The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной настройки Linux"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной настройки Linux"  +/
Сообщение от opennews (ok), 24-Янв-23, 11:56 
Федеральная служба по техническому и экспортному контролю РФ разработала и утвердила методические рекомендации (PDF, 7 стр.) по повышению защищённости  систем на базе ядра Linux. Рекомендации подлежат реализации в государственных информационных системах и на объектах критической информационной инфраструктуры РФ, построенных с использованием Linux, несертифицированных по требованиям безопасности информации...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=58533

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от pavlinux (ok), 24-Янв-23, 11:56 
PS Некоторые опции ядра требуют включения отладочных функций,
что может только усугубить безопасность (BPF/eBPF)
Ответить | Правка | Наверх | Cообщить модератору

13. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  –1 +/
Сообщение от ФСТЭК (?), 24-Янв-23, 12:11 
Безопасность кого надо безопасность!
Ответить | Правка | Наверх | Cообщить модератору

55. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +4 +/
Сообщение от Аноним (55), 24-Янв-23, 13:26 
eBPF - это не отладочные функции. И они как раз для rootа доступны. Но если у вас есть рут, то зачем вам систему ломать, вы и так её хозяин.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

98. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +6 +/
Сообщение от pavlinux (ok), 24-Янв-23, 14:51 
> eBPF - это не отладочные функции.

https://www.opennet.me/opennews/art.shtml?num=54932

> зачем вам систему ломать, вы и так её хозяин.

Рут в виртуалке - не хозяин системы.

Ответить | Правка | Наверх | Cообщить модератору

160. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  –7 +/
Сообщение от Аноним (55), 24-Янв-23, 19:58 
>https://www.opennet.me/opennews/art.shtml?num=54932

1. где там утверждается, что ebpf -  это отладочные функции?
2. ebpf обычно требует рута.

>Рут в виртуалке - не хозяин системы.

Виртуальной системы - "хозяин". Ты же не хозяин твоего тела. Это Господь Бог хозяин, а ты так, арендатор, тебе его просто попользоваться дали.

Ответить | Правка | Наверх | Cообщить модератору

204. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +1 +/
Сообщение от pavlinux (ok), 25-Янв-23, 12:06 
>>https://www.opennet.me/opennews/art.shtml?num=54932
> 1. где там утверждается, что ebpf -  это отладочные функции?

А где я утверждал, что eBPF - это только отладка?

Ответить | Правка | Наверх | Cообщить модератору

201. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  –2 +/
Сообщение от Аноним (201), 25-Янв-23, 09:29 
Можно ли написать кодогенератор на rust в безопасном режиме?
Там бы значительная часть ошибок проявила себя ещё во время сборки и первого запуска в debug режиме
Ответить | Правка | К родителю #98 | Наверх | Cообщить модератору

2. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Zenitur (ok), 24-Янв-23, 11:57 
> Инициализировать механизм IOMMU

Зачем?

Ответить | Правка | Наверх | Cообщить модератору

46. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +1 +/
Сообщение от Аноним (46), 24-Янв-23, 13:02 
Наверное, поощряется использование полной виртуализации для запуска недоверенных приложений. Проброс железяк для них в виртуалки.
Ответить | Правка | Наверх | Cообщить модератору

62. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +2 +/
Сообщение от Аноним (55), 24-Янв-23, 13:34 
iommu - не про виртуальные машины, он про защиту ОС от DMA-атак через Thunderbolt, FireWire и SCSI.
Ответить | Правка | Наверх | Cообщить модератору

104. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +4 +/
Сообщение от Аноним (-), 24-Янв-23, 15:05 
А заодно и от левых попыток железок делать с DMA что-то не то. Какая-нибудь PCI железка типа GPU или вайфая может потенциально попытаться слазить через DMA в совершенно левые адреса. Это может инициировать начинка самой железки, ну там сервисная фирмвара вспомогательного ядра какая-нибудь.
Ответить | Правка | Наверх | Cообщить модератору

63. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +3 +/
Сообщение от Аноним (63), 24-Янв-23, 13:37 
Как я понимаю iommu разрешает железу менять только разрешенные части оперативной памяти и залезть в память приложений и ядра железо уже не может.
Со стороны железа тоже возможны атаки. Я помню что с помощью thunderbolt можно было сдампить и изменять ОЗУ.
Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

65. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +2 +/
Сообщение от Zenitur (ok), 24-Янв-23, 13:48 
Всем спасибо за ответы. Когда-то в 2013 году я целенаправленно искал материнскую плату с поддержкой IOMMU. Приобрёл ASUS Sabertooth 990FX R2.0. Использовал IOMMU для аппаратной виртуализации и проброса видеокарточки в гостевую винду. Но теперь я в этом не вижу необходимости, когда есть DXVK.

Я выключил IOMMU и больше не включал. А в новости пишут, что его рекомендуется включить. Поэтому и спросил, для чего именно...

Кстати, в сокет AM3+ вроде как можно вставить AM4-процессор? А какой в данный момент топовый? Я знаю, что для AM3+ таковым является 9590

Ответить | Правка | Наверх | Cообщить модератору

68. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +8 +/
Сообщение от Аноним (68), 24-Янв-23, 13:58 
> Кстати, в сокет AM3+ вроде как можно вставить AM4-процессор?

Ну если найдёте, куда лишние 390 ножек впихнуть, то можно, наверное.

Ответить | Правка | Наверх | Cообщить модератору

74. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  –3 +/
Сообщение от Zenitur (ok), 24-Янв-23, 14:05 
Тогда зачем знак + в названии сокета? Я помню, что AM2+ подразумевал, что в него можно будет вставить AM3-процессор.
Ответить | Правка | Наверх | Cообщить модератору

106. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +3 +/
Сообщение от Аноним (106), 24-Янв-23, 15:07 
Только маркетинг, ничего личного.
Ответить | Правка | Наверх | Cообщить модератору

118. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +2 +/
Сообщение от Аноним (118), 24-Янв-23, 15:47 
+ означает, что поддерживаются дополнительные функции по сравнению с версией без +
В am3+ есть дополнительные возможности по power saving'у.
Ответить | Правка | К родителю #74 | Наверх | Cообщить модератору

119. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +1 +/
Сообщение от Аноним (68), 24-Янв-23, 15:54 
Если крайне упрощённо, AM3+ — это для FX'ов. И да, та же история, можно вставить в AM3 без плюса, но тут как повезёт.
Ответить | Правка | К родителю #74 | Наверх | Cообщить модератору

168. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +1 +/
Сообщение от Аноним (168), 24-Янв-23, 22:26 
А зачем? Топовые камни там вроде бы должны игры тянуть. Главное память разогнать и чтобы ее хватало. Ну и в линуксе желательно иметь видеокарту с большим объемом памяти.

https://m.youtube.com/watch?v=RYOuH92USEg

Ответить | Правка | К родителю #65 | Наверх | Cообщить модератору

192. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +1 +/
Сообщение от Аноним (192), 25-Янв-23, 02:26 
Тоже имел такую доску и 9590 для таких же целей, только был вопрос в начале, почему не работает nested, приходилось его отключать, а когда amd выкатила наконец патч (примерно после выхода уже zen+) я уже поменял железо
Ответить | Правка | К родителю #65 | Наверх | Cообщить модератору

199. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +1 +/
Сообщение от Zenitur (ok), 25-Янв-23, 08:15 
А что за патч?
Ответить | Правка | Наверх | Cообщить модератору

216. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +1 +/
Сообщение от Аноним (192), 25-Янв-23, 21:29 
Патч решающий проблемы низкой производительности при включённой опции amd nested. В ядрах начинаю помоему с 2021 года включен по умолчанию
Ответить | Правка | Наверх | Cообщить модератору

230. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Аноним (230), 26-Янв-23, 19:50 
> 9590

220 ватт TDP… Звучит, как наличие титула, собственного замка и герба с Печью, мое увОжение!

Ответить | Правка | К родителю #192 | Наверх | Cообщить модератору

235. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Аноним (235), 27-Янв-23, 19:14 
Крематория, не герба?
Ответить | Правка | Наверх | Cообщить модератору

103. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +4 +/
Сообщение от Аноним (-), 24-Янв-23, 15:01 
Чтобы какой-нибудь GPU или вайфай адаптер не сделал ВНЕЗАПНЫЙ DMA в хрен знает какие адреса фиг знает почему. Ну вот решит какой-то блобик их многочисленных фирмвар что им так хочется - и запрограммит DMA со стороны железки вот так, немного пропатчив кернел операционки в процессе, например.

