* Re: [devel] Рекомендации по настройкам системы от ФСТЭК.
@ 2023-01-29 19:49 ` Vitaly Chikunov
2023-01-31 0:21 ` Vitaly Chikunov
2023-01-30 9:24 ` Alexey V. Vissarionov
1 sibling, 1 reply; 8+ messages in thread
From: Vitaly Chikunov @ 2023-01-29 19:49 UTC (permalink / raw)
To: ALT Linux Team development discussions
Hi,
On Sun, Jan 29, 2023 at 12:58:29PM +0300, Aleksey Novodvorsky wrote:
> Коллеги,
> предлагаю тем, кому интересно, обсудить этот документ
> https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/2590-informatsionnoe-soobshchenie-fstek-rossii-ot-30-dekabrya-2022-g-n-240-22-6933
>
> содержательно.
1.
"Настоящие Рекомендации подлежат реализации в государственных
информационных системах и на объектах критической информационной
инфраструктуры Российской Федерации, построенных с использованием
операционных систем Linux, несертифицированных по требованиям
безопасности информации, до их замены на сертифицированные
отечественные операционные системы."
То есть не для любой системы, а только для систем требующих наибольших
ограничений по безопасности. Значит в универсальную конфигурацию эти
изменения добавлять нужно с осторожностью - так как они ограничивают
пользовательский функционал, откатывая технологии на годы в прошлое.
[2. Часть рекомендация действительно как из девяностых - что видно по
упоминанию R-сервисов и SUID.]
3. `iommu=force`, на сколько я знаю, может ухудшить производительность и
стабильность системы где нет идеальной совместимости железа с IOMMU.
>
>
>
>
> Rgrds, Алексей
> _______________________________________________
> Devel mailing list
> Devel@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/devel
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [devel] Рекомендации по настройкам системы от ФСТЭК.
2023-01-29 19:49 ` [devel] Рекомендации по настройкам системы от ФСТЭК Vitaly Chikunov
@ 2023-01-30 9:24 ` Alexey V. Vissarionov
2023-01-30 22:25 ` Paul Wolneykien
1 sibling, 1 reply; 8+ messages in thread
From: Alexey V. Vissarionov @ 2023-01-30 9:24 UTC (permalink / raw)
To: ALT Linux Team development discussions; +Cc: gremlin
On 2023-01-29 12:58:29 +0300, Aleksey Novodvorsky wrote:
> Коллеги, предлагаю тем, кому интересно, обсудить этот документ
> https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/2590-informatsionnoe-soobshchenie-fstek-rossii-ot-30-dekabrya-2022-g-n-240-22-6933
Рекомендация про /etc/shadow просто умилила... неужели где-то
до сих пор нет tcb?
PermitRootLogin можно выставить и в prohibit-password, а вот
PasswordAuthentication следует отключать безусловно. И если уж
дошли руки до sshd_config - следует отключить и все ненадежные
криптоалгоритмы.
На su, sudo и прочие исполняемые файлы с SUID нужны права 4710.
То есть, чтобы выполнить что-то с рутовыми правами через sudo,
пользователю нужно состоять в группах sudoers (чтобы запустить
sudo) и wheel (или что там написано в /etc/sudoers). Про то, что
без SUID можно обойтись (и нужно к этому стремиться), я вообще
боюсь писать, чтобы случайно не разрушить кому-нибудь красивую
картинку мира розовых поней циничным предложением использовать,
например, ssh root@::1
Про то, что директории были у Наполеона и Петлюры (и для обоих
это ничем хорошим не закончилось), а в файловой системе бывают
каталоги, авторы этого текста, похоже, даже не подозревают, ну
да и пусть с ними.
Упоминание history-файлов в подобных рекомендациях допустимо
только в связке с глаголом "отключить". На пользовательских
десктопах, понятное дело, их использование всем пофигу, но на
серверах (а особенно на серверах КИИ) это серьезная причина
увести админа за сарай.
Права доступа к $HOME в норме действительно должны быть 700,
но это не догма - в определенных случаях вполне адекватными
будут права 750 или даже 701.
Удивило, что нет рекомендации sysctl kernel.modules_disabled=1
как минимум для серверов (к которым в процессе работы никакое
дополнительное оборудование подключаться не должно).
Ну и общее впечатление от текста ээээ... сказать, что сыроват -
сильно польстить авторам.
Впрочем, http://pics.rsh.ru/img/pervyi_blin_d19bg78k.jpg
--
Alexey V. Vissarionov
gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii
GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [devel] Рекомендации по настройкам системы от ФСТЭК.
