ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной настройки Linux,
opennews (ok), 24-Янв-23, (0) [смотреть все]
- PS Некоторые опции ядра требуют включения отладочных функций, что может только у,
pavlinux (ok), 11:56 , 24-Янв-23, (1) //
- Зачем ,
Zenitur (ok), 11:57 , 24-Янв-23, (2) //
- Наверное, поощряется использование полной виртуализации для запуска недоверенных,
Аноним (46), 13:02 , 24-Янв-23, (46) +1 //
- iommu - не про виртуальные машины, он про защиту ОС от DMA-атак через Thunderbol,
Аноним (55), 13:34 , 24-Янв-23, (62) +2 //
- Как я понимаю iommu разрешает железу менять только разрешенные части оперативной,
Аноним (63), 13:37 , 24-Янв-23, (63) +3 //
- Всем спасибо за ответы Когда-то в 2013 году я целенаправленно искал материнскую,
Zenitur (ok), 13:48 , 24-Янв-23, (65) +2
- Ну если найдёте, куда лишние 390 ножек впихнуть, то можно, наверное ,
Аноним (68), 13:58 , 24-Янв-23, (68) +8
- Тогда зачем знак в названии сокета Я помню, что AM2 подразумевал, что в него,
Zenitur (ok), 14:05 , 24-Янв-23, (74) –3
- Только маркетинг, ничего личного ,
Аноним (106), 15:07 , 24-Янв-23, (106) +3
- означает, что поддерживаются дополнительные функции по сравнению с версией без,
Аноним (118), 15:47 , 24-Янв-23, (118) +2
- Если крайне упрощённо, AM3 8212 это для FX ов И да, та же история, можно вс,
Аноним (68), 15:54 , 24-Янв-23, (119) +1
- А зачем Топовые камни там вроде бы должны игры тянуть Главное память разогнать,
Аноним (168), 22:26 , 24-Янв-23, (168) +1
- Тоже имел такую доску и 9590 для таких же целей, только был вопрос в начале, поч,
Аноним (192), 02:26 , 25-Янв-23, (192) +1
- А что за патч ,
Zenitur (ok), 08:15 , 25-Янв-23, (199) +1
- 220 ватт TDP 8230 Звучит, как наличие титула, собственного замка и герба с Печ,
Аноним (230), 19:50 , 26-Янв-23, (230)
- Чтобы какой-нибудь GPU или вайфай адаптер не сделал ВНЕЗАПНЫЙ DMA в хрен знает к,
Аноним (-), 15:01 , 24-Янв-23, (103) +4 //
- Семь страниц это не серьёзно для гос организации Это даже прочитать можно ,
Аноним (3), 11:57 , 24-Янв-23, (3) +42 //
- И пидиэф кстати 404 404 не запрещено тут писать - а то ведь полит подтекст ,
Аноним (3), 11:58 , 24-Янв-23, (4) //
- По первой ссылке переходите, а ссылка на пдф реально битая,
Schwonder Reismus (?), 12:04 , 24-Янв-23, (7)
- Не только PDF, но теперь и страница с ним Даже в веб-архиве нет пдфки а вот ст,
Аноним (55), 12:06 , 24-Янв-23, (8) //
- а попробуй скажи что-нибудь без полит подтекста,
Аноним (44), 12:58 , 24-Янв-23, (44) //
- Полит подтекст - 451 А 404 - это просто 404 ,
Аноним (53), 13:23 , 24-Янв-23, (53) +1 //
- А это не для того чтобы за это наказывать, а чтобы реально работало ,
Аноним (9), 12:08 , 24-Янв-23, (9) //
- Сейчас ещё окажется что это не публикация, а внутренняя утечка ,
Аноним (9), 12:10 , 24-Янв-23, (11) +3 //
- Ну кстати, тот же ФСБ ещё лет 10-15 назад очень активно набирал новых сотруднико,
