From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <gremlin@basealt.ru>
X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28) on
 sa.local.altlinux.org
X-Spam-Level: 
X-Spam-Status: No, score=-4.3 required=5.0 tests=ALL_TRUSTED,BAYES_00,
 HEADER_FROM_DIFFERENT_DOMAINS,RP_MATCHES_RCVD autolearn=unavailable
 autolearn_force=no version=3.4.1
Date: Mon, 30 Jan 2023 12:24:37 +0300
From: "Alexey V. Vissarionov" <gremlin@altlinux.org>
To: ALT Linux Team development discussions <devel@lists.altlinux.org>
Message-ID: <20230130092437.GA29137@altlinux.org>
References: <CAGvFrt2kJKg1BnWxi12gTpe9wtx3ho6H_KSvydS1s6ehS+q75Q@mail.gmail.com>
MIME-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
In-Reply-To: <CAGvFrt2kJKg1BnWxi12gTpe9wtx3ho6H_KSvydS1s6ehS+q75Q@mail.gmail.com>
Cc: gremlin@altlinux.org
Subject: Re: [devel]
 =?koi8-r?b?8sXLz83FzsTBw8nJINDPIM7B09TSz8rLwc0g08nT1MXN?=
 =?koi8-r?b?2SDP1CDm8/T86y4=?=
X-BeenThere: devel@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ALT Linux Team development discussions <devel@lists.altlinux.org>
List-Id: ALT Linux Team development discussions <devel.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/devel>,
 <mailto:devel-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/devel>
List-Post: <mailto:devel@lists.altlinux.org>
List-Help: <mailto:devel-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/devel>,
 <mailto:devel-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Mon, 30 Jan 2023 09:24:41 -0000
Archived-At: <http://lore.altlinux.org/devel/20230130092437.GA29137@altlinux.org/>
List-Archive: <http://lore.altlinux.org/devel/>
List-Post: <mailto:devel@altlinux.org>

On 2023-01-29 12:58:29 +0300, Aleksey Novodvorsky wrote:

 > Коллеги, предлагаю тем, кому интересно, обсудить этот документ
 > https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/2590-informatsionnoe-soobshchenie-fstek-rossii-ot-30-dekabrya-2022-g-n-240-22-6933

Рекомендация про /etc/shadow просто умилила... неужели где-то
до сих пор нет tcb?

PermitRootLogin можно выставить и в prohibit-password, а вот
PasswordAuthentication следует отключать безусловно. И если уж
дошли руки до sshd_config - следует отключить и все ненадежные
криптоалгоритмы.

На su, sudo и прочие исполняемые файлы с SUID нужны права 4710.
То есть, чтобы выполнить что-то с рутовыми правами через sudo,
пользователю нужно состоять в группах sudoers (чтобы запустить
sudo) и wheel (или что там написано в /etc/sudoers). Про то, что
без SUID можно обойтись (и нужно к этому стремиться), я вообще
боюсь писать, чтобы случайно не разрушить кому-нибудь красивую
картинку мира розовых поней циничным предложением использовать,
например, ssh root@::1

Про то, что директории были у Наполеона и Петлюры (и для обоих
это ничем хорошим не закончилось), а в файловой системе бывают
каталоги, авторы этого текста, похоже, даже не подозревают, ну
да и пусть с ними.

Упоминание history-файлов в подобных рекомендациях допустимо
только в связке с глаголом "отключить". На пользовательских
десктопах, понятное дело, их использование всем пофигу, но на
серверах (а особенно на серверах КИИ) это серьезная причина
увести админа за сарай.

Права доступа к $HOME в норме действительно должны быть 700,
но это не догма - в определенных случаях вполне адекватными
будут права 750 или даже 701.

Удивило, что нет рекомендации sysctl kernel.modules_disabled=1
как минимум для серверов (к которым в процессе работы никакое
дополнительное оборудование подключаться не должно).

Ну и общее впечатление от текста ээээ... сказать, что сыроват -
сильно польстить авторам.

Впрочем, http://pics.rsh.ru/img/pervyi_blin_d19bg78k.jpg


-- 
Alexey V. Vissarionov
gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii
GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net