Astra Linux.Справка.Su — различия между версиями
Админ (обсуждение | вклад) (Новая страница: «В сети Интернет в 2013 году возникали публикации, связанные с выявлением уязвимостей в опе…») |
Админ (обсуждение | вклад) м |
||
(не показана 1 промежуточная версия этого же участника) | |||
Строка 50: | Строка 50: | ||
<big><code>#parsec_pam add</code></big><br> | <big><code>#parsec_pam add</code></big><br> | ||
<br> | <br> | ||
+ | |||
+ | |||
+ | [[Категория:Astra Linux]] | ||
+ | [[Категория:Как сделать]] | ||
+ | [[Категория:Справка]] |
Текущая версия на 16:30, 7 февраля 2016
В сети Интернет в 2013 году возникали публикации, связанные с выявлением уязвимостей в операционной системе специального назначения "Astra Linux Special Edition".
В связи с этим вынуждены напомнить, что следование требованиям эксплуатационной документации является обязательным условием при использовании операционной системы, указанным в сертификатах соответствия. Исполнение требований документации, а также дополнительных пошаговых инструкций (рекомендаций), размещаемых и, при необходимости, обновляемых разработчиками в настоящем разделе, позволит полноценно использовать возможности нашего продукта и исключит возникновение ошибок администрирования и каналов утечки информации в ходе эксплуатации.
Кроме того, информируем, что в рабочую конструкторскую документацию операционной системы "Astra Linux Special Edition" версии 1.4 внесены изменения, направленные на повышение защищенности, в том числе исключена возможность эксплуатации команды su для смены мандатного контекста пользователя.
Инструкция по настройке su для версий 1.2 и 1.3
Использование утилиты su является потенциально опасной операцией. В соответствии с пунктом 1.2.2 документа РУСБ.10015-01 95 01 "Руководство администратора" ее запуск должен быть разрешен только доверенным пользователям.
Предлагается ограничить доступ пользователей к утилите su с использованием средств дискреционного контроля доступа, выполнив от имени суперпользователя root следующий набор действий:
- Создание группы пользователей, которые имеют право использования утилиты su.
#groupadd suusers
- Изменение группы-владельцев утилиты su.
#chown root:suusers /bin/su
- Изменение дискреционных прав доступа к утилите su (удаление прав доступа всех пользователей и предоставление доступа на чтение и выполнение пользователям, входящим в группу suusers).
#chmod 750 /bin/su
Кроме того необходимо запретить даже доверенных пользователей изменение мандатного контекста сессии с использованием утилиты su, выполнив от имени суперпользователя root следующий набор действий:
- Удаление использования PAM-модулей подсистемы безопасности PARSEC из сценариев PAM.
#parsec_pam del
- Выполнить редактирование файлов-скриптов для настройки сценариев PAM на использование PAM-модулей подсистемы безопасности PARSEC. Отредактировать файл /usr/lib/parsec/pam.d/10_mac, заменив строку
pamcommon="login su"
на строку
pamcommon="login"
Отредактировать файл /usr/lib/parsec/pam.d/20_cap, заменив строку
pamcommon="login su sumac sumac.xauth fly-dm fly-dm-np"
на строку
pamcommon="login sumac sumac.xauth fly-dm fly-dm-np"
- Добавление использования PAM-модулей подсистемы безопасности PARSEC в сценарии PAM.
#parsec_pam add