Бывалый смузихлёб (?), 13:27 , 24-Янв-23, (56) +1
- Ну чтож пришло время и тебе узнать правду Они не только 10-15 лет нанимали студ,
Аноним (91), 14:29 , 24-Янв-23, (91) +5
- Более того это повсеместная практика ,
Аноним (108), 15:15 , 24-Янв-23, (108) +2
- Вопрос не в том, что всегда, а в том, что массово Там реально списки пускали те,
Бывалый смузихлёб (?), 15:25 , 24-Янв-23, (112) +1
- Чёрт с ним, с количеством, но даже конкретика есть, даже как оно делается часто ,
Бывалый смузихлёб (?), 13:25 , 24-Янв-23, (54) +5 //
- Скрыто модератором,
ГруднаяЖаба (?), 11:59 , 24-Янв-23, (5) –10 //
- Всё это конечно безумно интересно, но где же всё-таки отечественный windows Вот ,
КО (?), 12:10 , 24-Янв-23, (12) –12 //
- Не потому что линукс опенсорс, а венда нет ,
Аноним (15), 12:13 , 24-Янв-23, (15) +1
- А где финский или например австралийский ,
Аноним (91), 12:14 , 24-Янв-23, (16) +12 //
- Не осилили,
Анонемистик (?), 12:20 , 24-Янв-23, (21)
- QP OS,
Аноним (28), 12:32 , 24-Янв-23, (28) +4
- На отечественный Виндус, в своё время, у Алксниса не удалось денег выпросить ,
Аноним (46), 13:05 , 24-Янв-23, (48) –1
- Тут доступно объяснилиhttps olegmakarenko ru 2618158 html,
Kol (ok), 13:30 , 24-Янв-23, (58) +1
- Ляликс теперь Русский виндовс , считай официально Даже взять исходники Андрои,
Kuromi (ok), 14:02 , 24-Янв-23, (72) +1 //
- Зачем она тов майору В доточку с ксиком играть Жри со швитым забугорным и не о,
Ананий (?), 10:48 , 25-Янв-23, (202) –1
- Гм Вроде хорошая вещь, а вот PDF-ку в Word2016 варганили ,
ryoken (ok), 12:13 , 24-Янв-23, (14) +4 //
- Семь страничек Смешно Рекомендации от CIS Center for Internet Security едва ,
Аноним (18), 12:15 , 24-Янв-23, (18) //
- Я сделяль с ФСТЭК,
Аноним (20), 12:20 , 24-Янв-23, (20)
- При этом там 90 воды, а в оставшемся бо 769 льшую часть занимают примеры Было ,
PnD (??), 12:28 , 24-Янв-23, (24) +5
- 7 страниц рили можно осилить,а за 700 платить придется в поддержку ,
Попандопала (?), 12:28 , 24-Янв-23, (25) +1
- так там selinux, а на кой хрен он нужен как и его аналоги ,
anonfdfd4 (?), 12:36 , 24-Янв-23, (34) –2 //
- PCI DSS 4 0 - 360 страниц увлекательного чтения с экзаменациями, аудитами, компл,
Аноним (41), 12:52 , 24-Янв-23, (41) //
- Думал было написать Ваш комментарий слишком краток Но давайте попробую менее с,
Michael Shigorin (ok), 01:27 , 26-Янв-23, (224) –1 //
- Интересно, спасибо ,
Иваня (?), 12:19 , 24-Янв-23, (19) +2
- Проще Альторосу поставить и колупаться не надо D,
Попандопала (?), 12:27 , 24-Янв-23, (23) –1 //
- Где пункты удалить systemd и собрать ядро без поддержки Rust Опять иксперто,
Hanyuu (?), 12:29 , 24-Янв-23, (26) //
- Для тех, кто линукс изучает по цитаткам с башорга, рассказываю правду Rust в яд,
Аноним (36), 12:41 , 24-Янв-23, (36) +3
- Для кого тогда написали ,
