From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <vt@altlinux.org>
Date: Tue, 31 Jan 2023 03:21:32 +0300
From: Vitaly Chikunov <vt@altlinux.org>
To: ALT Linux Team development discussions <devel@lists.altlinux.org>
Message-ID: <20230131002132.xedtp3r5i3nmdey5@altlinux.org>
References: <CAGvFrt2kJKg1BnWxi12gTpe9wtx3ho6H_KSvydS1s6ehS+q75Q@mail.gmail.com>
 <20230129194912.xknlmwarmt2zqsw6@altlinux.org>
MIME-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
In-Reply-To: <20230129194912.xknlmwarmt2zqsw6@altlinux.org>
Subject: Re: [devel]
 =?koi8-r?b?8sXLz83FzsTBw8nJINDPIM7B09TSz8rLwc0g08nT1MXN?=
 =?koi8-r?b?2SDP1CDm8/T86y4=?=
X-BeenThere: devel@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ALT Linux Team development discussions <devel@lists.altlinux.org>
List-Id: ALT Linux Team development discussions <devel.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/devel>,
 <mailto:devel-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/devel>
List-Post: <mailto:devel@lists.altlinux.org>
List-Help: <mailto:devel-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/devel>,
 <mailto:devel-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Tue, 31 Jan 2023 00:21:33 -0000
Archived-At: <http://lore.altlinux.org/devel/20230131002132.xedtp3r5i3nmdey5@altlinux.org/>
List-Archive: <http://lore.altlinux.org/devel/>
List-Post: <mailto:devel@altlinux.org>

On Sun, Jan 29, 2023 at 10:49:12PM +0300, Vitaly Chikunov wrote:
> Hi,
> 
> On Sun, Jan 29, 2023 at 12:58:29PM +0300, Aleksey Novodvorsky wrote:
> > Коллеги,
> > предлагаю тем, кому интересно, обсудить этот документ
> > https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/2590-informatsionnoe-soobshchenie-fstek-rossii-ot-30-dekabrya-2022-g-n-240-22-6933
> > 
> > содержательно.
> 
> 1.
>   "Настоящие Рекомендации подлежат реализации в государственных
>   информационных системах и на объектах критической информационной
>   инфраструктуры Российской Федерации, построенных с использованием
>   операционных систем Linux, несертифицированных по требованиям
>   безопасности информации, до их замены на сертифицированные
>   отечественные операционные системы."
> 
> То есть не для любой системы, а только для систем требующих наибольших
> ограничений по безопасности. Значит в универсальную конфигурацию эти
> изменения добавлять нужно с осторожностью - так как они ограничивают
> пользовательский функционал, откатывая технологии на годы в прошлое.
> 
> [2. Часть рекомендация действительно как из девяностых - что видно по
> упоминанию R-сервисов и SUID.]
> 
> 3. `iommu=force`, на сколько я знаю, может ухудшить производительность и
> стабильность системы где нет идеальной совместимости железа с IOMMU.

Я нашел чем, возможно, частично вдохновлялись (в отношении опций
ядра / sysctl):

  https://madaidans-insecurities.github.io/guides/linux-hardening.html

Только в оригинале гораздо больше рекомендаций и объяснений зачем они
делаются.

> 
> 
> > 
> > 
> > 
> > 
> > Rgrds, Алексей
> 
> > _______________________________________________
> > Devel mailing list
> > Devel@lists.altlinux.org
> > https://lists.altlinux.org/mailman/listinfo/devel
> 
> _______________________________________________
> Devel mailing list
> Devel@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/devel