Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной настройки Linux"	+/–
Сообщение от opennews (ok), 24-Янв-23, 11:56
Федеральная служба по техническому и экспортному контролю РФ разработала и утвердила методические рекомендации (PDF, 7 стр.) по повышению защищённости  систем на базе ядра Linux. Рекомендации подлежат реализации в государственных информационных системах и на объектах критической информационной инфраструктуры РФ, построенных с использованием Linux, несертифицированных по требованиям безопасности информации... Подробнее: https://www.opennet.me/opennews/art.shtml?num=58533
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
Сообщение от pavlinux (ok), 24-Янв-23, 11:56
PS Некоторые опции ядра требуют включения отладочных функций, что может только усугубить безопасность (BPF/eBPF)
Ответить | Правка | Наверх | Cообщить модератору

	13. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	–1 +/–
	Сообщение от ФСТЭК (?), 24-Янв-23, 12:11
	Безопасность кого надо безопасность!
	Ответить | Правка | Наверх | Cообщить модератору

	55. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+4 +/–
	Сообщение от Аноним (55), 24-Янв-23, 13:26
	eBPF - это не отладочные функции. И они как раз для rootа доступны. Но если у вас есть рут, то зачем вам систему ломать, вы и так её хозяин.
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	98. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+6 +/–
	Сообщение от pavlinux (ok), 24-Янв-23, 14:51
	> eBPF - это не отладочные функции. https://www.opennet.me/opennews/art.shtml?num=54932 > зачем вам систему ломать, вы и так её хозяин. Рут в виртуалке - не хозяин системы.
	Ответить | Правка | Наверх | Cообщить модератору

	160. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	–7 +/–
	Сообщение от Аноним (55), 24-Янв-23, 19:58
	>https://www.opennet.me/opennews/art.shtml?num=54932 1. где там утверждается, что ebpf -  это отладочные функции? 2. ebpf обычно требует рута. >Рут в виртуалке - не хозяин системы. Виртуальной системы - "хозяин". Ты же не хозяин твоего тела. Это Господь Бог хозяин, а ты так, арендатор, тебе его просто попользоваться дали.
	Ответить | Правка | Наверх | Cообщить модератору

	204. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+1 +/–
	Сообщение от pavlinux (ok), 25-Янв-23, 12:06
	>>https://www.opennet.me/opennews/art.shtml?num=54932 > 1. где там утверждается, что ebpf -  это отладочные функции? А где я утверждал, что eBPF - это только отладка?
	Ответить | Правка | Наверх | Cообщить модератору

	201. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	–2 +/–
	Сообщение от Аноним (201), 25-Янв-23, 09:29
	Можно ли написать кодогенератор на rust в безопасном режиме? Там бы значительная часть ошибок проявила себя ещё во время сборки и первого запуска в debug режиме
	Ответить | Правка | К родителю #98 | Наверх | Cообщить модератору

2. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
Сообщение от Zenitur (ok), 24-Янв-23, 11:57
> Инициализировать механизм IOMMU Зачем?
Ответить | Правка | Наверх | Cообщить модератору

	46. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+1 +/–
	Сообщение от Аноним (46), 24-Янв-23, 13:02
	Наверное, поощряется использование полной виртуализации для запуска недоверенных приложений. Проброс железяк для них в виртуалки.
	Ответить | Правка | Наверх | Cообщить модератору

	62. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+2 +/–
	Сообщение от Аноним (55), 24-Янв-23, 13:34
	iommu - не про виртуальные машины, он про защиту ОС от DMA-атак через Thunderbolt, FireWire и SCSI.
	Ответить | Правка | Наверх | Cообщить модератору

	104. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+4 +/–
	Сообщение от Аноним (-), 24-Янв-23, 15:05
	А заодно и от левых попыток железок делать с DMA что-то не то. Какая-нибудь PCI железка типа GPU или вайфая может потенциально попытаться слазить через DMA в совершенно левые адреса. Это может инициировать начинка самой железки, ну там сервисная фирмвара вспомогательного ядра какая-нибудь.
	Ответить | Правка | Наверх | Cообщить модератору

	63. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+3 +/–
	Сообщение от Аноним (63), 24-Янв-23, 13:37
	Как я понимаю iommu разрешает железу менять только разрешенные части оперативной памяти и залезть в память приложений и ядра железо уже не может. Со стороны железа тоже возможны атаки. Я помню что с помощью thunderbolt можно было сдампить и изменять ОЗУ.
	Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

	65. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+2 +/–
	Сообщение от Zenitur (ok), 24-Янв-23, 13:48
	Всем спасибо за ответы. Когда-то в 2013 году я целенаправленно искал материнскую плату с поддержкой IOMMU. Приобрёл ASUS Sabertooth 990FX R2.0. Использовал IOMMU для аппаратной виртуализации и проброса видеокарточки в гостевую винду. Но теперь я в этом не вижу необходимости, когда есть DXVK. Я выключил IOMMU и больше не включал. А в новости пишут, что его рекомендуется включить. Поэтому и спросил, для чего именно... Кстати, в сокет AM3+ вроде как можно вставить AM4-процессор? А какой в данный момент топовый? Я знаю, что для AM3+ таковым является 9590
	Ответить | Правка | Наверх | Cообщить модератору

	68. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+8 +/–
	Сообщение от Аноним (68), 24-Янв-23, 13:58
	> Кстати, в сокет AM3+ вроде как можно вставить AM4-процессор? Ну если найдёте, куда лишние 390 ножек впихнуть, то можно, наверное.
	Ответить | Правка | Наверх | Cообщить модератору

	74. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	–3 +/–
	Сообщение от Zenitur (ok), 24-Янв-23, 14:05
	Тогда зачем знак + в названии сокета? Я помню, что AM2+ подразумевал, что в него можно будет вставить AM3-процессор.
	Ответить | Правка | Наверх | Cообщить модератору

	106. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+3 +/–
	Сообщение от Аноним (106), 24-Янв-23, 15:07
	Только маркетинг, ничего личного.
	Ответить | Правка | Наверх | Cообщить модератору

	118. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+2 +/–
	Сообщение от Аноним (118), 24-Янв-23, 15:47
	+ означает, что поддерживаются дополнительные функции по сравнению с версией без + В am3+ есть дополнительные возможности по power saving'у.
	Ответить | Правка | К родителю #74 | Наверх | Cообщить модератору

	119. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+1 +/–
	Сообщение от Аноним (68), 24-Янв-23, 15:54
	Если крайне упрощённо, AM3+ — это для FX'ов. И да, та же история, можно вставить в AM3 без плюса, но тут как повезёт.
	Ответить | Правка | К родителю #74 | Наверх | Cообщить модератору

	168. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+1 +/–
	Сообщение от Аноним (168), 24-Янв-23, 22:26
	А зачем? Топовые камни там вроде бы должны игры тянуть. Главное память разогнать и чтобы ее хватало. Ну и в линуксе желательно иметь видеокарту с большим объемом памяти. https://m.youtube.com/watch?v=RYOuH92USEg
	Ответить | Правка | К родителю #65 | Наверх | Cообщить модератору

	192. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+1 +/–
	Сообщение от Аноним (192), 25-Янв-23, 02:26
	Тоже имел такую доску и 9590 для таких же целей, только был вопрос в начале, почему не работает nested, приходилось его отключать, а когда amd выкатила наконец патч (примерно после выхода уже zen+) я уже поменял железо
	Ответить | Правка | К родителю #65 | Наверх | Cообщить модератору

	199. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+1 +/–
	Сообщение от Zenitur (ok), 25-Янв-23, 08:15
	А что за патч?
	Ответить | Правка | Наверх | Cообщить модератору

	216. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+1 +/–
	Сообщение от Аноним (192), 25-Янв-23, 21:29
	Патч решающий проблемы низкой производительности при включённой опции amd nested. В ядрах начинаю помоему с 2021 года включен по умолчанию
	Ответить | Правка | Наверх | Cообщить модератору

	230. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от Аноним (230), 26-Янв-23, 19:50
	> 9590 220 ватт TDP… Звучит, как наличие титула, собственного замка и герба с Печью, мое увОжение!
	Ответить | Правка | К родителю #192 | Наверх | Cообщить модератору