Обычный MMU - со стороны проца, он для железок арбитраж прав доступа к памяти не обеспечивает. А IOMMU это как раз логичное дополнение, обеспечивающее энфорс прав доступа и для железок. Одно из очевидных применений это виртуализация - т.к. кроме всего прочего можно перехыватывать и редиректить доступы, так что для виртуалки все будет выглядеть как будто запрос сработал, хотя его виртуализатор перехватил и оттранслировал адреса как надо. Если этого не сделать, драйвер в VM видит свои адреса, виртуалочные. Которые без задней мысли скормит железкам с DMA и прочему, а поскольку это настоящие железки, они без специальных мер вот именно эти адреса и задействуют. Что там у хоста было по этим адресам - обычно без IOMMU все быстро и жестоко умирает. Однако кроме виртуализации это и просто секурити фича, ловящая явно внеплановые доступы железок в левые регионы памяти. В IOMMU прописывается куда какие железки должны лазить по мнению их дров, а если получилось не это - окей, это заворачивается и вместо этого генерится исключение показывающее что нечто пошло не по плану.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

222. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Michael Shigorinemail (ok), 26-Янв-23, 01:18 
> немного пропатчив кернел операционки в процессе, например

Тут даже с ARM было бы чуть спокойнее, не говоря уж про e2k. :D

Ответить | Правка | Наверх | Cообщить модератору

228. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Аноним (228), 26-Янв-23, 19:30 
В ночное? Извините )
Ответить | Правка | Наверх | Cообщить модератору

229. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Аноним (228), 26-Янв-23, 19:33 
Михаил, а как в Симплии сделать снимок экрана с меню "Пуск" с двумя пунктами почтовой программы?
Ответить | Правка | К родителю #222 | Наверх | Cообщить модератору

3. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +42 +/
Сообщение от Аноним (3), 24-Янв-23, 11:57 
Семь страниц это не серьёзно для гос организации. Это даже прочитать можно.
Ответить | Правка | Наверх | Cообщить модератору

4. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Аноним (3), 24-Янв-23, 11:58 
И пидиэф кстати 404 (404 не запрещено тут писать? - а то ведь полит подтекст)
Ответить | Правка | Наверх | Cообщить модератору

7. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Schwonder Reismus (?), 24-Янв-23, 12:04 
По первой ссылке переходите, а ссылка на пдф реально битая
Ответить | Правка | Наверх | Cообщить модератору

8. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Аноним (55), 24-Янв-23, 12:06 
Не только PDF, но теперь и страница с ним. Даже в веб-архиве нет пдфки (а вот страница есть).
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

10. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +5 +/
Сообщение от Аноним (55), 24-Янв-23, 12:09 
Ага. Ссылка в новости устарела. А вот новость на сайте ФСТЭК (по другой ссылке в тексте новости) содержит правильную ссылку на PDF
Ответить | Правка | Наверх | Cообщить модератору

44. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Аноним (44), 24-Янв-23, 12:58 
а попробуй скажи что-нибудь без полит подтекста
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

210. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  –1 +/
Сообщение от Аноним (210), 25-Янв-23, 20:23 
Даже молчание и отсутствие являются признаками бунта )
Ответить | Правка | Наверх | Cообщить модератору

53. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +1 +/
Сообщение от Аноним (53), 24-Янв-23, 13:23 
Полит подтекст - 451.
А 404 - это просто 404 :)
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

94. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  –2 +/
Сообщение от fi (ok), 24-Янв-23, 14:31 
ну не скажи, руководители паблика 404 уже седят
Ответить | Правка | Наверх | Cообщить модератору

9. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Аноним (9), 24-Янв-23, 12:08 
А это не для того чтобы за это наказывать, а чтобы реально работало.
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

11. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +3 +/
Сообщение от Аноним (9), 24-Янв-23, 12:10 
Сейчас ещё окажется что это не публикация, а внутренняя утечка.
Ответить | Правка | Наверх | Cообщить модератору

56. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +1 +/
Сообщение от Бывалый смузихлёб (?), 24-Янв-23, 13:27 
Ну кстати, тот же ФСБ ещё лет 10-15 назад очень активно набирал новых сотрудников с ВУЗов, учащихся по специальностям, связанным с безопасностью в ИТ. Причём, по всей стране
Ответить | Правка | Наверх | Cообщить модератору

91. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +5 +/
Сообщение от Аноним (91), 24-Янв-23, 14:29 
Ну чтож пришло время и тебе узнать правду. Они не только 10-15 лет нанимали студентов ВУЗов по профильным специальностям, но и всегда нанимали студентов по профильным специальностям. Даже вот прямо сейчас это происходит и 30 лет назад происходило тоже  самое ничего за это время не изменилось. От слова ваще.
Ответить | Правка | Наверх | Cообщить модератору

108. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +2 +/
Сообщение от Аноним (108), 24-Янв-23, 15:15 
Более того: это повсеместная практика.
Ответить | Правка | Наверх | Cообщить модератору

112. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +1 +/
Сообщение от Бывалый смузихлёб (?), 24-Янв-23, 15:25 
Вопрос не в том, что всегда, а в том, что массово. Там реально списки пускали тех, кто хотел бы и после - почти всех принимали
Причём, списки пускали по всем специальностям, но гребли в основном безопасников - у тех практически все отметившиеся отправились туда куда записались.
Причём, само приёмное отделение находилось там где и не подумаешь.. >> Читать далее
Ответить | Правка | К родителю #91 | Наверх | Cообщить модератору

144. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +1 +/
Сообщение от Аноним (91), 24-Янв-23, 17:39 
Я конечно понимаю что у тебя яркие впечатления о молодости, но и сейчас в любую госконтору берут без особого конкурса. Не знаю ни одного случае чтобы допустим кто-то пошел на практику во время инста в госконтору и его бы потом не приняли или отказали в приёме. А то о чём ты говоришь это обычная госконтора. Условия в них во всех одинаковые и зарплаты примерно одинаковые.
Ответить | Правка | Наверх | Cообщить модератору

54. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +5 +/
Сообщение от Бывалый смузихлёб (?), 24-Янв-23, 13:25 
Чёрт с ним, с количеством, но даже конкретика есть, даже как оно делается часто упомянуто.
Пожалуй, сохраню-ка где-нибудь

А не вида "стремиться ко всему достаточно безопасному и избегать всего недостаточно безопасного" на 500+ страниц, по итогу прочтения которых так и неясно, что является достаточно безопасным, а что - нет

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

76. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от X86 (ok), 24-Янв-23, 14:05 
Про sudo, кстати, это же вообще свежачок (CVE-2023-22809). Как они могли знать?)
Ответить | Правка | Наверх | Cообщить модератору

132. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +2 +/
Сообщение от Деанон (?), 24-Янв-23, 17:06 
ToDo с анонимов тутошных собирают
Ответить | Правка | Наверх | Cообщить модератору

223. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Michael Shigorinemail (ok), 26-Янв-23, 01:22 
> Про sudo, кстати, это же вообще свежачок (CVE-2023-22809). Как они могли знать?)

Так это не то sudo, про него много у кого соображения были вида "подальше-подальше".

Удивился в этом плане как раз предложению PermitRootLogin=no вместо without-password (нет, это не то, что первым приходит в голову): это предполагает минимум ещё один бинарник для осуществления администрирования, да не просто от рута бегающий, а suid-ный и предназначенный для _повышения_ привилегий.

Ответить | Правка | К родителю #76 | Наверх | Cообщить модератору

244. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Аноним (244), 03-Фев-23, 14:11 
Все правильно.

chown root:wheel /bin/su
chmod o-rwxst /bin/su
usermod -a -G wheel admin_wheel

Или другую спец групу завести.
Так атакующему надо угадать имя пользователя и аж два пароля.

А ключи воруют.

Ответить | Правка | Наверх | Cообщить модератору

5. Скрыто модератором  –10 +/
Сообщение от ГруднаяЖабаemail (?), 24-Янв-23, 11:59 
Ответить | Правка | Наверх | Cообщить модератору

6. Скрыто модератором  +7 +/
Сообщение от Аноним (6), 24-Янв-23, 12:03 
Ответить | Правка | Наверх | Cообщить модератору

12. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  –12 +/
Сообщение от КО (?), 24-Янв-23, 12:10 
Всё это конечно безумно интересно, но где же всё-таки отечественный windows?
Вот прям с родным товарищем майором.
Ответить | Правка | Наверх | Cообщить модератору

15. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +1 +/
Сообщение от Аноним (15), 24-Янв-23, 12:13 
Не потому что линукс опенсорс, а венда нет.
Ответить | Правка | Наверх | Cообщить модератору

16. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +12 +/
Сообщение от Аноним (91), 24-Янв-23, 12:14 
А где финский или например австралийский?
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

70. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Аноним (68), 24-Янв-23, 14:00 
Вы ещё спросите, где финские или австралийские процессоры.
Ответить | Правка | Наверх | Cообщить модератору

93. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +7 +/
Сообщение от Аноним (91), 24-Янв-23, 14:31 
У меня тут такой вопрос резко возник. А где финские или австралийские процессоры?
Ответить | Правка | Наверх | Cообщить модератору

125. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Аноним (68), 24-Янв-23, 16:21 
У финнов ещё и легкового автопрома нет, вот где днище-то. В то время, как мы тут с автовазом корячимся.
Ответить | Правка | Наверх | Cообщить модератору

145. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Аноним (91), 24-Янв-23, 17:40 
Ну похоже перегнали, а кто-то не верил.  
Ответить | Правка | Наверх | Cообщить модератору

165. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +2 +/
Сообщение от Аноним (165), 24-Янв-23, 21:38 
А тут внезапнор и шведы продали китайцам свой автопром.
Заговор?
Ответить | Правка | К родителю #125 | Наверх | Cообщить модератору

21. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Анонемистик (?), 24-Янв-23, 12:20 
Не осилили
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

28. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +4 +/
Сообщение от Аноним (28), 24-Янв-23, 12:32 
QP OS
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

48. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  –1 +/
Сообщение от Аноним (46), 24-Янв-23, 13:05 
На отечественный Виндус, в своё время, у Алксниса не удалось денег выпросить.
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

58. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +1 +/
Сообщение от Kolemail (ok), 24-Янв-23, 13:30 
Тут доступно объяснили
https://olegmakarenko.ru/2618158.html
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

72. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +1 +/
Сообщение от Kuromi (ok), 24-Янв-23, 14:02 
Ляликс теперь "Русский виндовс", считай официально. Даже "взять исходники Андроид и переменовать" освещается как "сделали свою ОС".
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

134. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +2 +/
Сообщение от Аноним (134), 24-Янв-23, 17:12 
> взять исходники Андроид и переменовать

гугл ещё проще сделал: взял исходники Андроид и ... не переименовывал даже.

Ответить | Правка | Наверх | Cообщить модератору

146. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  –1 +/
Сообщение от Аноним (146), 24-Янв-23, 17:47 
Анонимный эксперт может лично взять "взять исходники Андроид и переменовать" и сделать "свою ОС".
Только на голом AOSP ничего работать не будет и почти ничего полезного написать не получиться ведь в нем не будет:
Firebase Notifications
Firebase Crashlytics
кучи других компонентов Firebase
WebView
Api для карт
geolocation api
Кучи программ которые идут в комплекте к любому телефону, но не в опенсорс

и это сильно не полный список.

Все это написать в бесконечное количество раз сложнее чем вывалить очередную кучу в комментарии.

Ответить | Правка | К родителю #72 | Наверх | Cообщить модератору

181. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  –1 +/
Сообщение от Kuromi (ok), 25-Янв-23, 00:02 
>[оверквотинг удален]
> Firebase Crashlytics
> кучи других компонентов Firebase
> WebView
> Api для карт
> geolocation api
> Кучи программ которые идут в комплекте к любому телефону, но не в
> опенсорс
> и это сильно не полный список.
> Все это написать в бесконечное количество раз сложнее чем вывалить очередную кучу
> в комментарии.

Но ведь очевидно же что:


Firebase Notifications - не нужно нам наши суверенные уведомления через иностранные сервера гонять!
Firebase Crashlytics - тоже ненужно потому что Русский Софт не сдается и  падает.
кучи других компонентов Firebase - "ну вы понели"
WebView - "не нужон нам этот ваш"...хотя если что возьмут Geckoview. Опять же не зря же всюду призывают использовать "российские браузеры".
Api для карт - Яндекс, Яндекс, Яндекс...ну или 2GIS, им вообще Сбер владеет теперь. На крайний случай есть OSM.
geolocation api -  очевидно что эти шпионские API не нужны пользователям. Те кому надо знают где пользователь. Остальным знать не положено. Еси пользователь не знает где он - пускай спросит у других.

Тут конечно велика доля шутки, если кто не уловил сарказма.

Ответить | Правка | Наверх | Cообщить модератору

202. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  –1 +/
Сообщение от Ананий (?), 25-Янв-23, 10:48 
Зачем она тов. майору? В доточку с ксиком играть?
Жри со швитым забугорным и не отсвечивай.
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

14. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +4 +/
Сообщение от ryoken (ok), 24-Янв-23, 12:13 
Гм.. Вроде хорошая вещь, а вот PDF-ку в Word2016 варганили...
Ответить | Правка | Наверх | Cообщить модератору

17. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Аноним (91), 24-Янв-23, 12:14 
Зато безопасно.
Ответить | Правка | Наверх | Cообщить модератору

30. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  –3 +/
Сообщение от Попандопала (?), 24-Янв-23, 12:32 
У меня ртфка вообще в вайновском вордпад открывается и не жужжу.XD
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

18. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Аноним (18), 24-Янв-23, 12:15 
Семь страничек? Смешно. Рекомендации от CIS (Center for Internet Security) едва умещаются в 700 (на примере CIS Red Hat Enterprise Linux 8 Benchmark).
Ответить | Правка | Наверх | Cообщить модератору

20. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Аноним (20), 24-Янв-23, 12:20 
"Я сделяль" (с) ФСТЭК
Ответить | Правка | Наверх | Cообщить модератору

24. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +5 +/
Сообщение от PnD (??), 24-Янв-23, 12:28 
При этом там 90% воды, а в оставшемся бо́льшую часть занимают примеры.
Было дело, пришлось мне готовить из него (для 7-ки) выжимку для "нормальных" админов.

Здесь (прочёл по диагонали) как раз подобная выжимка.
Даёт шансик не дать толпе народу списать рабочую неделю на "читал CIS". (А чё так долго? — Ну, английский не родной, надо примеры покрутить, все дела…)

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

25. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +1 +/
Сообщение от Попандопала (?), 24-Янв-23, 12:28 
7 страниц рили можно осилить,а за 700 платить придется в поддержку.
Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

34. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  –2 +/
Сообщение от anonfdfd4 (?), 24-Янв-23, 12:36 
так там selinux, а на кой хрен он нужен? (как и его аналоги)
Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

40. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +4 +/
Сообщение от Аноним (146), 24-Янв-23, 12:51 
Как всегда местным экспертам ничего не нужно, они и так самые умные.
Ответить | Правка | Наверх | Cообщить модератору

71. Скрыто модератором  +/
Сообщение от Аноним (-), 24-Янв-23, 14:01 
Ответить | Правка | Наверх | Cообщить модератору

41. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Аноним (41), 24-Янв-23, 12:52 
PCI DSS 4.0 - 360 страниц увлекательного чтения с экзаменациями, аудитами, комплаенсами.
Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

42. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +2 +/
Сообщение от Аноним (41), 24-Янв-23, 12:54 
Вот PDFка, если что, наслаждайтесь. https://disk.yandex.ru/i/cVWSH1QvQCeSfQ
Ответить | Правка | Наверх | Cообщить модератору

169. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Аноним (169), 24-Янв-23, 22:36 
Спасибо за pdf. Однако нормально загрузить не получилось. Yandex disk - такая отвратительная система, если честно
Ответить | Правка | Наверх | Cообщить модератору

224. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  –1 +/
Сообщение от Michael Shigorinemail (ok), 26-Янв-23, 01:27 
> Семь страничек? Смешно.

Думал было написать "Ваш комментарий слишком краток".

Но давайте попробую менее смешно.

At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet.  

Duis autem vel eum iriure dolor in hendrerit in vulputate velit esse molestie consequat, vel illum dolore eu feugiat nulla facilisis at vero eros et accumsan et iusto odio dignissim qui blandit praesent luptatum zzril delenit augue duis dolore te feugait nulla facilisi. Lorem ipsum dolor sit amet, consectetuer adipiscing elit, sed diam nonummy nibh euismod tincidunt ut laoreet dolore magna aliquam erat volutpat.  

Ut wisi enim ad minim veniam, quis nostrud exerci tation ullamcorper suscipit lobortis nisl ut aliquip ex ea commodo consequat. Duis autem vel eum iriure dolor in hendrerit in vulputate velit esse molestie consequat, vel illum dolore eu feugiat nulla facilisis at vero eros et accumsan et iusto odio dignissim qui blandit praesent luptatum zzril delenit augue duis dolore te feugait nulla facilisi.  

Nam liber tempor cum soluta nobis eleifend option congue nihil imperdiet doming id quod mazim placerat facer possim assum. Lorem ipsum dolor sit amet, consectetuer adipiscing elit, sed diam nonummy nibh euismod tincidunt ut laoreet dolore magna aliquam erat volutpat. Ut wisi enim ad minim veniam, quis nostrud exerci tation ullamcorper suscipit lobortis nisl ut aliquip ex ea commodo consequat.  

Duis autem vel eum iriure dolor in hendrerit in vulputate velit esse molestie consequat, vel illum dolore eu feugiat nulla facilisis.  

At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, At accusam aliquyam diam diam dolore dolores duo eirmod eos erat, et nonumy sed tempor et et invidunt justo labore Stet clita ea et gubergren, kasd magna no rebum. sanctus sea sed takimata ut vero voluptua. est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat.  

Consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus.  

Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet.  

