* Re: [devel] Рекомендации по настройкам системы от ФСТЭК. @ 2023-01-29 19:49 ` Vitaly Chikunov 2023-01-31 0:21 ` Vitaly Chikunov 2023-01-30 9:24 ` Alexey V. Vissarionov 1 sibling, 1 reply; 8+ messages in thread From: Vitaly Chikunov @ 2023-01-29 19:49 UTC (permalink / raw) To: ALT Linux Team development discussions Hi, On Sun, Jan 29, 2023 at 12:58:29PM +0300, Aleksey Novodvorsky wrote: > Коллеги, > предлагаю тем, кому интересно, обсудить этот документ > https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/2590-informatsionnoe-soobshchenie-fstek-rossii-ot-30-dekabrya-2022-g-n-240-22-6933 > > содержательно. 1. "Настоящие Рекомендации подлежат реализации в государственных информационных системах и на объектах критической информационной инфраструктуры Российской Федерации, построенных с использованием операционных систем Linux, несертифицированных по требованиям безопасности информации, до их замены на сертифицированные отечественные операционные системы." То есть не для любой системы, а только для систем требующих наибольших ограничений по безопасности. Значит в универсальную конфигурацию эти изменения добавлять нужно с осторожностью - так как они ограничивают пользовательский функционал, откатывая технологии на годы в прошлое. [2. Часть рекомендация действительно как из девяностых - что видно по упоминанию R-сервисов и SUID.] 3. `iommu=force`, на сколько я знаю, может ухудшить производительность и стабильность системы где нет идеальной совместимости железа с IOMMU. > > > > > Rgrds, Алексей > _______________________________________________ > Devel mailing list > Devel@lists.altlinux.org > https://lists.altlinux.org/mailman/listinfo/devel ^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [devel] Рекомендации по настройкам системы от ФСТЭК. 2023-01-29 19:49 ` [devel] Рекомендации по настройкам системы от ФСТЭК Vitaly Chikunov @ 2023-01-31 0:21 ` Vitaly Chikunov 2023-01-31 3:34 ` Leonid Krivoshein 0 siblings, 1 reply; 8+ messages in thread From: Vitaly Chikunov @ 2023-01-31 0:21 UTC (permalink / raw) To: ALT Linux Team development discussions On Sun, Jan 29, 2023 at 10:49:12PM +0300, Vitaly Chikunov wrote: > Hi, > > On Sun, Jan 29, 2023 at 12:58:29PM +0300, Aleksey Novodvorsky wrote: > > Коллеги, > > предлагаю тем, кому интересно, обсудить этот документ > > https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/2590-informatsionnoe-soobshchenie-fstek-rossii-ot-30-dekabrya-2022-g-n-240-22-6933 > > > > содержательно. > > 1. > "Настоящие Рекомендации подлежат реализации в государственных > информационных системах и на объектах критической информационной > инфраструктуры Российской Федерации, построенных с использованием > операционных систем Linux, несертифицированных по требованиям > безопасности информации, до их замены на сертифицированные > отечественные операционные системы." > > То есть не для любой системы, а только для систем требующих наибольших > ограничений по безопасности. Значит в универсальную конфигурацию эти > изменения добавлять нужно с осторожностью - так как они ограничивают > пользовательский функционал, откатывая технологии на годы в прошлое. > > [2. Часть рекомендация действительно как из девяностых - что видно по > упоминанию R-сервисов и SUID.] > > 3. `iommu=force`, на сколько я знаю, может ухудшить производительность и > стабильность системы где нет идеальной совместимости железа с IOMMU. Я нашел чем, возможно, частично вдохновлялись (в отношении опций ядра / sysctl): https://madaidans-insecurities.github.io/guides/linux-hardening.html Только в оригинале гораздо больше рекомендаций и объяснений зачем они делаются. > > > > > > > > > > > > Rgrds, Алексей > > > _______________________________________________ > > Devel mailing list > > Devel@lists.altlinux.org > > https://lists.altlinux.org/mailman/listinfo/devel > > _______________________________________________ > Devel mailing list > Devel@lists.altlinux.org > https://lists.altlinux.org/mailman/listinfo/devel ^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [devel] Рекомендации по настройкам системы от ФСТЭК. 