895 подписчиков

Блокировка интерпретаторов в Astra Linux 1.7

622 прочитали
Технологии
Больше по теме

Для нейтрализации угроз эксплуатирующих ряд уязвимостей в Astra Linux 1.7 есть возможность для непривилегированных пользователей активировать блокировку интерпретаторов, и  интерпретатора bash. Блокировка интерпретатора bash может ограничить функционал некоторых программ и служб, не очевидным образом использующих bash, что приведет к нарушению штатной работы ОС, поэтому его необходимо включать после предварительного тестирования в Вашей системе.

После блокировки интерпретатора bash консольный вход пользователей с оболочкой bash будет невозможен. Интерпретатор Bash не будет запускаться, это не позволит пользователям выполнять произвольные команды. Так же будут недоступны терминалы на основе Bash. При этом запуск скриптов не блокируется !

Запуск терминала пользователем с включенным запретом интерпретаторов.
Запуск терминала пользователем с включенным запретом интерпретаторов.

При блокировке интерпретаторов кроме Bash для пользователей блокируется только непосредственный запуск интерпретаторов, а запуск скриптов так же не блокируется.

При включении блокировки интерпретаторов автоматически включиться настройка - запрет установки бита исполнения для всех пользователей, включая администраторов. Блокировка интерпретаторов без запрета установки бита исполнения не имеет смысла.

Включение блокировки интерпретаторов в графике.

Есть два варианта включения блокировки интерпретаторов - в графике и без графики.

Блокировку интерпретаторов можно включить используя графическую утилиту fly-admin-smc запущенную с правами высокоцелостного администратора.

Пуск — Панель управления — Безопасность — Политика безопасности - Настройки безопасности — Политика консоли и интерпретаторов и на рабочей панели установить следующие флаги:

  • Включить блокировку интерпретатора Bash для пользователей;
  • Включить блокировку интерпретаторов кроме Bash для пользователей;

и нажать применить (зеленая галочка).

Блокировка интерпретаторов
Блокировка интерпретаторов

Включение блокировки интерпретаторов в консоли.

Для включения блокировки интерпретаторов (кроме интерпретатора bash):

sudo astra-interpreters-lock enable

Для проверки состояния блокировки интерпретаторов:

sudo astra-interpreters-lock status

Если блокировка включена, то результатом выполнения команды будет вывод сообщения - АКТИВНО:

Блокировка включена
Блокировка включена

Для включения блокировки интерпретатора bash:

sudo astra-bash-lock enable

Для проверки состояния блокировки интерпретатора bash:

sudo astra-bash-lock status

Если блокировка включена, то результатом выполнения команды будет вывод сообщения - АКТИВНО:

Блокировка включена
Блокировка включена

Для нейтрализации угроз эксплуатирующих ряд уязвимостей в Astra Linux 1.7 есть возможность для непривилегированных пользователей активировать блокировку интерпретаторов, и  интерпретатора bash.-5

#блокировка интерпретаторов #astra linux #астра линукс #astra linux 1.7 #астра линукс 1.7