Содержание

ВВЕДЕНИЕ......................................................................... 7

1 Характеристика организации (места практики)..................................................................... 10

2 Подготовка лабораторной среды.............. 11

2.1 Выбор и развертывание дистрибутива Linux........ 11

2.2 Настройка базовой функциональности и подготовка к hardening'у................................................................ 11

3 Анализ требований ФСТЭК к сертифицированным ОС и их значения для обеспечения безопасности.............................. 13

3.1 Гарантированный уровень защиты "из коробки" Суть сертификации ФСТЭК....................................... 13

3.2 Классы защиты (КЗ) и Уровни доверия к безопасности (УКЗ): Маркеры "Готовой" Защиты и Гарантий..................................................................... 14

3.3 Реальность "Готовой Защиты": Примеры из Реестра ФСТЭК....................................................................... 15

4 Практическое укрепление ОС Alt Workstation p11.0 по рекомендациям ФСТЭК.............................................................................. 17

4.1 Настройка подсистемы авторизации и аутентификации............................................................ 17

4.1.1 Запрет учетных записей с пустыми паролями:Система Linux (через модуль PAM pam_unix.so) по умолчанию блокирует вход по SSH для пользователей с пустым паролем, даже если пароль явно удален. Это соответствует требованиям безопасности ФСТЭК.фото№1_1:.............................. 17

4.1.2 Отключение входа суперпользователя (root) по SSH:............................................................................ 18

4.2 Ограничение механизмов получения привилегий. 21

4.2.1 Ограничение доступа к команде su:................... 21

4.2.2 Настройка прав доступа к команде sudo:............ 23

4.3 Настройка прав доступа к объектам файловой системы......................................................................... 26

4.3.1 Защита системных файлов аутентификации...... 26

4.3.2 Ограничение прав на исполняемые файлы......... 27

4.3.3 Защита планировщика заданий (cron) фото№3_2.................................................................................... 27

4.3.4 Настройка прав для файлов, выполняемых через sudo............................................................................. 28

4.3.5 Настройка прав доступа к стартовым скриптам системы....................................................................... 29

4.3.6. Права доступа к системным cron-файлам.......... 31

4.3.7 Права доступа к пользовательским cron-файлам 33

4.3.8. Настройка прав доступа к исполняемым файлам и библиотекам............................................................. 34

4.3.9. Аудит SUID/SGID-приложений........................ 36

4.3.10 Права доступа к файлам в домашних директориях................................................................ 39

4.3.11 Настройка прав доступа к домашним директориям пользователей........................................ 41

4.4 Настройка механизмов защиты ядра Linux......... 43

4.4.1. Ограничение доступа к журналу ядра (kernel.dmesg_restrict)................................................. 43

4.4.2. Замена ядерных адресов на 0 (kernel.kptr_restrict).................................................................................... 45

4.4.3-4.4.7 Рекомендаций ФСТЭК............................... 46

4.4.8 Настройка защиты eBPF JIT (bpf_jit_harden)...... 50

2.5. Уменьшение периметра атаки ядра Linux.......... 53

2.5.1. Отключение устаревшего интерфейса vsyscall.. 53

2.5.2. Ограничение доступа к событиям производительности................................................... 54

2.5.3. Отключение системного вызова kexec_load...... 54

2.5.4. Ограничение использования user namespaces.... 54

2.5.5. Запрет использования BPF для непривилегированных пользователей......................... 55

2.5.6. Запрет системного вызова userfaultfd для непривилегированных пользователей......................... 55

2.5.7. Запрет автоматической загрузки line disciplines 55

2.5.8. Настройка mmap_min_addr................................ 56

2.5.9. Включение рандомизации адресного пространства............................................................... 56

2.6. Настройка средств защиты пользовательского пространства со стороны ядра Linux.......................... 56

2.6.1. Ограничение использования ptrace.................... 56

2.6.2. Защита от небезопасных символьных ссылок... 57

2.6.3. Защита от небезопасных жестких ссылок......... 57

2.6.4. Защита от непреднамеренной записи в FIFO-объект......................................................................... 57

2.6.5. Защита от непреднамеренной записи в файл..... 58

2.6.6. Запрет создания core dump для SUID-программ 58

ЗАКЛЮЧЕНИЕ................................................................ 59

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ....... 60

Что вы покупаете?