2023-01-31 0:21 ` Vitaly Chikunov @ 2023-01-31 3:34 ` Leonid Krivoshein 0 siblings, 0 replies; 8+ messages in thread From: Leonid Krivoshein @ 2023-01-31 3:34 UTC (permalink / raw) To: devel On 1/31/23 03:21, Vitaly Chikunov wrote: > Я нашел чем, возможно, частично вдохновлялись (в отношении опций > ядра / sysctl): > > https://madaidans-insecurities.github.io/guides/linux-hardening.html > > Только в оригинале гораздо больше рекомендаций и объяснений зачем они > делаются. Первоисточник или нет (хотя скорее да), на мой взгляд он представляет безусловно полезную подборку рекомендаций. В своё время таких hardening handbook прочитал ни один по разным дистрибутивам. Допустим, пять авторитетных специалистов по безопасности из этой рассылки скажут, что хорошо бы внедрить это в продукты. Но ведь продукты ориентированы не только на госы и объекты КИИ, это укрепление нужно далеко не всем. Так что, видимо, речь об опакечивании, а не работе "из коробки" (применительно к большинству рекомендаций, исключая ключи сборки). Как вариант, речь о документировании процесса укрепления, чтобы просто давать ссылку. Нас уже спрашивали о таком однажды и показали аналогичный документ от другого отечественного вендора Linux. -- WBR, Leonid Krivoshein. ^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [devel] Рекомендации по настройкам системы от ФСТЭК. 2023-01-29 19:49 ` [devel] Рекомендации по настройкам системы от ФСТЭК Vitaly Chikunov @ 2023-01-30 9:24 ` Alexey V. Vissarionov 2023-01-30 22:25 ` Paul Wolneykien 1 sibling, 1 reply; 8+ messages in thread From: Alexey V. Vissarionov @ 2023-01-30 9:24 UTC (permalink / raw) To: ALT Linux Team development discussions; +Cc: gremlin On 2023-01-29 12:58:29 +0300, Aleksey Novodvorsky wrote: > Коллеги, предлагаю тем, кому интересно, обсудить этот документ > https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/2590-informatsionnoe-soobshchenie-fstek-rossii-ot-30-dekabrya-2022-g-n-240-22-6933 Рекомендация про /etc/shadow просто умилила... неужели где-то до сих пор нет tcb? PermitRootLogin можно выставить и в prohibit-password, а вот PasswordAuthentication следует отключать безусловно. И если уж дошли руки до sshd_config - следует отключить и все ненадежные криптоалгоритмы. На su, sudo и прочие исполняемые файлы с SUID нужны права 4710. То есть, чтобы выполнить что-то с рутовыми правами через sudo, пользователю нужно состоять в группах sudoers (чтобы запустить sudo) и wheel (или что там написано в /etc/sudoers). Про то, что без SUID можно обойтись (и нужно к этому стремиться), я вообще боюсь писать, чтобы случайно не разрушить кому-нибудь красивую картинку мира розовых поней циничным предложением использовать, например, ssh root@::1 Про то, что директории были у Наполеона и Петлюры (и для обоих это ничем хорошим не закончилось), а в файловой системе бывают каталоги, авторы этого текста, похоже, даже не подозревают, ну да и пусть с ними. Упоминание history-файлов в подобных рекомендациях допустимо только в связке с глаголом "отключить". На пользовательских десктопах, понятное дело, их использование всем пофигу, но на серверах (а особенно на серверах КИИ) это серьезная причина увести админа за сарай. Права доступа к $HOME в норме действительно должны быть 700, но это не догма - в определенных случаях вполне адекватными будут права 750 или даже 701. Удивило, что нет рекомендации sysctl kernel.modules_disabled=1 как минимум для серверов (к которым в процессе работы никакое дополнительное оборудование подключаться не должно). Ну и общее впечатление от текста ээээ... сказать, что сыроват - сильно польстить авторам. Впрочем, http://pics.rsh.ru/img/pervyi_blin_d19bg78k.jpg -- Alexey V. Vissarionov gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net ^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [devel] Рекомендации по настройкам системы от ФСТЭК. 2023-01-30 9:24 ` Alexey V. Vissarionov @ 2023-01-30 22:25 ` Paul Wolneykien 2023-01-30 22:30 ` Alexey V. Vissarionov 0 siblings, 1 reply; 8+ messages in thread From: Paul Wolneykien @ 2023-01-30 22:25 UTC (permalink / raw) To: devel В Mon, 30 Jan 2023 12:24:37 +0300 "Alexey V. Vissarionov" <gremlin@altlinux.org> пишет: > а в файловой системе бывают > каталоги, авторы этого текста, похоже, даже не подозревают, Поясните, пожалуйста (про ФС. Про Наполеона я как нибудь сам. ;) ). ^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [devel] Рекомендации по настройкам системы от ФСТЭК. 