Alterator-secsetup: различия между версиями

Материал из ALT Linux Wiki
(+Блокировка терминала)
Строка 5: Строка 5:


== Назначение ==
== Назначение ==
 
{{pkg|alterator-secsetup}} включает два модуля: '''Настройки безопасности''' и '''Блокировка терминала'''.
Модуль '''Настройки безопасности''' позволяет:
Модуль '''Настройки безопасности''' позволяет:
*включить блокировку макросов приложений;
*включить блокировку макросов в таких приложениях, как LibreOffice и VLC PLayer;
*включить хэширование паролей пользователей по алгоритму ГОСТ Р 34.11-2012;
*включить хэширование паролей пользователей по алгоритму ГОСТ Р 34.11-2012;
*игнорировать биты SUID в двоичных файлах (возможны исключения);
*игнорировать биты SUID в двоичных файлах (возможны исключения);
Строка 13: Строка 13:
*отключить возможность создания ссылок на открытый файл в выбранных каталогах.
*отключить возможность создания ссылок на открытый файл в выбранных каталогах.


{{Attention|Для возможности настройки модуля безопасности должен быть включен модуль AltHa (Alt Hardening) см. [[AltHa#Включение_модуля]]}}
{{Attention|Для использования всех возможностей модуля безопасности должен быть включен модуль AltHa (Alt Hardening) см. [[AltHa#Включение_модуля]]}}


Модуль '''Блокировка терминала''' позволяет ограничить определённым пользователям возможность использования определённых TTY.


== Запуск ==
== Запуск ==


Модуль '''Настройки безопасности''' доступен в GUI: раздел {{nav|Система|Настройки безопасности}}
Модуль '''Настройки безопасности''' доступен в GUI (раздел {{nav|Система|Настройки безопасности}}):


[[Файл:Alterator-secsetup.png|Интерфейс модуля Настройки безопасности]]
[[Файл:Alterator-secsetup.png|Интерфейс модуля Настройки безопасности]]


== Использование модуля ==
Модуль '''Блокировка терминала''' доступен в GUI (раздел {{nav|Система|Блокировка терминала}}):
 
[[Файл:Alterator-secsetup-blockterm.png|Интерфейс модуля Блокировка терминала]]
 
== Использование модуля '''Настройки безопасности''' ==
=== Блокировка макросов в приложениях ===
=== Блокировка макросов в приложениях ===
Для того чтобы заблокировать макросы приложений (LibreOffice, LibreOffice-still и VLC) следует отметить пункт «Блокировать макросы приложений» и нажать кнопку «Применить».
Для того чтобы заблокировать макросы приложений (LibreOffice, LibreOffice-still и VLC) следует отметить пункт «Блокировать макросы приложений» и нажать кнопку «Применить».
Строка 58: Строка 63:


{{Note|Использовать механизм отключения возможности создания ссылок на открытый файл не рекомендуется.}}
{{Note|Использовать механизм отключения возможности создания ссылок на открытый файл не рекомендуется.}}
== Использование модуля '''Блокировка терминала''' ==
Для включения модуля необходимо установить отметку в поле «Возможность блокировки включена». Для каждого отдельного пользователя системы можно заблокировать любые необходимые TTY, для этого в окне «Список пользователей» необходимо выбрать пользователя, в окне «Список TTY» отметить консоли, которые должны быть заблокированы для данного пользователя, перенести их в окно «Заблокированные TTY» и нажать кнопку «Применить»:
[[Файл:Alterator-secsetup-blockterm2.png|Ограничение полномочий пользователей по использованию консолей]]
Модуль является интерфейсом для файла конфигурации /etc/security/access.conf.


{{Category navigation|title=Модули Alterator|category=Модули Alterator|sortkey={{SUBPAGENAME}}}}
{{Category navigation|title=Модули Alterator|category=Модули Alterator|sortkey={{SUBPAGENAME}}}}

Версия от 11:36, 12 августа 2020

Stub.png
Данная страница находится в разработке.
Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной.

Название пакета

alterator-secsetup

Назначение

alterator-secsetup включает два модуля: Настройки безопасности и Блокировка терминала. Модуль Настройки безопасности позволяет:

  • включить блокировку макросов в таких приложениях, как LibreOffice и VLC PLayer;
  • включить хэширование паролей пользователей по алгоритму ГОСТ Р 34.11-2012;
  • игнорировать биты SUID в двоичных файлах (возможны исключения);
  • запретить запуск выбранных интерпретаторов в интерактивном режиме;
  • отключить возможность создания ссылок на открытый файл в выбранных каталогах.
Внимание! Для использования всех возможностей модуля безопасности должен быть включен модуль AltHa (Alt Hardening) см. AltHa#Включение_модуля


Модуль Блокировка терминала позволяет ограничить определённым пользователям возможность использования определённых TTY.

Запуск

Модуль Настройки безопасности доступен в GUI (раздел Система ▷ Настройки безопасности):

Интерфейс модуля Настройки безопасности

Модуль Блокировка терминала доступен в GUI (раздел Система ▷ Блокировка терминала):

Интерфейс модуля Блокировка терминала

Использование модуля Настройки безопасности

Блокировка макросов в приложениях

Для того чтобы заблокировать макросы приложений (LibreOffice, LibreOffice-still и VLC) следует отметить пункт «Блокировать макросы приложений» и нажать кнопку «Применить».

Хэширование паролей по алгоритму ГОСТ Р 34.11-2012

Для того чтобы изменить типа хеша по умолчанию на gost-yescrypt необходимо отметить пункт «Включить хэширование паролей пользователей по алгоритму ГОСТ Р 34.11-2012» и нажать кнопку «Применить».

В результате все вновь создаваемые пароли пользователей будут использовать выбранный тип хэширования: 

# passwd test
# passwd -S test
Password set, gost-yescrypt encryption.
Примечание: Старые пароли будут работать с прежним типом хэширования.

Запрет бита исполнения (SUID)

Если отметить пункт «Отключить влияние suid бита на привилегии порождаемого процесса», биты SUID во всех двоичных файлах, кроме явно перечисленных в поле «Исключения» будут игнорироваться в масштабе всей системы. Файлы, перечисленные в поле «Исключения», должны разделяться двоеточиями.

Блокировка интерпретаторов (запрет запуска скриптов)

При отмеченном пункте «Ограничить запуск интерпретаторов языков программирования в интерактивном режиме» блокируется несанкционированное использование интерпретатора для выполнения кода напрямую из командной строки. Список ограниченных интерпретаторов должен быть перечислен в поле «Интерпретаторы» (разделитель — двоеточие).

Примечание: В этой конфигурации:

Запрет запуска скриптов

все скрипты, начинающиеся с #!/usr/bin/env python, будут заблокированы: 

$ ./new.py
/usr/bin/env: «python»: Операция не позволена
$ python new.py
bash: /usr/bin/python: Операция не позволена
$ cat new.py
#!/usr/bin/env python
print("Hello world")


Отключение ссылок для открытых файлов

Для отключения возможности создания ссылок на открытый файл следует установить отметку на пункте «Отключить ссылки для открытых файлов». В поле «Каталоги» должны быть перечислены разделенные двоеточиями каталоги.

Примечание: Использовать механизм отключения возможности создания ссылок на открытый файл не рекомендуется.


Использование модуля Блокировка терминала

Для включения модуля необходимо установить отметку в поле «Возможность блокировки включена». Для каждого отдельного пользователя системы можно заблокировать любые необходимые TTY, для этого в окне «Список пользователей» необходимо выбрать пользователя, в окне «Список TTY» отметить консоли, которые должны быть заблокированы для данного пользователя, перенести их в окно «Заблокированные TTY» и нажать кнопку «Применить»:

Ограничение полномочий пользователей по использованию консолей

Модуль является интерфейсом для файла конфигурации /etc/security/access.conf.

Модули Alterator
Alterator-ahttpd-power • Alterator-ahttpd-server • Alterator-alternatives • Alterator-asterisk-gateway • Alterator-asterisk-limits • Alterator-audit • Alterator-auth • Alterator-auth-token • Alterator-bacula-client • Alterator-bind • Alterator-bird • Alterator-ca • Alterator-clamav • Alterator-console • Alterator-control • Alterator-controlpp • Alterator-datetime • Alterator-dhcp • Alterator-gpupdate • Alterator-groups • Alterator-grub • Alterator-kiosk • Alterator-ldap-groups • Alterator-ldap-users • Alterator-limits • Alterator-logs • Alterator-mass-management • Alterator-mirror • Alterator-mkbootflash • Alterator-multiseat • Alterator-net-bl • Alterator-net-bond • Alterator-net-bridge • Alterator-net-dnat • Alterator-net-domain • Alterator-net-eth • Alterator-net-iptables • Alterator-net-iptables-manual • Alterator-net-l2tp • Alterator-net-openvpn • Alterator-net-pppoe • Alterator-net-pptp • Alterator-net-routing • Alterator-net-tc • Alterator-net-vlan • Alterator-net-wifi • Alterator-netinst • Alterator-openvpn-server • Alterator-osec • Alterator-pkg • Alterator-ports-access • Alterator-printers • Alterator-quota • Alterator-roles • Alterator-root • Alterator-secsetup • Alterator-selinux-users • Alterator-services • Alterator-snort • Alterator-squid • Alterator-squidmill • Alterator-sshd • Alterator-sslkey • Alterator-sysinfo • Alterator-ulogd • Alterator-update-kernel • Alterator-updates • Alterator-usbguard • Alterator-usbmount • Alterator-users • Alterator-vsftpd • Alterator-x11 • Alterator-xinetd • Alterator-xkb • Alterator-zabbix-agent • Alterator-zram-swap • AlteratorLilo • AlteratorServices • Alterator-bacula/client-backup/archive • Alterator-bacula/client-backup/client • Alterator-bacula/director • Alterator/New/Modules/Postfix Dovecot • Alterator-sysconfig/proxy • Alterator-bacula/client-backup/schedule • Модули Alterator