4410 подписчиков
ФСТЭК РФ опубликовал (https:/...33)
рекомендации по обеспечению безопасной настройки Linux
Основные рекомендации:
Запрет учётных записей пользователей с пустыми паролями.
Отключение входа суперпользователя по SSH (PermitRootLogin=no в /etc/ssh/sshd_config)
Инициализировать нулями динамическую память ядра (параметр init_on_alloc=1 при загрузке)
Запрет слияния кэшей slab-аллокатора ядра (параметр slab_nomerge при загрузке)
Инициализировать механизм IOMMU (параметры iommu=force, iommu.strict=1 и iommu.passthrough=0 при загрузке)
Рандомизировать расположение ядерного стека (параметр randomize_kstack_offset=1 при загрузке)
Включить защиту от аппаратных уязвимостей CPU (параметр mitigations=auto,nosmt при загрузке)
Включить защиту подсистемы eBPF (sysctl -w net.core.bpf_jit_harden=2)
Отключить устаревший интерфейс vsyscall (параметр vsyscall=none при загрузке)
Ограничить доступ к событиям производительности (sysctl -w kernel.perf_event_paranoid=3)
Запретить системный вызов bpf для непривилегированных пользователей (sysctl -w kernel.unprivileged_bpf_disabled=1)
Запретить системный вызов userfaultfd для непривилегированных пользователей (sysctl -w vm.unprivileged_userfaultfd=0)
Запретить автоматическую загрузку модулей ядра, связанных с TTY Line Discipline (sysctl -w dev.tty.ldisc_autoload=0)
Отключить технологию TSX (Transactional Synchronization Extensions) (параметр tsx=off при загрузке)
1 минута
27 января 2023
231 читали