2023-01-30 9:24 ` Alexey V. Vissarionov
@ 2023-01-30 22:25 ` Paul Wolneykien
2023-01-30 22:30 ` Alexey V. Vissarionov
0 siblings, 1 reply; 8+ messages in thread
From: Paul Wolneykien @ 2023-01-30 22:25 UTC (permalink / raw)
To: devel
В Mon, 30 Jan 2023 12:24:37 +0300
"Alexey V. Vissarionov" <gremlin@altlinux.org> пишет:
> а в файловой системе бывают
> каталоги, авторы этого текста, похоже, даже не подозревают,
Поясните, пожалуйста (про ФС. Про Наполеона я как нибудь сам. ;) ).
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [devel] Рекомендации по настройкам системы от ФСТЭК.
2023-01-30 22:25 ` Paul Wolneykien
@ 2023-01-30 22:30 ` Alexey V. Vissarionov
2023-01-30 22:42 ` Paul Wolneykien
2023-01-31 2:59 ` Ruslandh
0 siblings, 2 replies; 8+ messages in thread
From: Alexey V. Vissarionov @ 2023-01-30 22:30 UTC (permalink / raw)
To: ALT Linux Team development discussions
On 2023-01-31 01:25:54 +0300, Paul Wolneykien wrote:
>> а в файловой системе бывают каталоги
> Поясните, пожалуйста (про ФС. Про Наполеона я как нибудь
> сам. ;) ).
Английский термин "directory" применительно к объекту ФС следует
переводить соответствующим ему русским термином "каталог", а уж
называть эти объекты по-русски - тем более.
--
Alexey V. Vissarionov
gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii
GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [devel] Рекомендации по настройкам системы от ФСТЭК.
2023-01-30 22:30 ` Alexey V. Vissarionov
@ 2023-01-30 22:42 ` Paul Wolneykien
2023-01-31 2:59 ` Ruslandh
1 sibling, 0 replies; 8+ messages in thread
From: Paul Wolneykien @ 2023-01-30 22:42 UTC (permalink / raw)
To: devel
В Tue, 31 Jan 2023 01:30:49 +0300
"Alexey V. Vissarionov" <gremlin@altlinux.org> пишет:
> On 2023-01-31 01:25:54 +0300, Paul Wolneykien wrote:
>
> >> а в файловой системе бывают каталоги
> > Поясните, пожалуйста (про ФС. Про Наполеона я как нибудь
> > сам. ;) ).
>
> Английский термин "directory" применительно к объекту ФС следует
> переводить соответствующим ему русским термином "каталог", а уж
> называть эти объекты по-русски - тем более.
Смысл я уловил. Но кто это сказал? Мне кажется, я довольно много раз
встречал слова "директория", "путь до директории" и т.п. в книжках, в
общем-то неплохих и грамотных по содержанию. Замечу ещё, что слово
"файл" тоже можно было бы переводить на русский, но никто в здравом уме
этого не делает.
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [devel] Рекомендации по настройкам системы от ФСТЭК.
2023-01-29 19:49 ` [devel] Рекомендации по настройкам системы от ФСТЭК Vitaly Chikunov
@ 2023-01-31 0:21 ` Vitaly Chikunov
2023-01-31 3:34 ` Leonid Krivoshein
0 siblings, 1 reply; 8+ messages in thread
From: Vitaly Chikunov @ 2023-01-31 0:21 UTC (permalink / raw)
To: ALT Linux Team development discussions
On Sun, Jan 29, 2023 at 10:49:12PM +0300, Vitaly Chikunov wrote:
> Hi,
>
> On Sun, Jan 29, 2023 at 12:58:29PM +0300, Aleksey Novodvorsky wrote:
> > Коллеги,
> > предлагаю тем, кому интересно, обсудить этот документ
> > https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/2590-informatsionnoe-soobshchenie-fstek-rossii-ot-30-dekabrya-2022-g-n-240-22-6933
> >
> > содержательно.
>
> 1.
> "Настоящие Рекомендации подлежат реализации в государственных
> информационных системах и на объектах критической информационной
> инфраструктуры Российской Федерации, построенных с использованием
> операционных систем Linux, несертифицированных по требованиям
> безопасности информации, до их замены на сертифицированные
> отечественные операционные системы."
>
> То есть не для любой системы, а только для систем требующих наибольших
> ограничений по безопасности. Значит в универсальную конфигурацию эти
> изменения добавлять нужно с осторожностью - так как они ограничивают
> пользовательский функционал, откатывая технологии на годы в прошлое.
>
> [2. Часть рекомендация действительно как из девяностых - что видно по
> упоминанию R-сервисов и SUID.]
>
> 3. `iommu=force`, на сколько я знаю, может ухудшить производительность и
> стабильность системы где нет идеальной совместимости железа с IOMMU.
Я нашел чем, возможно, частично вдохновлялись (в отношении опций
ядра / sysctl):
https://madaidans-insecurities.github.io/guides/linux-hardening.html
Только в оригинале гораздо больше рекомендаций и объяснений зачем они
делаются.
