Astra Linux.Справка.Su — различия между версиями
Админ (обсуждение | вклад) м |
Админ (обсуждение | вклад) м |
||
Строка 55: | Строка 55: | ||
[[Категория:Как сделать]] | [[Категория:Как сделать]] | ||
[[Категория:Справка]] | [[Категория:Справка]] | ||
− |
Текущая версия на 16:30, 7 февраля 2016
В сети Интернет в 2013 году возникали публикации, связанные с выявлением уязвимостей в операционной системе специального назначения "Astra Linux Special Edition".
В связи с этим вынуждены напомнить, что следование требованиям эксплуатационной документации является обязательным условием при использовании операционной системы, указанным в сертификатах соответствия. Исполнение требований документации, а также дополнительных пошаговых инструкций (рекомендаций), размещаемых и, при необходимости, обновляемых разработчиками в настоящем разделе, позволит полноценно использовать возможности нашего продукта и исключит возникновение ошибок администрирования и каналов утечки информации в ходе эксплуатации.
Кроме того, информируем, что в рабочую конструкторскую документацию операционной системы "Astra Linux Special Edition" версии 1.4 внесены изменения, направленные на повышение защищенности, в том числе исключена возможность эксплуатации команды su для смены мандатного контекста пользователя.
Инструкция по настройке su для версий 1.2 и 1.3
Использование утилиты su является потенциально опасной операцией. В соответствии с пунктом 1.2.2 документа РУСБ.10015-01 95 01 "Руководство администратора" ее запуск должен быть разрешен только доверенным пользователям.
Предлагается ограничить доступ пользователей к утилите su с использованием средств дискреционного контроля доступа, выполнив от имени суперпользователя root следующий набор действий:
- Создание группы пользователей, которые имеют право использования утилиты su.
#groupadd suusers
- Изменение группы-владельцев утилиты su.
#chown root:suusers /bin/su
- Изменение дискреционных прав доступа к утилите su (удаление прав доступа всех пользователей и предоставление доступа на чтение и выполнение пользователям, входящим в группу suusers).
#chmod 750 /bin/su
Кроме того необходимо запретить даже доверенных пользователей изменение мандатного контекста сессии с использованием утилиты su, выполнив от имени суперпользователя root следующий набор действий:
- Удаление использования PAM-модулей подсистемы безопасности PARSEC из сценариев PAM.
#parsec_pam del
- Выполнить редактирование файлов-скриптов для настройки сценариев PAM на использование PAM-модулей подсистемы безопасности PARSEC. Отредактировать файл /usr/lib/parsec/pam.d/10_mac, заменив строку
pamcommon="login su"
на строку
pamcommon="login"
Отредактировать файл /usr/lib/parsec/pam.d/20_cap, заменив строку
pamcommon="login su sumac sumac.xauth fly-dm fly-dm-np"
на строку
pamcommon="login sumac sumac.xauth fly-dm fly-dm-np"
- Добавление использования PAM-модулей подсистемы безопасности PARSEC в сценарии PAM.
#parsec_pam add