	235. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от Аноним (235), 27-Янв-23, 19:14
	Крематория, не герба?
	Ответить | Правка | Наверх | Cообщить модератору

	103. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+4 +/–
	Сообщение от Аноним (-), 24-Янв-23, 15:01
	Чтобы какой-нибудь GPU или вайфай адаптер не сделал ВНЕЗАПНЫЙ DMA в хрен знает какие адреса фиг знает почему. Ну вот решит какой-то блобик их многочисленных фирмвар что им так хочется - и запрограммит DMA со стороны железки вот так, немного пропатчив кернел операционки в процессе, например. Обычный MMU - со стороны проца, он для железок арбитраж прав доступа к памяти не обеспечивает. А IOMMU это как раз логичное дополнение, обеспечивающее энфорс прав доступа и для железок. Одно из очевидных применений это виртуализация - т.к. кроме всего прочего можно перехыватывать и редиректить доступы, так что для виртуалки все будет выглядеть как будто запрос сработал, хотя его виртуализатор перехватил и оттранслировал адреса как надо. Если этого не сделать, драйвер в VM видит свои адреса, виртуалочные. Которые без задней мысли скормит железкам с DMA и прочему, а поскольку это настоящие железки, они без специальных мер вот именно эти адреса и задействуют. Что там у хоста было по этим адресам - обычно без IOMMU все быстро и жестоко умирает. Однако кроме виртуализации это и просто секурити фича, ловящая явно внеплановые доступы железок в левые регионы памяти. В IOMMU прописывается куда какие железки должны лазить по мнению их дров, а если получилось не это - окей, это заворачивается и вместо этого генерится исключение показывающее что нечто пошло не по плану.
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	222. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от Michael Shigorin (ok), 26-Янв-23, 01:18
	> немного пропатчив кернел операционки в процессе, например Тут даже с ARM было бы чуть спокойнее, не говоря уж про e2k. :D
	Ответить | Правка | Наверх | Cообщить модератору

	228. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от Аноним (228), 26-Янв-23, 19:30
	В ночное? Извините )
	Ответить | Правка | Наверх | Cообщить модератору

	229. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от Аноним (228), 26-Янв-23, 19:33
	Михаил, а как в Симплии сделать снимок экрана с меню "Пуск" с двумя пунктами почтовой программы?
	Ответить | Правка | К родителю #222 | Наверх | Cообщить модератору

3. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+42 +/–
Сообщение от Аноним (3), 24-Янв-23, 11:57
Семь страниц это не серьёзно для гос организации. Это даже прочитать можно.
Ответить | Правка | Наверх | Cообщить модератору

	4. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от Аноним (3), 24-Янв-23, 11:58
	И пидиэф кстати 404 (404 не запрещено тут писать? - а то ведь полит подтекст)
	Ответить | Правка | Наверх | Cообщить модератору

	7. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от Schwonder Reismus (?), 24-Янв-23, 12:04
	По первой ссылке переходите, а ссылка на пдф реально битая
	Ответить | Правка | Наверх | Cообщить модератору

	8. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от Аноним (55), 24-Янв-23, 12:06
	Не только PDF, но теперь и страница с ним. Даже в веб-архиве нет пдфки (а вот страница есть).
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

	10. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+5 +/–
	Сообщение от Аноним (55), 24-Янв-23, 12:09
	Ага. Ссылка в новости устарела. А вот новость на сайте ФСТЭК (по другой ссылке в тексте новости) содержит правильную ссылку на PDF
	Ответить | Правка | Наверх | Cообщить модератору

	44. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от Аноним (44), 24-Янв-23, 12:58
	а попробуй скажи что-нибудь без полит подтекста
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

	210. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	–1 +/–
	Сообщение от Аноним (210), 25-Янв-23, 20:23
	Даже молчание и отсутствие являются признаками бунта )
	Ответить | Правка | Наверх | Cообщить модератору

	53. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+1 +/–
	Сообщение от Аноним (53), 24-Янв-23, 13:23
	Полит подтекст - 451. А 404 - это просто 404 :)
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

	94. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	–2 +/–
	Сообщение от fi (ok), 24-Янв-23, 14:31
	ну не скажи, руководители паблика 404 уже седят
	Ответить | Правка | Наверх | Cообщить модератору

	9. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от Аноним (9), 24-Янв-23, 12:08
	А это не для того чтобы за это наказывать, а чтобы реально работало.
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

	11. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+3 +/–
	Сообщение от Аноним (9), 24-Янв-23, 12:10
	Сейчас ещё окажется что это не публикация, а внутренняя утечка.
	Ответить | Правка | Наверх | Cообщить модератору

	56. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+1 +/–
	Сообщение от Бывалый смузихлёб (?), 24-Янв-23, 13:27
	Ну кстати, тот же ФСБ ещё лет 10-15 назад очень активно набирал новых сотрудников с ВУЗов, учащихся по специальностям, связанным с безопасностью в ИТ. Причём, по всей стране
	Ответить | Правка | Наверх | Cообщить модератору

	91. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+5 +/–
	Сообщение от Аноним (91), 24-Янв-23, 14:29
	Ну чтож пришло время и тебе узнать правду. Они не только 10-15 лет нанимали студентов ВУЗов по профильным специальностям, но и всегда нанимали студентов по профильным специальностям. Даже вот прямо сейчас это происходит и 30 лет назад происходило тоже  самое ничего за это время не изменилось. От слова ваще.
	Ответить | Правка | Наверх | Cообщить модератору

	108. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+2 +/–
	Сообщение от Аноним (108), 24-Янв-23, 15:15
	Более того: это повсеместная практика.
	Ответить | Правка | Наверх | Cообщить модератору

	112. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+1 +/–
	Сообщение от Бывалый смузихлёб (?), 24-Янв-23, 15:25
	Вопрос не в том, что всегда, а в том, что массово. Там реально списки пускали тех, кто хотел бы и после - почти всех принимали Причём, списки пускали по всем специальностям, но гребли в основном безопасников - у тех практически все отметившиеся отправились туда куда записались. Причём, само приёмное отделение находилось там где и не подумаешь.. >> Читать далее
	Ответить | Правка | К родителю #91 | Наверх | Cообщить модератору

	144. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+1 +/–
	Сообщение от Аноним (91), 24-Янв-23, 17:39
	Я конечно понимаю что у тебя яркие впечатления о молодости, но и сейчас в любую госконтору берут без особого конкурса. Не знаю ни одного случае чтобы допустим кто-то пошел на практику во время инста в госконтору и его бы потом не приняли или отказали в приёме. А то о чём ты говоришь это обычная госконтора. Условия в них во всех одинаковые и зарплаты примерно одинаковые.
	Ответить | Правка | Наверх | Cообщить модератору

	54. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+5 +/–
	Сообщение от Бывалый смузихлёб (?), 24-Янв-23, 13:25
	Чёрт с ним, с количеством, но даже конкретика есть, даже как оно делается часто упомянуто. Пожалуй, сохраню-ка где-нибудь А не вида "стремиться ко всему достаточно безопасному и избегать всего недостаточно безопасного" на 500+ страниц, по итогу прочтения которых так и неясно, что является достаточно безопасным, а что - нет
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

	76. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от X86 (ok), 24-Янв-23, 14:05
	Про sudo, кстати, это же вообще свежачок (CVE-2023-22809). Как они могли знать?)
	Ответить | Правка | Наверх | Cообщить модератору

	132. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+2 +/–
	Сообщение от Деанон (?), 24-Янв-23, 17:06
	ToDo с анонимов тутошных собирают
	Ответить | Правка | Наверх | Cообщить модератору

	223. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от Michael Shigorin (ok), 26-Янв-23, 01:22
	> Про sudo, кстати, это же вообще свежачок (CVE-2023-22809). Как они могли знать?) Так это не то sudo, про него много у кого соображения были вида "подальше-подальше". Удивился в этом плане как раз предложению PermitRootLogin=no вместо without-password (нет, это не то, что первым приходит в голову): это предполагает минимум ещё один бинарник для осуществления администрирования, да не просто от рута бегающий, а suid-ный и предназначенный для _повышения_ привилегий.
	Ответить | Правка | К родителю #76 | Наверх | Cообщить модератору

