупыми способами пароли не утащат и сервер не взломают.
Тут надо не список иметь, а бить по рукам за ручную настройку серверов. Это задача ансибла/терраформа и облачной платформы, а не человека.Любая правка - коммит в плейбук.
Ага, осталось всего ничего - нанять еще одного человека, который будет настраивать нам анзиблы.
> Ага, осталось всего ничего - нанять еще одного человека, который будет настраивать
> нам анзиблы.Какого одного -- минимум двух, плюс ещё двух -- писать плейбуки и к каждому проверяющего.
Ну и кого-нить для зачитывания итиля вслух. Тоже двух лучше.
> Ну и кого-нить для зачитывания итиля вслух.по-моему практики девляпс и ИТИЛ ортогональны, а местами противоречат друг другу.
Пациенты тебя люто ненавидят.
Следовательно, как врач, ты прав.
Чек-лист при установке не пользуете?
Рекомендую хотя бы его.
Ну, например, вот это правило нужно для ликвидации уязвимости libXpm:... для всех исполняемых файлов и библиотек ... с последующей проверкой, что каталог, содержащий данные файлы, а также все родительские каталоги недоступны для записи непривилегированным пользователям.
Кратко: нельзя запускать проги оттуда, куда может писать юзер.
Теперь нельзя выполнять проги из /tmp/.private/? Как жить дальше?
> Как жить дальше?Начать питаться на кухне, а не на помойке.
Рекомендация того же порядка, что и noexec.
А чем noexec плохо?
>> Как жить дальше?
> Начать питаться на кухне, а не на помойке.На помойке будет как раз не /tmp/.private/, а 755 /root, как вон выше упоминали...
Каким образом делать такую проверку, там не написано.Если файловую систему /home, /tmp и т.д. смонтировать с флагом noexec, как раз нельзя будет просто так запустить исполняемый файл или скрипт на выполнение.
Но это не для всех ситуаций подходит.
>> ... для всех исполняемых файлов и библиотек ... с последующей проверкой, что каталог, содержащий данные файлы, а также все родительские каталоги недоступны для записи непривилегированным пользователям.
> Каким образом делать такую проверку, там не написано.Популярные варианты дающие примерно тот-же результат:
1. Соблюдение правила: "что исполняется не должно изменятся, а что изменяется не должно исполнятся", при разбиении дисков: https://www.opennet.dev/openforum/vsluhforumID3/129586.html#247
2. Патчить DAC в ядре Linux чтобы он поддерживал "исполнение по доверительному пути" (имеется ввиду именно это решение)
3. Integrity - политика запрещаются исполнение неподписаных файлов.
4. MAC - политика запрещаются запуск файлов с мест доступных на запись.
5. ... Ваш вариант.
Вот общая оценка безопасности системы:
https://www.opennet.dev/openforum/vsluhforumID3/129586.html#248
и мне нельзя запускать свои же скрипты из ~/bin и ~/.local/bin ?
и tor browser нельзя запустить из ~/.local/....
и palemoon нельзя запустить из куда его там рекомендуют ставить.
и wine (хотя я забил на него, но вдруг понадобится).спасибо тебе большое добрый анон.
Безо сферическая в вакууме.
>Отключить технологию TSX (Transactional Synchronization Extensions) (параметр tsx=off при загрузке).Как бы "за щоо", однако
https://www.kernel.org/doc/html/latest/admin-guide/hw-vuln/t...
>Not specifying this option is equivalent to tsx=off.
Дефолты имеют свойство меняться. Иногда без предупреждения.
>Рекомендации подлежат реализации в государственных информационных системах и на объектах критической информационной инфраструктуры РФ, построенных с использованием Linux, несертифицированных по требованиям безопасности информации.О чём это говорит? Это говорит о том, что даже в госшарагах на якобы обязательную под страхом смертной казни альтоастру плюются и втихую, но массово, ставят нормальные дистрибутивы.
Это говорит о том, что здравомыслие в конечном итоге побеждает.
Тётка с косой в итоге )
> якобы обязательную под страхом смертной казни альтоаструЭто говорит о том что, там используются много разных дистрибутивов, а обязательность "альтоастры" ваши влажные фантазии.
Ну не все компы для офисной работы, разные задачи бывают, просто выставили требования по безопасности.
Более того, на 90% даже общепринятые требования.
ФСТЭК решил заняться тем, чем CERT/CISA занимается уже джвадцать лет.
Ну, чо... Лучше поздно, чем никогда.