2023-01-30 22:25 ` Paul Wolneykien @ 2023-01-30 22:30 ` Alexey V. Vissarionov 2023-01-30 22:42 ` Paul Wolneykien 2023-01-31 2:59 ` Ruslandh 0 siblings, 2 replies; 8+ messages in thread From: Alexey V. Vissarionov @ 2023-01-30 22:30 UTC (permalink / raw) To: ALT Linux Team development discussions On 2023-01-31 01:25:54 +0300, Paul Wolneykien wrote: >> а в файловой системе бывают каталоги > Поясните, пожалуйста (про ФС. Про Наполеона я как нибудь > сам. ;) ). Английский термин "directory" применительно к объекту ФС следует переводить соответствующим ему русским термином "каталог", а уж называть эти объекты по-русски - тем более. -- Alexey V. Vissarionov gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net ^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [devel] Рекомендации по настройкам системы от ФСТЭК. 2023-01-30 22:30 ` Alexey V. Vissarionov @ 2023-01-30 22:42 ` Paul Wolneykien 2023-01-31 2:59 ` Ruslandh 1 sibling, 0 replies; 8+ messages in thread From: Paul Wolneykien @ 2023-01-30 22:42 UTC (permalink / raw) To: devel В Tue, 31 Jan 2023 01:30:49 +0300 "Alexey V. Vissarionov" <gremlin@altlinux.org> пишет: > On 2023-01-31 01:25:54 +0300, Paul Wolneykien wrote: > > >> а в файловой системе бывают каталоги > > Поясните, пожалуйста (про ФС. Про Наполеона я как нибудь > > сам. ;) ). > > Английский термин "directory" применительно к объекту ФС следует > переводить соответствующим ему русским термином "каталог", а уж > называть эти объекты по-русски - тем более. Смысл я уловил. Но кто это сказал? Мне кажется, я довольно много раз встречал слова "директория", "путь до директории" и т.п. в книжках, в общем-то неплохих и грамотных по содержанию. Замечу ещё, что слово "файл" тоже можно было бы переводить на русский, но никто в здравом уме этого не делает. ^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [devel] Рекомендации по настройкам системы от ФСТЭК. 2023-01-30 22:30 ` Alexey V. Vissarionov 2023-01-30 22:42 ` Paul Wolneykien @ 2023-01-31 2:59 ` Ruslandh 1 sibling, 0 replies; 8+ messages in thread From: Ruslandh @ 2023-01-31 2:59 UTC (permalink / raw) To: devel [-- Attachment #1.1.1: Type: text/plain, Size: 2520 bytes --] 31.01.2023 01:30, Alexey V. Vissarionov пишет: > Английский термин "directory" применительно к объекту ФС следует > переводить соответствующим ему русским термином "каталог", а уж > называть эти объекты по-русски - тем более. Вот только не надо обеднять русский язык. Термин директория , как синоним каталога давно вошел в русский язык. И здесь уже назад не отмотаешь. https://kartaslov.ru/значение-слова/директория "1. комп. то же, что каталог; структура файловой системы, содержащая файлы и другие каталоги ◆ На пользовательском уровне должен проводиться мониторинг типов используемых привилегий, времени и продолжительности сессий пользователя, доступа к объектам (файлам, директориям и т.д.) А. А. Воробьев, А. В. Непомнящих, «Адаптивное управление защищенностью информации в автоматизированных системах», 2003 г. // «Информационные технологии» (цитата из НКРЯ) ◆ У него он валялся крошечным файлом в забытой директории, а я заставил эти страницы ожить. Евгений Прошкин, «Механика вечности», 2001 г. (цитата из НКРЯ) ◆ ― А вы директорию смените, ― сказал Саша, ― вы же в корневой директории. Виктор Пелевин, «Принц Госплана», 1991 г. (цитата из НКРЯ) Фразеологизмы и устойчивые сочетания корневая директория" Конечно это слово калька с английского, но таких слов с различных языков в русском языке множество. правда в раньше они были с греческого и французского, а в 20-21 веке с английского. [-- Attachment #1.1.2: OpenPGP public key --] [-- Type: application/pgp-keys, Size: 657 bytes --] [-- Attachment #2: OpenPGP digital signature --] [-- Type: application/pgp-signature, Size: 236 bytes --] ^ permalink raw reply [flat|nested] 8+ messages in thread
end of thread, other threads:[~2023-01-31 3:34 UTC | newest] Thread overview: 8+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2023-01-29 19:49 ` [devel] Рекомендации по настройкам системы от ФСТЭК Vitaly Chikunov 2023-01-31 0:21 ` Vitaly Chikunov 2023-01-31 3:34 ` Leonid Krivoshein 2023-01-30 9:24 ` Alexey V. Vissarionov 2023-01-30 22:25 ` Paul Wolneykien 2023-01-30 22:30 ` Alexey V. Vissarionov 2023-01-30 22:42 ` Paul Wolneykien 2023-01-31 2:59 ` Ruslandh
ALT Linux Team development discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \ devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru public-inbox-index devel Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.devel AGPL code for this site: git clone https://public-inbox.org/public-inbox.git