	244. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от Аноним (244), 03-Фев-23, 14:11
	Все правильно. chown root:wheel /bin/su chmod o-rwxst /bin/su usermod -a -G wheel admin_wheel Или другую спец групу завести. Так атакующему надо угадать имя пользователя и аж два пароля. А ключи воруют.
	Ответить | Правка | Наверх | Cообщить модератору

5. Скрыто модератором	–10 +/–
Сообщение от ГруднаяЖаба (?), 24-Янв-23, 11:59
если убрать системд то половину этих пунктов можно не читать
Ответить | Правка | Наверх | Cообщить модератору

	6. Скрыто модератором	+7 +/–
	Сообщение от Аноним (6), 24-Янв-23, 12:03
	Любители девуана вообще читать не умеют.
	Ответить | Правка | Наверх | Cообщить модератору

12. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	–12 +/–
Сообщение от КО (?), 24-Янв-23, 12:10
Всё это конечно безумно интересно, но где же всё-таки отечественный windows? Вот прям с родным товарищем майором.
Ответить | Правка | Наверх | Cообщить модератору

	15. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+1 +/–
	Сообщение от Аноним (15), 24-Янв-23, 12:13
	Не потому что линукс опенсорс, а венда нет.
	Ответить | Правка | Наверх | Cообщить модератору

	16. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+12 +/–
	Сообщение от Аноним (91), 24-Янв-23, 12:14
	А где финский или например австралийский?
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

	70. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от Аноним (68), 24-Янв-23, 14:00
	Вы ещё спросите, где финские или австралийские процессоры.
	Ответить | Правка | Наверх | Cообщить модератору

	93. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+7 +/–
	Сообщение от Аноним (91), 24-Янв-23, 14:31
	У меня тут такой вопрос резко возник. А где финские или австралийские процессоры?
	Ответить | Правка | Наверх | Cообщить модератору

	125. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от Аноним (68), 24-Янв-23, 16:21
	У финнов ещё и легкового автопрома нет, вот где днище-то. В то время, как мы тут с автовазом корячимся.
	Ответить | Правка | Наверх | Cообщить модератору

	145. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от Аноним (91), 24-Янв-23, 17:40
	Ну похоже перегнали, а кто-то не верил.
	Ответить | Правка | Наверх | Cообщить модератору

	165. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+2 +/–
	Сообщение от Аноним (165), 24-Янв-23, 21:38
	А тут внезапнор и шведы продали китайцам свой автопром. Заговор?
	Ответить | Правка | К родителю #125 | Наверх | Cообщить модератору

	21. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от Анонемистик (?), 24-Янв-23, 12:20
	Не осилили
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

	28. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+4 +/–
	Сообщение от Аноним (28), 24-Янв-23, 12:32
	QP OS
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

	48. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	–1 +/–
	Сообщение от Аноним (46), 24-Янв-23, 13:05
	На отечественный Виндус, в своё время, у Алксниса не удалось денег выпросить.
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

	58. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+1 +/–
	Сообщение от Kol (ok), 24-Янв-23, 13:30
	Тут доступно объяснили https://olegmakarenko.ru/2618158.html
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

	72. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+1 +/–
	Сообщение от Kuromi (ok), 24-Янв-23, 14:02
	Ляликс теперь "Русский виндовс", считай официально. Даже "взять исходники Андроид и переменовать" освещается как "сделали свою ОС".
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

	134. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+2 +/–
	Сообщение от Аноним (134), 24-Янв-23, 17:12
	> взять исходники Андроид и переменовать гугл ещё проще сделал: взял исходники Андроид и ... не переименовывал даже.
	Ответить | Правка | Наверх | Cообщить модератору

	146. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	–1 +/–
	Сообщение от Аноним (146), 24-Янв-23, 17:47
	Анонимный эксперт может лично взять "взять исходники Андроид и переменовать" и сделать "свою ОС". Только на голом AOSP ничего работать не будет и почти ничего полезного написать не получиться ведь в нем не будет: Firebase Notifications Firebase Crashlytics кучи других компонентов Firebase WebView Api для карт geolocation api Кучи программ которые идут в комплекте к любому телефону, но не в опенсорс и это сильно не полный список. Все это написать в бесконечное количество раз сложнее чем вывалить очередную кучу в комментарии.
	Ответить | Правка | К родителю #72 | Наверх | Cообщить модератору

	181. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	–1 +/–
	Сообщение от Kuromi (ok), 25-Янв-23, 00:02
	>[оверквотинг удален] > Firebase Crashlytics > кучи других компонентов Firebase > WebView > Api для карт > geolocation api > Кучи программ которые идут в комплекте к любому телефону, но не в > опенсорс > и это сильно не полный список. > Все это написать в бесконечное количество раз сложнее чем вывалить очередную кучу > в комментарии. Но ведь очевидно же что: Firebase Notifications - не нужно нам наши суверенные уведомления через иностранные сервера гонять! Firebase Crashlytics - тоже ненужно потому что Русский Софт не сдается и  падает. кучи других компонентов Firebase - "ну вы понели" WebView - "не нужон нам этот ваш"...хотя если что возьмут Geckoview. Опять же не зря же всюду призывают использовать "российские браузеры". Api для карт - Яндекс, Яндекс, Яндекс...ну или 2GIS, им вообще Сбер владеет теперь. На крайний случай есть OSM. geolocation api -  очевидно что эти шпионские API не нужны пользователям. Те кому надо знают где пользователь. Остальным знать не положено. Еси пользователь не знает где он - пускай спросит у других. Тут конечно велика доля шутки, если кто не уловил сарказма.
	Ответить | Правка | Наверх | Cообщить модератору

	202. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	–1 +/–
	Сообщение от Ананий (?), 25-Янв-23, 10:48
	Зачем она тов. майору? В доточку с ксиком играть? Жри со швитым забугорным и не отсвечивай.
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

14. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+4 +/–
Сообщение от ryoken (ok), 24-Янв-23, 12:13
Гм.. Вроде хорошая вещь, а вот PDF-ку в Word2016 варганили...
Ответить | Правка | Наверх | Cообщить модератору

	17. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от Аноним (91), 24-Янв-23, 12:14
	Зато безопасно.
	Ответить | Правка | Наверх | Cообщить модератору

	30. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	–3 +/–
	Сообщение от Попандопала (?), 24-Янв-23, 12:32
	У меня ртфка вообще в вайновском вордпад открывается и не жужжу.XD
	Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

18. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
Сообщение от Аноним (18), 24-Янв-23, 12:15
Семь страничек? Смешно. Рекомендации от CIS (Center for Internet Security) едва умещаются в 700 (на примере CIS Red Hat Enterprise Linux 8 Benchmark).
Ответить | Правка | Наверх | Cообщить модератору

	20. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от Аноним (20), 24-Янв-23, 12:20
	"Я сделяль" (с) ФСТЭК
	Ответить | Правка | Наверх | Cообщить модератору

	24. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+5 +/–
	Сообщение от PnD (??), 24-Янв-23, 12:28
	При этом там 90% воды, а в оставшемся бо́льшую часть занимают примеры. Было дело, пришлось мне готовить из него (для 7-ки) выжимку для "нормальных" админов. Здесь (прочёл по диагонали) как раз подобная выжимка. Даёт шансик не дать толпе народу списать рабочую неделю на "читал CIS". (А чё так долго? — Ну, английский не родной, надо примеры покрутить, все дела…)
	Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

	25. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+1 +/–
	Сообщение от Попандопала (?), 24-Янв-23, 12:28
	7 страниц рили можно осилить,а за 700 платить придется в поддержку.
	Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

	34. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	–2 +/–
	Сообщение от anonfdfd4 (?), 24-Янв-23, 12:36
	так там selinux, а на кой хрен он нужен? (как и его аналоги)
	Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

	40. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+4 +/–
	Сообщение от Аноним (146), 24-Янв-23, 12:51
	Как всегда местным экспертам ничего не нужно, они и так самые умные.
	Ответить | Правка | Наверх | Cообщить модератору

	71. Скрыто модератором	+/–
	Сообщение от Аноним (-), 24-Янв-23, 14:01
	selinux и в правду не нужен
	Ответить | Правка | Наверх | Cообщить модератору