> ФСТЭК решил заняться тем, чем CERT/CISA занимается уже джвадцать лет.Решил опубликовать и решил заняться - это разное :)
У нас есть такие приборы! Но мы вам о них не расскажем.
Это про Эльбрусы, да?
вы бы лучше обратили внимание на специализированные чипы и микроэлктронику в производстве. удивитесь. цп это всего лишь чипы для компьютеров. куда важнее чипы для производства и изделий практического характера. вот там у россии куда более широкие возможности. я бы сказал очень широкие. по всем видам почти.
157УД3?
> Это про Эльбрусы, да?Не, их-то как раз хоть в яндекс-музее можно пощупать собственными клешнями :)
Так задача была по наполнению музея Яндекса исчерпавшими себя продуктами?
Почему бы кому-нибудь не запилить скрипт, выполняющий большинство из этих рекомендаций?
Ну так вперед, к мечте!
Луче расскажи какого хрена ты его так до сих и не запилил?
а че там пилить? взял пдф и строчишь echo "что то там" > файл. куда сложнее это все напечатать))
Разве не секретарша для набора полагается?
А что тогда будут кушать компании, которые специализируются на запуске этого скрипта?
Скрипт делающий ненужен. Не все фичи безопасности в конкретном дистре можно включить. Дистр сломается! Hardened система дело больше разрабов дистра. И тогда сделать для безопасности Linux можно намного больше чем предлагается в методике ФСТЭК.
Есть утилита для проверки безопасности:
https://cisofy.com/lynis/
Вот для нее модули https://cisofy.com/lynis/#lynis-plugins с требованиями ФСТЭК будут к стати.
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=928362 - related
Astra Linux SE 1.7.3>Отключение входа суперпользователя по SSH (PermitRootLogin=no в /etc/ssh/sshd_config).
$ /sbin/sshd -T|ag -i PermitRootLogin
permitrootlogin without-password>Ограничение доступа к команде su пользователями из группы wheel ("auth required pam_wheel.so use_uid" в /etc/pam.d/su)
$ ag pam_wheel /etc/pam.d/su
15:# auth required pam_wheel.so
19:# auth sufficient pam_wheel.so trust
23:# auth required pam_wheel.so deny group=nosu>Блокирование утечки информации об адресном пространстве через /proc/kallsyms (sysctl -w kernel.kptr_restrict=2).
kernel.kptr_restrict = 0
>Включить защиту подсистемы eBPF (sysctl -w net.core.bpf_jit_harden=2).
net.core.bpf_jit_harden = 0
дальше надоело. Параметров ведра в cmdline конечно нет.
> Astra Linux SE 1.7.3Астара - хардкорная RBAC операционка, там даже рут - не человек.
Ну так, извиняюсь заранее, "мандатный доступ"!
Главное чтобы этот доступ не запрещал играть в героев меча и магии 3, иначе прапорщики и лейтенанты будут не довольны ОС.
они разве не в косынку
Неправда. В части, где я проходил срочную службу, на рабочем ПК ЗНШ полка (в звании майора), мной, в ходе выполнения дежурного осмотра, была обнаружена глубоко законсперированная (см. "Russian military deception") HoM&M5. Отечественного производства, кстати. Патриотизм в нашей армии -- не пустой звук!
Там где я срочку проходил, кап-лей-т гонял в NFS MW и что-то еще (не помню что)
> еще (не помню что)NSFW
" Ограничить использование user namespaces (sysctl -w user.max_user_namespaces=0). "Вероятнее всего поломает браузеры, тот же Brave это уже требует для работы. ФФ непонятно, толи да толи не обязательно.
А на работу контейнеров этот параметр влияет?
Если контейнер непривилегированный (а таких большинство) - да, все сломается.
102.7 работает с этим параметром в sysctl.conf
Песочница то поди отвалилась.
Черт ее знает,но убрал на всякий случай этот параметр.
Все браузеры используют как дополнительный уровень в песочницах, да и в целом отличный совет отключить средства изоляции. Впрочем, там половина такого же бреда.
Когда делаешь clone(CLONE_NEWUSER, ...) наследуются все разрешения,
а ограничения и лимиты не наследуются. Увася, у которого лимит на max open files = 1024
клонирует себя и лимит может стать 131071 (дефолтным для не рутов)...Дыры с USER_NS появляются регулярно, уже лет 10+ https://lwn.net/Articles/543273/
Там дох.. нюансов, чтоб с разбегу сказать да или нет.
