В сети Интернет в 2013 году возникали публикации, связанные с выявлением уязвимостей в операционной системе специального назначения "Astra Linux Special Edition".

В связи с этим вынуждены напомнить, что следование требованиям эксплуатационной документации является обязательным условием при использовании операционной системы, указанным в сертификатах соответствия. Исполнение требований документации, а также дополнительных пошаговых инструкций (рекомендаций), размещаемых и, при необходимости, обновляемых разработчиками в настоящем разделе, позволит полноценно использовать возможности нашего продукта и исключит возникновение ошибок администрирования и каналов утечки информации в ходе эксплуатации.

Кроме того, информируем, что в рабочую конструкторскую документацию операционной системы "Astra Linux Special Edition" версии 1.4 внесены изменения, направленные на повышение защищенности, в том числе исключена возможность эксплуатации команды su для смены мандатного контекста пользователя.

Инструкция по настройке su для версий 1.2 и 1.3

Использование утилиты su является потенциально опасной операцией. В соответствии с пунктом 1.2.2 документа РУСБ.10015-01 95 01 "Руководство администратора" ее запуск должен быть разрешен только доверенным пользователям.

Предлагается ограничить доступ пользователей к утилите su с использованием средств дискреционного контроля доступа, выполнив от имени суперпользователя root следующий набор действий:

• Создание группы пользователей, которые имеют право использования утилиты su.
  

#groupadd suusers

• Изменение группы-владельцев утилиты su.
  

#chown root:suusers /bin/su

• Изменение дискреционных прав доступа к утилите su (удаление прав доступа всех пользователей и предоставление доступа на чтение и выполнение пользователям, входящим в группу suusers).
  

#chmod 750 /bin/su

Кроме того необходимо запретить даже доверенных пользователей изменение мандатного контекста сессии с использованием утилиты su, выполнив от имени суперпользователя root следующий набор действий:

• Удаление использования PAM-модулей подсистемы безопасности PARSEC из сценариев PAM.
  

#parsec_pam del

• Выполнить редактирование файлов-скриптов для настройки сценариев PAM на использование PAM-модулей подсистемы безопасности PARSEC. Отредактировать файл /usr/lib/parsec/pam.d/10_mac, заменив строку
  

pamcommon="login su"

на строку

pamcommon="login"

Отредактировать файл /usr/lib/parsec/pam.d/20_cap, заменив строку

pamcommon="login su sumac sumac.xauth fly-dm fly-dm-np"

на строку

pamcommon="login sumac sumac.xauth fly-dm fly-dm-np"

• Добавление использования PAM-модулей подсистемы безопасности PARSEC в сценарии PAM.
  

#parsec_pam add