	41. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от Аноним (41), 24-Янв-23, 12:52
	PCI DSS 4.0 - 360 страниц увлекательного чтения с экзаменациями, аудитами, комплаенсами.
	Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

	42. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+2 +/–
	Сообщение от Аноним (41), 24-Янв-23, 12:54
	Вот PDFка, если что, наслаждайтесь. https://disk.yandex.ru/i/cVWSH1QvQCeSfQ
	Ответить | Правка | Наверх | Cообщить модератору

	169. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от Аноним (169), 24-Янв-23, 22:36
	Спасибо за pdf. Однако нормально загрузить не получилось. Yandex disk - такая отвратительная система, если честно
	Ответить | Правка | Наверх | Cообщить модератору

	224. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	–1 +/–
	Сообщение от Michael Shigorin (ok), 26-Янв-23, 01:27
	> Семь страничек? Смешно. Думал было написать "Ваш комментарий слишком краток". Но давайте попробую менее смешно. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet.   Duis autem vel eum iriure dolor in hendrerit in vulputate velit esse molestie consequat, vel illum dolore eu feugiat nulla facilisis at vero eros et accumsan et iusto odio dignissim qui blandit praesent luptatum zzril delenit augue duis dolore te feugait nulla facilisi. Lorem ipsum dolor sit amet, consectetuer adipiscing elit, sed diam nonummy nibh euismod tincidunt ut laoreet dolore magna aliquam erat volutpat.   Ut wisi enim ad minim veniam, quis nostrud exerci tation ullamcorper suscipit lobortis nisl ut aliquip ex ea commodo consequat. Duis autem vel eum iriure dolor in hendrerit in vulputate velit esse molestie consequat, vel illum dolore eu feugiat nulla facilisis at vero eros et accumsan et iusto odio dignissim qui blandit praesent luptatum zzril delenit augue duis dolore te feugait nulla facilisi.   Nam liber tempor cum soluta nobis eleifend option congue nihil imperdiet doming id quod mazim placerat facer possim assum. Lorem ipsum dolor sit amet, consectetuer adipiscing elit, sed diam nonummy nibh euismod tincidunt ut laoreet dolore magna aliquam erat volutpat. Ut wisi enim ad minim veniam, quis nostrud exerci tation ullamcorper suscipit lobortis nisl ut aliquip ex ea commodo consequat.   Duis autem vel eum iriure dolor in hendrerit in vulputate velit esse molestie consequat, vel illum dolore eu feugiat nulla facilisis.   At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, At accusam aliquyam diam diam dolore dolores duo eirmod eos erat, et nonumy sed tempor et et invidunt justo labore Stet clita ea et gubergren, kasd magna no rebum. sanctus sea sed takimata ut vero voluptua. est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat.   Consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus.   Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet.   Duis autem vel eum iriure dolor in hendrerit in vulputate velit esse molestie consequat, vel illum dolore eu feugiat nulla facilisis at vero eros et accumsan et iusto odio dignissim qui blandit praesent luptatum zzril delenit augue duis dolore te feugait nulla facilisi. Lorem ipsum dolor sit amet, consectetuer adipiscing elit, sed diam nonummy nibh euismod tincidunt ut laoreet dolore magna aliquam erat volutpat.   Ut wisi enim ad minim veniam, quis nostrud exerci tation ullamcorper suscipit lobortis nisl ut aliquip ex ea commodo consequat. Duis autem vel eum iriure dolor in hendrerit in vulputate velit esse molestie consequat, vel illum dolore eu feugiat nulla facilisis at vero eros et accumsan et iusto odio dignissim qui blandit praesent luptatum zzril delenit augue duis dolore te feugait nulla facilisi.   Nam liber tempor cum soluta nobis eleifend option congue nihil imperdiet doming id quod mazim placerat facer possim assum. Lorem ipsum dolor sit amet, consectetuer adipiscing elit, sed diam nonummy nibh euismod tincidunt ut laoreet dolore magna aliquam erat volutpat. Ut wisi enim ad minim veniam, quis nostrud exerci tation ullamcorper suscipit lobortis nisl ut aliquip ex ea commodo...
	Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

	231. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от Аноним (228), 26-Янв-23, 20:04
	Михаил, по CNews можно предположить (https://importfree.cnews.ru/news/top/2023-01-24_rossijskij_v...), что вас меняют на ОС «МСВСфера»?
	Ответить | Правка | Наверх | Cообщить модератору

19. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+2 +/–
Сообщение от Иваня (?), 24-Янв-23, 12:19
Интересно, спасибо.
Ответить | Правка | Наверх | Cообщить модератору

23. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	–1 +/–
Сообщение от Попандопала (?), 24-Янв-23, 12:27
Проще Альторосу поставить и колупаться не надо.D
Ответить | Правка | Наверх | Cообщить модератору

	211. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	–1 +/–
	Сообщение от Аноним (210), 25-Янв-23, 20:33
	Там 86 клавиш
	Ответить | Правка | Наверх | Cообщить модератору

26. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
Сообщение от Hanyuu (?), 24-Янв-23, 12:29
Где пункты "удалить systemd" и "собрать ядро без поддержки Rust" ? Опять икспертов нипаслушали!
Ответить | Правка | Наверх | Cообщить модератору

	36. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+3 +/–
	Сообщение от Аноним (36), 24-Янв-23, 12:41
	Для тех, кто линукс изучает по цитаткам с башорга, рассказываю правду: Rust в ядре (на данный момент 6.1) не поддерживается, если включена генерация отладочной информации в формате BTF, которая, - сюрприз! - нужна для полноценной и корректной работы eBPF.
	Ответить | Правка | Наверх | Cообщить модератору

	157. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от fuggy (ok), 24-Янв-23, 19:05
	Для кого тогда написали? > "chmod o-w filename" к каждому файлу в /etc/rc#.d
	Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

	191. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от Валерий (??), 25-Янв-23, 02:11
	Вопрос правильный, хотя и задан некорректно. Правильный вопрос - зачем писать советы, если можно предложить патч/коммит. Ну, не доросли пока авторы, значит.
	Ответить | Правка | Наверх | Cообщить модератору

	197. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+1 +/–
	Сообщение от www2 (??), 25-Янв-23, 06:26
	Чтобы не следить за изменениями во всех Linux-дистрибутивах и не делать новые патчи. Дать удочку, а не рыбу.
	Ответить | Правка | Наверх | Cообщить модератору

29. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+1 +/–
Сообщение от pashev.ru (?), 24-Янв-23, 12:32
X. Ограничить доступ к /proc. Так чтобы пользователь (или процесс) мог видеть только свои процессы (подпроцессы).
Ответить | Правка | Наверх | Cообщить модератору

31. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+14 +/–
Сообщение от Аноним (31), 24-Янв-23, 12:33
а где скрипт vfstek.sh, который всё это проверяет (не меняет, а просто чекает и выдаёт, где не соответствует)?
Ответить | Правка | Наверх | Cообщить модератору

	35. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от anonfdfd4 (?), 24-Янв-23, 12:37
	ишт ты умник!!1
	Ответить | Правка | Наверх | Cообщить модератору

	39. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от Аноним (39), 24-Янв-23, 12:50
	Это за деньги.
	Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

	50. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от Аноним (55), 24-Янв-23, 13:07
	cat /boot/config-6.0.0-6-amd64 | grep -P "CONFIG_(INIT_ON_ALLOC_DEFAULT_ON|INIT_ON_FREE_DEFAULT_ON|RANDOMIZE_KSTACK_OFFSET_DEFAULT|IOMMU_DEFAULT_DMA_LAZY|IOMMU_DEFAULT_DMA_STRICT|HAVE_ARCH_RANDOMIZE_KSTACK_OFFSET|RANDOMIZE_KSTACK_OFFSET_DEFAULT)"
	Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

	236. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от швондер (?), 27-Янв-23, 20:25
	> cat /boot/config-6.0.0-6-amd64 | grep -P "CONFIG_(INIT_ON_ALLOC_DEFAULT_ON|INIT_ON_FREE_DEFAULT_ON|RANDOMIZE_KSTACK_OFFSET_DEFAULT|IOMMU_DEFAULT_DMA_LAZY|IOMMU_DEFAULT_DMA_STRICT|HAVE_ARCH_RANDOMIZE_KSTACK_OFFSET|RANDOMIZE_KSTACK_OFFSET_DEFAULT)" useless use of cat
	Ответить | Правка | Наверх | Cообщить модератору