Без обид, но похоже именно ты тут не понимаешь, о чём говоришь, ещё и оскорбить пытаешься зачем-то. Ограничения и лимиты? Ну-ну. Во первых, тебе никто не даст никаких прав, если ты уже замапил ограниченного пользователя (например, с изолированной сетью, что применяется для процессов исполняющих шейдеры и прочее), этот механизм односторонний. Примерно все дыры, что случались, требовали замапить рута. Ты можешь замапить вложенный неймспейс, однако доступа вовне у него не появится. Чтобы было понятно, даже если ты запамишь рута во вложенном неймспейсе и начнёшь выполнять команды, доступ у тебя будет только к этом неймспейсу и не к хосту, а если нет, применяются все ограничения родительского неймспейса. А чтобы организовать канал связи с неймспейсом, используют, например, veth. Да, это ограниченный инструмент, спору нет, но он целиком рабочий и делает именно то, что заявлено, а ты тут пытаешься FUD распространять.
В немспейсах уже было/нашлось несколько десятков багов, как логических, так и технических.Немспейсы добавляют еще один уровень изоляции/контроля, но это уже пробивалось и не верифицировалось.
Одновременно, немспейсы увеличивают поверхность атаки и сложность анализа возможных сценариев.Поэтому рекомендация "выключить по-умолчанию" вполне рациональна.
Кому надо - путь думает, обосновывает и т.д.
А где их не было, этих багов? Однако, их находят и исправляют. К тому же, примерно все они в контексте контейнеров (суид или CAP_SYSADMIN) и не в контексте CLONE_NEWNET, что интересует браузерные песочницы. Да и в целом, отключить универсальный механизм, востребованный софтом? Ну да, конечно, лучше вообще без него. Можно запускать всё под рутам, а пользователям тоже дать рутовые права, это намного безопаснее.
Любезнейший, а где вы видели "браузеры" в составе (цитата) "...государственных информационных системах и на объектах критической информационной инфраструктуры Российской Федерации, построенных с использованием операционных систем Linux, несертифицированных по требованиям безопасности
информации..." ?Если вдруг видели - сообщите (может где-то еще нужно поправить соответствие голов занимаемым должностям).
> Все браузеры используют как дополнительный уровень в песочницах, да и в целом
> отличный совет отключить средства изоляции. Впрочем, там половина такого же бреда.Вероятнее всего идею выключить неймспейсы взяли отсюда - https://www.stigviewer.com/stig/red_hat_enterprise_linux_8/2...
If containers are in use, this requirement is not applicable.
> браузеры используют как дополнительный уровеньКакие браузеры? Тут рекомендация скорее всего для серверов и т.п., а не для твоего десктопа
Это чтобы было понятно, как оно используется. На серверах без неймспейсов жизни тем более нет, каждая 2 прога.
Нет, совет в том, чтобы сместить ответственность со случайной прикладной программы и её сомнительных средств изоляции (веб-обозревателя) на администратора системы (компетентное лицо), чтобы избежать запуска программм, с повышенными привилегиями. Тем более, что большая часть машин, подпадающая под рекомендации, - серверные, где обычно нет графического сервера, графических программ и надобности в них.
Это отключаемо в браузерах и программах на их движках (Webkit, Chromium и т.п.)
Причем, вкладки продолжат использовать раздельный DOM и т.п., если предполагалось. По крайней мере, до первой обнаруженной уязвимости. Но в user namespaces также находят уязвимости, это не панацея.
Рекомендации по безопасному использованию ПО развиваемого по большей части сотрудникам корпораций рьяно блюдящих все экспортные технологические ограничения в подсанкционные юрисдикции обладающих по-большей части паспортами недружественных рф государств.
Не надо суда нести свои выдумки. По безопасному использованию любого ПО на основе Linux, если оно не было сертифицировано. Если было - там уже всё из коробки быть должно, и производитель за это должен отвечать.
>Запрет учётных записей пользователей с пустыми паролями.На печатных машинках так проще. Разумеется тут не суперпользователь.
>Отключение входа суперпользователя по SSH (PermitRootLogin=no в /etc/ssh/sshd_config)
Усложнять жизнь админу? Дурость.
>Ограничение доступа к команде su пользователями из группы wheel ("auth required pam_wheel.so use_uid" в /etc/pam.d/su)
Так в том и соль группы wheel, что модно админские команды в sudo без переключения использовать. Просто не надо обычного пользователя вводить в группу wheel.
Админ сетки бог, ему никто не указ.
Если Комп без доступа к сети, типа Live системы без сохранения документов. Включил набил текст, распечатал, то такую "печатную машинку" можно.
Ни один строгий админ не возразит. ;)>Отключение входа суперпользователя по SSH
Это не какое то редкое требование, а вполне обычное.
