Список рекомендаций по обеспечению ИБ SpaceVM
Рекомендации по обеспечению информационной безопасности технологической операционной системы
Обеспечить отдельный раздел для /var/log
Выполнить команду и убедиться, что каталог /var/log подключен:
# mount | grep /var/log
/dev/mapper/sys_vg01-log_storage on /var/log type ext4 (rw,relatime)
По умолчанию раздел /var/log смонтирован отдельно.
Обеспечить настройку параметра nodev для раздела /dev/shm
Удостовериться, что параметр nodev настроен, если существует раздел /dev/shm. Для этого выполнить команду и убедиться, что вывод пустой:
# mount | grep -E '\s/dev/shm\s' | grep -v nodev
По умолчанию параметр nodev настроен на разделе /dev/shm.
Обеспечить настройку параметра nosuid для раздела /dev/shm
Удостовериться, что параметр nosuid настроен, если существует раздел /dev/shm. Для этого выполнить команду и убедиться, что вывод пустой:
# mount | grep -E '\s/dev/shm\s' | grep -v nosuid
По умолчанию параметр nosuid настроен на разделе /dev/shm.
Обеспечить настройку параметра noexec для раздела /dev/shm
Удостовериться, что параметр noexec настроен, если существует раздел /dev/shm. Для этого выполнить команду и убедиться, что вывод пустой:
# mount | grep -E '\s/dev/shm\s' | grep -v noexec
По умолчанию параметр noexec не настроен на разделе /dev/shm.
Обеспечить установку sticky bit для всех каталогов с открытым доступом на запись
Чтобы убедиться, что для всех каталогов с открытым доступом на запись установлен атрибут sticky bit, необходимо выполнить команду:
# df --local -P | awk '{if (NR!=1) print $6}' | xargs -I '{}' find '{}' -xdev -type d \( -perm -0002 -a ! -perm -1000 \) 2>/dev/null
По умолчанию атрибут sticky bit не присутствует на некоторых директориях.
Обеспечить настройку безопасных разрешений на доступ к файлу /etc/issue
Запустить команду и убедиться, что для UID и GID указано 0/root и права на доступ определены как 0644:
# stat /etc/issue
Access: (0644/-rw-r--r--) Uid: ( 0/ root) Gid: ( 0/ root)
По умолчанию разрешения на доступ к файлу /etc/issue корректные.
Обеспечить настройку безопасных разрешений на доступ к файлу /etc/motd
Запустить команду и убедиться, что для UID и GID указано 0/root и права на доступ определены как 0644:
# stat /etc/motd
Access: (0644/-rw-r--r--) Uid: ( 0/ root) Gid: ( 0/ root)
По умолчанию разрешения на доступ к файлу /etc/motd корректные.
Обеспечить настройку безопасных разрешений на доступ к файлу /etc/issue.net
Запустить команду и убедиться, что для UID и GID указано 0/root и права на доступ определены как 0644:
# stat /etc/issue.net
Access: (0644/-rw-r--r--) Uid: ( 0/ root) Gid: ( 0/ root)
По умолчанию разрешения на доступ к файлу /etc/issue.net корректные.
Рекомендации по обеспечению информационной безопасности облачной платформы SpaceVM
Доступ к администрированию системы виртуализации на узлах с ролью "Controller + Node" или "Node"
Изменить пароль по умолчанию в разделе основного меню Безопасность - Пользователи каждого узла с ролью "Controller + Node" или "Node".
По умолчанию: логин - admin, пароль - admin.
Настройка политики паролей системы централизованного управления Space Controller
Изменить параметры политики паролей в разделе Безопасность - Пользователи - Политики авторизации.
Параметры по умолчанию:
- Уровень безопасности пароля: low.
- Количество попыток до ограничений: 5.
- Время блокировки пользователя: 10 мин.
- Время между попытками: 10 с.
- Ограничение при превышении лимита попыток: да.
- Авторизация с проверкой MAC-адресов: нет.
Журналирование действий с ограниченным доступом в Space Controller
При включении будут создаваться события безопасности для всех попыток действий пользователя, к которым у него нет доступа. Настройки выполняются в разделе основного меню Настройки - Системные.
По умолчанию параметр выключен.
Журналирование некорректных действий пользователей в Space Controller
При включении будут создаваться события с ошибками валидации действий пользователей, например, превышение доступных или системных лимитов и т.д. Настройки выполняются в разделе основного меню Настройки - Системные.