	51. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от Аноним (46), 24-Янв-23, 13:08
	Он ещё и отчёт должен сам отправлять.
	Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

	163. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+1 +/–
	Сообщение от SubGun (ok), 24-Янв-23, 21:36
	Запускать этот скрипт будут специально аффилированные компании.
	Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

	251. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от Аноним (244), 03-Фев-23, 15:47
	Проверяющий скрипт: https://www.opennet.me/openforum/vsluhforumID3/129586.html#248 https://www.opennet.me/openforum/vsluhforumID3/129586.html#249
	Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

38. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
Сообщение от Аноним (146), 24-Янв-23, 12:47
Вроде бы адекватные рекомендации, правда я не все из них понимаю.
Ответить | Правка | Наверх | Cообщить модератору

	43. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+4 +/–
	Сообщение от Аноним (146), 24-Янв-23, 12:57
	Очень полезно иметь такой список когда новый сервер запускаешь. На работе даже пароль root на mysql забывали установить и вы итоге базы данных клиентов удаляли и пароль получали из доступного на чтение домашнего каталога администраторов и root. А так прошел, по списку проверил что всё соответствует и всё сделано. В итоге по крайней мере самыми простыми и глупыми способами пароли не утащат и сервер не взломают.
	Ответить | Правка | Наверх | Cообщить модератору

	86. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	–8 +/–
	Сообщение от Аноним (86), 24-Янв-23, 14:19
	Тут надо не список иметь, а бить по рукам за ручную настройку серверов. Это задача ансибла/терраформа и облачной платформы, а не человека. Любая правка - коммит в плейбук.
	Ответить | Правка | Наверх | Cообщить модератору

	174. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+2 +/–
	Сообщение от Аноним (174), 24-Янв-23, 23:40
	Ага, осталось всего ничего - нанять еще одного человека, который будет настраивать нам анзиблы.
	Ответить | Правка | Наверх | Cообщить модератору

	225. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+1 +/–
	Сообщение от Michael Shigorin (ok), 26-Янв-23, 01:30
	> Ага, осталось всего ничего - нанять еще одного человека, который будет настраивать > нам анзиблы. Какого одного -- минимум двух, плюс ещё двух -- писать плейбуки и к каждому проверяющего. Ну и кого-нить для зачитывания итиля вслух.  Тоже двух лучше.
	Ответить | Правка | Наверх | Cообщить модератору

	241. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от ivan_erohin (?), 28-Янв-23, 16:37
	> Ну и кого-нить для зачитывания итиля вслух. по-моему практики девляпс и ИТИЛ ортогональны, а местами противоречат друг другу.
	Ответить | Правка | Наверх | Cообщить модератору

	193. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	–1 +/–
	Сообщение от Валерий (??), 25-Янв-23, 02:52
	Пациенты тебя люто ненавидят. Следовательно, как врач, ты прав.
	Ответить | Правка | К родителю #86 | Наверх | Cообщить модератору

	175. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от Аноним (174), 24-Янв-23, 23:42
	Чек-лист при установке не пользуете? Рекомендую хотя бы его.
	Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

	96. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+2 +/–
	Сообщение от Аноним (134), 24-Янв-23, 14:49
	Ну, например, вот это правило нужно для ликвидации уязвимости libXpm: ... для всех исполняемых файлов и библиотек ... с последующей проверкой, что каталог, содержащий данные файлы, а также все родительские каталоги недоступны для записи непривилегированным пользователям. Кратко: нельзя запускать проги оттуда, куда может писать юзер.
	Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

	127. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от Аноним (127), 24-Янв-23, 16:38
	Теперь нельзя выполнять проги из /tmp/.private/? Как жить дальше?
	Ответить | Правка | Наверх | Cообщить модератору

	136. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от Аноним (134), 24-Янв-23, 17:15
	> Как жить дальше? Начать питаться на кухне, а не на помойке.
	Ответить | Правка | Наверх | Cообщить модератору

	142. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+1 +/–
	Сообщение от Аноним (127), 24-Янв-23, 17:31
	Рекомендация того же порядка, что и noexec.
	Ответить | Правка | Наверх | Cообщить модератору

	158. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+1 +/–
	Сообщение от Аноним (146), 24-Янв-23, 19:05
	А чем noexec плохо?
	Ответить | Правка | Наверх | Cообщить модератору

	226. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+1 +/–
	Сообщение от Michael Shigorin (ok), 26-Янв-23, 01:31
	>> Как жить дальше? > Начать питаться на кухне, а не на помойке. На помойке будет как раз не /tmp/.private/, а 755 /root, как вон выше упоминали...
	Ответить | Правка | К родителю #136 | Наверх | Cообщить модератору

	143. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от Аноним (146), 24-Янв-23, 17:31
	Каким образом делать такую проверку, там не написано. Если файловую систему /home, /tmp и т.д. смонтировать с флагом noexec, как раз нельзя будет просто так запустить исполняемый файл или скрипт на выполнение. Но это не для всех ситуаций подходит.
	Ответить | Правка | К родителю #96 | Наверх | Cообщить модератору

	250. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от Аноним (244), 03-Фев-23, 15:39
	>> ... для всех исполняемых файлов и библиотек ... с последующей проверкой, что каталог, содержащий данные файлы, а также все родительские каталоги недоступны для записи непривилегированным пользователям. > Каким образом делать такую проверку, там не написано. Популярные варианты дающие примерно тот-же результат: 1. Соблюдение правила: "что исполняется не должно изменятся, а что изменяется не должно исполнятся", при разбиении дисков: https://www.opennet.me/openforum/vsluhforumID3/129586.html#247 2. Патчить DAC в ядре Linux чтобы он поддерживал "исполнение по доверительному пути" (имеется ввиду именно это решение) 3. Integrity - политика запрещаются исполнение неподписаных файлов. 4. MAC - политика запрещаются запуск файлов с мест доступных на запись. 5. ... Ваш вариант. Вот общая оценка безопасности системы: https://www.opennet.me/openforum/vsluhforumID3/129586.html#248
	Ответить | Правка | Наверх | Cообщить модератору

	194. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от ivan_erohin (?), 25-Янв-23, 04:53
	и мне нельзя запускать свои же скрипты из ~/bin и ~/.local/bin ? и tor browser нельзя запустить из ~/.local/.... и palemoon нельзя запустить из куда его там рекомендуют ставить. и wine (хотя я забил на него, но вдруг понадобится). спасибо тебе большое добрый анон.
	Ответить | Правка | К родителю #96 | Наверх | Cообщить модератору

45. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	–1 +/–
Сообщение от mos87 (ok), 24-Янв-23, 13:01
Безо сферическая в вакууме.
Ответить | Правка | Наверх | Cообщить модератору

47. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+1 +/–
Сообщение от Аноним (55), 24-Янв-23, 13:02
>Отключить технологию TSX (Transactional Synchronization Extensions) (параметр tsx=off при загрузке). Как бы "за щоо", однако https://www.kernel.org/doc/html/latest/admin-guide/hw-vuln/t... >Not specifying this option is equivalent to tsx=off.
Ответить | Правка | Наверх | Cообщить модератору

	150. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+2 +/–
	Сообщение от Аноним (150), 24-Янв-23, 18:13
	Дефолты имеют свойство меняться. Иногда без предупреждения.
	Ответить | Правка | Наверх | Cообщить модератору

49. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	–2 +/–
Сообщение от Аноним (-), 24-Янв-23, 13:07
>Рекомендации подлежат реализации в государственных информационных системах и на объектах критической информационной инфраструктуры РФ, построенных с использованием Linux, несертифицированных по требованиям безопасности информации. О чём это говорит? Это говорит о том, что даже в госшарагах на якобы обязательную под страхом смертной казни альтоастру плюются и втихую, но массово, ставят нормальные дистрибутивы.
Ответить | Правка | Наверх | Cообщить модератору

