Alterator-secsetup: различия между версиями

Версия от 09:25, 4 марта 2021

Название пакета

alterator-secsetup

Назначение

alterator-secsetup включает два модуля: Настройки безопасности и Блокировка терминала. Модуль Настройки безопасности позволяет:

включить блокировку макросов в таких приложениях, как LibreOffice и VLC PLayer;
включить хэширование паролей пользователей по алгоритму ГОСТ Р 34.11-2012;
игнорировать биты SUID в двоичных файлах (возможны исключения);
запретить запуск выбранных интерпретаторов в интерактивном режиме;
отключить возможность создания ссылок на открытый файл в выбранных каталогах.

Внимание! Для использования всех возможностей модуля безопасности должен быть включен модуль AltHa (Alt Hardening) см. AltHa#Включение_модуля

Модуль Блокировка терминала позволяет ограничить определённым пользователям возможность использования определённых TTY.

Запуск

Модуль Настройки безопасности доступен в GUI (раздел Система ▷ Настройки безопасности):

Модуль Блокировка терминала доступен в GUI (раздел Система ▷ Блокировка терминала):

Использование модуля Настройки безопасности

Блокировка макросов в приложениях

Для того чтобы заблокировать макросы приложений (LibreOffice, LibreOffice-still и VLC) следует отметить пункт «Блокировать макросы приложений» и нажать кнопку «Применить».

Хэширование паролей по алгоритму ГОСТ Р 34.11-2012

Для того чтобы изменить типа хеша по умолчанию на gost-yescrypt необходимо отметить пункт «Включить хэширование паролей пользователей по алгоритму ГОСТ Р 34.11-2012» и нажать кнопку «Применить».

В результате все вновь создаваемые пароли пользователей будут использовать выбранный тип хэширования:

# passwd test
# passwd -S test
Password set, gost-yescrypt encryption.

Примечание: Старые пароли будут работать с прежним типом хэширования.

Запрет бита исполнения (SUID)

Если отметить пункт «Отключить влияние suid бита на привилегии порождаемого процесса», биты SUID во всех двоичных файлах, кроме явно перечисленных в поле «Исключения» будут игнорироваться в масштабе всей системы. Файлы, перечисленные в поле «Исключения», должны разделяться двоеточиями.

Блокировка интерпретаторов (запрет запуска скриптов)

При отмеченном пункте «Ограничить запуск интерпретаторов языков программирования в интерактивном режиме» блокируется несанкционированное использование интерпретатора для выполнения кода напрямую из командной строки. Список ограниченных интерпретаторов должен быть перечислен в поле «Интерпретаторы» (разделитель — двоеточие).

Примечание: В этой конфигурации:

все скрипты, начинающиеся с #!/usr/bin/env python, будут заблокированы:

$ ./new.py
/usr/bin/env: «python»: Операция не позволена
$ python new.py
bash: /usr/bin/python: Операция не позволена
$ cat new.py
#!/usr/bin/env python
print("Hello world")

Отключение возможности удаления открытых файлов

Для отключения возможности удаления открытых файлов следует установить отметку на пункте «Отключить возможность удаления открытых файлов». В поле «Каталоги» должны быть перечислены разделенные двоеточиями каталоги.

Примечание: Использовать этот механизм не рекомендуется.

Использование модуля Блокировка терминала

Для включения модуля необходимо установить отметку в поле «Возможность блокировки включена». Для каждого отдельного пользователя системы можно заблокировать любые необходимые TTY, для этого в окне «Список пользователей» необходимо выбрать пользователя, в окне «Список TTY» отметить консоли, которые должны быть заблокированы для данного пользователя, перенести их в окно «Заблокированные TTY» и нажать кнопку «Применить»:

Модуль является интерфейсом для файла конфигурации /etc/security/access.conf.

Модули Alterator

Модули Alterator • Alterator-bacula/client-backup/client • Alterator-bacula/client-backup/archive • Alterator-bacula/client-backup/schedule • Alterator-bacula/director • Alterator-audit • AlteratorLilo • AlteratorServices • Alterator-clamav • Alterator-pkg • Alterator/New/Modules/Postfix Dovecot • Alterator-mirror • Alterator-osec • Alterator-vsftpd • Alterator-bind • Alterator-logs • Alterator-squid • Alterator-squidmill • Alterator-quota • Alterator-root • Alterator-users • Alterator-ldap-users • Alterator-ldap-groups • Alterator-console • Alterator-sysinfo • Alterator-xinetd • Alterator-xkb • Alterator-ulogd • Alterator-bacula-client • Alterator-net-dnat • Alterator-net-iptables • Alterator-net-bl • Alterator-net-iptables-manual • Alterator-net-tc • Alterator-alternatives • Alterator-ahttpd-server • Alterator-ahttpd-power • Alterator-services • Alterator-sslkey • Alterator-datetime • Alterator-net-pptp • Alterator-net-pppoe • Alterator-net-l2tp • Alterator-net-routing • Alterator-snort • Alterator-asterisk-gateway • Alterator-asterisk-limits • Alterator-control • Alterator-sshd • Alterator-selinux-users • Alterator-net-vlan • Alterator-mkbootflash • Alterator-bird • Alterator-groups • Alterator-auth-token • Alterator-controlpp • Alterator-x11 • Alterator-printers • Alterator-sysconfig/proxy • Alterator-grub • Alterator-secsetup • Alterator-zram-swap • Alterator-gpupdate • Alterator-limits • Alterator-kiosk • Alterator-net-wifi • Alterator-ports-access • Alterator-update-kernel • Alterator-updates • Alterator-dhcp • Alterator-auth • Alterator-net-bond • Alterator-netinst • Alterator-net-bridge • Alterator-net-domain • Alterator-openvpn-server • Alterator-net-openvpn • Alterator-ca • Alterator-net-eth • Alterator-mass-management • Alterator-multiseat • Alterator-roles • Alterator-zabbix-agent

