Устраняем типовые ошибки конфигурации общесистемного и прикладного ПО по методике ФСТЭК России 📄 Регулятор в лице ФСТЭК России порадовал нас ещё одним документом, нацеленным на обеспечение безопасности информационных ресурсов организаций: «Рекомендации по устранению типовых ошибок конфигурации (настройки) общесистемного и прикладного программного обеспечения». ✔️ Рекомендации содержат 12 пунктов – типовых угроз безопасности и достаточно подробную инструкцию по их устранению. Например, угроза №9 «SSH-сервер разрешает вход по паролю и привилегированный доступ (root), что создает угрозу получения несанкционированного доступа». В качестве рекомендаций предотвращения угрозы, регулятор предлагает: 1️⃣Отключить авторизацию пользователей по паролю и доступ с «нулевым» паролем, внеся изменения в файл /etc/ssh/sshd_config. 2️⃣Обеспечить доступ только по SSH-ключам. 3️⃣Ограничить IP-адреса, которые используются для входа с помощью политик. 4️⃣Организовать мониторинг событий SSH-доступа и анализ полученных событий: a. SSH-логирование осуществляется утилитой sshd, которая по умолчанию записывает события связанные: – с успешными и неуспешными попытками входа; – ошибки аутентификации (неверный логин, пароль, ключ); – попытки входа с отключенными пользователями; – использование sudo, su, scp, sftp. Событий записываются в системный журнал: – ОС Debian и Ubuntu – /var/log/auth.log. – ОС RHEL, CentOS, Rocky – /var/log/secure. – Все system-дистрибутивы – journalctl -u ssh. b. Настройка уровня логирования производится путем изменения в файле конфигурации /etc/ssh/sshd_config параметра LogLevel. Допускаются следующие параметры: 〰️VERBOSE – включает запись ключей при аутентификации (без самих ключей); 〰️QUIET, FATAL, ERROR – минимальные; 〰️INFO – по умолчанию. c. После внесения изменений в файл конфигурации для их применения требуется выполнить команду: sudo systemctl restart sshd d. Для ручного анализа SSH-логов приведен список команд, позволяющих выполнять поиск записей в журналах с выбранными ключевыми словами, например, «Failed password», для нахождения всех неудачных авторизаций. Для автоматического анализа регулятор рекомендует использовать утилиту fail2ban, которая также автоматически блокирует IP-адреса с частыми ошибками входа. В составе рекомендаций также указано, как произвести установку и настройку утилиты fail2ban. ❗️Отдельно отметим, что рекомендации содержат настройки не только для операционных систем (Windows и Linux), но и прикладного ПО, такого как СУБД. Проблемы, которые ФСТЭК России перечислила в своих рекомендациях, действительно существуют и массово встречаются на практике. ✖️ Обратим внимание, в составе рекомендаций не указаны отечественные операционные системы, доля использования которых с каждым годом увеличивается в информационных инфраструктурах органов государственной власти. Возможно это связано с тем, что вендор самостоятельно предоставляет такие рекомендации, а также в состав ОС могут быть включены профили настроек под нужный класс или уровень защищенности. ✖️ Команды предоставлены не под все типы ОС, поэтому для выполнения рекомендаций потребуется углубиться в механизмы настроек и искать информацию в документации. Мы в MAX