Duis autem vel eum iriure dolor in hendrerit in vulputate velit esse molestie consequat, vel illum dolore eu feugiat nulla facilisis at vero eros et accumsan et iusto odio dignissim qui blandit praesent luptatum zzril delenit augue duis dolore te feugait nulla facilisi. Lorem ipsum dolor sit amet, consectetuer adipiscing elit, sed diam nonummy nibh euismod tincidunt ut laoreet dolore magna aliquam erat volutpat.  

Ut wisi enim ad minim veniam, quis nostrud exerci tation ullamcorper suscipit lobortis nisl ut aliquip ex ea commodo consequat. Duis autem vel eum iriure dolor in hendrerit in vulputate velit esse molestie consequat, vel illum dolore eu feugiat nulla facilisis at vero eros et accumsan et iusto odio dignissim qui blandit praesent luptatum zzril delenit augue duis dolore te feugait nulla facilisi.  

Nam liber tempor cum soluta nobis eleifend option congue nihil imperdiet doming id quod mazim placerat facer possim assum. Lorem ipsum dolor sit amet, consectetuer adipiscing elit, sed diam nonummy nibh euismod tincidunt ut laoreet dolore magna aliquam erat volutpat. Ut wisi enim ad minim veniam, quis nostrud exerci tation ullamcorper suscipit lobortis nisl ut aliquip ex ea commodo...

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

231. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Аноним (228), 26-Янв-23, 20:04 
Михаил, по CNews можно предположить (https://importfree.cnews.ru/news/top/2023-01-24_rossijskij_v...), что вас меняют на ОС «МСВСфера»?
Ответить | Правка | Наверх | Cообщить модератору

19. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +2 +/
Сообщение от Иваня (?), 24-Янв-23, 12:19 
Интересно, спасибо.
Ответить | Правка | Наверх | Cообщить модератору

23. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  –1 +/
Сообщение от Попандопала (?), 24-Янв-23, 12:27 
Проще Альторосу поставить и колупаться не надо.D
Ответить | Правка | Наверх | Cообщить модератору

211. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  –1 +/
Сообщение от Аноним (210), 25-Янв-23, 20:33 
Там 86 клавиш
Ответить | Правка | Наверх | Cообщить модератору

26. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Hanyuu (?), 24-Янв-23, 12:29 
Где пункты "удалить systemd" и "собрать ядро без поддержки Rust" ?
Опять икспертов нипаслушали!
Ответить | Правка | Наверх | Cообщить модератору

36. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +3 +/
Сообщение от Аноним (36), 24-Янв-23, 12:41 
Для тех, кто линукс изучает по цитаткам с башорга, рассказываю правду: Rust в ядре (на данный момент 6.1) не поддерживается, если включена генерация отладочной информации в формате BTF, которая, - сюрприз! - нужна для полноценной и корректной работы eBPF.
Ответить | Правка | Наверх | Cообщить модератору

157. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от fuggy (ok), 24-Янв-23, 19:05 
Для кого тогда написали?
> "chmod o-w filename" к каждому файлу в /etc/rc#.d
Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

191. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Валерий (??), 25-Янв-23, 02:11 
Вопрос правильный, хотя и задан некорректно. Правильный вопрос - зачем писать советы, если можно предложить патч/коммит. Ну, не доросли пока авторы, значит.
Ответить | Правка | Наверх | Cообщить модератору

197. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +1 +/
Сообщение от www2 (??), 25-Янв-23, 06:26 
Чтобы не следить за изменениями во всех Linux-дистрибутивах и не делать новые патчи. Дать удочку, а не рыбу.
Ответить | Правка | Наверх | Cообщить модератору

29. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +1 +/
Сообщение от pashev.ru (?), 24-Янв-23, 12:32 
X. Ограничить доступ к /proc. Так чтобы пользователь (или процесс) мог видеть только свои процессы (подпроцессы).
Ответить | Правка | Наверх | Cообщить модератору

31. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +14 +/
Сообщение от Аноним (31), 24-Янв-23, 12:33 
а где скрипт vfstek.sh, который всё это проверяет (не меняет, а просто чекает и выдаёт, где не соответствует)?
Ответить | Правка | Наверх | Cообщить модератору

35. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от anonfdfd4 (?), 24-Янв-23, 12:37 
ишт ты умник!!1
Ответить | Правка | Наверх | Cообщить модератору

39. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Аноним (39), 24-Янв-23, 12:50 
Это за деньги.
Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

50. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Аноним (55), 24-Янв-23, 13:07 
cat /boot/config-6.0.0-6-amd64 | grep -P "CONFIG_(INIT_ON_ALLOC_DEFAULT_ON|INIT_ON_FREE_DEFAULT_ON|RANDOMIZE_KSTACK_OFFSET_DEFAULT|IOMMU_DEFAULT_DMA_LAZY|IOMMU_DEFAULT_DMA_STRICT|HAVE_ARCH_RANDOMIZE_KSTACK_OFFSET|RANDOMIZE_KSTACK_OFFSET_DEFAULT)"
Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

236. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от швондер (?), 27-Янв-23, 20:25 
> cat /boot/config-6.0.0-6-amd64 | grep -P "CONFIG_(INIT_ON_ALLOC_DEFAULT_ON|INIT_ON_FREE_DEFAULT_ON|RANDOMIZE_KSTACK_OFFSET_DEFAULT|IOMMU_DEFAULT_DMA_LAZY|IOMMU_DEFAULT_DMA_STRICT|HAVE_ARCH_RANDOMIZE_KSTACK_OFFSET|RANDOMIZE_KSTACK_OFFSET_DEFAULT)"

useless use of cat

Ответить | Правка | Наверх | Cообщить модератору

51. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Аноним (46), 24-Янв-23, 13:08 
Он ещё и отчёт должен сам отправлять.
Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

163. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +1 +/
Сообщение от SubGun (ok), 24-Янв-23, 21:36 
Запускать этот скрипт будут специально аффилированные компании.
Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

251. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Аноним (244), 03-Фев-23, 15:47 
Проверяющий скрипт:

https://www.opennet.me/openforum/vsluhforumID3/129586.html#248
https://www.opennet.me/openforum/vsluhforumID3/129586.html#249

Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

38. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Аноним (146), 24-Янв-23, 12:47 
Вроде бы адекватные рекомендации, правда я не все из них понимаю.
Ответить | Правка | Наверх | Cообщить модератору

43. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +4 +/
Сообщение от Аноним (146), 24-Янв-23, 12:57 
Очень полезно иметь такой список когда новый сервер запускаешь.
На работе даже пароль root на mysql забывали установить и вы итоге базы данных клиентов удаляли и пароль получали из доступного на чтение домашнего каталога администраторов и root.

А так прошел, по списку проверил что всё соответствует и всё сделано. В итоге по крайней мере самыми простыми и глупыми способами пароли не утащат и сервер не взломают.

Ответить | Правка | Наверх | Cообщить модератору

86. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  –8 +/
Сообщение от Аноним (86), 24-Янв-23, 14:19 
Тут надо не список иметь, а бить по рукам за ручную настройку серверов. Это задача ансибла/терраформа и облачной платформы, а не человека.

Любая правка - коммит в плейбук.

Ответить | Правка | Наверх | Cообщить модератору

174. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +2 +/
Сообщение от Аноним (174), 24-Янв-23, 23:40 
Ага, осталось всего ничего - нанять еще одного человека, который будет настраивать нам анзиблы.
Ответить | Правка | Наверх | Cообщить модератору

225. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +1 +/
Сообщение от Michael Shigorinemail (ok), 26-Янв-23, 01:30 
> Ага, осталось всего ничего - нанять еще одного человека, который будет настраивать
> нам анзиблы.

Какого одного -- минимум двух, плюс ещё двух -- писать плейбуки и к каждому проверяющего.

Ну и кого-нить для зачитывания итиля вслух.  Тоже двух лучше.

Ответить | Правка | Наверх | Cообщить модератору

241. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от ivan_erohin (?), 28-Янв-23, 16:37 
> Ну и кого-нить для зачитывания итиля вслух.

по-моему практики девляпс и ИТИЛ ортогональны, а местами противоречат друг другу.


Ответить | Правка | Наверх | Cообщить модератору

193. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  –1 +/
Сообщение от Валерий (??), 25-Янв-23, 02:52 
Пациенты тебя люто ненавидят.
Следовательно, как врач, ты прав.
Ответить | Правка | К родителю #86 | Наверх | Cообщить модератору

175. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Аноним (174), 24-Янв-23, 23:42 
Чек-лист при установке не пользуете?
Рекомендую хотя бы его.
Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

96. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +2 +/
Сообщение от Аноним (134), 24-Янв-23, 14:49 
Ну, например, вот это правило нужно для ликвидации уязвимости libXpm:

... для всех исполняемых файлов и библиотек ... с последующей проверкой, что каталог, содержащий данные файлы, а также все родительские каталоги недоступны для записи непривилегированным пользователям.