По умолчанию параметр выключен.
Возможность удаления пользователей, созданных в локальной базе Space Controller
Настройка выполняется в разделе основного меню Настройки - Системные.
По умолчанию параметр выключен.
Настройки сессий пользователя
Настройки выполняются в разделе основного меню Настройки - Системные.
После изменения полей необходимо подтвердить операцию, нажав кнопку OK и перезагрузить сервисы контроллера командами CLI:
services restart controller-web-api
services restart controller-engine
.
Параметры по умолчанию:
- Тайм-аут бездействия пользователя: 600 с.
Возможные значения: от 15 до 9999 с.
- Количество одновременных сессий: 100.
Настройки параметров токенов API
Настройка выполняется в разделе основного меню Настройки - Системные.
Параметры по умолчанию:
- Период жизни токена: 1 день.
- Период возможности обновления токена: 28 дней.
- Время жизни сессионных cookie: 14 дней.
Доступ к централизованной системе управления Space Controller по SSH
Добавить ключи шифрования для пользователя в разделе основного меню Безопасность - Ключи шифрования.
По умолчанию ключи шифрования отсутствуют.
Подключение к службе каталогов LDAP по протоколу LDAPS
Настроить интеграцию со службой каталогов по протоколу LDAPS (при наличии соответствующей поддержки).
По умолчанию интеграция со службой каталогов не настроена.
Настройки журнала событий безопасности
Настроить параметры архивирования и очистки журнала событий в разделе Безопасность - События - Настройка архивации журналов.
Параметры по умолчанию:
- Минимальное количество событий для архивирования журнала: 100 000.
- Размер хранилища архивов журнала: 10 Гбайт.
- Лимит заполнения журнала в процентах: 80.
- Автоматическая очистка директории логов журнала: выкл.
Использование стойких алгоритмов хеширования паролей
Настройки алгоритмов хеширования паролей пользователей и загрузчика GRUB не могут быть изменены.
Параметры по умолчанию:
- Используемый алгоритм при установке для пользователя root: yescrypt.
- Используемый алгоритм при последующем создании пользователей: gost-yescrypt.
- Используемый алгоритм для хеширования пароля GRUB: PBKDF2 с функцией хеширования SHA512.
Ограничение доступа к редактированию меню загрузчика
Установить пароль для изменения конфигурации загрузчика командой CLI boot-protect
.
По умолчанию пароль не установлен. При его установке предъявляются требования политики паролей уровня middle.
Проверка контроля целостности установленного ПО SpaceVM
После установки или обновления SpaceVM провести фиксацию контрольной суммы командой CLI aide init
.
По умолчанию база контрольных сумм не создается.
Выполнять последующую регулярную сверку контрольных сумм командой CLI aide check
.
Доступ к подсистеме встроенной статистики и мониторинга
Включить доступ к встроенному функционалу Grafana командой CLI grafana start
.
По умолчанию подсистема Grafana отключена.
После включения доступ осуществляется с использованием учетной записи: логин - admin, пароль - admin.
Ограничение работы команд CLI
Включение или отключение CLI выполняется командой cli disable
.
По умолчанию параметр включен.
Ограничение доступа по SSH
Включение или отключение доступа по SSH выполняется командой CLI ssh disable|enable
.
По умолчанию параметр включен.
Управление сессиями SSH
Управление сессиями SSH выполняется с помощью команды CLI ssh session
.
Параметры по умолчанию:
- client-alive-count-max: 1.
- client-alive-interval: 7200.
- maxauthtries: 4.
- maxlogins: 1.
- maxsessions: 10.
- maxsyslogins: 10.
Доступ к системе централизованного управления по протоколу HTTPS с применением HTML5
-
Добавить сертификат в разделе основного меню Безопасность - SSL сертификаты и применить его к Web-интерфейсу SpaceVM.
По умолчанию при установке создается самоподписанный сертификат
CN=*
. -
Отключить доступ по HTTP во встроенном firewall. Для этого в разделе Сети - Сетевые настройки - Management plane - Пограничный брандмауэр - Фильтр. вх. трафик установить для протокола port 80 tcp значение drop. Либо выполнить перенаправление HTTP на HTTPS командой CLI
controller nginx-https enable
.По умолчанию доступ по HTTP включен.