From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28) on sa.local.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-4.3 required=5.0 tests=ALL_TRUSTED,BAYES_00, HEADER_FROM_DIFFERENT_DOMAINS,RP_MATCHES_RCVD autolearn=unavailable autolearn_force=no version=3.4.1 Date: Mon, 30 Jan 2023 12:24:37 +0300 From: "Alexey V. Vissarionov" To: ALT Linux Team development discussions Message-ID: <20230130092437.GA29137@altlinux.org> References: MIME-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit In-Reply-To: Cc: gremlin@altlinux.org Subject: Re: [devel] =?koi8-r?b?8sXLz83FzsTBw8nJINDPIM7B09TSz8rLwc0g08nT1MXN?= =?koi8-r?b?2SDP1CDm8/T86y4=?= X-BeenThere: devel@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux Team development discussions List-Id: ALT Linux Team development discussions List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Mon, 30 Jan 2023 09:24:41 -0000 Archived-At: List-Archive: List-Post: On 2023-01-29 12:58:29 +0300, Aleksey Novodvorsky wrote: > Коллеги, предлагаю тем, кому интересно, обсудить этот документ > https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/2590-informatsionnoe-soobshchenie-fstek-rossii-ot-30-dekabrya-2022-g-n-240-22-6933 Рекомендация про /etc/shadow просто умилила... неужели где-то до сих пор нет tcb? PermitRootLogin можно выставить и в prohibit-password, а вот PasswordAuthentication следует отключать безусловно. И если уж дошли руки до sshd_config - следует отключить и все ненадежные криптоалгоритмы. На su, sudo и прочие исполняемые файлы с SUID нужны права 4710. То есть, чтобы выполнить что-то с рутовыми правами через sudo, пользователю нужно состоять в группах sudoers (чтобы запустить sudo) и wheel (или что там написано в /etc/sudoers). Про то, что без SUID можно обойтись (и нужно к этому стремиться), я вообще боюсь писать, чтобы случайно не разрушить кому-нибудь красивую картинку мира розовых поней циничным предложением использовать, например, ssh root@::1 Про то, что директории были у Наполеона и Петлюры (и для обоих это ничем хорошим не закончилось), а в файловой системе бывают каталоги, авторы этого текста, похоже, даже не подозревают, ну да и пусть с ними. Упоминание history-файлов в подобных рекомендациях допустимо только в связке с глаголом "отключить". На пользовательских десктопах, понятное дело, их использование всем пофигу, но на серверах (а особенно на серверах КИИ) это серьезная причина увести админа за сарай. Права доступа к $HOME в норме действительно должны быть 700, но это не догма - в определенных случаях вполне адекватными будут права 750 или даже 701. Удивило, что нет рекомендации sysctl kernel.modules_disabled=1 как минимум для серверов (к которым в процессе работы никакое дополнительное оборудование подключаться не должно). Ну и общее впечатление от текста ээээ... сказать, что сыроват - сильно польстить авторам. Впрочем, http://pics.rsh.ru/img/pervyi_blin_d19bg78k.jpg -- Alexey V. Vissarionov gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net