Кратко: нельзя запускать проги оттуда, куда может писать юзер.

Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

127. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Аноним (127), 24-Янв-23, 16:38 
Теперь нельзя выполнять проги из /tmp/.private/? Как жить дальше?
Ответить | Правка | Наверх | Cообщить модератору

136. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Аноним (134), 24-Янв-23, 17:15 
> Как жить дальше?

Начать питаться на кухне, а не на помойке.

Ответить | Правка | Наверх | Cообщить модератору

142. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +1 +/
Сообщение от Аноним (127), 24-Янв-23, 17:31 
Рекомендация того же порядка, что и noexec.
Ответить | Правка | Наверх | Cообщить модератору

158. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +1 +/
Сообщение от Аноним (146), 24-Янв-23, 19:05 
А чем noexec плохо?
Ответить | Правка | Наверх | Cообщить модератору

226. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +1 +/
Сообщение от Michael Shigorinemail (ok), 26-Янв-23, 01:31 
>> Как жить дальше?
> Начать питаться на кухне, а не на помойке.

На помойке будет как раз не /tmp/.private/, а 755 /root, как вон выше упоминали...

Ответить | Правка | К родителю #136 | Наверх | Cообщить модератору

143. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Аноним (146), 24-Янв-23, 17:31 
Каким образом делать такую проверку, там не написано.

Если файловую систему /home, /tmp и т.д. смонтировать с флагом noexec, как раз нельзя будет просто так запустить исполняемый файл или скрипт на выполнение.
Но это не для всех ситуаций подходит.

Ответить | Правка | К родителю #96 | Наверх | Cообщить модератору

250. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Аноним (244), 03-Фев-23, 15:39 
>> ... для всех исполняемых файлов и библиотек ... с последующей проверкой, что каталог, содержащий данные файлы, а также все родительские каталоги недоступны для записи непривилегированным пользователям.
> Каким образом делать такую проверку, там не написано.

Популярные варианты дающие примерно тот-же результат:

1. Соблюдение правила: "что исполняется не должно изменятся, а что изменяется не должно исполнятся", при разбиении дисков: https://www.opennet.me/openforum/vsluhforumID3/129586.html#247

2. Патчить DAC в ядре Linux чтобы он поддерживал "исполнение по доверительному пути" (имеется ввиду именно это решение)

3. Integrity - политика запрещаются исполнение неподписаных файлов.

4. MAC - политика запрещаются запуск файлов с мест доступных на запись.

5. ... Ваш вариант.

Вот общая оценка безопасности системы:
https://www.opennet.me/openforum/vsluhforumID3/129586.html#248

Ответить | Правка | Наверх | Cообщить модератору

194. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от ivan_erohin (?), 25-Янв-23, 04:53 
и мне нельзя запускать свои же скрипты из ~/bin и ~/.local/bin ?
и tor browser нельзя запустить из ~/.local/....
и palemoon нельзя запустить из куда его там рекомендуют ставить.
и wine (хотя я забил на него, но вдруг понадобится).

спасибо тебе большое добрый анон.

Ответить | Правка | К родителю #96 | Наверх | Cообщить модератору

45. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  –1 +/
Сообщение от mos87 (ok), 24-Янв-23, 13:01 
Безо сферическая в вакууме.
Ответить | Правка | Наверх | Cообщить модератору

47. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +1 +/
Сообщение от Аноним (55), 24-Янв-23, 13:02 
>Отключить технологию TSX (Transactional Synchronization Extensions) (параметр tsx=off при загрузке).

Как бы "за щоо", однако

https://www.kernel.org/doc/html/latest/admin-guide/hw-vuln/t...

>Not specifying this option is equivalent to tsx=off.

Ответить | Правка | Наверх | Cообщить модератору

150. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +2 +/
Сообщение от Аноним (150), 24-Янв-23, 18:13 
Дефолты имеют свойство меняться. Иногда без предупреждения.
Ответить | Правка | Наверх | Cообщить модератору

49. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  –2 +/
Сообщение от Аноним (-), 24-Янв-23, 13:07 
>Рекомендации подлежат реализации в государственных информационных системах и на объектах критической информационной инфраструктуры РФ, построенных с использованием Linux, несертифицированных по требованиям безопасности информации.

О чём это говорит? Это говорит о том, что даже в госшарагах на якобы обязательную под страхом смертной казни альтоастру плюются и втихую, но массово, ставят нормальные дистрибутивы.

Ответить | Правка | Наверх | Cообщить модератору

52. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Аноним (55), 24-Янв-23, 13:10 
Это говорит о том, что здравомыслие в конечном итоге побеждает.
Ответить | Правка | Наверх | Cообщить модератору

213. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Аноним (210), 25-Янв-23, 20:49 
Тётка с косой в итоге )
Ответить | Правка | Наверх | Cообщить модератору

64. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +7 +/
Сообщение от Атон (?), 24-Янв-23, 13:43 
> якобы обязательную под страхом смертной казни альтоастру

Это говорит о том что, там используются много разных дистрибутивов, а обязательность "альтоастры" ваши влажные фантазии.

Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

66. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +2 +/
Сообщение от _kp (ok), 24-Янв-23, 13:51 
Ну не все компы для офисной работы, разные задачи бывают, просто выставили требования по безопасности.
Более того, на 90% даже общепринятые требования.
Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

57. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  –1 +/
Сообщение от YetAnotherOnanym (ok), 24-Янв-23, 13:28 
ФСТЭК решил заняться тем, чем CERT/CISA занимается уже джвадцать лет.
Ну, чо... Лучше поздно, чем никогда.
Ответить | Правка | Наверх | Cообщить модератору

116. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +2 +/
Сообщение от pavlinux (ok), 24-Янв-23, 15:39 
> ФСТЭК решил заняться тем, чем CERT/CISA занимается уже джвадцать лет.

Решил опубликовать и решил заняться - это разное :)

Ответить | Правка | Наверх | Cообщить модератору

139. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  –2 +/
Сообщение от Аноним (-), 24-Янв-23, 17:19 
У нас есть такие приборы! Но мы вам о них не расскажем.
Ответить | Правка | Наверх | Cообщить модератору

161. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Аноним (161), 24-Янв-23, 20:17 
Это про Эльбрусы, да?
Ответить | Правка | Наверх | Cообщить модератору

166. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от анонна (?), 24-Янв-23, 21:45 
вы бы лучше обратили внимание на специализированные чипы и микроэлктронику в производстве. удивитесь. цп это всего лишь чипы для компьютеров. куда важнее чипы для производства и изделий практического характера. вот там у россии куда более широкие возможности. я бы сказал очень широкие. по всем видам почти.
Ответить | Правка | Наверх | Cообщить модератору

214. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Аноним (210), 25-Янв-23, 21:14 
157УД3?
Ответить | Правка | Наверх | Cообщить модератору

227. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Michael Shigorinemail (ok), 26-Янв-23, 01:37 
> Это про Эльбрусы, да?

Не, их-то как раз хоть в яндекс-музее можно пощупать собственными клешнями :)

Ответить | Правка | К родителю #161 | Наверх | Cообщить модератору

232. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  –1 +/
Сообщение от Аноним (228), 26-Янв-23, 20:12 
Так задача была по наполнению музея Яндекса исчерпавшими себя продуктами?
Ответить | Правка | Наверх | Cообщить модератору

59. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Куemail (?), 24-Янв-23, 13:31 
Почему бы кому-нибудь не запилить скрипт, выполняющий большинство из этих рекомендаций?
Ответить | Правка | Наверх | Cообщить модератору

113. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +4 +/
Сообщение от Аноним (113), 24-Янв-23, 15:34 
Ну так вперед, к мечте!
Ответить | Правка | Наверх | Cообщить модератору

149. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +2 +/
Сообщение от Аноним (9), 24-Янв-23, 18:07 
Луче расскажи какого хрена ты его так до сих и не запилил?
Ответить | Правка | К родителю #59 | Наверх | Cообщить модератору

167. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от анонна (?), 24-Янв-23, 21:47 
а че там пилить? взял пдф и строчишь echo "что то там" > файл. куда сложнее это все напечатать))
Ответить | Правка | Наверх | Cообщить модератору

215. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Аноним (210), 25-Янв-23, 21:15 
Разве не секретарша для набора полагается?
Ответить | Правка | Наверх | Cообщить модератору

164. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от SubGun (ok), 24-Янв-23, 21:37 
А что тогда будут кушать компании, которые специализируются на запуске этого скрипта?
Ответить | Правка | К родителю #59 | Наверх | Cообщить модератору

249. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Аноним (244), 03-Фев-23, 15:03 
Скрипт делающий ненужен. Не все фичи безопасности в конкретном дистре можно включить. Дистр сломается! Hardened система дело больше разрабов дистра. И тогда сделать для безопасности Linux можно намного больше чем предлагается в методике ФСТЭК.