	52. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от Аноним (55), 24-Янв-23, 13:10
	Это говорит о том, что здравомыслие в конечном итоге побеждает.
	Ответить | Правка | Наверх | Cообщить модератору

	213. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от Аноним (210), 25-Янв-23, 20:49
	Тётка с косой в итоге )
	Ответить | Правка | Наверх | Cообщить модератору

	64. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+7 +/–
	Сообщение от Атон (?), 24-Янв-23, 13:43
	> якобы обязательную под страхом смертной казни альтоастру Это говорит о том что, там используются много разных дистрибутивов, а обязательность "альтоастры" ваши влажные фантазии.
	Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

	66. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+2 +/–
	Сообщение от _kp (ok), 24-Янв-23, 13:51
	Ну не все компы для офисной работы, разные задачи бывают, просто выставили требования по безопасности. Более того, на 90% даже общепринятые требования.
	Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

57. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	–1 +/–
Сообщение от YetAnotherOnanym (ok), 24-Янв-23, 13:28
ФСТЭК решил заняться тем, чем CERT/CISA занимается уже джвадцать лет. Ну, чо... Лучше поздно, чем никогда.
Ответить | Правка | Наверх | Cообщить модератору

	116. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+2 +/–
	Сообщение от pavlinux (ok), 24-Янв-23, 15:39
	> ФСТЭК решил заняться тем, чем CERT/CISA занимается уже джвадцать лет. Решил опубликовать и решил заняться - это разное :)
	Ответить | Правка | Наверх | Cообщить модератору

	139. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	–2 +/–
	Сообщение от Аноним (-), 24-Янв-23, 17:19
	У нас есть такие приборы! Но мы вам о них не расскажем.
	Ответить | Правка | Наверх | Cообщить модератору

	161. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от Аноним (161), 24-Янв-23, 20:17
	Это про Эльбрусы, да?
	Ответить | Правка | Наверх | Cообщить модератору

	166. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от анонна (?), 24-Янв-23, 21:45
	вы бы лучше обратили внимание на специализированные чипы и микроэлктронику в производстве. удивитесь. цп это всего лишь чипы для компьютеров. куда важнее чипы для производства и изделий практического характера. вот там у россии куда более широкие возможности. я бы сказал очень широкие. по всем видам почти.
	Ответить | Правка | Наверх | Cообщить модератору

	214. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от Аноним (210), 25-Янв-23, 21:14
	157УД3?
	Ответить | Правка | Наверх | Cообщить модератору

	227. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от Michael Shigorin (ok), 26-Янв-23, 01:37
	> Это про Эльбрусы, да? Не, их-то как раз хоть в яндекс-музее можно пощупать собственными клешнями :)
	Ответить | Правка | К родителю #161 | Наверх | Cообщить модератору

	232. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	–1 +/–
	Сообщение от Аноним (228), 26-Янв-23, 20:12
	Так задача была по наполнению музея Яндекса исчерпавшими себя продуктами?
	Ответить | Правка | Наверх | Cообщить модератору

59. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
Сообщение от Ку (?), 24-Янв-23, 13:31
Почему бы кому-нибудь не запилить скрипт, выполняющий большинство из этих рекомендаций?
Ответить | Правка | Наверх | Cообщить модератору

	113. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+4 +/–
	Сообщение от Аноним (113), 24-Янв-23, 15:34
	Ну так вперед, к мечте!
	Ответить | Правка | Наверх | Cообщить модератору

	149. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+2 +/–
	Сообщение от Аноним (9), 24-Янв-23, 18:07
	Луче расскажи какого хрена ты его так до сих и не запилил?
	Ответить | Правка | К родителю #59 | Наверх | Cообщить модератору

	167. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от анонна (?), 24-Янв-23, 21:47
	а че там пилить? взял пдф и строчишь echo "что то там" > файл. куда сложнее это все напечатать))
	Ответить | Правка | Наверх | Cообщить модератору

	215. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от Аноним (210), 25-Янв-23, 21:15
	Разве не секретарша для набора полагается?
	Ответить | Правка | Наверх | Cообщить модератору

	164. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от SubGun (ok), 24-Янв-23, 21:37
	А что тогда будут кушать компании, которые специализируются на запуске этого скрипта?
	Ответить | Правка | К родителю #59 | Наверх | Cообщить модератору

	249. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от Аноним (244), 03-Фев-23, 15:03
	Скрипт делающий ненужен. Не все фичи безопасности в конкретном дистре можно включить. Дистр сломается! Hardened система дело больше разрабов дистра. И тогда сделать для безопасности Linux можно намного больше чем предлагается в методике ФСТЭК. Есть утилита для проверки безопасности: https://cisofy.com/lynis/ Вот для нее модули https://cisofy.com/lynis/#lynis-plugins с требованиями ФСТЭК будут к стати.
	Ответить | Правка | К родителю #59 | Наверх | Cообщить модератору

60. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
Сообщение от Аноним (55), 24-Янв-23, 13:31
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=928362 - related
Ответить | Правка | Наверх | Cообщить модератору

61. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
Сообщение от mos87 (ok), 24-Янв-23, 13:33
Astra Linux SE 1.7.3 >Отключение входа суперпользователя по SSH (PermitRootLogin=no в /etc/ssh/sshd_config). $ /sbin/sshd -T|ag -i PermitRootLogin permitrootlogin without-password >Ограничение доступа к команде su пользователями из группы wheel ("auth required pam_wheel.so use_uid" в /etc/pam.d/su) $ ag pam_wheel /etc/pam.d/su 15:# auth       required   pam_wheel.so 19:# auth       sufficient pam_wheel.so trust 23:# auth       required   pam_wheel.so deny group=nosu >Блокирование утечки информации об адресном пространстве через /proc/kallsyms (sysctl -w kernel.kptr_restrict=2). kernel.kptr_restrict = 0 >Включить защиту подсистемы eBPF (sysctl -w net.core.bpf_jit_harden=2). net.core.bpf_jit_harden = 0 дальше надоело. Параметров ведра в cmdline конечно нет.
Ответить | Правка | Наверх | Cообщить модератору

	117. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от pavlinux (ok), 24-Янв-23, 15:41
	> Astra Linux SE 1.7.3 Астара - хардкорная RBAC операционка, там даже рут - не человек.
	Ответить | Правка | Наверх | Cообщить модератору

	176. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от Аноним (174), 24-Янв-23, 23:47
	Ну так, извиняюсь заранее, "мандатный доступ"!
	Ответить | Правка | Наверх | Cообщить модератору

	195. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+1 +/–
	Сообщение от Аноним (195), 25-Янв-23, 06:11
	Главное чтобы этот доступ не запрещал играть в героев меча и магии 3, иначе прапорщики и лейтенанты будут не довольны ОС.
	Ответить | Правка | Наверх | Cообщить модератору

	206. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от mos87 (ok), 25-Янв-23, 12:35
	они разве не в косынку
	Ответить | Правка | Наверх | Cообщить модератору

	237. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от Аноним (237), 27-Янв-23, 20:32
	Неправда. В части, где я проходил срочную службу, на рабочем ПК ЗНШ полка (в звании майора), мной, в ходе выполнения дежурного осмотра, была обнаружена глубоко законсперированная (см. "Russian military deception") HoM&M5. Отечественного производства, кстати. Патриотизм в нашей армии -- не пустой звук!
	Ответить | Правка | Наверх | Cообщить модератору

	253. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от Аноним (253), 13-Авг-23, 19:52
	Там где я срочку проходил, кап-лей-т гонял в NFS MW и что-то еще (не помню что)
	Ответить | Правка | К родителю #206 | Наверх | Cообщить модератору

	254. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от mos87 (ok), 14-Авг-23, 10:50
	> еще (не помню что) NSFW
	Ответить | Правка | Наверх | Cообщить модератору

67. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+3 +/–
Сообщение от Kuromi (ok), 24-Янв-23, 13:57
" Ограничить использование user namespaces (sysctl -w user.max_user_namespaces=0). " Вероятнее всего поломает браузеры, тот же Brave это уже требует для работы. ФФ непонятно, толи да толи не обязательно.
Ответить | Правка | Наверх | Cообщить модератору

	75. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от Sunderland93 (ok), 24-Янв-23, 14:05
	А на работу контейнеров этот параметр влияет?
	Ответить | Правка | Наверх | Cообщить модератору