В отличии, например, от user_namespaces.>>Админ сетки бог, ему никто не указ.
Бог, но нанятый за зарплату, для выполнения конкретных работ, более крутым богом. ;)
Требование отключать доступ по SSH напрямую к root вводит в заблуждение. Нет никакой разницы между тем, получите вы доступ к тачке по SSH через пользователя, у которого само собой есть wheel и он может без пароля просто поменяться в root (или, если вы шиз и зачем-то пускаете людей по ssh на тачки, не давая им возможность настроить что-то от root, тот же самый nginx в /etc, попытаться использовать какой-то свежий эксплоит или иным образом напакастить на машине), или напрямую в root. Единственный смысл от этого только в логе того, кто под каким пользователем и ключом заходил, но такие логи тоже имеют смысл только если они отправляются наружу перед тем, как пустить кого-то на сервер. sshd, если имеет какие-то уязвимости, уже работает из-под root. Плюс sudo вообще не обязателен для нормального функционирования системы, а тут на него (с этой рекомендацией ограничивать доступ к su) делается вся ставка, хотя не понятно зачем.
> Плюс sudo вообще не обязателен для нормального функционирования системы, а тут на него (с этой рекомендацией ограничивать доступ к su) делается вся ставка, хотя не понятно зачем.Вероятно кто свято верит в sudo пытаясь защитить замок другим замком забывая простую истину, чем больше програм тем выше шанс вулнерабилити
https://www.cvedetails.com/vulnerability-list/vendor_id-118/...
>[оверквотинг удален]
> зачем-то пускаете людей по ssh на тачки, не давая им возможность
> настроить что-то от root, тот же самый nginx в /etc, попытаться
> использовать какой-то свежий эксплоит или иным образом напакастить на машине), или
> напрямую в root. Единственный смысл от этого только в логе того,
> кто под каким пользователем и ключом заходил, но такие логи тоже
> имеют смысл только если они отправляются наружу перед тем, как пустить
> кого-то на сервер. sshd, если имеет какие-то уязвимости, уже работает из-под
> root. Плюс sudo вообще не обязателен для нормального функционирования системы, а
> тут на него (с этой рекомендацией ограничивать доступ к su) делается
> вся ставка, хотя не понятно зачем.угадай логин для начала.
>>Отключение входа суперпользователя по SSH
> Это не какое то редкое требование, а вполне обычное.Ну если про
```
PermitRootLogin prohibit-password
PubkeyAuthentication yes
PasswordAuthentication no
```не слышали, то оно конечно...
Я уж не говорю про то, что рулить доступом через SSH сертификаты можно даже для рутов
> можно даже для рутовМожно. Я имел ввиду, что запрет логина под root, встречается часто, и не вызвал удивления. Если уж докапываться, так это пережиток прошлого, появившийся до примегения ssh.
> Я имел ввиду, что запрет логина под root, встречается часто, и не вызвал удивления.У меня запрет рутам заходить как рут - давно вызывает удивление, - это как у страусов, засунул башку в песок и думает что его не видно, а то что заставлять рутов светить пароли в вечо висящий агент, кэширующий ключи - которые при удобном случае могут быть дампнуты - то это до таких специалистов то секюриту доходет сложно
> Если уж докапываться, так это пережиток прошлого
Согласен, но документ то вот довольно свеженький, не студенты небось копи пастили
>агент, кэширующий ключи - которые при удобном случае могут быть дампнутыИспользуйте агента, спрашивающего, можно ли отдать ключ тому то и тому то.
>>агент, кэширующий ключи - которые при удобном случае могут быть дампнуты
> Используйте агента, спрашивающего, можно ли отдать ключ тому то и тому то.Это gpg или ssh которые? Ну так они тоже IV хранят в памяти, и к стати назойливо/принудительное присутствие gpg агента (которое как бы случайно появилось после вскормления мордокнигой) очень напоминает - "мы лучше знаем что вам надо" и не вызывает никакого доверия
почему это не плейбук для ансибла?
дак сделай. Тебе тут никто ничем не обязан.
Видно толковый человек поработал над написанием документа, что выглядит очень и очень странно...
А что странного?
Ему не понравилось, что дырку с libXpm заткнули этими правилами...
init_on_free=1
slub_debug=FZ
page_alloc.shuffle=1vm.mmap_rnd_bits=32
vm.mmap_rnd_compat_bits=16у кого ECC RAM - mce=0
В целом советы полезные, но>Установить корректные права доступа к исполняемым файлам и библиотекам
Так разве не везде на /bin /usr/bin стоит только чтение.