Есть утилита для проверки безопасности:
https://cisofy.com/lynis/
Вот для нее модули https://cisofy.com/lynis/#lynis-plugins с требованиями ФСТЭК будут к стати.

Ответить | Правка | К родителю #59 | Наверх | Cообщить модератору

60. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Аноним (55), 24-Янв-23, 13:31 
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=928362 - related
Ответить | Правка | Наверх | Cообщить модератору

61. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от mos87 (ok), 24-Янв-23, 13:33 
Astra Linux SE 1.7.3

>Отключение входа суперпользователя по SSH (PermitRootLogin=no в /etc/ssh/sshd_config).

$ /sbin/sshd -T|ag -i PermitRootLogin
permitrootlogin without-password

>Ограничение доступа к команде su пользователями из группы wheel ("auth required pam_wheel.so use_uid" в /etc/pam.d/su)

$ ag pam_wheel /etc/pam.d/su
15:# auth       required   pam_wheel.so
19:# auth       sufficient pam_wheel.so trust
23:# auth       required   pam_wheel.so deny group=nosu

>Блокирование утечки информации об адресном пространстве через /proc/kallsyms (sysctl -w kernel.kptr_restrict=2).

kernel.kptr_restrict = 0

>Включить защиту подсистемы eBPF (sysctl -w net.core.bpf_jit_harden=2).

net.core.bpf_jit_harden = 0

дальше надоело. Параметров ведра в cmdline конечно нет.

Ответить | Правка | Наверх | Cообщить модератору

117. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от pavlinux (ok), 24-Янв-23, 15:41 
> Astra Linux SE 1.7.3

Астара - хардкорная RBAC операционка, там даже рут - не человек.

Ответить | Правка | Наверх | Cообщить модератору

176. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Аноним (174), 24-Янв-23, 23:47 
Ну так, извиняюсь заранее, "мандатный доступ"!
Ответить | Правка | Наверх | Cообщить модератору

195. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +1 +/
Сообщение от Аноним (195), 25-Янв-23, 06:11 
Главное чтобы этот доступ не запрещал играть в героев меча и магии 3, иначе прапорщики и лейтенанты будут не довольны ОС.
Ответить | Правка | Наверх | Cообщить модератору

206. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от mos87 (ok), 25-Янв-23, 12:35 
они разве не в косынку
Ответить | Правка | Наверх | Cообщить модератору

237. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Аноним (237), 27-Янв-23, 20:32 
Неправда. В части, где я проходил срочную службу, на рабочем ПК ЗНШ полка (в звании майора), мной, в ходе выполнения дежурного осмотра, была обнаружена глубоко законсперированная (см. "Russian military deception") HoM&M5. Отечественного производства, кстати. Патриотизм в нашей армии -- не пустой звук!
Ответить | Правка | Наверх | Cообщить модератору

253. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Аноним (253), 13-Авг-23, 19:52 
Там где я срочку проходил, кап-лей-т гонял в NFS MW и что-то еще (не помню что)
Ответить | Правка | К родителю #206 | Наверх | Cообщить модератору

254. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от mos87 (ok), 14-Авг-23, 10:50 
> еще (не помню что)

NSFW

Ответить | Правка | Наверх | Cообщить модератору

67. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +3 +/
Сообщение от Kuromi (ok), 24-Янв-23, 13:57 
" Ограничить использование user namespaces (sysctl -w user.max_user_namespaces=0). "

Вероятнее всего поломает браузеры, тот же Brave это уже требует для работы. ФФ непонятно, толи да толи не обязательно.

Ответить | Правка | Наверх | Cообщить модератору

75. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Sunderland93 (ok), 24-Янв-23, 14:05 
А на работу контейнеров этот параметр влияет?
Ответить | Правка | Наверх | Cообщить модератору

85. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Аноним (85), 24-Янв-23, 14:15 
Если контейнер непривилегированный (а таких большинство) - да, все сломается.
Ответить | Правка | Наверх | Cообщить модератору

79. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Попандопала (?), 24-Янв-23, 14:09 
102.7 работает с этим параметром в sysctl.conf
Ответить | Правка | К родителю #67 | Наверх | Cообщить модератору

82. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +1 +/
Сообщение от Аноним (127), 24-Янв-23, 14:11 
Песочница то поди отвалилась.
Ответить | Правка | Наверх | Cообщить модератору

92. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Попандопала (?), 24-Янв-23, 14:30 
Черт ее знает,но убрал на всякий случай этот параметр.
Ответить | Правка | Наверх | Cообщить модератору

81. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Аноним (127), 24-Янв-23, 14:10 
Все браузеры используют как дополнительный уровень в песочницах, да и в целом отличный совет отключить средства изоляции. Впрочем, там половина такого же бреда.
Ответить | Правка | К родителю #67 | Наверх | Cообщить модератору

114. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +4 +/
Сообщение от pavlinux (ok), 24-Янв-23, 15:36 
Когда делаешь clone(CLONE_NEWUSER, ...)  наследуются все разрешения,
а ограничения и лимиты не наследуются. Увася, у которого лимит на max open files = 1024
клонирует себя и лимит может стать 131071 (дефолтным для не рутов)...

Дыры с USER_NS появляются регулярно, уже лет 10+  https://lwn.net/Articles/543273/


Там дох.. нюансов, чтоб с разбегу сказать да или нет.


Ответить | Правка | Наверх | Cообщить модератору

122. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  –1 +/
Сообщение от Аноним (127), 24-Янв-23, 16:11 
Без обид, но похоже именно ты тут не понимаешь, о чём говоришь, ещё и оскорбить пытаешься зачем-то. Ограничения и лимиты? Ну-ну. Во первых, тебе никто не даст никаких прав, если ты уже замапил ограниченного пользователя (например, с изолированной сетью, что применяется для процессов исполняющих шейдеры и прочее), этот механизм односторонний. Примерно все дыры, что случались, требовали замапить рута. Ты можешь замапить вложенный неймспейс, однако доступа вовне у него не появится. Чтобы было понятно, даже если ты запамишь рута во вложенном неймспейсе и начнёшь выполнять команды, доступ у тебя будет только к этом неймспейсу и не к хосту, а если нет, применяются все ограничения родительского неймспейса. А чтобы организовать канал связи с неймспейсом, используют, например, veth. Да, это ограниченный инструмент, спору нет, но он целиком рабочий и делает именно то, что заявлено, а ты тут пытаешься FUD распространять.
Ответить | Правка | Наверх | Cообщить модератору

129. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +2 +/
Сообщение от Аноним (129), 24-Янв-23, 16:44 
В немспейсах уже было/нашлось несколько десятков багов, как логических, так и технических.

Немспейсы добавляют еще один уровень изоляции/контроля, но это уже пробивалось и не верифицировалось.
Одновременно, немспейсы увеличивают поверхность атаки и сложность анализа возможных сценариев.

Поэтому рекомендация "выключить по-умолчанию" вполне рациональна.
Кому надо - путь думает, обосновывает и т.д.

Ответить | Правка | Наверх | Cообщить модератору

131. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Аноним (127), 24-Янв-23, 16:59 
А где их не было, этих багов? Однако, их находят и исправляют. К тому же, примерно все они в контексте контейнеров (суид или CAP_SYSADMIN) и не в контексте CLONE_NEWNET, что интересует браузерные песочницы. Да и в целом, отключить универсальный механизм, востребованный софтом? Ну да, конечно, лучше вообще без него. Можно запускать всё под рутам, а пользователям тоже дать рутовые права, это намного безопаснее.
Ответить | Правка | Наверх | Cообщить модератору

162. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +2 +/
Сообщение от Аноним (162), 24-Янв-23, 20:23 
Любезнейший, а где вы видели "браузеры" в составе (цитата) "...государственных информационных системах и на объектах критической информационной инфраструктуры Российской Федерации, построенных с использованием операционных систем Linux, несертифицированных по требованиям безопасности
информации..." ?

Если вдруг видели - сообщите (может где-то еще нужно поправить соответствие голов занимаемым должностям).

Ответить | Правка | Наверх | Cообщить модератору

182. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +1 +/
Сообщение от Kuromi (ok), 25-Янв-23, 00:13 
> Все браузеры используют как дополнительный уровень в песочницах, да и в целом
> отличный совет отключить средства изоляции. Впрочем, там половина такого же бреда.

Вероятнее всего идею выключить неймспейсы взяли отсюда - https://www.stigviewer.com/stig/red_hat_enterprise_linux_8/2...