	85. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от Аноним (85), 24-Янв-23, 14:15
	Если контейнер непривилегированный (а таких большинство) - да, все сломается.
	Ответить | Правка | Наверх | Cообщить модератору

	79. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от Попандопала (?), 24-Янв-23, 14:09
	102.7 работает с этим параметром в sysctl.conf
	Ответить | Правка | К родителю #67 | Наверх | Cообщить модератору

	82. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+1 +/–
	Сообщение от Аноним (127), 24-Янв-23, 14:11
	Песочница то поди отвалилась.
	Ответить | Правка | Наверх | Cообщить модератору

	92. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от Попандопала (?), 24-Янв-23, 14:30
	Черт ее знает,но убрал на всякий случай этот параметр.
	Ответить | Правка | Наверх | Cообщить модератору

	81. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от Аноним (127), 24-Янв-23, 14:10
	Все браузеры используют как дополнительный уровень в песочницах, да и в целом отличный совет отключить средства изоляции. Впрочем, там половина такого же бреда.
	Ответить | Правка | К родителю #67 | Наверх | Cообщить модератору

	114. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+4 +/–
	Сообщение от pavlinux (ok), 24-Янв-23, 15:36
	Когда делаешь clone(CLONE_NEWUSER, ...)  наследуются все разрешения, а ограничения и лимиты не наследуются. Увася, у которого лимит на max open files = 1024 клонирует себя и лимит может стать 131071 (дефолтным для не рутов)... Дыры с USER_NS появляются регулярно, уже лет 10+  https://lwn.net/Articles/543273/ Там дох.. нюансов, чтоб с разбегу сказать да или нет.
	Ответить | Правка | Наверх | Cообщить модератору

	122. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	–1 +/–
	Сообщение от Аноним (127), 24-Янв-23, 16:11
	Без обид, но похоже именно ты тут не понимаешь, о чём говоришь, ещё и оскорбить пытаешься зачем-то. Ограничения и лимиты? Ну-ну. Во первых, тебе никто не даст никаких прав, если ты уже замапил ограниченного пользователя (например, с изолированной сетью, что применяется для процессов исполняющих шейдеры и прочее), этот механизм односторонний. Примерно все дыры, что случались, требовали замапить рута. Ты можешь замапить вложенный неймспейс, однако доступа вовне у него не появится. Чтобы было понятно, даже если ты запамишь рута во вложенном неймспейсе и начнёшь выполнять команды, доступ у тебя будет только к этом неймспейсу и не к хосту, а если нет, применяются все ограничения родительского неймспейса. А чтобы организовать канал связи с неймспейсом, используют, например, veth. Да, это ограниченный инструмент, спору нет, но он целиком рабочий и делает именно то, что заявлено, а ты тут пытаешься FUD распространять.
	Ответить | Правка | Наверх | Cообщить модератору

	129. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+2 +/–
	Сообщение от Аноним (129), 24-Янв-23, 16:44
	В немспейсах уже было/нашлось несколько десятков багов, как логических, так и технических. Немспейсы добавляют еще один уровень изоляции/контроля, но это уже пробивалось и не верифицировалось. Одновременно, немспейсы увеличивают поверхность атаки и сложность анализа возможных сценариев. Поэтому рекомендация "выключить по-умолчанию" вполне рациональна. Кому надо - путь думает, обосновывает и т.д.
	Ответить | Правка | Наверх | Cообщить модератору

	131. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от Аноним (127), 24-Янв-23, 16:59
	А где их не было, этих багов? Однако, их находят и исправляют. К тому же, примерно все они в контексте контейнеров (суид или CAP_SYSADMIN) и не в контексте CLONE_NEWNET, что интересует браузерные песочницы. Да и в целом, отключить универсальный механизм, востребованный софтом? Ну да, конечно, лучше вообще без него. Можно запускать всё под рутам, а пользователям тоже дать рутовые права, это намного безопаснее.
	Ответить | Правка | Наверх | Cообщить модератору

	162. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+2 +/–
	Сообщение от Аноним (162), 24-Янв-23, 20:23
	Любезнейший, а где вы видели "браузеры" в составе (цитата) "...государственных информационных системах и на объектах критической информационной инфраструктуры Российской Федерации, построенных с использованием операционных систем Linux, несертифицированных по требованиям безопасности информации..." ? Если вдруг видели - сообщите (может где-то еще нужно поправить соответствие голов занимаемым должностям).
	Ответить | Правка | Наверх | Cообщить модератору

	182. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+1 +/–
	Сообщение от Kuromi (ok), 25-Янв-23, 00:13
	> Все браузеры используют как дополнительный уровень в песочницах, да и в целом > отличный совет отключить средства изоляции. Впрочем, там половина такого же бреда. Вероятнее всего идею выключить неймспейсы взяли отсюда - https://www.stigviewer.com/stig/red_hat_enterprise_linux_8/2...
	Ответить | Правка | К родителю #81 | Наверх | Cообщить модератору

	217. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от ыы (?), 25-Янв-23, 21:32
	If containers are in use, this requirement is not applicable.
	Ответить | Правка | Наверх | Cообщить модератору

	187. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от Аноним (187), 25-Янв-23, 01:45
	> браузеры используют как дополнительный уровень Какие браузеры? Тут рекомендация скорее всего для серверов и т.п., а не для твоего десктопа
	Ответить | Правка | К родителю #81 | Наверх | Cообщить модератору

	203. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	–2 +/–
	Сообщение от Аноним (127), 25-Янв-23, 11:16
	Это чтобы было понятно, как оно используется. На серверах без неймспейсов жизни тем более нет, каждая 2 прога.
	Ответить | Правка | Наверх | Cообщить модератору

	240. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от Аноним (237), 27-Янв-23, 20:47
	Нет, совет в том, чтобы сместить ответственность со случайной прикладной программы и её сомнительных средств изоляции (веб-обозревателя) на администратора системы (компетентное лицо), чтобы избежать запуска программм, с повышенными привилегиями. Тем более, что большая часть машин, подпадающая под рекомендации, - серверные, где обычно нет графического сервера, графических программ и надобности в них.
	Ответить | Правка | К родителю #81 | Наверх | Cообщить модератору

	239. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от Аноним (237), 27-Янв-23, 20:40
	Это отключаемо в браузерах и программах на их движках (Webkit, Chromium и т.п.) Причем, вкладки продолжат использовать раздельный DOM и т.п., если предполагалось. По крайней мере, до первой обнаруженной уязвимости. Но в user namespaces также находят уязвимости, это не панацея.
	Ответить | Правка | К родителю #67 | Наверх | Cообщить модератору

77. Скрыто модератором	–1 +/–
Сообщение от Амомин (?), 24-Янв-23, 14:07
Рекомендации по безопасному использованию ПО развиваемого по большей части сотрудникам корпораций рьяно блюдящих все экспортные технологические ограничения в подсанкционные юрисдикции обладающих по-большей части паспортами недружественных рф государств.
Ответить | Правка | Наверх | Cообщить модератору

	95. Скрыто модератором	+/–
	Сообщение от Аноним (55), 24-Янв-23, 14:46
	Не надо суда нести свои выдумки. По безопасному использованию любого ПО на основе Linux, если оно не было сертифицировано. Если было - там уже всё из коробки быть должно, и производитель за это должен отвечать.
	Ответить | Правка | Наверх | Cообщить модератору

80. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	–3 +/–
Сообщение от Аноним (-), 24-Янв-23, 14:10
>Запрет учётных записей пользователей с пустыми паролями. На печатных машинках так проще. Разумеется тут не суперпользователь. >Отключение входа суперпользователя по SSH (PermitRootLogin=no в /etc/ssh/sshd_config) Усложнять жизнь админу? Дурость. >Ограничение доступа к команде su пользователями из группы wheel ("auth required pam_wheel.so use_uid" в /etc/pam.d/su) Так в том и соль группы wheel, что модно админские команды в sudo без переключения использовать. Просто не надо обычного пользователя вводить в группу wheel. Админ сетки бог, ему никто не указ.
Ответить | Правка | Наверх | Cообщить модератору

