Часть общего процесса управления безопасностью конфигураций (Hardening).
Общий алгоритм:
- Определить, задокументировать требования к безопасности конфигурации.
- Применить безопасную конфигурацию на существующих хостах.
- Применять безопасную конфигурацию на новых хостах в рамках процесса их ввода в эксплуатацию.
- Регулярно проверять конфигурацию хостов на соответствие установленным требованиям.
- Руководства по настройке безопасности от производителя (например, Red Hat Enterprise Linux Security guide);
- Руководства по настройке безопасности (например, CIS CentOS Linux Benchmarks, CIS Debian Linux Benchmarks, CIS Red Hat Enterprise Linux Benchmarks, CIS Ubuntu Linux Benchmarks, SCAP Security Guide Project, FIPS for Ubuntu);
- Рекомендации регулирующих органов и отрасли;
- Собственные наработки и решения.
Вариант реализации: описать требования в карточке защитной меры. Пример документа
Отклонения от выбранной конфигурации документируются вместе с обоснованием и применяемыми компенсирующими мерами.
Вариант реализации: вести учет отклонений в заметках к карточкам активов (хостов) либо защитной мере.
- Изменить пароли по умолчанию.
- Настроить SSH
- Настроить сложность паролей
- Настроить смену (жизненный цикл) паролей
- Настроить политику аутентификации
- Отключить или удалить ненужные учетные записи пользователей
- Отключить или ограничить ненужные службы, порты и протоколы
- Удалить ненужное программное обеспечение
- При необходимости ограничить физические порты
- Настроить баннеры при входе
- Подключение хоста к корпоративной системе мониторинга
- Настройка передачи логов на централизованный сервер (nxlog, SEM / SIEM)
- Конфигурация NTP и часового пояса
Контроль конфигурации может осуществляться скриптами, системами контроля конфигураций, сканерами уязвимостей с соответствующим модулем контроля конфигураций.
Показателем эффективности процесса может являться:
- общий процент соответствия требованиям (суммарно по всем хостам),
- процент хостов, соответствующих требованиям.
- Каждый из этапов процесса (определение требований, первичная настройка, ввод в эксплуатацию новых хостов, контроль соответствия) может быть описан отдельной защитной мерой.
- Описать принятый в компании перечень требований к безопасности конфигурации.
- Если для приведения в соответствие и/или контроля конфигураций используется ПО - зарегистрировать его в реестре активов и привязать к мере как инструмент
- Если ведется учет (реестр) скриптов - привязать использующиеся скрипты как инструмент
- Добавить шаблон регулярной задачи по проверке конфигураций.
- Добавить шаблон регулярной задачи на пересмотр/актуализацию набора требований безопасности
Область действия: Вся организация
Классификация
Ресурсная оценка
Качественная оценка |
Количественная оценка |
Итоговая оценка | ||||
---|---|---|---|---|---|---|
Стоимость |
Трудозатраты |
Сложность |
Стоимость, тыс. руб |
Трудозатраты, дней/ год |
||
CAPEX ? |
Неизвестно
|
Неизвестно
|
Неизвестно
|
Неизвестно
|
Неизвестно
|
Отсутствует
|
OPEX ? |
Неизвестно
|
Неизвестно
|
Неизвестно
|
Неизвестно
|
Неизвестно
|
Связанные риски
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.
Заметки
1Требования по защите информации к конфигурации Linux Ubuntu
Мониторинг
Конфигурация
Логирование событий
Конфигурация
/etc/rsyslog.d/50-default.conf:
Примечание
В зависимости от назначения актива рекомендуется расширить перечень логируемых событий.
Настройка SSH
Сложность паролей
Жизненный цикл паролей
Пароли должны меняться раз в 90 дней
В файле /etc/login.defs необходимо изменить значения следующих опций:
Примечание
Политика аутентификации
Конфигурация
Учетные записи
Конфигурация
У заблокированных учетных записей вместо поля pass_hash должно быть установлено ! или *
Конфигурация NTP и часового пояса
Настройка баннера
Должен быть включен и настроен баннер входа.
Banner (/etc/issue, /etc/issue.net):