Ответить | Правка | К родителю #81 | Наверх | Cообщить модератору

217. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от ыы (?), 25-Янв-23, 21:32 
If containers are in use, this requirement is not applicable.
Ответить | Правка | Наверх | Cообщить модератору

187. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Аноним (187), 25-Янв-23, 01:45 
> браузеры используют как дополнительный уровень

Какие браузеры? Тут рекомендация скорее всего для серверов и т.п., а не для твоего десктопа

Ответить | Правка | К родителю #81 | Наверх | Cообщить модератору

203. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  –2 +/
Сообщение от Аноним (127), 25-Янв-23, 11:16 
Это чтобы было понятно, как оно используется. На серверах без неймспейсов жизни тем более нет, каждая 2 прога.
Ответить | Правка | Наверх | Cообщить модератору

240. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Аноним (237), 27-Янв-23, 20:47 
Нет, совет в том, чтобы сместить ответственность со случайной прикладной программы и её сомнительных средств изоляции (веб-обозревателя) на администратора системы (компетентное лицо), чтобы избежать запуска программм, с повышенными привилегиями. Тем более, что большая часть машин, подпадающая под рекомендации, - серверные, где обычно нет графического сервера, графических программ и надобности в них.
Ответить | Правка | К родителю #81 | Наверх | Cообщить модератору

239. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Аноним (237), 27-Янв-23, 20:40 
Это отключаемо в браузерах и программах на их движках (Webkit, Chromium и т.п.)
Причем, вкладки продолжат использовать раздельный DOM и т.п., если предполагалось. По крайней мере, до первой обнаруженной уязвимости. Но в user namespaces также находят уязвимости, это не панацея.
Ответить | Правка | К родителю #67 | Наверх | Cообщить модератору

77. Скрыто модератором  –1 +/
Сообщение от Амомин (?), 24-Янв-23, 14:07 
Ответить | Правка | Наверх | Cообщить модератору

95. Скрыто модератором  +/
Сообщение от Аноним (55), 24-Янв-23, 14:46 
Ответить | Правка | Наверх | Cообщить модератору

80. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  –3 +/
Сообщение от Аноним (-), 24-Янв-23, 14:10 
>Запрет учётных записей пользователей с пустыми паролями.

На печатных машинках так проще. Разумеется тут не суперпользователь.

>Отключение входа суперпользователя по SSH (PermitRootLogin=no в /etc/ssh/sshd_config)

Усложнять жизнь админу? Дурость.

>Ограничение доступа к команде su пользователями из группы wheel ("auth required pam_wheel.so use_uid" в /etc/pam.d/su)

Так в том и соль группы wheel, что модно админские команды в sudo без переключения использовать. Просто не надо обычного пользователя вводить в группу wheel.

Админ сетки бог, ему никто не указ.

Ответить | Правка | Наверх | Cообщить модератору

90. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от _kp (ok), 24-Янв-23, 14:25 
Если Комп без доступа к сети, типа Live системы без сохранения документов. Включил набил текст, распечатал, то такую "печатную машинку" можно.
Ни один строгий админ не возразит. ;)

>Отключение входа суперпользователя по SSH

Это не какое то редкое требование, а вполне обычное.
В отличии, например, от user_namespaces.

>>Админ сетки бог, ему никто не указ.

Бог, но нанятый за зарплату, для выполнения конкретных работ, более крутым богом. ;)

Ответить | Правка | Наверх | Cообщить модератору

155. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +1 +/
Сообщение от Аноним (155), 24-Янв-23, 18:30 
Требование отключать доступ по SSH напрямую к root вводит в заблуждение. Нет никакой разницы между тем, получите вы доступ к тачке по SSH через пользователя, у которого само собой есть wheel и он может без пароля просто поменяться в root (или, если вы шиз и зачем-то пускаете людей по ssh на тачки, не давая им возможность настроить что-то от root, тот же самый nginx в /etc, попытаться использовать какой-то свежий эксплоит или иным образом напакастить на машине), или напрямую в root. Единственный смысл от этого только в логе того, кто под каким пользователем и ключом заходил, но такие логи тоже имеют смысл только если они отправляются наружу перед тем, как пустить кого-то на сервер. sshd, если имеет какие-то уязвимости, уже работает из-под root. Плюс sudo вообще не обязателен для нормального функционирования системы, а тут на него (с этой рекомендацией ограничивать доступ к su) делается вся ставка, хотя не понятно зачем.
Ответить | Правка | Наверх | Cообщить модератору

185. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +1 +/
Сообщение от OpenEcho (?), 25-Янв-23, 01:17 
> Плюс sudo вообще не обязателен для нормального функционирования системы, а тут на него (с этой рекомендацией ограничивать доступ к su) делается вся ставка, хотя не понятно зачем.

Вероятно кто свято верит в sudo пытаясь защитить замок другим замком забывая простую истину, чем больше програм тем выше шанс вулнерабилити

https://www.cvedetails.com/vulnerability-list/vendor_id-118/...

Ответить | Правка | Наверх | Cообщить модератору

238. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от швондер (?), 27-Янв-23, 20:38 
>[оверквотинг удален]
> зачем-то пускаете людей по ssh на тачки, не давая им возможность
> настроить что-то от root, тот же самый nginx в /etc, попытаться
> использовать какой-то свежий эксплоит или иным образом напакастить на машине), или
> напрямую в root. Единственный смысл от этого только в логе того,
> кто под каким пользователем и ключом заходил, но такие логи тоже
> имеют смысл только если они отправляются наружу перед тем, как пустить
> кого-то на сервер. sshd, если имеет какие-то уязвимости, уже работает из-под
> root. Плюс sudo вообще не обязателен для нормального функционирования системы, а
> тут на него (с этой рекомендацией ограничивать доступ к su) делается
> вся ставка, хотя не понятно зачем.

угадай логин для начала.

Ответить | Правка | К родителю #155 | Наверх | Cообщить модератору

184. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +1 +/
Сообщение от OpenEcho (?), 25-Янв-23, 01:12 
>>Отключение входа суперпользователя по SSH
> Это не какое то редкое требование, а вполне обычное.

Ну если про
```
    PermitRootLogin prohibit-password                                                                                                                                                    
    PubkeyAuthentication yes                                                                                                                                                              
    PasswordAuthentication no
```

не слышали, то оно конечно...

Я уж не говорю про то, что рулить доступом через SSH сертификаты  можно даже для рутов

Ответить | Правка | К родителю #90 | Наверх | Cообщить модератору

186. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от _kp (ok), 25-Янв-23, 01:31 
>  можно даже для рутов

Можно. Я имел ввиду, что запрет логина под root, встречается часто, и не вызвал удивления. Если уж докапываться, так это пережиток прошлого, появившийся до примегения ssh.

Ответить | Правка | Наверх | Cообщить модератору

207. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +2 +/
Сообщение от OpenEcho (?), 25-Янв-23, 20:03 
> Я имел ввиду, что запрет логина под root, встречается часто, и не вызвал удивления.

У меня запрет рутам заходить как рут - давно вызывает удивление, - это как у страусов, засунул башку в песок и думает что его не видно, а то что заставлять рутов светить пароли в вечо висящий агент, кэширующий ключи - которые при удобном случае могут быть дампнуты - то это до таких специалистов то секюриту доходет сложно

> Если уж докапываться, так это пережиток прошлого

Согласен, но документ то вот довольно свеженький, не студенты небось копи пастили

Ответить | Правка | Наверх | Cообщить модератору

242. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Аноним (242), 28-Янв-23, 20:35 
>агент, кэширующий ключи - которые при удобном случае могут быть дампнуты

Используйте агента, спрашивающего, можно ли отдать ключ тому то и тому то.

Ответить | Правка | Наверх | Cообщить модератору

243. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от OpenEcho (?), 29-Янв-23, 06:10 
>>агент, кэширующий ключи - которые при удобном случае могут быть дампнуты
> Используйте агента, спрашивающего, можно ли отдать ключ тому то и тому то.

Это gpg или ssh которые? Ну так они тоже IV хранят в памяти, и к стати назойливо/принудительное присутствие gpg агента (которое как бы случайно появилось после вскормления мордокнигой) очень напоминает - "мы лучше знаем что вам надо" и не вызывает никакого доверия


Ответить | Правка | Наверх | Cообщить модератору

84. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  –2 +/
Сообщение от Аноним (84), 24-Янв-23, 14:14 
почему это не плейбук для ансибла?
Ответить | Правка | Наверх | Cообщить модератору

140. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Аноним (134), 24-Янв-23, 17:19 
дак сделай. Тебе тут никто ничем не обязан.
Ответить | Правка | Наверх | Cообщить модератору

87. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +3 +/
Сообщение от Аноним (87), 24-Янв-23, 14:20 
Видно толковый человек поработал над написанием документа, что выглядит очень и очень странно...
Ответить | Правка | Наверх | Cообщить модератору

89. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +2 +/
Сообщение от Аноним (86), 24-Янв-23, 14:23 
А что странного?
Ответить | Правка | Наверх | Cообщить модератору

99. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +1 +/
Сообщение от Аноним (134), 24-Янв-23, 14:55 
Ему не понравилось, что дырку с libXpm заткнули этими правилами...
Ответить | Правка | Наверх | Cообщить модератору

120. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +1 +/
Сообщение от pavlinux (ok), 24-Янв-23, 15:58 
init_on_free=1
slub_debug=FZ
page_alloc.shuffle=1

vm.mmap_rnd_bits=32
vm.mmap_rnd_compat_bits=16

у кого ECC RAM - mce=0


Ответить | Правка | Наверх | Cообщить модератору

128. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  –3 +/
Сообщение от fuggy (ok), 24-Янв-23, 16:39 
В целом советы полезные, но

>Установить корректные права доступа к исполняемым файлам и библиотекам

Так разве не везде на /bin /usr/bin стоит только чтение.
>удаления SUID/SGID-флагов с лишних

Как понять какие лишние?
>mitigations=auto,nosmt

Отключаем гипертрединг и прочее, и получаем тормозную систему. Правильно если система тормозит, то тогда уязвимостей не будет. А если вообще не включать, то ни один хакер не доберётся.