fuggy (ok), 19:05 , 24-Янв-23, (157) //
- X Ограничить доступ к proc Так чтобы пользователь или процесс мог видеть то,
pashev.ru (?), 12:32 , 24-Янв-23, (29) +1
- а где скрипт vfstek sh, который всё это проверяет не меняет, а просто чекает и ,
Аноним (31), 12:33 , 24-Янв-23, (31) +14 //
- ишт ты умник 1,
anonfdfd4 (?), 12:37 , 24-Янв-23, (35)
- Это за деньги ,
Аноним (39), 12:50 , 24-Янв-23, (39)
- cat boot config-6 0 0-6-amd64 124 grep -P CONFIG_ INIT_ON_ALLOC_DEFAULT_ON ,
Аноним (55), 13:07 , 24-Янв-23, (50) //
- Он ещё и отчёт должен сам отправлять ,
Аноним (46), 13:08 , 24-Янв-23, (51)
- Запускать этот скрипт будут специально аффилированные компании ,
SubGun (ok), 21:36 , 24-Янв-23, (163) +1
- Проверяющий скрипт https www opennet ru openforum vsluhforumID3 129586 html 24,
Аноним (244), 15:47 , 03-Фев-23, (251)
- Вроде бы адекватные рекомендации, правда я не все из них понимаю ,
Аноним (146), 12:47 , 24-Янв-23, (38) //
- Очень полезно иметь такой список когда новый сервер запускаешь На работе даже па,
Аноним (146), 12:57 , 24-Янв-23, (43) +4 //
- Тут надо не список иметь, а бить по рукам за ручную настройку серверов Это зада,
Аноним (86), 14:19 , 24-Янв-23, (86) –8 //
- Ага, осталось всего ничего - нанять еще одного человека, который будет настраива,
Аноним (174), 23:40 , 24-Янв-23, (174) +2
- Пациенты тебя люто ненавидят Следовательно, как врач, ты прав ,
Валерий (??), 02:52 , 25-Янв-23, (193) –1
- Чек-лист при установке не пользуете Рекомендую хотя бы его ,
Аноним (174), 23:42 , 24-Янв-23, (175)
- Ну, например, вот это правило нужно для ликвидации уязвимости libXpm для все,
Аноним (134), 14:49 , 24-Янв-23, (96) +2 //
- Теперь нельзя выполнять проги из tmp private Как жить дальше ,
Аноним (127), 16:38 , 24-Янв-23, (127) //
- Начать питаться на кухне, а не на помойке ,
Аноним (134), 17:15 , 24-Янв-23, (136)
- Рекомендация того же порядка, что и noexec ,
Аноним (127), 17:31 , 24-Янв-23, (142) +1
- На помойке будет как раз не tmp private , а 755 root, как вон выше упоминали ,
Michael Shigorin (ok), 01:31 , 26-Янв-23, (226) +1
- Каким образом делать такую проверку, там не написано Если файловую систему home,
Аноним (146), 17:31 , 24-Янв-23, (143) //
- и мне нельзя запускать свои же скрипты из bin и local bin и tor browser не,
ivan_erohin (?), 04:53 , 25-Янв-23, (194)
- Безо сферическая в вакууме ,
mos87 (ok), 13:01 , 24-Янв-23, (45) –1
- Как бы за щоо , однакоhttps www kernel org doc html latest admin-guide hw-vul,
Аноним (55), 13:02 , 24-Янв-23, (47) +1 //
- О чём это говорит Это говорит о том, что даже в госшарагах на якобы обязательну,
Аноним (-), 13:07 , 24-Янв-23, (49) –2 //
- Это говорит о том, что здравомыслие в конечном итоге побеждает ,
Аноним (55), 13:10 , 24-Янв-23, (52) //
- Это говорит о том что, там используются много разных дистрибутивов, а обязательн,
Атон (?), 13:43 , 24-Янв-23, (64) +7
