Требования по защите информации к конфигурации Linux Ubuntu

Мониторинг

Логирование событий

• События об авторизации пользователей, включая удачные и неудачные попытки входа в систему, а также задействованные механизмы аутентификации;
• События о выполненных от имени привилегированных пользователей командах;
• События об установке\удалении ПО.

*.*,auth,authpriv.*,mail.*                  @192.168.0.1:514;SecurityTemplate           // сервер syslog c nxlog

$template SecurityTemplate,"%$year%-%$month%-%$day% %timegenerated:12:19:date-rfc3339% %HOSTNAME% #LINUX#%syslogtag% %msg%\n"
$ActionFileDefaultTemplate SecurityTemplate

Настройка SSH 

Protocol 2
RhostsRSAAuthentication no
IgnoreRhosts yes
ClientAliveInterval 900
ClientAliveCountMax 0
HostbasedAuthentication no
PermitRootLogin no
PermitEmptyPasswords no
Banner /etc/issue.net     <--- текст баннера
PermitUserEnvironment no
Ciphers aes128-ctr,aes192-ctr,aes256-ctr
LogLevel INFO
MACs hmac-sha2-512,hmac-sha2-256 
LoginGraceTime 120
ChallengeResponseAuthentication yes
UsePAM yes
X11Forwarding yes
PrintMotd no
AcceptEnv LANG LC_*
Subsystem        sftp        /usr/lib/openssh/sftp-server

Сложность паролей

touch /etc/security/opasswd
chown root:root /etc/security/opasswd
chmod 600 /etc/security/opasswd

Sudo apt install libpam-cracklib

password        requisite                       pam_cracklib.so retry=3 minlen=8 difok=3 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1
password        [success=1 default=ignore]      pam_unix.so obscure use_authtok try_first_pass sha512 remember=5
password        requisite                       pam_deny.so
password        required                        pam_permit.so
password        optional        pam_gnome_keyring.so

Жизненный цикл паролей 

PASS_MAX_DAYS   90                     <--- Максимальное время жизни пароля
PASS_WARN_AGE   7                      <--- За сколько дней предупреждать об истечении пароля
ENCRYPT_METHOD SHA512                  <--- Метод шифрования

chage -m 0 -M 90 -W 7 username

Политика аутентификации 

auth    required        pam_tally2.so   onerr=fail      deny=3  unlock_time=30
auth    [success=1 default=ignore]      pam_unix.so nullok_secure
auth    requisite                       pam_deny.so
auth    required                        pam_permit.so
auth    optional                        pam_cap.so

account required                        pam_tally2.so
account [success=1 new_authtok_reqd=done default=ignore]        pam_unix.so
account requisite                       pam_deny.so
account required                        pam_permit.so

Учетные записи

Конфигурация NTP и часового пояса

driftfile /var/lib/ntp/ntp.drift
leapfile /usr/share/zoneinfo/leap-seconds.list
statistics loopstats peerstats clockstats
filegen loopstats file loopstats type day enable
filegen peerstats file peerstats type day enable
filegen clockstats file clockstats type day enable
server 192.168.0.1 
restrict -4 default kod notrap nomodify nopeer noquery limited
restrict -6 default kod notrap nomodify nopeer noquery limited
restrict 127.0.0.1
restrict ::1
restrict source notrap nomodify noquery

Настройка баннера

Unauthorized access to this system is forbidden and will be prosecuted by law. By accessing this system, you agree that your actions may be monitored, that you work in MyCORP company and have lawful permissions to access. If you access to this server by mistake, please write to infosec@mycorp.local