Для нейтрализации угроз эксплуатирующих ряд уязвимостей в Astra Linux 1.7 есть возможность для непривилегированных пользователей активировать блокировку интерпретаторов, и интерпретатора bash. Блокировка интерпретатора bash может ограничить функционал некоторых программ и служб, не очевидным образом использующих bash, что приведет к нарушению штатной работы ОС, поэтому его необходимо включать после предварительного тестирования в Вашей системе.
После блокировки интерпретатора bash консольный вход пользователей с оболочкой bash будет невозможен. Интерпретатор Bash не будет запускаться, это не позволит пользователям выполнять произвольные команды. Так же будут недоступны терминалы на основе Bash. При этом запуск скриптов не блокируется !
При блокировке интерпретаторов кроме Bash для пользователей блокируется только непосредственный запуск интерпретаторов, а запуск скриптов так же не блокируется.
При включении блокировки интерпретаторов автоматически включиться настройка - запрет установки бита исполнения для всех пользователей, включая администраторов. Блокировка интерпретаторов без запрета установки бита исполнения не имеет смысла.
Включение блокировки интерпретаторов в графике.
Есть два варианта включения блокировки интерпретаторов - в графике и без графики.
Блокировку интерпретаторов можно включить используя графическую утилиту fly-admin-smc запущенную с правами высокоцелостного администратора.
Пуск — Панель управления — Безопасность — Политика безопасности - Настройки безопасности — Политика консоли и интерпретаторов и на рабочей панели установить следующие флаги:
- Включить блокировку интерпретатора Bash для пользователей;
- Включить блокировку интерпретаторов кроме Bash для пользователей;
и нажать применить (зеленая галочка).
Включение блокировки интерпретаторов в консоли.
Для включения блокировки интерпретаторов (кроме интерпретатора bash):
sudo astra-interpreters-lock enable
Для проверки состояния блокировки интерпретаторов:
sudo astra-interpreters-lock status
Если блокировка включена, то результатом выполнения команды будет вывод сообщения - АКТИВНО:
Для включения блокировки интерпретатора bash:
sudo astra-bash-lock enable
Для проверки состояния блокировки интерпретатора bash:
sudo astra-bash-lock status
Если блокировка включена, то результатом выполнения команды будет вывод сообщения - АКТИВНО:
#блокировка интерпретаторов #astra linux #астра линукс #astra linux 1.7 #астра линукс 1.7