>
>
> >
> >
> >
> >
> > Rgrds, Алексей
>
> > _______________________________________________
> > Devel mailing list
> > Devel@lists.altlinux.org
> > https://lists.altlinux.org/mailman/listinfo/devel
>
> _______________________________________________
> Devel mailing list
> Devel@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/devel
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [devel] Рекомендации по настройкам системы от ФСТЭК.
2023-01-30 22:30 ` Alexey V. Vissarionov
2023-01-30 22:42 ` Paul Wolneykien
@ 2023-01-31 2:59 ` Ruslandh
1 sibling, 0 replies; 8+ messages in thread
From: Ruslandh @ 2023-01-31 2:59 UTC (permalink / raw)
To: devel
[-- Attachment #1.1.1: Type: text/plain, Size: 2520 bytes --]
31.01.2023 01:30, Alexey V. Vissarionov пишет:
> Английский термин "directory" применительно к объекту ФС следует
> переводить соответствующим ему русским термином "каталог", а уж
> называть эти объекты по-русски - тем более.
Вот только не надо обеднять русский язык. Термин директория , как
синоним каталога давно вошел в русский язык. И здесь уже назад не
отмотаешь.
https://kartaslov.ru/значение-слова/директория
"1. комп. то же, что каталог; структура файловой системы, содержащая
файлы и другие каталоги ◆ На пользовательском уровне должен проводиться
мониторинг типов используемых привилегий, времени и продолжительности
сессий пользователя, доступа к объектам (файлам, директориям и т.д.) А.
А. Воробьев, А. В. Непомнящих, «Адаптивное управление защищенностью
информации в автоматизированных системах», 2003 г. // «Информационные
технологии» (цитата из НКРЯ) ◆ У него он валялся крошечным файлом в
забытой директории, а я заставил эти страницы ожить. Евгений Прошкин,
«Механика вечности», 2001 г. (цитата из НКРЯ) ◆ ― А вы директорию
смените, ― сказал Саша, ― вы же в корневой директории. Виктор Пелевин,
«Принц Госплана», 1991 г. (цитата из НКРЯ)
Фразеологизмы и устойчивые сочетания
корневая директория"
Конечно это слово калька с английского, но таких слов с различных языков
в русском языке множество. правда в раньше они были с греческого и
французского, а в 20-21 веке с английского.
[-- Attachment #1.1.2: OpenPGP public key --]
[-- Type: application/pgp-keys, Size: 657 bytes --]
[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 236 bytes --]
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [devel] Рекомендации по настройкам системы от ФСТЭК.
2023-01-31 0:21 ` Vitaly Chikunov
@ 2023-01-31 3:34 ` Leonid Krivoshein
0 siblings, 0 replies; 8+ messages in thread
From: Leonid Krivoshein @ 2023-01-31 3:34 UTC (permalink / raw)
To: devel
On 1/31/23 03:21, Vitaly Chikunov wrote:
> Я нашел чем, возможно, частично вдохновлялись (в отношении опций
> ядра / sysctl):
>
> https://madaidans-insecurities.github.io/guides/linux-hardening.html
>
> Только в оригинале гораздо больше рекомендаций и объяснений зачем они
> делаются.
Первоисточник или нет (хотя скорее да), на мой взгляд он представляет
безусловно полезную подборку рекомендаций. В своё время таких hardening
handbook прочитал ни один по разным дистрибутивам.
Допустим, пять авторитетных специалистов по безопасности из этой
рассылки скажут, что хорошо бы внедрить это в продукты. Но ведь продукты
ориентированы не только на госы и объекты КИИ, это укрепление нужно
далеко не всем. Так что, видимо, речь об опакечивании, а не работе "из
коробки" (применительно к большинству рекомендаций, исключая ключи
сборки). Как вариант, речь о документировании процесса укрепления, чтобы
просто давать ссылку. Нас уже спрашивали о таком однажды и показали
аналогичный документ от другого отечественного вендора Linux.
--
WBR, Leonid Krivoshein.
^ permalink raw reply [flat|nested] 8+ messages in thread
end of thread, other threads:[~2023-01-31 3:34 UTC | newest]
Thread overview: 8+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2023-01-29 19:49 ` [devel] Рекомендации по настройкам системы от ФСТЭК Vitaly Chikunov
2023-01-31 0:21 ` Vitaly Chikunov
2023-01-31 3:34 ` Leonid Krivoshein
2023-01-30 9:24 ` Alexey V. Vissarionov
2023-01-30 22:25 ` Paul Wolneykien
2023-01-30 22:30 ` Alexey V. Vissarionov
2023-01-30 22:42 ` Paul Wolneykien
2023-01-31 2:59 ` Ruslandh
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git