- Ну не все компы для офисной работы, разные задачи бывают, просто выставили требо,
_kp (ok), 13:51 , 24-Янв-23, (66) +2
- ФСТЭК решил заняться тем, чем CERT CISA занимается уже джвадцать лет Ну, чо Л,
YetAnotherOnanym (ok), 13:28 , 24-Янв-23, (57) –1 //
- Почему бы кому-нибудь не запилить скрипт, выполняющий большинство из этих рекоме,
Ку (?), 13:31 , 24-Янв-23, (59) //
- Ну так вперед, к мечте ,
Аноним (113), 15:34 , 24-Янв-23, (113) +4
- Луче расскажи какого хрена ты его так до сих и не запилил ,
Аноним (9), 18:07 , 24-Янв-23, (149) +2 //
- А что тогда будут кушать компании, которые специализируются на запуске этого скр,
SubGun (ok), 21:37 , 24-Янв-23, (164)
- Скрипт делающий ненужен Не все фичи безопасности в конкретном дистре можно вклю,
Аноним (244), 15:03 , 03-Фев-23, (249)
- https bugs debian org cgi-bin bugreport cgi bug 928362 - related,
Аноним (55), 13:31 , 24-Янв-23, (60)
- Astra Linux SE 1 7 3 sbin sshd -T 124 ag -i PermitRootLoginpermitrootlogin w,
mos87 (ok), 13:33 , 24-Янв-23, (61) //
- Астара - хардкорная RBAC операционка, там даже рут - не человек ,
pavlinux (ok), 15:41 , 24-Янв-23, (117) //
- Ну так, извиняюсь заранее, мандатный доступ ,
Аноним (174), 23:47 , 24-Янв-23, (176) //
- Главное чтобы этот доступ не запрещал играть в героев меча и магии 3, иначе прап,
Аноним (195), 06:11 , 25-Янв-23, (195) +1
- они разве не в косынку,
mos87 (ok), 12:35 , 25-Янв-23, (206)
- Неправда В части, где я проходил срочную службу, на рабочем ПК ЗНШ полка в зва,
Аноним (237), 20:32 , 27-Янв-23, (237)
- Там где я срочку проходил, кап-лей-т гонял в NFS MW и что-то еще не помню что ,
Аноним (253), 19:52 , 13-Авг-23, (253)
- Ограничить использование user namespaces sysctl -w user max_user_namespaces 0,
Kuromi (ok), 13:57 , 24-Янв-23, (67) +3 //
- А на работу контейнеров этот параметр влияет ,
Sunderland93 (ok), 14:05 , 24-Янв-23, (75) //
- 102 7 работает с этим параметром в sysctl conf,
Попандопала (?), 14:09 , 24-Янв-23, (79) //
- Все браузеры используют как дополнительный уровень в песочницах, да и в целом от,
Аноним (127), 14:10 , 24-Янв-23, (81) //
- Когда делаешь clone CLONE_NEWUSER, наследуются все разрешения, а ограничен,
pavlinux (ok), 15:36 , 24-Янв-23, (114) +4 //
- Вероятнее всего идею выключить неймспейсы взяли отсюда - https www stigviewer ,
Kuromi (ok), 00:13 , 25-Янв-23, (182) +1 //
- Какие браузеры Тут рекомендация скорее всего для серверов и т п , а не для твое,
Аноним (187), 01:45 , 25-Янв-23, (187) //
- Нет, совет в том, чтобы сместить ответственность со случайной прикладной програм,
Аноним (237), 20:47 , 27-Янв-23, (240)
- Это отключаемо в браузерах и программах на их движках Webkit, Chromium и т п П,
Аноним (237), 20:40 , 27-Янв-23, (239)
- Скрыто модератором,
Амомин (?), 14:07 , 24-Янв-23, (77) –1 //
