Безопасная настройка Astra Linux и ОС Linux
Систематический разбор трёх документов ФСТЭК России: рекомендаций по безопасной настройке Linux 2022 года и согласованных методических рекомендаций по настройке Astra Linux Special Edition 1.7 и 1.8. С практикой, чек-листами, сценариями для АРМ и сервера, разбором типовых недочётов.
Зачем эта лекция
Настройка ОС «по умолчанию» — почти всегда не настройка для эксплуатации в защищённом контуре. ФСТЭК России выпустила три согласованных документа, которые превращают «голый» Linux и Astra Linux Special Edition в систему, готовую к работе в ГИС, ИСПДн и на объектах КИИ. Эта лекция — навигация по этим документам с практикой и сценариями.
Кому адресовано
Системные администраторы
Те, кто разворачивает и обслуживает Linux/Astra в защищённом контуре. Чек-листы установки и настройки.
Специалисты ИБ
Ответственные за защиту информации в ГИС, ИСПДн, на ЗОКИИ. Понимание уровней защищённости и мер ОПС/ЗИС.
Аудиторы и проверяющие
Эксперты, проводящие пентесты и аттестацию объектов информатизации. Готовые опросники для проверок.
Студенты ИБ-направлений
Систематизированный материал для курса по безопасности ОС с практикой по Модулям 2, 9, 11.
Главная мысль. «Безопасный hardening» — это не один рубильник «сделать защищённо», а системная работа по 5–6 направлениям одновременно: загрузка, авторизация, права, ядро, периметр атаки, аудит. Ниже — карта этой работы по трём документам ФСТЭК России: общие рекомендации для Linux и специальные — для Astra Linux 1.7 и 1.8.
Три документа ФСТЭК России
Все три документа выпущены или согласованы ФСТЭК России. Они применяются на разных типах систем и в разных контекстах сертификации.
| Документ | Когда применяется | Для каких систем |
|---|---|---|
| Методический документ ФСТЭК России «Рекомендации по безопасной настройке операционных систем Linux» от 25.12.2022 | До замены на сертифицированную ОС | Несертифицированные ОС на базе ядра Linux в ГИС и на объектах КИИ. Базовая методика для любого Linux. |
| Методические рекомендации по настройке Astra Linux Special Edition 1.7 (согласованы ФСТЭК России) | Для Astra 1.7 в эксплуатации | Сертифицированная Astra Linux SE 1.7. Производство завершено 27.01.2026; сертификат ФСТЭК России № 2557 продлён, поддержка обновлений безопасности продолжается по утверждённому графику разработчика. Все новые проекты — на 1.8. |
| Методические рекомендации по настройке Astra Linux Special Edition 1.8 (согласованы ФСТЭК России) | Для Astra 1.8 (актуальная редакция) | Сертифицированная Astra Linux SE 1.8 — действующая версия для новых проектов. Самый объёмный из трёх документов. |
Принцип применения
- Linux 2022 — это «базовый минимум» для несертифицированной ОС, который подлежит реализации до её замены на сертифицированную отечественную.
- Astra 1.7 / 1.8 — это эксплуатационные документы. Настройка сертифицированной ОС всегда осуществляется по документации разработчика; рекомендации ФСТЭК уточняют, что именно из настроек обязательно для эксплуатации в защищённом контуре.
- Все три документа покрывают одни и те же группы вопросов (загрузка, авторизация, права на файлы, ядро, сеть, журналы) — но с разной глубиной и разными конкретными настройками под платформу.
Важно про Astra 1.7. Производство Astra Linux 1.7 завершено 27 января 2026 года. Сертификат ФСТЭК России № 2557 при этом продлён — поддержка обновлений безопасности продолжается по графику разработчика. Все новые проекты — только на Astra 1.8. Эксплуатируемые системы на 1.7 — по согласованному плану перехода.
Три уровня защищённости Astra
Astra Linux Special Edition поставляется в трёх вариантах лицензирования, соответствующих трём уровням защищённости. Выбор уровня — это решение, которое нужно принять до установки: режим задаётся в инсталляторе и определяет набор включаемых функций безопасности.
Базовый
Функциональные возможности базового варианта. В режиме «Орёл» отсутствуют МКЦ, ЗПС, мандатное управление и принудительная очистка памяти. Применим только для:
- систем, обрабатывающих общедоступную информацию;
- учебных и тестовых стендов;
- систем без обязательных требований к МРД/МКЦ.
Для ГИС, ИСПДн и значимых объектов КИИ требуется минимум «Воронеж».
Усиленный
Усиленный уровень безопасности. Применяется для обработки и защиты информации ограниченного доступа, не составляющей государственную тайну:
- ГИС любого класса защищённости
- ИСПДн любого уровня защищённости
- Значимые объекты КИИ любой категории
Максимальный
Режим максимальной защищённости. Обеспечивает защиту государственной тайны любой степени секретности:
- Информация любой категории доступа
- ГИС, ИСПДн, ЗОКИИ — без ограничений
- Все механизмы защиты включены
Как выбирается уровень. На этапе установки Astra Linux в инсталляторе явно выбирается режим защищённости. После установки изменить уровень нельзя — нужна переустановка. Поэтому выбор делается заранее, исходя из категории обрабатываемой информации и требований к классу защищённости системы.
Безопасная среда функционирования
Раздел 1 рекомендаций ФСТЭК по Astra 1.7 и 1.8 — про то, что должно быть сделано до ОС: доверенная загрузка, защита BIOS, защита самого СВТ, защита сетевого взаимодействия. Без этого даже корректно настроенная ОС не выдержит атаки на загрузчик или физический доступ к диску.
Четыре направления защиты среды
1.1 Доверенная загрузка
Контроль целостности MBR, PBR, секторов 1–63, ESP. Сертифицированные средства доверенной загрузки (СДЗ).
1.2 Защита BIOS
Пароль на вход в BIOS/UEFI, отключение загрузки с внешних носителей, контроль настроек Secure Boot.
1.3 Защита СВТ
Опечатывание корпуса СВТ, контроль физического доступа, защита от подключения посторонних устройств.
1.4 Защита сетевого взаимодействия
Изоляция сегментов сети, межсетевое экранирование, шифрование канала (СКЗИ), контроль трафика.
Что контролировать на загрузке
- MBR (главная загрузочная запись) — целостность критична на BIOS-системах.
- PBR (загрузочный сектор раздела) — целостность для каждого активного раздела.
- Сектора 1–63 относительно начала диска — место типового размещения буткитов.
- Раздел ESP (EFI System Partition) — содержит загрузчики UEFI, целостность критична.
- Настройки UEFI — ограничение модификации, отслеживание изменений.
Базовая настройка Linux: 6 направлений
Методический документ ФСТЭК России 2022 года описывает 6 направлений безопасной настройки любого Linux-дистрибутива. Это «база» — то, что должно быть сделано на любой системе на базе ядра Linux.
2.1
Настройка авторизации
- Не допускать пустые пароли — каждый пользователь либо имеет пароль, либо заблокирован. Контроль через
/etc/shadow. - Запретить SSH-вход root — в
/etc/ssh/sshd_configустановитьPermitRootLogin no.
2.2
Ограничение механизмов получения привилегий
- Ограничить доступ к
su— добавить в/etc/pam.d/suстрокуauth required pam_wheel.so use_uid; задать список пользователей в группеwheelв/etc/group. - Пересмотреть
/etc/sudoers— список пользователей и команд дляsudoдолжен быть минимальным.
2.3
Права доступа к объектам файловой системы (11 пунктов)
- Файлы пользователей и групп:
chmod 644 /etc/passwd,chmod 644 /etc/group,chmod go-rwx /etc/shadow. - Запущенные процессы:
chmod go-w /путь/к/файлудля всех исполняемых файлов; директории по пути не доступны для записи непривилегированным пользователям. - Cron-задачи:
chmod go-w путь_к_файлу— иначе риск выполнения произвольного кода от имени владельца cron-задания (включая root). - sudo-исполняемые файлы:
chown root путь_к_файлу;chmod go-w путь_к_файлу. - Стартовые скрипты:
chmod o-wв/etc/rc#.dи для всех.service-файлов. - Системные cron-файлы:
chmod go-wxдля/etc/crontab,/etc/cron.{d,hourly,daily,weekly,monthly}. - SUID/SGID-приложения: аудит — права не должны позволять изменять содержимое; «белый» список SUID-приложений.
- Домашние директории:
chmod 700; файлы истории и оболочки (.bash_history,.bashrc,.profile) —chmod go-rwx.
2.4
Защита ядра Linux (8 параметров)
kernel.dmesg_restrict=1— журнал ядра доступен только пользователям сCAP_SYSLOG.kernel.kptr_restrict=2— ядерные адреса в/procзаменяются нулями.init_on_alloc=1(опция загрузки) — инициализация динамической памяти ядра нулём при выделении.slab_nomerge(опция загрузки) — запрет слияния кэшей slab-аллокатора.iommu=force iommu.strict=1 iommu.passthrough=0— инициализация IOMMU.randomize_kstack_offset=1— рандомизация ядерного стека.mitigations=auto,nosmt— защита от аппаратных уязвимостей CPU (x86).net.core.bpf_jit_harden=2— защита подсистемы eBPF JIT.
2.5
Уменьшение периметра атаки ядра (11 пунктов)
vsyscall=none— отключить устаревший интерфейс vsyscall.kernel.perf_event_paranoid=3— ограничение доступа к событиям производительности.debugfs=no-mount— отключить монтирование debugfs.kernel.kexec_load_disabled=1— отключить системный вызовkexec_load.user.max_user_namespaces=0— ограничить user namespaces (если не используются).kernel.unprivileged_bpf_disabled=1— запретbpfдля непривилегированных.vm.unprivileged_userfaultfd=0— запретuserfaultfdдля непривилегированных.dev.tty.ldisc_autoload=0— запрет автозагрузки модулей TTY ldisc.tsx=off(опция загрузки) — отключение Intel TSX.vm.mmap_min_addr=4096или больше — минимальный виртуальный адрес для mmap.kernel.randomize_va_space=2— полная рандомизация ASLR.
2.6
Защита пользовательского пространства со стороны ядра (6 пунктов)
kernel.yama.ptrace_scope=3— запретptraceподключения к чужим процессам.fs.protected_symlinks=1— защита небезопасных вариантов symlink.fs.protected_hardlinks=1— защита небезопасных вариантов hardlink.fs.protected_fifos=2— защита от непреднамеренной записи в FIFO.fs.protected_regular=2— защита от непреднамеренной записи в файлы.fs.suid_dumpable=0— запрет создания core dump для SUID-файлов.
Это применимо везде. Все эти настройки — для базового Linux. Для Astra Linux 1.7/1.8 они также применимы (большинство уже включены в дистрибутив по умолчанию для соответствующего уровня защищённости), но с дополнительными уточнениями из специализированных документов ФСТЭК.
Безопасная установка Astra (по Модулю 11)
Пошаговая практика установки Astra Linux в максимальном режиме защищённости («Смоленск»). Это упражнение из практического сборника Группы Астра, которое студенты выполняют на учебной виртуальной машине.
Этап 1. Установка с учётом настроек безопасности
Образ и режим
- ISO в графическом режиме (по умолчанию)
- Выбор: максимальный режим защищённости («Смоленск»)
Компоненты установки
- Ядро ОС:
linux-6.1-generic - МРД (мандатное), МКЦ (целостности), пароль sudo, запрет ptrace — оставить включёнными
- Прочее — после установки
Профиль разметки
- Разметить вручную
- Отдельные разделы для
/boot/efi,/boot,/,/tmp,/var,/var/tmp,/parsec,/home - Без swap-раздела; при необходимости — файл
/swap~ 1,5× ОП
Пароли
- Взломостойкий пароль администратора
- Взломостойкий пароль на GRUB (снять отметку совпадения паролей)
Рекомендуемая разметка диска (Модуль 11)
| Раздел | ФС / опции | Минимальный размер |
|---|---|---|
/boot/efi | FAT32, ESP. Без ЗПД, не в LVM | не менее 512 MiB |
/boot | ext2. Без ЗПД, не в LVM | не менее 512 MiB (предпочтительно 1 GiB) |
/ | ext4 (xfs). LVM, ЗПД (если /boot отдельно) | не менее 15 GiB при установке графики |
/tmp | ext4 (xfs). LVM, ЗПД | не менее размера ОП |
/var | ext4 (xfs). LVM, ЗПД | не менее 2 GiB |
/var/tmp | ext4 (xfs). LVM, ЗПД | не менее 512 MiB |
/parsec | ext4 (xfs). LVM, ЗПД | не менее 512 MiB |
/home | ext4 (xfs). LVM, ЗПД | по потребности |
swap | Раздел не рекомендуется; файл на ЗПД-корне — допустимо | при необходимости — файл /swap ~ 1,5× ОП. Важно: swap-файл должен лежать на разделе с ЗПД (например, на / с включённым ЗПД), иначе содержимое памяти будет писаться на диск в открытом виде. |
ЗПД — защитное преобразование данных (шифрование раздела на уровне Astra Linux по алгоритмам ГОСТ).
Этап 2. Настройки после установки
- Применить параметры безопасности по «Руководству администратора по КСЗ, часть 1, п. 18.2».
- Удалить драйверы беспроводных устройств на сервере:
sudo rm -r /lib/modules/$(uname -r)/kernel/drivers/net/wireless. - Конфигурирование параметров ядра через
/etc/sysctl.d/99-sysctl.conf(см. раздел 07 ниже — таблица 16 параметров). - Применить рекомендованную конфигурацию — двумя способами на выбор:
- Вариант А. Настроить параметры по таблице 3.1 «Методических рекомендаций по безопасной настройке Astra Linux SE» (раздел 10 этой лекции).
- Вариант Б. Применить готовый профиль безопасности системы (тип профиля задаёт преподаватель).
- Перезагрузить ОС.
- Проверить настройки подсистем КСЗ с помощью Монитора безопасности и Профиля системы.
- Тестирование СЗИ встроенными средствами: в каталоге
/usr/lib/parsec/tests/расположены проверочные скрипты КСЗ (secdelrm.sh, тесты PARSEC и др.). Конкретный набор и команды запуска — по «Руководству по КСЗ. Часть 2».
Сборник Группы Астра. Подробный сценарий и пояснения к этому упражнению — в учебном сборнике Группы Астра «Сборник практических заданий с ответами. Модуль 11. Методические рекомендации по безопасной настройке ОС Astra Linux Special Edition» (редакция от 10.12.2024).
Расширенная практика для слушателей. К лекции прилагается отдельный набор из трёх лабораторных работ нарастающей сложности (парольная политика → безопасный SSH → Apache hardening) с пошаговыми инструкциями и критериями зачёта. Скачать PDF лабораторных или см. блок-CTA в начале страницы.
Конфигурация ядра: 16 параметров (sysctl + опции загрузки)
Эта таблица — практический минимум параметров безопасности ядра для Astra Linux в защищённом контуре, предписанный в Модуле 11 и в рекомендациях ФСТЭК России. Большинство — это sysctl-параметры (применяются через /etc/sysctl.d/99-sysctl.conf и sysctl --system); две позиции (№ 12 и № 13) — опции загрузки ядра (прописываются в GRUB_CMDLINE_LINUX файла /etc/default/grub, применяются через update-grub и перезагрузку).
| № | Что делает | Параметр и значение |
|---|---|---|
| 1 | Отключение переадресации IP-пакетов (для узлов без маршрутизации) | net.ipv4.ip_forward=0net.ipv6.conf.all.forwarding=0net.ipv6.conf.default.forwarding=0 |
| 2 | Отключение ICMP Redirect (выдача и приём) | net.ipv4.conf.all.accept_redirects=0net.ipv4.conf.all.secure_redirects=0net.ipv4.conf.all.send_redirects=0net.ipv4.conf.default.accept_redirects=0net.ipv4.conf.default.secure_redirects=0net.ipv4.conf.default.send_redirects=0net.ipv6.conf.all.accept_redirects=0net.ipv6.conf.default.accept_redirects=0net.ipv6.conf.all.accept_ra=0net.ipv6.conf.default.accept_ra=0 |
| 3 | Отключение IPv6 (если не используется) | net.ipv6.conf.all.disable_ipv6=1net.ipv6.conf.default.disable_ipv6=1net.ipv6.conf.lo.disable_ipv6=1 |
| 4 | Защита небезопасных hardlink | fs.protected_hardlinks=1 |
| 5 | Защита небезопасных symlink | fs.protected_symlinks=1 |
| 6 | Запрет core dump для SUID-файлов | fs.suid_dumpable=0 |
| 7 | Полный ASLR (защита от переполнений) | kernel.randomize_va_space=2 |
| 8 | Фильтрация обратного пути (default) | net.ipv4.conf.default.rp_filter=1 |
| 9 | Фильтрация обратного пути (все интерфейсы) | net.ipv4.conf.all.rp_filter=1 |
| 10 | Ограничение доступа к журналу ядра | kernel.dmesg_restrict=1 |
| 11 | Запрет ptrace к чужим процессам | kernel.yama.ptrace_scope=3 |
| 12 | Инициализация ядерной памяти нулём | init_on_alloc=1опция загрузки ядра, не sysctl |
| 13 | Защита от аппаратных уязвимостей CPU | mitigations=autoопция загрузки ядра |
| 14 | Ограничение событий производительности | kernel.perf_event_paranoid=33 — максимум для Debian-ядер (полный запрет непривилегированным) |
| 15 | Запрет userfaultfd для непривилегированных | vm.unprivileged_userfaultfd=0 |
| 16 | Минимальный адрес для mmap (> 4096) | vm.mmap_min_addr=65536 |
Применение и проверка
# 1) Внести параметры в файл
sudo nano /etc/sysctl.d/99-sysctl.conf
# 2) Применить без перезагрузки
sudo sysctl --system
# 3) Опции загрузки ядра — добавить в /etc/default/grub в GRUB_CMDLINE_LINUX
sudo nano /etc/default/grub
sudo update-grub
# 4) Проверка применения
sudo sysctl kernel.yama.ptrace_scope
sudo sysctl fs.protected_symlinksНе рекомендуется в случае несимметричной маршрутизации. Параметры rp_filter (№ 8 и 9) могут заблокировать легитимный трафик в сетях с асимметричными маршрутами. Перед включением — протестировать в учебной сети.
Сетевые службы: SSH / Samba / Apache
Раздел 2.4 рекомендаций ФСТЭК по Astra 1.7/1.8 — конфигурирование наиболее уязвимых системных служб. Здесь — конкретные параметры, которые превращают «голый» сервис в защищённую конфигурацию.
SSH-сервер (/etc/ssh/sshd_config)
| Что настроить | Параметр |
|---|---|
| Сменить порт по умолчанию | Port <номер> |
| Запрет удалённого подключения root | PermitRootLogin no |
| Список разрешённых пользователей или групп | AllowUsers <имя_пользователя 1> ...AllowGroups <группа> |
| Запрет SSH версии 1 | в современных OpenSSH (≥7.6) поддержка SSHv1 удалена; директива Protocol 2 устарела |
| Тайм-аут подключения | ServerAliveInterval 15ServerAliveCountMax 1 |
| Ограничение одновременных подключений | MaxSessions <N>MaxStartups <N> |
| Аутентификация только по ключам | PasswordAuthentication noPubkeyAuthentication yes |
Samba (/etc/samba/smb.conf)
| Что настроить | Параметр |
|---|---|
| Отключение гостевой учётной записи | guest ok = no |
| Отключение доступа для root | invalid users = root |
| Запрет подключения по SMB с произвольных IP | hosts allow = <IP>, 127.0.0.1 |
| Ограничение совместного доступа к файлам | [share] |
| Запрет совместного доступа к принтеру | load printers = noprinting = bsd |
Apache 2 (/etc/apache2/apache2.conf)
| Что настроить | Параметр |
|---|---|
| Скрыть версию Apache при сетевых запросах | ServerTokens ProdServerSignature Off |
| Запуск Apache от специального пользователя | User ${APACHE_RUN_USER} |
| Выключить просмотр директорий | Options -Indexes |
| Запретить персистентные соединения | KeepAlive Off |
| Тайм-аут не более 45 сек | Timeout 45 |
| Ограничение запросов с передачей данных | LimitXMLRequestBody 10485760 |
| Включение обязательной аутентификации | AuthType BasicRequire valid-user |
Astra-специфика для Apache. В Astra Linux у Apache есть отдельный режим AstraMode (включён по умолчанию). Для отключения мандатных меток в веб-сервере — AstraMode off в файле /etc/apache2/apache2.conf (см. практику в Модуле 9).
Что изменилось в Astra 1.8 относительно 1.7
Документ ФСТЭК по Astra 1.8 в несколько раз объёмнее аналогичного по 1.7. Это отражает не «новые требования», а более детальную проработку мер защиты с явной привязкой к мерам ФСТЭК (ОПС, ЗИС, РСБ).
Ключевые отличия
| Аспект | Astra 1.7 | Astra 1.8 |
|---|---|---|
| Объём рекомендаций ФСТЭК | ~50 страниц | ~150 страниц |
| Детализация раздела «Применение конфигураций» | Раздел 3 — общие подходы | Раздел 3 — 17 конкретных мер с привязкой к ОПС/ЗИС |
| Очистка памяти | Контекстно | Раздел 4 — отдельные требования (ЗИС.21) |
| Аудит | Контекстно | Раздел 5 — 8 настроек подсистемы аудита (РСБ.3, РСБ.4) |
| Привязка к мерам ФСТЭК | Неявная | Явные коды мер в каждой настройке |
| Версия ядра | linux-5.15-generic | linux-6.1-generic |
| Поддержка по сертификату ФСТЭК | Сертификат № 2557 продлён; производство завершено 27.01.2026 | Действующая, для новых проектов |
Что осталось общим
- Структура документа (5 разделов: среда → установка → применение → очистка → аудит).
- Три уровня защищённости (Базовый «Орёл» / Усиленный «Воронеж» / Максимальный «Смоленск»).
- Общие принципы настройки сетевых служб (SSH, Samba, Apache).
- Большая часть sysctl-параметров (раздел 2.5).
Стратегия миграции. Если у вас эксплуатируется Astra 1.7 — вся настройка «по бумаге» переносится на 1.8 практически без изменений; добавляются явные меры из раздела 3 нового документа и более строгие требования к аудиту (раздел 5).
Меры защиты ОПС / ЗИС в Astra 1.8
Раздел 3 рекомендаций ФСТЭК по Astra 1.8 — 17 конкретных мер защиты, каждая привязана к коду меры ФСТЭК (ОПС — ограничение программной среды; ЗИС — защита информационной системы; ОПС.1, ОПС.2, ЗИС.18, ЗИС.22, РСБ.3, РСБ.4 и др.).
3.1 / ОПС.3
Права на установку ПО в информационной системе
Установка ПО в информационной системе должна выполняться только администратором; непривилегированные пользователи не имеют возможности устанавливать произвольное ПО в системе.
3.2 / ОПС.1
Включение замкнутой программной среды (ЗПС)
Замкнутая программная среда — режим, в котором можно запускать только разрешённые исполняемые файлы. В Astra Linux включается через astra-modeswitch и связанные подсистемы. Список путей и режим работы определяются политикой защиты.
3.5–3.6 / ЗИС.22
Установка и настройка средств защиты от НСД
Установка дополнительных средств защиты информации (антивирусы, межсетевые экраны узлового уровня и др.), их настройка с учётом эксплуатационной документации и требований к классу защищённости.
3.10 / ЗИС.18
Управление носителями информации
Контроль монтирования внешних носителей, шифрование закрытых разделов на дисках, ограничение использования USB-устройств, очистка носителей после использования.
3.12–3.13 / ОПС.1
Блокировка интерпретаторов (включая bash)
Блокировка интерпретаторов (включая bash) для непривилегированных пользователей в условиях замкнутой программной среды. Цель — предотвратить выполнение произвольного скрипта через интерпретатор, обходя ЗПС.
3.14–3.15 / ОПС.1
Применение мандатного контроля целостности (МКЦ)
Включение и настройка мандатного контроля целостности — механизма Astra Linux, ограничивающего модификацию системных файлов даже привилегированными пользователями. Уровни целостности задаются политикой; нарушение целостности фиксируется в аудите.
3.16–3.17 / ОПС.1, ОПС.2
Применение мандатного разграничения доступа (МРД)
Включение и настройка мандатного разграничения доступа (МРД) — механизма Astra Linux для работы с грифованной информацией. Уровни секретности и целостности задаются для пользователей, файлов, процессов; запрещается перенос данных между уровнями.
4.1–4.2 / ЗИС.21
Очистка памяти и носителей информации
Включение механизма очистки оперативной памяти при освобождении (защита от утечек после завершения процессов) и принудительная очистка дисковых разделов перед списанием носителей.
Раздел 3 содержит 17 мер; раздел 4 — 2 меры (очистка памяти); раздел 5 — 8+ настроек подсистемы аудита (см. секцию 11 этой лекции). Для полного списка с пошаговыми указаниями — обращайтесь к оригинальному документу ФСТЭК по Astra Linux 1.8.
Аудит и контроль (раздел 5 Astra 1.8)
Аудит — это «глаза» защищённой системы. Без правильно настроенного аудита нельзя установить факт компрометации, обнаружить инсайдера или подтвердить соответствие требованиям. Раздел 5 рекомендаций ФСТЭК по Astra 1.8 содержит 8+ настроек, привязанных к мерам РСБ.3 и РСБ.4.
Меры подсистемы регистрации событий безопасности (РСБ)
- 5.1 — Включение подсистемы аудита (РСБ.3). Запуск службы
auditd, проверка статуса. - 5.2 — Включение событий по умолчанию. Настройка набора правил
auditctlдля типовых событий. - 5.3 — Производительность. Подсистема аудита может оказывать существенное влияние; оценка нагрузки и оптимизация.
- 5.4–5.5 — Настройка правил аудита (РСБ.3). Определение, какие события системы регистрируются (вход/выход, изменение настроек, доступ к чувствительным файлам).
- 5.6 — Управление журналами. Параметры
max_log_file,max_log_file_action, ротация. - 5.7 — Дополнительные настройки регистрации (РСБ.3).
- 5.8 — Контроль и анализ событий (РСБ.4). Регулярный просмотр и анализ журналов.
Что проверять регулярно
- Целостность журналов — журналы аудита защищены от модификации.
- Сроки хранения — соответствуют политике (типично 1 год).
- Размер свободного места для журналов — не доходит до критической отметки.
- События привилегированных пользователей — все действия root и sudo фиксируются.
- События подсистем безопасности — изменения МРД, МКЦ, ЗПС.
- Ошибки и аварийные ситуации — отдельный мониторинг неудачных аутентификаций, попыток повышения привилегий.
Монитор безопасности и Профиль системы. В Astra Linux включены штатные графические инструменты для контроля состояния подсистем КСЗ. Они показывают, какие защитные функции активны, а какие — отключены. Использование этих инструментов — обязательная часть работы администратора защищённой системы.
Аудит уровня «Смоленск» — не ограничивается auditd. В режиме максимальной защищённости Astra Linux фиксирует события КСЗ — мандатного разграничения доступа (МРД), мандатного контроля целостности (МКЦ), замкнутой программной среды (ЗПС) — через собственные подсистемы PARSEC, отдельные от стандартного Linux Audit. Эти журналы защищены механизмами целостности самого КСЗ. При планировании аудита для «Смоленска» учитывайте оба канала: стандартный auditd (системные события) + PARSEC-аудит КСЗ (события защитных подсистем). Конкретные команды и пути — в «Руководстве по КСЗ. Часть 2».
Сценарий: настройка АРМ пользователя
АРМ (автоматизированное рабочее место) пользователя — самый массовый объект развёртывания Astra Linux. Здесь — типовой чек-лист настройки одного АРМ с нуля для работы в защищённом контуре.
Чек-лист настройки АРМ (15 пунктов)
- Уровень защищённости выбран на установке: «Воронеж» для большинства АРМ; «Смоленск» — если работа с гостайной.
- Установлен сертифицированный СДЗ или включён Secure Boot.
- Задан пароль на BIOS/UEFI; отключена загрузка с внешних носителей.
- Задан взломостойкий пароль на GRUB.
- Разметка диска — по рекомендациям Модуля 11 (отдельные разделы
/tmp,/var,/parsec,/home; LVM + ЗПД). - Удалены драйверы беспроводных устройств (если беспроводная сеть не требуется).
- Применены 16 параметров безопасности ядра — sysctl + опции загрузки GRUB (см. раздел 07).
- Опции загрузки ядра прописаны в GRUB:
init_on_alloc=1,mitigations=auto,slab_nomerge. - Отключены неиспользуемые сервисы (Bluetooth, Avahi, CUPS если нет принтера и т.д.).
- Включён Монитор безопасности; настроены контрольные срабатывания.
- МРД и МКЦ включены и настроены под политику предприятия.
- Замкнутая программная среда (ЗПС) включена; интерпретаторы заблокированы для непривилегированных.
- Подсистема аудита (auditd) запущена; правила аудита настроены под нужный профиль.
- Установлен сертифицированный антивирус (если требуется по классу системы).
- Регулярные проверки:
/usr/lib/parsec/tests/run.sh -v, контроль журналов.
Особенности для ноутбуков и мобильных АРМ
- Шифрование всех разделов с данными — обязательно (ЗПД на уровне Astra или LUKS).
- Дополнительный пароль на ввод/вывод из спящего режима.
- Запрет работы с внешними беспроводными сетями (если требуется политикой).
- Контроль попадания за пределы охраняемой зоны (отдельные средства защиты).
Сценарий: настройка сервера
Сервер на Astra Linux чаще всего обслуживает другие защищённые узлы или предоставляет ресурсы пользователям. Hardening здесь идёт глубже, чем для АРМ — особое внимание сетевым службам и журналам аудита.
Чек-лист настройки сервера (18 пунктов)
- Уровень защищённости — «Воронеж» минимум; для сервера с гостайной — «Смоленск».
- Физическая защита: серверная с контролем доступа, опечатывание корпуса.
- Доверенная загрузка (СДЗ) обязательно.
- Только проводное сетевое подключение; беспроводные драйверы удалены.
- Все 16 параметров безопасности ядра (sysctl + GRUB) применены, в том числе сетевые:
rp_filter, отключение ICMP redirect, отключение IPv6 если не используется. - SSH настроен по образцу: смена порта,
PermitRootLogin no, аутентификация по ключам,AllowUsersсо списком, тайм-ауты. - Если используется Samba — настройки по образцу:
guest ok = no,invalid users = root,hosts allowсо списком. - Если используется Apache —
AstraMode offпри необходимости,ServerTokens Prod,Options -Indexes, тайм-аут 45 сек. - Межсетевой экран (узловой) включён; политика deny by default.
- Все ненужные сетевые службы отключены — проверка через
ss -tlnp. - Включена и настроена подсистема аудита:
auditd, правила под нужный профиль. - Журналы аудита направляются на отдельный сервер (centralized logging).
- МРД, МКЦ, ЗПС включены и настроены под роль сервера.
- Сертификаты (TLS/SSL) выпущены доверенным УЦ; самоподписанные — только для тестов.
- Резервное копирование настроено; копии шифруются и хранятся отдельно.
- Регулярные обновления через сертифицированный канал.
- План реагирования на инциденты — отработан, контактные лица назначены.
- Документация на сервер — заполнена, согласована, актуальна.
Типовые серверные роли — что добавить
Web-сервер
Apache 2 / nginxApache: AstraMode off при работе через прокси; настройки из табл. в разделе 08; обязательный TLS; защита от типовых атак (mod_security или аналоги).
Файловый сервер
Samba / NFSSamba: настройки из табл. в разделе 08; шифрование SMB-трафика; контроль гостевого доступа; интеграция с FreeIPA/AD.
Контроллер домена
FreeIPA / Samba ADЗащита Kerberos-ключей, репликация в безопасном канале, ограничение административных учётных записей, аудит изменений политик безопасности.
Особое внимание. Сервер — это точка доверия для множества клиентов. Любая ошибка в hardening сервера превращается в массовый риск. До ввода в эксплуатацию — обязательная проверка всех 18 пунктов чек-листа и пентест в учебной сети.
Найди недочёт: 6 кейсов из практики
Шесть фрагментов реальных конфигураций или вывода команд. В каждом есть нарушение рекомендаций ФСТЭК или явный недочёт hardening. Прочитайте, попробуйте найти проблему сами, потом раскройте подсказку.
$ ls -la /etc/shadow
-rw-r--r-- 1 root shadow 1825 апр 12 14:32 /etc/shadow
$ cat /etc/shadow
root:$6$abc.../...:19821:0:99999:7:::
postgres:$6$xyz.../...:19805:0:99999:7:::
sa:$6$qwe.../...:19815:0:99999:7:::/etc/shadow должно быть chmod go-rwx. Сейчас права 644 — это значит, что любой пользователь может прочитать хеши паролей и попытаться подобрать их офлайн (hashcat / John the Ripper). Команда исправления: sudo chmod go-rwx /etc/shadow (станет 600).
# $OpenBSD: sshd_config,v 1.103 2018/04/09 20:41:22 tj Exp $
Port 22
PermitRootLogin yes
PasswordAuthentication yes
PubkeyAuthentication yes
ChallengeResponseAuthentication no
UsePAM yes
X11Forwarding yes
PrintMotd no
AcceptEnv LANG LC_*PermitRootLogin no. Кроме того, не отключена парольная аутентификация (PasswordAuthentication yes) — это делает систему уязвимой к брутфорсу. Дополнительно: порт по умолчанию (22) не сменён, не указан AllowUsers. Минимальный fix: PermitRootLogin no, PasswordAuthentication no, AllowUsers sa, Port <нестандартный>.
$ sudo sysctl -a 2>/dev/null | grep -E "ptrace_scope|dmesg_restrict|kptr_restrict|randomize_va_space"
kernel.dmesg_restrict = 0
kernel.kptr_restrict = 0
kernel.randomize_va_space = 0
kernel.yama.ptrace_scope = 0/proc видны (помогает разработке эксплоитов), ASLR полностью отключён (атаки на переполнение буфера тривиальны), ptrace разрешён ко всем процессам (отладочные средства как канал НСД). Минимальный fix согласно ФСТЭК: kernel.dmesg_restrict=1, kernel.kptr_restrict=2, kernel.randomize_va_space=2, kernel.yama.ptrace_scope=3.
$ cat /etc/crontab
SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
* */6 * * * root /opt/backups/run-backup.sh
$ ls -la /opt/backups/run-backup.sh
-rwxrwxrwx 1 root root 1832 фев 5 09:14 /opt/backups/run-backup.sh
$ ls -ld /opt/backups
drwxrwxrwx 2 root root 4096 фев 5 09:14 /opt/backups/opt/backups/run-backup.sh (права 777) или просто заменить файл целиком (директория /opt/backups тоже 777). Через 6 часов cron запустит подменённый скрипт от имени root — это полная компрометация ОС. Fix согласно п. 2.3.3 ФСТЭК: chmod go-w /opt/backups/run-backup.sh и chmod go-w /opt/backups.
$ ls /lib/modules/$(uname -r)/kernel/drivers/net/wireless/
ath/ broadcom/ intersil/ marvell/ rsi/
ath10k/ cisco/ iwlwifi/ mediatek/ rt2x00/
ath11k/ intel/ iwldvm/ realtek/ rtl818x/
ath6kl/ intersil/ iwlmvm/ ti/ rtw88/
$ lsmod | grep -E "iwl|ath|wlan|wireless"
iwlwifi 368640 1 iwlmvm
cfg80211 946176 3 iwlmvm,iwlwifiiwlwifi загружен — это значит, что физически вставленная в сервер беспроводная карта Intel будет автоматически работать, и любой, кто получит физический доступ к серверной, может настроить с него точку доступа Wi-Fi (или подключить к скрытой). Для сервера в защищённом контуре беспроводных интерфейсов быть не должно. Fix Модуля 11 — sudo rm -r /lib/modules/$(uname -r)/kernel/drivers/net/wireless + перезагрузка. Дополнительно (для устойчивости к обновлениям ядра): удалить пакеты linux-modules-extra-*, firmware-iwlwifi, firmware-realtek и добавить в /etc/modprobe.d/blacklist-wireless.conf строки blacklist iwlwifi, blacklist cfg80211 — иначе после apt upgrade модули вернутся.
$ find / -perm -4000 -type f 2>/dev/null
/usr/bin/sudo
/usr/bin/su
/usr/bin/passwd
/usr/bin/chsh
/usr/bin/chfn
/usr/bin/newgrp
/usr/bin/gpasswd
/usr/bin/python3.11
/opt/internal/admin-tool
/home/sa/scripts/check-system
$ ls -la /opt/internal/admin-tool
-rwsr-xr-x 1 root root 28456 май 3 11:24 /opt/internal/admin-tool/usr/bin/python3.11 с SUID — катастрофа: в штатной поставке Astra 1.8 (Python 3.11) и 1.7 (Python 3.7) интерпретатор никогда не имеет SUID-бита — это значит, что бит установлен вручную (ошибка администратора либо результат компрометации). Эксплуатация тривиальна: python3 -c "import os; os.setuid(0); os.execvp('bash', ['bash'])". (2) /opt/internal/admin-tool — самописный SUID-бинарник, требует ручного аудита кода (риск инъекций, переполнений). (3) /home/sa/scripts/check-system в домашней директории пользователя с SUID root — типичный путь повышения привилегий. Fix согласно п. 2.3.9: sudo chmod u-s для каждого; «белый список» SUID-приложений зафиксировать документально.
Что объединяет все шесть кейсов. Все они — типовые недочёты hardening, которые встречаются в реальной практике у изготовителей и операторов защищённых систем. Каждый — нарушение конкретного пункта рекомендаций ФСТЭК России. Опросник в следующем разделе помогает систематически проверить, не повторили ли вы эти ошибки на своей системе.
Чек-лист готовности: 30+ контрольных вопросов
Финальный чек-лист — для самопроверки перед вводом системы в эксплуатацию или для эксперта при проведении аудита. Группа «нет» в любом разделе — это пробел, который нужно закрыть до выхода в эксплуатацию.
№ 1–5
Установка и среда функционирования
- Уровень защищённости (Орёл/Воронеж/Смоленск) выбран в соответствии с категорией обрабатываемой информации?
- Доверенная загрузка обеспечена (СДЗ установлено или Secure Boot включён и настроен)?
- BIOS/UEFI защищён паролем, загрузка с внешних носителей отключена?
- GRUB защищён взломостойким паролем?
- Разметка диска соответствует Модулю 11 (отдельные разделы, LVM, ЗПД для системных)?
№ 6–10
Авторизация и привилегии
- Все учётные записи имеют пароль или явно заблокированы (нет пустых паролей в
/etc/shadow)? - SSH вход root запрещён (
PermitRootLogin no)? - Доступ к
suограничен черезpam_wheel.so; список в группеwheelминимален? - Файл
/etc/sudoersпересмотрен; список пользователей и команд дляsudoминимален? - Парольная политика настроена (длина, срок действия, история, сложность)?
№ 11–17
Права доступа к файлам
- Права на
/etc/passwd,/etc/group—644; на/etc/shadow—600(илиgo-rwx)? - Права на исполняемые файлы запущенных процессов и их библиотеки — без записи для остальных (
go-w)? - Права на cron-задачи (включая
/etc/crontab,/etc/cron.{d,hourly,...}) —go-wx? - Права на стартовые скрипты
/etc/rc#.dи.service-файлы —o-w? - Права на пользовательские файлы заданий cron —
go-w? - Аудит SUID/SGID-приложений проведён; «белый» список зафиксирован?
- Права на домашние директории —
700; файлы оболочки (.bashrcи т.п.) —go-rwx?
№ 18–22
Параметры ядра (sysctl и опции загрузки)
- 16 параметров безопасности ядра из таблицы Модуля 11 применены — sysctl-параметры через
/etc/sysctl.d/99-sysctl.conf, опции загрузки через/etc/default/grub? - Опции загрузки ядра (
init_on_alloc=1,mitigations=auto,slab_nomerge,iommu=force) прописаны в/etc/default/grub? - ASLR полностью включён (
kernel.randomize_va_space=2)? - Защита от ptrace включена (
kernel.yama.ptrace_scope=3)? - Журнал ядра ограничен (
kernel.dmesg_restrict=1); ядерные адреса скрыты (kernel.kptr_restrict=2)?
№ 23–27
Сетевые службы и периметр
- Драйверы беспроводных устройств удалены (для серверов и АРМ без Wi-Fi)?
- Неиспользуемые сервисы отключены (Bluetooth, Avahi, CUPS если нет принтера, etc.)?
- SSH настроен по чек-листу (см. раздел 08): порт, root запрет, ключи, AllowUsers, тайм-ауты?
- Если используется Samba — настройки по образцу (guest off, root invalid, hosts allow)?
- Если используется Apache — настройки по образцу (ServerTokens Prod, Options -Indexes, тайм-аут)?
№ 28–32
Подсистемы безопасности Astra и аудит
- МРД (мандатное разграничение доступа) включён и настроен (для систем с грифованной информацией)?
- МКЦ (мандатный контроль целостности) включён и настроен?
- Замкнутая программная среда (ЗПС) включена; интерпретаторы (bash, python и др.) заблокированы для непривилегированных?
- Подсистема аудита (auditd) запущена; правила настроены под профиль системы?
- Журналы аудита защищены от модификации; срок хранения соответствует политике; выполняется регулярный анализ?
Как пользоваться чек-листом. Заполните все 32 пункта по принципу «да/нет». Каждое «нет» — задача, которую нужно закрыть до ввода системы в эксплуатацию. Прогон чек-листа повторяется при каждой существенной настройке (новый сервис, обновление ОС, смена конфигурации).
Часто задаваемые вопросы
FAQ
Можно ли применить рекомендации ФСТЭК для Linux 2022 к Astra Linux?
Да, базовые рекомендации применимы к любому Linux, включая Astra. Но для сертифицированной Astra Linux основной документ — рекомендации ФСТЭК по соответствующей версии (1.7 или 1.8); они уточняют и дополняют общие требования. Кроме того, документация разработчика Astra (Руководство администратора КСЗ) содержит ещё более детальные указания по конкретным механизмам защиты.
FAQ
Что выбрать: Орёл, Воронеж или Смоленск?
Зависит от категории информации, обрабатываемой в системе:
- Орёл (базовый) — только для систем с общедоступной информацией и учебных/тестовых стендов. В этом режиме нет МКЦ, ЗПС, мандатного управления — для ГИС/ИСПДн/ЗОКИИ требуется как минимум «Воронеж».
- Воронеж (усиленный) — универсальный выбор для информации ограниченного доступа (не гостайны).
- Смоленск (максимальный) — обязателен при обработке гостайны любой степени секретности.
Сменить уровень после установки нельзя — нужна переустановка. Поэтому решение принимается заранее.
FAQ
Astra 1.7 уже не поддерживается. Что делать с эксплуатируемыми системами?
Производство Astra Linux 1.7 завершено 27 января 2026 года. При этом сертификат ФСТЭК России № 2557 продлён — поддержка обновлений безопасности продолжается по графику разработчика. Для эксплуатируемых систем:
- Согласовать с регулятором (ФСТЭК России) план миграции на Astra 1.8.
- До миграции — продолжать применение рекомендаций ФСТЭК по 1.7 в полном объёме.
- Новые проекты разворачивать только на Astra 1.8.
- Все механизмы защиты в 1.8 — преемственны с 1.7, миграция обычно не требует переучивания администраторов.
FAQ
16 параметров ядра — это всё, что нужно настроить?
Это практический минимум для учебной практики Модуля 11. Полный список параметров для разных уровней защищённости — в самих рекомендациях ФСТЭК и в документации Astra Linux. Кроме того, опции загрузки ядра (init_on_alloc, mitigations, slab_nomerge, iommu) задаются не через sysctl, а через GRUB — их тоже нужно учитывать.
FAQ
Что такое МРД, МКЦ, ЗПС, КСЗ?
- МРД — мандатное разграничение доступа. Уровни секретности и категории информации задаются для пользователей и файлов; запрещается перенос данных «вверх» по иерархии.
- МКЦ — мандатный контроль целостности. Уровни целостности; ограничивает модификацию системных файлов даже привилегированными процессами.
- ЗПС — замкнутая программная среда. Только разрешённые исполняемые файлы могут быть запущены; защита от запуска неразрешённого ПО.
- КСЗ — комплекс средств защиты Astra Linux. Объединяет МРД, МКЦ, ЗПС и ряд других подсистем; настраивается как целое.
FAQ
Как проверить, что hardening применён правильно?
Несколько уровней проверки:
- Чек-лист готовности (раздел 15) — самопроверка по 32 пунктам.
- Монитор безопасности и Профиль системы в Astra — графические штатные инструменты.
- Встроенные тесты СЗИ: скрипты в
/usr/lib/parsec/tests/(см. «Руководство по КСЗ. Часть 2» для конкретных команд). - Проверка sysctl:
sudo sysctl -a | grep .... - Аудит прав:
find / -perm -4000 -type f,find / -perm -2 ! -type l. - Пентест в учебной сети — лучший способ найти то, что прошло мимо чек-листа.