Alterator-secsetup: различия между версиями
(Новая страница: «{{Stub}} == Название пакета == {{pkg|alterator-secsetup}} == Назначение == Модуль '''Настройки безопасности'…») |
(→Запуск) |
||
| (не показаны 4 промежуточные версии этого же участника) | |||
| Строка 1: | Строка 1: | ||
== Название пакета == | == Название пакета == | ||
| Строка 5: | Строка 4: | ||
== Назначение == | == Назначение == | ||
{{pkg|alterator-secsetup}} включает два модуля: '''Настройки безопасности''' и '''Блокировка терминала'''. | |||
Модуль '''Настройки безопасности''' позволяет: | Модуль '''Настройки безопасности''' позволяет: | ||
*включить блокировку макросов | *включить блокировку макросов в таких приложениях, как LibreOffice и VLC PLayer; | ||
*включить хэширование паролей пользователей по алгоритму ГОСТ Р 34.11-2012; | *включить хэширование паролей пользователей по алгоритму ГОСТ Р 34.11-2012; | ||
*игнорировать биты SUID в двоичных файлах (возможны исключения); | *игнорировать биты SUID в двоичных файлах (возможны исключения); | ||
| Строка 13: | Строка 12: | ||
*отключить возможность создания ссылок на открытый файл в выбранных каталогах. | *отключить возможность создания ссылок на открытый файл в выбранных каталогах. | ||
{{Attention|Для | {{Attention|Для использования всех возможностей модуля безопасности должен быть включен модуль AltHa (Alt Hardening) см. [[AltHa#Включение_модуля]]}} | ||
Модуль '''Блокировка терминала''' позволяет ограничить определённым пользователям возможность использования определённых TTY. | |||
== Запуск == | == Запуск == | ||
Модуль '''Настройки безопасности''' доступен в GUI | Модуль '''Настройки безопасности''' доступен как в GUI (раздел {{nav|Система|Настройки безопасности}}): | ||
[[Файл:Alterator-secsetup.png|Интерфейс модуля Настройки безопасности]] | [[Файл:Alterator-secsetup.png|Интерфейс модуля Настройки безопасности]] | ||
== Использование модуля == | так и в веб-интерфейсе по адресу https://ip-address:8080 (раздел {{nav|Система|Настройки безопасности}}): | ||
[[Файл:Alterator-secsetup-web.png|Веб-интерфейс модуля Настройки безопасности]] | |||
Модуль '''Блокировка терминала''' доступен как в GUI (раздел {{nav|Система|Блокировка терминала}}): | |||
[[Файл:Alterator-secsetup-blockterm.png|Интерфейс модуля Блокировка терминала]] | |||
так и в веб-интерфейсе по адресу https://ip-address:8080 (раздел {{nav|Система|Блокировка терминала}}): | |||
[[Файл:Alterator-secsetup-blockterm-web.png|Веб-интерфейс модуля Блокировка терминала]] | |||
== Использование модуля '''Настройки безопасности''' == | |||
=== Блокировка макросов в приложениях === | |||
Для того чтобы заблокировать макросы приложений (LibreOffice, LibreOffice-still и VLC) следует отметить пункт «Блокировать макросы приложений» и нажать кнопку «Применить». | Для того чтобы заблокировать макросы приложений (LibreOffice, LibreOffice-still и VLC) следует отметить пункт «Блокировать макросы приложений» и нажать кнопку «Применить». | ||
=== Хэширование паролей по алгоритму ГОСТ Р 34.11-2012 === | |||
Для того чтобы изменить типа хеша по умолчанию на gost-yescrypt необходимо отметить пункт «Включить хэширование паролей пользователей по алгоритму ГОСТ Р 34.11-2012» и нажать кнопку «Применить». | |||
В результате все вновь создаваемые пароли пользователей будут использовать выбранный тип хэширования: | |||
<source lang="text" highlight="1-2"># passwd test | |||
# passwd -S test | |||
Password set, gost-yescrypt encryption.</source> | |||
{{Note|Старые пароли будут работать с прежним типом хэширования.}} | |||
=== Запрет бита исполнения (SUID) === | |||
Если отметить пункт «Отключить влияние suid бита на привилегии порождаемого процесса», биты SUID во всех двоичных файлах, кроме явно перечисленных в поле «Исключения» будут игнорироваться в масштабе всей системы. Файлы, перечисленные в поле «Исключения», должны разделяться двоеточиями. | Если отметить пункт «Отключить влияние suid бита на привилегии порождаемого процесса», биты SUID во всех двоичных файлах, кроме явно перечисленных в поле «Исключения» будут игнорироваться в масштабе всей системы. Файлы, перечисленные в поле «Исключения», должны разделяться двоеточиями. | ||
=== Блокировка интерпретаторов (запрет запуска скриптов) === | |||
При отмеченном пункте «Ограничить запуск интерпретаторов языков программирования в интерактивном режиме» блокируется несанкционированное использование интерпретатора для выполнения кода напрямую из командной строки. Список ограниченных интерпретаторов должен быть перечислен в поле «Интерпретаторы» (разделитель — двоеточие). | При отмеченном пункте «Ограничить запуск интерпретаторов языков программирования в интерактивном режиме» блокируется несанкционированное использование интерпретатора для выполнения кода напрямую из командной строки. Список ограниченных интерпретаторов должен быть перечислен в поле «Интерпретаторы» (разделитель — двоеточие). | ||
{{Note|В этой конфигурации: | {{Note|В этой конфигурации: | ||
| Строка 42: | Строка 66: | ||
print("Hello world")</source> }} | print("Hello world")</source> }} | ||
Для отключения возможности | === Отключение возможности удаления открытых файлов === | ||
Для отключения возможности удаления открытых файлов следует установить отметку на пункте «Отключить возможность удаления открытых файлов». В поле «Каталоги» должны быть перечислены разделенные двоеточиями каталоги. | |||
{{Note|Использовать этот механизм не рекомендуется.}} | |||
== Использование модуля '''Блокировка терминала''' == | |||
Для включения модуля необходимо установить отметку в поле «Возможность блокировки включена». Для каждого отдельного пользователя системы можно заблокировать любые необходимые TTY, для этого в окне «Список пользователей» необходимо выбрать пользователя, в окне «Список TTY» отметить консоли, которые должны быть заблокированы для данного пользователя, перенести их в окно «Заблокированные TTY» и нажать кнопку «Применить»: | |||
[[Файл:Alterator-secsetup-blockterm2.png|Ограничение полномочий пользователей по использованию консолей]] | |||
{{ | Модуль является интерфейсом для файла конфигурации {{path|/etc/security/access.conf}}. | ||
{{Category navigation|title=Модули Alterator|category=Модули Alterator|sortkey={{SUBPAGENAME}}}} | {{Category navigation|title=Модули Alterator|category=Модули Alterator|sortkey={{SUBPAGENAME}}}} | ||
Текущая версия от 10:40, 22 марта 2022
Название пакета
alterator-secsetup
Назначение
alterator-secsetup включает два модуля: Настройки безопасности и Блокировка терминала. Модуль Настройки безопасности позволяет:
- включить блокировку макросов в таких приложениях, как LibreOffice и VLC PLayer;
- включить хэширование паролей пользователей по алгоритму ГОСТ Р 34.11-2012;
- игнорировать биты SUID в двоичных файлах (возможны исключения);
- запретить запуск выбранных интерпретаторов в интерактивном режиме;
- отключить возможность создания ссылок на открытый файл в выбранных каталогах.
Модуль Блокировка терминала позволяет ограничить определённым пользователям возможность использования определённых TTY.
Запуск
Модуль Настройки безопасности доступен как в GUI (раздел Система ▷ Настройки безопасности):
так и в веб-интерфейсе по адресу https://ip-address:8080 (раздел Система ▷ Настройки безопасности):
Модуль Блокировка терминала доступен как в GUI (раздел Система ▷ Блокировка терминала):
так и в веб-интерфейсе по адресу https://ip-address:8080 (раздел Система ▷ Блокировка терминала):
Использование модуля Настройки безопасности
Блокировка макросов в приложениях
Для того чтобы заблокировать макросы приложений (LibreOffice, LibreOffice-still и VLC) следует отметить пункт «Блокировать макросы приложений» и нажать кнопку «Применить».
Хэширование паролей по алгоритму ГОСТ Р 34.11-2012
Для того чтобы изменить типа хеша по умолчанию на gost-yescrypt необходимо отметить пункт «Включить хэширование паролей пользователей по алгоритму ГОСТ Р 34.11-2012» и нажать кнопку «Применить».
В результате все вновь создаваемые пароли пользователей будут использовать выбранный тип хэширования:
# passwd test
# passwd -S test
Password set, gost-yescrypt encryption.
Запрет бита исполнения (SUID)
Если отметить пункт «Отключить влияние suid бита на привилегии порождаемого процесса», биты SUID во всех двоичных файлах, кроме явно перечисленных в поле «Исключения» будут игнорироваться в масштабе всей системы. Файлы, перечисленные в поле «Исключения», должны разделяться двоеточиями.
Блокировка интерпретаторов (запрет запуска скриптов)
При отмеченном пункте «Ограничить запуск интерпретаторов языков программирования в интерактивном режиме» блокируется несанкционированное использование интерпретатора для выполнения кода напрямую из командной строки. Список ограниченных интерпретаторов должен быть перечислен в поле «Интерпретаторы» (разделитель — двоеточие).
все скрипты, начинающиеся с #!/usr/bin/env python, будут заблокированы:
$ ./new.py
/usr/bin/env: «python»: Операция не позволена
$ python new.py
bash: /usr/bin/python: Операция не позволена
$ cat new.py
#!/usr/bin/env python
print("Hello world")
Отключение возможности удаления открытых файлов
Для отключения возможности удаления открытых файлов следует установить отметку на пункте «Отключить возможность удаления открытых файлов». В поле «Каталоги» должны быть перечислены разделенные двоеточиями каталоги.
Использование модуля Блокировка терминала
Для включения модуля необходимо установить отметку в поле «Возможность блокировки включена». Для каждого отдельного пользователя системы можно заблокировать любые необходимые TTY, для этого в окне «Список пользователей» необходимо выбрать пользователя, в окне «Список TTY» отметить консоли, которые должны быть заблокированы для данного пользователя, перенести их в окно «Заблокированные TTY» и нажать кнопку «Применить»:
Модуль является интерфейсом для файла конфигурации /etc/security/access.conf.