@@ Строка 1: / Строка 1: @@
-{{Stub}}
 == Название пакета ==
@@ Строка 5: / Строка 4: @@
 == Назначение ==
+{{pkg|alterator-secsetup}} включает два модуля: '''Настройки безопасности''' и '''Блокировка терминала'''.
 Модуль '''Настройки безопасности''' позволяет:
-*включить блокировку макросов приложений;
+*включить блокировку макросов в таких приложениях, как LibreOffice и VLC PLayer;
 *включить хэширование паролей пользователей по алгоритму ГОСТ Р 34.11-2012;
 *игнорировать биты SUID в двоичных файлах (возможны исключения);
@@ Строка 13: / Строка 12: @@
 *отключить возможность создания ссылок на открытый файл в выбранных каталогах.
-{{Attention|Для возможности настройки модуля безопасности должен быть включен модуль AltHa (Alt Hardening) см. [[AltHa#Включение_модуля]]}}
+{{Attention|Для использования всех возможностей модуля безопасности должен быть включен модуль AltHa (Alt Hardening) см. [[AltHa#Включение_модуля]]}}
+Модуль '''Блокировка терминала''' позволяет ограничить определённым пользователям возможность использования определённых TTY.
 == Запуск ==
-Модуль '''Настройки безопасности''' доступен в GUI: раздел {{nav|Система|Настройки безопасности}}
+Модуль '''Настройки безопасности''' доступен в GUI (раздел {{nav|Система|Настройки безопасности}}):
 [[Файл:Alterator-secsetup.png|Интерфейс модуля Настройки безопасности]]
-== Использование модуля ==
+Модуль '''Блокировка терминала''' доступен в GUI (раздел {{nav|Система|Блокировка терминала}}):
+[[Файл:Alterator-secsetup-blockterm.png|Интерфейс модуля Блокировка терминала]]
+== Использование модуля  '''Настройки безопасности''' ==
+=== Блокировка макросов в приложениях ===
 Для того чтобы заблокировать макросы приложений (LibreOffice, LibreOffice-still и VLC) следует отметить пункт «Блокировать макросы приложений» и нажать кнопку «Применить».
+=== Хэширование паролей по алгоритму ГОСТ Р 34.11-2012 ===
+Для того чтобы изменить типа хеша по умолчанию на gost-yescrypt необходимо отметить пункт «Включить хэширование паролей пользователей по алгоритму ГОСТ Р 34.11-2012» и нажать кнопку «Применить».
+В результате все вновь создаваемые пароли пользователей будут использовать выбранный тип хэширования:
+<source lang="text" highlight="1-2"># passwd test
+# passwd -S test
+Password set, gost-yescrypt encryption.</source>
+{{Note|Старые пароли будут работать с прежним типом хэширования.}}
+=== Запрет бита исполнения (SUID) ===
 Если отметить пункт «Отключить влияние suid бита на привилегии порождаемого процесса», биты SUID во всех двоичных файлах, кроме явно перечисленных в поле «Исключения» будут игнорироваться в масштабе всей системы. Файлы, перечисленные в поле «Исключения», должны разделяться двоеточиями.
+=== Блокировка интерпретаторов (запрет запуска скриптов) ===
 При отмеченном пункте «Ограничить запуск интерпретаторов языков программирования в интерактивном режиме» блокируется несанкционированное использование интерпретатора для выполнения кода напрямую из командной строки. Список ограниченных интерпретаторов должен быть перечислен в поле «Интерпретаторы» (разделитель — двоеточие).
 {{Note|В этой конфигурации:
@@ Строка 42: / Строка 58: @@
 print("Hello world")</source> }}
-Для отключения возможности создания ссылок на открытый файл следует установить отметку на пункте «Отключить ссылки для открытых файлов». В поле «Каталоги» должны быть перечислены разделенные двоеточиями каталоги.
+=== Отключение возможности удаления открытых файлов ===
+Для отключения возможности удаления открытых файлов следует установить отметку на пункте «Отключить возможность удаления открытых файлов». В поле «Каталоги» должны быть перечислены разделенные двоеточиями каталоги.
+{{Note|Использовать этот механизм не рекомендуется.}}
+== Использование модуля '''Блокировка терминала''' ==
+Для включения модуля необходимо установить отметку в поле «Возможность блокировки включена». Для каждого отдельного пользователя системы можно заблокировать любые необходимые TTY, для этого в окне «Список пользователей» необходимо выбрать пользователя, в окне «Список TTY» отметить консоли, которые должны быть заблокированы для данного пользователя, перенести их в окно «Заблокированные TTY» и нажать кнопку «Применить»:
+[[Файл:Alterator-secsetup-blockterm2.png|Ограничение полномочий пользователей по использованию консолей]]
-{{Note|Использовать механизм отключения возможности создания ссылок на открытый файл не рекомендуется.}}
+Модуль является интерфейсом для файла конфигурации {{path|/etc/security/access.conf}}.
 {{Category navigation|title=Модули Alterator|category=Модули Alterator|sortkey={{SUBPAGENAME}}}}