Такое чувство будто надёргали случайных советов из linux hardening и готово.

Ответить | Правка | Наверх | Cообщить модератору

137. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Аноним (134), 24-Янв-23, 17:16 
> Так разве не везде на /bin /usr/bin стоит только чтение

Открой недавнюю тему про libXpm... поймёшь, про что речь.

Ответить | Правка | Наверх | Cообщить модератору

148. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  –1 +/
Сообщение от Попандопала (?), 24-Янв-23, 17:53 
Я зря xterm удалял?
Ответить | Правка | Наверх | Cообщить модератору

170. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +1 +/
Сообщение от Аноним (146), 24-Янв-23, 22:46 
>Отключаем гипертрединг и прочее

Уточните что именно прочее? mitigations=auto включает смягчение всех известных уязвимостей в процессоре
>Отключаем гипертрединг

ФСТЭК ни одни такие "умные", разработчики OpenBSD тоже отключили hyper-threading, только у всех. Это демонстрирует их реальный уровень во всей красе.

>Такое чувство будто надёргали случайных советов из linux hardening и готово.

Как хорошо, общаться с таким по настоящему умным и проницательным человеком, как вы. Вы видите эту контору насквозь.

Ответить | Правка | К родителю #128 | Наверх | Cообщить модератору

196. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  –2 +/
Сообщение от Аноним (195), 25-Янв-23, 06:24 
Покупаем 40 ядер 80 потоков Xeon Platinum 8380 за миллион рублей и отключаем у него 40 потоков. Что не смеётесь? Что не поняли да? Это Россия!
Ответить | Правка | Наверх | Cообщить модератору

198. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +2 +/
Сообщение от Аноним (198), 25-Янв-23, 07:25 
Покупаем 40 ядер 80 потоков Xeon Platinum 8380 за много тысяч долларов, ставим на него openbsd и у него отключаются 40 потоков. Что не смеётесь? Что не поняли да? Это США!
 
Ответить | Правка | Наверх | Cообщить модератору

200. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +1 +/
Сообщение от Аноним (200), 25-Янв-23, 09:15 
И будет ли выигрыш от виртуальных процессоров больше чем накладные расходы на синхронизацию это не очевидно.
В прочем, для профессиональных экспертов с опеннет всё всегда очевидно
Ответить | Правка | Наверх | Cообщить модератору

205. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +2 +/
Сообщение от pavlinux (ok), 25-Янв-23, 12:19 
> Что не смеётесь?

После патчей от Spectre, Meltdown, Retbleed и т.п., гыпертрединг бесполезен.

Ответить | Правка | К родителю #196 | Наверх | Cообщить модератору

141. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +2 +/
Сообщение от Аноним (141), 24-Янв-23, 17:21 
Самое главное забыли `apt install safe-rm`

А вообще советую ещё монтировать хомяк с noexec.

> Отключаем гипертрединг

Ты путаешь потоки и ядра. Лучше б его вообще не изобретали.

Ответить | Правка | Наверх | Cообщить модератору

159. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +3 +/
Сообщение от Аноним (134), 24-Янв-23, 19:22 
> монтировать хомяк с noexec

+100500!

Ответить | Правка | Наверх | Cообщить модератору

247. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Аноним (244), 03-Фев-23, 14:34 
> А вообще советую ещё монтировать хомяк с noexec.

/home, /proc, /sys, /tmp, /var, ... - nodev,noexec,nosuid,rw

/dev - noexec,nosuid,rw

/, /opt, /usr, - nodev,ro

Проверка:

mount |grep -v -E '(noexec|ro),'

Не должно ничего выводить!

Ответить | Правка | К родителю #141 | Наверх | Cообщить модератору

151. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от FreeStyler (ok), 24-Янв-23, 18:16 
А скрипт делающий это всё не выпустили? -__-
Ответить | Правка | Наверх | Cообщить модератору

154. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +2 +/
Сообщение от Аноним (113), 24-Янв-23, 18:27 
Но ведь ты исправишь эту оплошность?)
Ответить | Правка | Наверх | Cообщить модератору

173. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  –1 +/
Сообщение от Аноним (173), 24-Янв-23, 23:14 
Все это уже давно применяется в дистрибутивах.
Ответить | Правка | К родителю #151 | Наверх | Cообщить модератору

248. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Аноним (244), 03-Фев-23, 14:39 
Есть скрипты для проверки!

Lynis, ...

https://en.wikipedia.org/wiki/Lynis

https://habr.com/ru/company/vdsina/blog/503148/

Ответить | Правка | К родителю #151 | Наверх | Cообщить модератору

183. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +2 +/
Сообщение от OpenEcho (?), 25-Янв-23, 00:47 
Странно, усё так завинченно, а про банальный

   proc /proc proc    nodev,noexec,nosuid,hidepid=2  0  0

в fstab забыли, пущай типа все юзеры видят все процессы других

Ответить | Правка | Наверх | Cообщить модератору

188. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +2 +/
Сообщение от Аноним (188), 25-Янв-23, 01:54 
https://wiki.debian.org/Hardening#Runtime_hardening  с systemd плохо сочетается.
Когда я так делал, у меня еще и sway перестал запускаться.
Ответить | Правка | Наверх | Cообщить модератору

189. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Попандопала (?), 25-Янв-23, 02:01 
А мне прикольнуло,как у бздунов прям.D
Ответить | Правка | Наверх | Cообщить модератору

190. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +5 +/
Сообщение от Аноним (134), 25-Янв-23, 02:09 
> с systemd плохо сочетается.

Очевидно, что сначала надо от системды избавиться.

Ответить | Правка | К родителю #188 | Наверх | Cообщить модератору

208. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от OpenEcho (?), 25-Янв-23, 20:07 
> https://wiki.debian.org/Hardening#Runtime_hardening  с systemd плохо сочетается.
> Когда я так делал, у меня еще и sway перестал запускаться.

Да маковка о которой я хотел сказать - это hidepid=2
который скрывет показ не своих процессов, хотя и этого в линуксе недостаточно, т.к. в /proc по умолчанию доступно почти все на чтение всем

Ответить | Правка | К родителю #188 | Наверх | Cообщить модератору

219. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Аноним (219), 26-Янв-23, 00:10 
Именно об hidepid=2 и речь. Или ты только в fstab это прописал и думаешь, что у тебя всё работает, как надо? )
Ответить | Правка | Наверх | Cообщить модератору

220. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +1 +/
Сообщение от OpenEcho (?), 26-Янв-23, 00:30 
> Именно об hidepid=2 и речь. Или ты только в fstab это прописал
> и думаешь, что у тебя всё работает, как надо? )

А ты уверен, что до конца прочитал мой предыдущий пост?

Ответить | Правка | Наверх | Cообщить модератору

245. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Аноним (244), 03-Фев-23, 14:21 
> Запретить подключение к другим процессам с помощью ptrace (sysctl -w kernel.yama.ptrace_scope=3).

YAMA даст больше защиты процессов.

Ответить | Правка | К родителю #183 | Наверх | Cообщить модератору

246. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Аноним (244), 03-Фев-23, 14:23 
Хотя hidepid=2 у меня тоже стоит.
Ответить | Правка | Наверх | Cообщить модератору

221. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +2 +/
Сообщение от pavlinux (ok), 26-Янв-23, 00:52 
Кто забыл, и кому нужен "скрипт" для генерации конфига.
Уже лет 5 как Попов замутил такой:

https://github.com/a13xp0p0v/kconfig-hardened-check

Ответить | Правка | Наверх | Cообщить модератору

252. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."  +/
Сообщение от Аноним (252), 04-Фев-23, 17:48 
KSPP:
https://www.kernel.org/doc/html/latest/security/self-protect...
https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Pr...

GrSecurity:
https://en.m.wikibooks.org/wiki/Grsecurity/Appendix/Grsecuri...

Gentoo:
https://wiki.gentoo.org/wiki/Hardened_Gentoo
https://wiki.gentoo.org/wiki/Project:Hardened
https://wiki.gentoo.org/wiki/Security_Handbook

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру