Управление инфраструктурой Kaspersky SMP
В этом разделе описан общий принцип использования минимально необходимого количества программ для работы операционной системы и Kaspersky SMP. Также в этом разделе описан принцип минимальных привилегий, который сводится к концепции нулевого доверия.
Управление учетными записями операционной системы
Для работы с кластером Kubernetes с помощью KDT рекомендуется создать отдельного пользователя с минимальными правами. Оптимальным способом является реализация управления учетными записями пользователей операционной системы с помощью LDAP, с возможностью отзыва прав пользователей через LDAP. Информацию о конкретной реализации отзыва прав и блокировки пользователей см. в руководстве пользователя/администратора в вашем решении LDAP. Рекомендуется использовать пароль длиной не менее 18 символов или физические средства аутентификации (например, токен) для аутентификации пользователя операционной системы.
Также рекомендуется защищать корневой каталог документов пользователя и все вложенные каталоги таким образом, чтобы только пользователь имел к ним доступ. Другие пользователи и группа пользователей не должны иметь прав на корневой каталог документов.
Рекомендуется не предоставлять права на запуск для директорий .ssh, .kube, .config и .kdt, а также для всех файлов, содержащихся в этих директориях в корневой директории документов пользователя.
Управление пакетами операционной системы
Рекомендуется использовать минимальный набор программ, необходимый для работы KDT и Kaspersky SMP. Например, вам не нужно использовать графический пользовательский интерфейс для работы в кластере Kubernetes, поэтому не рекомендуется устанавливать графические пакеты. Если пакеты установлены, рекомендуется удалить эти пакеты, включая графические серверы, такие как Xorg или Wayland.
Рекомендуется регулярно устанавливать обновления безопасности для системного программного обеспечения и ядра Linux. Также рекомендуется включить автоматическое обновление следующим образом:
- Для операционных систем с диспетчером пакетов atp:
/etc/apt/apt.conf.d/50unattended-upgrades
Unattended-Upgrade::Allowed-Origins {
"${distro_id}:${distro_codename}-security";
"${distro_id}ESMApps:${distro_codename}-apps-security";
"${distro_id}ESM:${distro_codename}-infra-security";
};
- Для операционных систем с диспетчером пакетов rp, dnf и yum:
/etc/dnf/automatic.conf
[commands]
#
Какое обновление выполнить:
# default =
все доступные обновления
# security =
только обновления безопасности
upgrade_type = default
#
Следует ли скачивать обновления, когда они будут доступны,
#
dnf-automatic.timer. notifyonly.timer, download.timer и
#
install.timer отменяют этот параметр.
download_updates = yes
#
Следует ли скачивать обновления, когда они будут доступны,
#
dnf-automatic.timer. notifyonly.timer, download.timer и
#
install.timer отменяют этот параметр.
apply_updates = no
Параметры безопасности операционной системы
Параметры безопасности ядра Linux можно включить в файле /etc/sysctl.conf
или с помощью команды sysctl
. Рекомендуемые параметры безопасности ядра Linux перечислены во фрагменте файла /etc/sysctl.conf
:
/etc/sysctl.conf
# Выключить execshield
kernel.randomize_va_space=2
# Включить защиту от IP-спуфинга
net.ipv4.conf.all.rp_filter=1
net.ipv4.conf.default.rp_filter=1
# Игнорировать широковещательные сетевые запросы
net.ipv4.icmp_echo_ignore_broadcasts=1
net.ipv4.icmp_ignore_bogus_error_responses=1
# Включить ведение журнала событий сетевых спуфинговых пакетов
net.ipv4.conf.all.log_martians=1
# Скрыть указатели ядра
kernel.kptr_restrict=1
# Ограничить доступ к журналам событий ядра
kernel.dmesg_restrict = 1
# Запретить профилирование ядра для непривилегированных пользователей
kernel.perf_event_paranoid=3
# Увеличение бит энтропии ASLR
vm.mmap_rnd_bits=32
vm.mmap_rnd_compat_bits=16
Рекомендуется ограничить доступ к PID. Это уменьшит вероятность того, что один пользователь будет отслеживать процессы другого пользователя. Вы можете ограничить доступ к PID при монтировании файловой системы /proc
, например, добавив следующую строку в файл /etc /fstab
:
proc /proc proc nosuid,nodev,noexec,hidepid=2,gid=proc 0 0
Если процессы операционной системы управляются с помощью системы systemd
, служба systemd-logind
по-прежнему может контролировать процессы других пользователей. Для корректной работы пользовательских сессий в системе systemd
необходимо создать файл /etc/systemd/system/systemd-logind.service.d/hidepid.conf
и добавить в него следующие строки:
[Service]
SupplementaryGroups=proc
Так как в некоторых системах может не быть группы proc
, рекомендуется добавить группу proc
заранее.
Рекомендуется выключить комбинацию клавиш Ctrl+Alt+Del, чтобы предотвратить неожиданную перезагрузку операционной системы с помощью команды systemctl mask ctrl-alt-del.target
.
Рекомендуется запретить аутентификацию привилегированных пользователей (пользователей root) для установления удаленного подключения пользователя.
Рекомендуется использовать сетевой экран для ограничения сетевой активности. Об используемых портах и протоколах см. в разделе Порты, используемые Kaspersky SMP.
Рекомендуется включить auditd
, чтобы упростить расследование инцидентов безопасности. О включении перенаправления телеметрии см. в разделе Настройка получения событий Auditd.
Рекомендуется регулярно создавать резервные копии следующих конфигураций и директорий данных:
- Устройство администратора:
~/kdt
- Целевое устройство:
/etc/k0s/
,/var/lib/k0s
Также рекомендуется зашифровать эти резервные копии.
Руководства по усилению защиты для различных операционных систем и СУБД
Если вам нужно настроить параметры безопасности вашей операционной системы и программного обеспечения, вы можете использовать рекомендации, предоставленные Center for Internet Security (CIS).
Если вы используете операционную систему Astra Linux, обратитесь к рекомендациям по безопасности, которые можно применить к вашей версии Astra Linux.
Если вам необходимо настроить параметры безопасности PostgreSQL, воспользуйтесь рекомендациями по администрированию сервера из официальной документации PostgreSQL.