Наш wiki-портал переехал на новый движок и доступен по адресу http://wiki.astralinux.ru

Эта версия портала обновляться больше не будет.

Su

Материал из AstraLinux Wiki
Перейти к: навигация, поиск

В сети Интернет в 2013 году возникали публикации, связанные с выявлением уязвимостей в операционной системе специального назначения "Astra Linux Special Edition".

В связи с этим вынуждены напомнить, что следование требованиям эксплуатационной документации является обязательным условием при использовании операционной системы, указанным в сертификатах соответствия. Исполнение требований документации, а также дополнительных пошаговых инструкций (рекомендаций), размещаемых и, при необходимости, обновляемых разработчиками в настоящем разделе, позволит полноценно использовать возможности нашего продукта и исключит возникновение ошибок администрирования и каналов утечки информации в ходе эксплуатации.

Кроме того, информируем, что в рабочую конструкторскую документацию операционной системы "Astra Linux Special Edition" версии 1.4 внесены изменения, направленные на повышение защищенности, в том числе исключена возможность эксплуатации команды su для смены мандатного контекста пользователя.

Инструкция по настройке su для версий 1.2 и 1.3

Использование утилиты su является потенциально опасной операцией. В соответствии с пунктом 1.2.2 документа РУСБ.10015-01 95 01 "Руководство администратора" ее запуск должен быть разрешен только доверенным пользователям.

Предлагается ограничить доступ пользователей к утилите su с использованием средств дискреционного контроля доступа, выполнив от имени суперпользователя root следующий набор действий:

  • Создание группы пользователей, которые имеют право использования утилиты su.


#groupadd suusers

  • Изменение группы-владельцев утилиты su.


#chown root:suusers /bin/su

  • Изменение дискреционных прав доступа к утилите su (удаление прав доступа всех пользователей и предоставление доступа на чтение и выполнение пользователям, входящим в группу suusers).


#chmod 750 /bin/su

Кроме того необходимо запретить даже доверенных пользователей изменение мандатного контекста сессии с использованием утилиты su, выполнив от имени суперпользователя root следующий набор действий:

  • Удаление использования PAM-модулей подсистемы безопасности PARSEC из сценариев PAM.


#parsec_pam del

  • Выполнить редактирование файлов-скриптов для настройки сценариев PAM на использование PAM-модулей подсистемы безопасности PARSEC. Отредактировать файл /usr/lib/parsec/pam.d/10_mac, заменив строку


pamcommon="login su"

на строку

pamcommon="login"

Отредактировать файл /usr/lib/parsec/pam.d/20_cap, заменив строку

pamcommon="login su sumac sumac.xauth fly-dm fly-dm-np"

на строку

pamcommon="login sumac sumac.xauth fly-dm fly-dm-np"

  • Добавление использования PAM-модулей подсистемы безопасности PARSEC в сценарии PAM.


#parsec_pam add

Личные инструменты
Пространства имён

Варианты
Действия
Навигация
Инструменты