- На печатных машинках так проще Разумеется тут не суперпользователь Усложнять жи,
Аноним (-), 14:10 , 24-Янв-23, (80) –3 //
- почему это не плейбук для ансибла ,
Аноним (84), 14:14 , 24-Янв-23, (84) –2 //
- Видно толковый человек поработал над написанием документа, что выглядит очень и ,
Аноним (87), 14:20 , 24-Янв-23, (87) +3 //
- init_on_free 1slub_debug FZpage_alloc shuffle 1vm mmap_rnd_bits 32vm mmap_rnd_co,
pavlinux (ok), 15:58 , 24-Янв-23, (120) +1
- В целом советы полезные, ноТак разве не везде на bin usr bin стоит только чтен,
fuggy (ok), 16:39 , 24-Янв-23, (128) –3 //
- Открой недавнюю тему про libXpm поймёшь, про что речь ,
Аноним (134), 17:16 , 24-Янв-23, (137) //
- Уточните что именно прочее mitigations auto включает смягчение всех известных у,
Аноним (146), 22:46 , 24-Янв-23, (170) +1 //
- Покупаем 40 ядер 80 потоков Xeon Platinum 8380 за миллион рублей и отключаем у н,
Аноним (195), 06:24 , 25-Янв-23, (196) –2 //
- Покупаем 40 ядер 80 потоков Xeon Platinum 8380 за много тысяч долларов, ставим н,
Аноним (198), 07:25 , 25-Янв-23, (198) +2
- После патчей от Spectre, Meltdown, Retbleed и т п , гыпертрединг бесполезен ,
pavlinux (ok), 12:19 , 25-Янв-23, (205) +2
- Самое главное забыли apt install safe-rm А вообще советую ещё монтировать хомяк,
Аноним (141), 17:21 , 24-Янв-23, (141) +2 //
- 100500 ,
Аноним (134), 19:22 , 24-Янв-23, (159) +3
- home, proc, sys, tmp, var, - nodev,noexec,nosuid,rw dev - noexec,nosuid,
Аноним (244), 14:34 , 03-Фев-23, (247)
- А скрипт делающий это всё не выпустили -__-,
FreeStyler (ok), 18:16 , 24-Янв-23, (151) //
- Но ведь ты исправишь эту оплошность ,
Аноним (113), 18:27 , 24-Янв-23, (154) +2
- Все это уже давно применяется в дистрибутивах ,
Аноним (173), 23:14 , 24-Янв-23, (173) –1
- Есть скрипты для проверки Lynis, https en wikipedia org wiki Lynishttps h,
Аноним (244), 14:39 , 03-Фев-23, (248)
- Странно, усё так завинченно, а про банальный proc proc proc nodev,noexec,,
OpenEcho (?), 00:47 , 25-Янв-23, (183) +2 //
- https wiki debian org Hardening Runtime_hardening с systemd плохо сочетается ,
Аноним (188), 01:54 , 25-Янв-23, (188) +2
//
- А мне прикольнуло,как у бздунов прям D ,
Попандопала (?), 02:01 , 25-Янв-23, (189)
- Очевидно, что сначала надо от системды избавиться ,
Аноним (134), 02:09 , 25-Янв-23, (190) +5
- Да маковка о которой я хотел сказать - это hidepid 2который скрывет показ не сво,
OpenEcho (?), 20:07 , 25-Янв-23, (208)
//
- YAMA даст больше защиты процессов ,
Аноним (244), 14:21 , 03-Фев-23, (245) //
- Кто забыл, и кому нужен скрипт для генерации конфига Уже лет 5 как Попов замут,
pavlinux (ok), 00:52 , 26-Янв-23, (221) +2
- KSPP https www kernel org doc html latest security self-protection htmlhttps ,
Аноним (252), 17:48 , 04-Фев-23, (252)
1,2,3,12,14,18,19,23,26,29,31,38,45,47,49,57,59,60,61,67,80,84,87,120,128,141,151,183,221,252
|
Вариант для распечатки