Полный отчёт о прохождении учебно-технологической практики в Акционерном обществе ТВЭЛ, посвящённый защите несертифицированной операционной системы Linux в соответствии с методическими рекомендациями ФСТЭК России. Практика проводилась с 30 июня по 14 июля 2025 года и представляет собой комплексное исследование методов повышения защищенности операционных систем семейства Linux до уровня, требуемого для обработки конфиденциальной информации.

Работа включает детальный анализ требований ФСТЭК к сертифицированным операционным системам, классификацию уровней защиты (КЗ) и уровней доверия (УКЗ), а также практическое применение этих требований к несертифицированной платформе Alt Workstation p11.0, развёрнутой на виртуальной машине Oracle VirtualBox.

Основная часть отчёта охватывает практическое укрепление операционной системы по шести ключевым направлениям, определённым рекомендациями ФСТЭК. Первое направление включает настройку подсистемы авторизации и аутентификации, включая запрет учётных записей с пустыми паролями через модуль PAM (pam_unix.so) и отключение прямого входа суперпользователя root по SSH с установкой параметра PermitRootLogin no.

Второе направление посвящено ограничению механизмов получения привилегий путём ограничения доступа к командам su и sudo. Используя PAM-модуль pam_wheel.so, был реализован принцип, согласно которому только члены группы wheel получают право использовать команду su. Для sudo был настроен файл /etc/sudoers через visudo с разрешением выполнения команд только для привилегированных пользователей с обязательной аутентификацией.

Третье направление включает настройку прав доступа к объектам файловой системы, включая защиту системных файлов аутентификации (passwd, group, shadow) с установкой режимов 644 и 600 соответственно, ограничение прав на исполняемые файлы, защиту планировщика заданий cron, аудит SUID/SGID-приложений с удалением необоснованных привилегий с 26 файлов и восстановлением критически важных утилит (passwd, su, sudo).

Четвёртое направление охватывает настройку механизмов защиты ядра Linux, включая ограничение доступа к журналу ядра (kernel.dmesg_restrict = 1), замену ядерных адресов на 0 (kernel.kptr_restrict = 2), активацию защиты eBPF JIT (bpf_jit_harden = 2), а также добавление параметров загрузки для инициализации памяти (init_on_alloc=1, slab_nomerge), включения контроля IOMMU (iommu=force, iommu.strict=1) и рандомизации стека ядра (randomize_kstack_offset=1).

Пятое направление нацелено на уменьшение периметра атаки ядра Linux путём отключения устаревших интерфейсов (vsyscall=none), запрета монтирования debugfs (debugfs=off), отключения технологии TSX (tsx=off), ограничения доступа к инструментам производительности (kernel.perf_event_paranoid = 3), отключения kexec_load, ограничения user namespaces и BPF для непривилегированных пользователей, отключения userfaultfd и line discipline autoload.

Шестое направление включает настройку средств защиты пользовательского пространства со стороны ядра, включая ограничение ptrace (kernel.yama.ptrace_scope = 3), защиту от небезопасных символьных и жёстких ссылок (fs.protected_symlinks = 1, fs.protected_hardlinks = 1), защиту FIFO-объектов и регулярных файлов (fs.protected_fifos = 2, fs.protected_regular = 2), отключение создания core dump для SUID-программ (fs.suid_dumpable = 0) и включение полной рандомизации адресного пространства (ASLR).

Отчёт содержит детальное описание всех команд, результаты проверок, скриншоты выполненных операций и анализ соответствия проведённых настроек требованиям ФСТЭК. Приобретённые навыки по защитной настройке (hardening) операционных систем Linux имеют фундаментальное значение для профессиональной деятельности в сфере информационной безопасности и администрирования защищённых инфраструктур.