>удаления SUID/SGID-флагов с лишнихКак понять какие лишние?
>mitigations=auto,nosmtОтключаем гипертрединг и прочее, и получаем тормозную систему. Правильно если система тормозит, то тогда уязвимостей не будет. А если вообще не включать, то ни один хакер не доберётся.
Такое чувство будто надёргали случайных советов из linux hardening и готово.
> Так разве не везде на /bin /usr/bin стоит только чтениеОткрой недавнюю тему про libXpm... поймёшь, про что речь.
Я зря xterm удалял?
>Отключаем гипертрединг и прочееУточните что именно прочее? mitigations=auto включает смягчение всех известных уязвимостей в процессоре
>Отключаем гипертредингФСТЭК ни одни такие "умные", разработчики OpenBSD тоже отключили hyper-threading, только у всех. Это демонстрирует их реальный уровень во всей красе.
>Такое чувство будто надёргали случайных советов из linux hardening и готово.
Как хорошо, общаться с таким по настоящему умным и проницательным человеком, как вы. Вы видите эту контору насквозь.
Покупаем 40 ядер 80 потоков Xeon Platinum 8380 за миллион рублей и отключаем у него 40 потоков. Что не смеётесь? Что не поняли да? Это Россия!
Покупаем 40 ядер 80 потоков Xeon Platinum 8380 за много тысяч долларов, ставим на него openbsd и у него отключаются 40 потоков. Что не смеётесь? Что не поняли да? Это США!
И будет ли выигрыш от виртуальных процессоров больше чем накладные расходы на синхронизацию это не очевидно.
В прочем, для профессиональных экспертов с опеннет всё всегда очевидно
> Что не смеётесь?После патчей от Spectre, Meltdown, Retbleed и т.п., гыпертрединг бесполезен.
Самое главное забыли `apt install safe-rm`А вообще советую ещё монтировать хомяк с noexec.
> Отключаем гипертрединг
Ты путаешь потоки и ядра. Лучше б его вообще не изобретали.
> монтировать хомяк с noexec+100500!
> А вообще советую ещё монтировать хомяк с noexec./home, /proc, /sys, /tmp, /var, ... - nodev,noexec,nosuid,rw
/dev - noexec,nosuid,rw
/, /opt, /usr, - nodev,ro
Проверка:
mount |grep -v -E '(noexec|ro),'
Не должно ничего выводить!
А скрипт делающий это всё не выпустили? -__-
Но ведь ты исправишь эту оплошность?)
Все это уже давно применяется в дистрибутивах.
Есть скрипты для проверки!Lynis, ...
Странно, усё так завинченно, а про банальныйproc /proc proc nodev,noexec,nosuid,hidepid=2 0 0
в fstab забыли, пущай типа все юзеры видят все процессы других
https://wiki.debian.org/Hardening#Runtime_hardening с systemd плохо сочетается.
Когда я так делал, у меня еще и sway перестал запускаться.
А мне прикольнуло,как у бздунов прям.D
> с systemd плохо сочетается.Очевидно, что сначала надо от системды избавиться.
> https://wiki.debian.org/Hardening#Runtime_hardening с systemd плохо сочетается.
> Когда я так делал, у меня еще и sway перестал запускаться.Да маковка о которой я хотел сказать - это hidepid=2
который скрывет показ не своих процессов, хотя и этого в линуксе недостаточно, т.к. в /proc по умолчанию доступно почти все на чтение всем
Именно об hidepid=2 и речь. Или ты только в fstab это прописал и думаешь, что у тебя всё работает, как надо? )
> Именно об hidepid=2 и речь. Или ты только в fstab это прописал
> и думаешь, что у тебя всё работает, как надо? )А ты уверен, что до конца прочитал мой предыдущий пост?
> Запретить подключение к другим процессам с помощью ptrace (sysctl -w kernel.yama.ptrace_scope=3).YAMA даст больше защиты процессов.
Хотя hidepid=2 у меня тоже стоит.
Кто забыл, и кому нужен "скрипт" для генерации конфига.
Уже лет 5 как Попов замутил такой:
KSPP:
https://www.kernel.org/doc/html/latest/security/self-protect...
https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Pr...GrSecurity:
https://en.m.wikibooks.org/wiki/Grsecurity/Appendix/Grsecuri...Gentoo:
https://wiki.gentoo.org/wiki/Hardened_Gentoo
https://wiki.gentoo.org/wiki/Project:Hardened
https://wiki.gentoo.org/wiki/Security_Handbook