	90. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от _kp (ok), 24-Янв-23, 14:25
	Если Комп без доступа к сети, типа Live системы без сохранения документов. Включил набил текст, распечатал, то такую "печатную машинку" можно. Ни один строгий админ не возразит. ;) >Отключение входа суперпользователя по SSH Это не какое то редкое требование, а вполне обычное. В отличии, например, от user_namespaces. >>Админ сетки бог, ему никто не указ. Бог, но нанятый за зарплату, для выполнения конкретных работ, более крутым богом. ;)
	Ответить | Правка | Наверх | Cообщить модератору

	155. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+1 +/–
	Сообщение от Аноним (155), 24-Янв-23, 18:30
	Требование отключать доступ по SSH напрямую к root вводит в заблуждение. Нет никакой разницы между тем, получите вы доступ к тачке по SSH через пользователя, у которого само собой есть wheel и он может без пароля просто поменяться в root (или, если вы шиз и зачем-то пускаете людей по ssh на тачки, не давая им возможность настроить что-то от root, тот же самый nginx в /etc, попытаться использовать какой-то свежий эксплоит или иным образом напакастить на машине), или напрямую в root. Единственный смысл от этого только в логе того, кто под каким пользователем и ключом заходил, но такие логи тоже имеют смысл только если они отправляются наружу перед тем, как пустить кого-то на сервер. sshd, если имеет какие-то уязвимости, уже работает из-под root. Плюс sudo вообще не обязателен для нормального функционирования системы, а тут на него (с этой рекомендацией ограничивать доступ к su) делается вся ставка, хотя не понятно зачем.
	Ответить | Правка | Наверх | Cообщить модератору

	185. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+1 +/–
	Сообщение от OpenEcho (?), 25-Янв-23, 01:17
	> Плюс sudo вообще не обязателен для нормального функционирования системы, а тут на него (с этой рекомендацией ограничивать доступ к su) делается вся ставка, хотя не понятно зачем. Вероятно кто свято верит в sudo пытаясь защитить замок другим замком забывая простую истину, чем больше програм тем выше шанс вулнерабилити https://www.cvedetails.com/vulnerability-list/vendor_id-118/...
	Ответить | Правка | Наверх | Cообщить модератору

	238. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от швондер (?), 27-Янв-23, 20:38
	>[оверквотинг удален] > зачем-то пускаете людей по ssh на тачки, не давая им возможность > настроить что-то от root, тот же самый nginx в /etc, попытаться > использовать какой-то свежий эксплоит или иным образом напакастить на машине), или > напрямую в root. Единственный смысл от этого только в логе того, > кто под каким пользователем и ключом заходил, но такие логи тоже > имеют смысл только если они отправляются наружу перед тем, как пустить > кого-то на сервер. sshd, если имеет какие-то уязвимости, уже работает из-под > root. Плюс sudo вообще не обязателен для нормального функционирования системы, а > тут на него (с этой рекомендацией ограничивать доступ к su) делается > вся ставка, хотя не понятно зачем. угадай логин для начала.
	Ответить | Правка | К родителю #155 | Наверх | Cообщить модератору

	184. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+1 +/–
	Сообщение от OpenEcho (?), 25-Янв-23, 01:12
	>>Отключение входа суперпользователя по SSH > Это не какое то редкое требование, а вполне обычное. Ну если про ```     PermitRootLogin prohibit-password                                                                                                                                                         PubkeyAuthentication yes                                                                                                                                                                   PasswordAuthentication no ``` не слышали, то оно конечно... Я уж не говорю про то, что рулить доступом через SSH сертификаты  можно даже для рутов
	Ответить | Правка | К родителю #90 | Наверх | Cообщить модератору

	186. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от _kp (ok), 25-Янв-23, 01:31
	>  можно даже для рутов Можно. Я имел ввиду, что запрет логина под root, встречается часто, и не вызвал удивления. Если уж докапываться, так это пережиток прошлого, появившийся до примегения ssh.
	Ответить | Правка | Наверх | Cообщить модератору

	207. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+2 +/–
	Сообщение от OpenEcho (?), 25-Янв-23, 20:03
	> Я имел ввиду, что запрет логина под root, встречается часто, и не вызвал удивления. У меня запрет рутам заходить как рут - давно вызывает удивление, - это как у страусов, засунул башку в песок и думает что его не видно, а то что заставлять рутов светить пароли в вечо висящий агент, кэширующий ключи - которые при удобном случае могут быть дампнуты - то это до таких специалистов то секюриту доходет сложно > Если уж докапываться, так это пережиток прошлого Согласен, но документ то вот довольно свеженький, не студенты небось копи пастили
	Ответить | Правка | Наверх | Cообщить модератору

	242. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от Аноним (242), 28-Янв-23, 20:35
	>агент, кэширующий ключи - которые при удобном случае могут быть дампнуты Используйте агента, спрашивающего, можно ли отдать ключ тому то и тому то.
	Ответить | Правка | Наверх | Cообщить модератору

	243. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от OpenEcho (?), 29-Янв-23, 06:10
	>>агент, кэширующий ключи - которые при удобном случае могут быть дампнуты > Используйте агента, спрашивающего, можно ли отдать ключ тому то и тому то. Это gpg или ssh которые? Ну так они тоже IV хранят в памяти, и к стати назойливо/принудительное присутствие gpg агента (которое как бы случайно появилось после вскормления мордокнигой) очень напоминает - "мы лучше знаем что вам надо" и не вызывает никакого доверия
	Ответить | Правка | Наверх | Cообщить модератору

84. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	–2 +/–
Сообщение от Аноним (84), 24-Янв-23, 14:14
почему это не плейбук для ансибла?
Ответить | Правка | Наверх | Cообщить модератору

	140. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от Аноним (134), 24-Янв-23, 17:19
	дак сделай. Тебе тут никто ничем не обязан.
	Ответить | Правка | Наверх | Cообщить модератору

87. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+3 +/–
Сообщение от Аноним (87), 24-Янв-23, 14:20
Видно толковый человек поработал над написанием документа, что выглядит очень и очень странно...
Ответить | Правка | Наверх | Cообщить модератору

	89. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+2 +/–
	Сообщение от Аноним (86), 24-Янв-23, 14:23
	А что странного?
	Ответить | Правка | Наверх | Cообщить модератору

	99. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+1 +/–
	Сообщение от Аноним (134), 24-Янв-23, 14:55
	Ему не понравилось, что дырку с libXpm заткнули этими правилами...
	Ответить | Правка | Наверх | Cообщить модератору

120. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+1 +/–
Сообщение от pavlinux (ok), 24-Янв-23, 15:58
init_on_free=1 slub_debug=FZ page_alloc.shuffle=1 vm.mmap_rnd_bits=32 vm.mmap_rnd_compat_bits=16 у кого ECC RAM - mce=0
Ответить | Правка | Наверх | Cообщить модератору

128. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	–3 +/–
Сообщение от fuggy (ok), 24-Янв-23, 16:39
В целом советы полезные, но >Установить корректные права доступа к исполняемым файлам и библиотекам Так разве не везде на /bin /usr/bin стоит только чтение. >удаления SUID/SGID-флагов с лишних Как понять какие лишние? >mitigations=auto,nosmt Отключаем гипертрединг и прочее, и получаем тормозную систему. Правильно если система тормозит, то тогда уязвимостей не будет. А если вообще не включать, то ни один хакер не доберётся. Такое чувство будто надёргали случайных советов из linux hardening и готово.
Ответить | Правка | Наверх | Cообщить модератору

	137. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от Аноним (134), 24-Янв-23, 17:16
	> Так разве не везде на /bin /usr/bin стоит только чтение Открой недавнюю тему про libXpm... поймёшь, про что речь.
	Ответить | Правка | Наверх | Cообщить модератору

	148. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	–1 +/–
	Сообщение от Попандопала (?), 24-Янв-23, 17:53
	Я зря xterm удалял?
	Ответить | Правка | Наверх | Cообщить модератору

	170. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+1 +/–
	Сообщение от Аноним (146), 24-Янв-23, 22:46
	>Отключаем гипертрединг и прочее Уточните что именно прочее? mitigations=auto включает смягчение всех известных уязвимостей в процессоре >Отключаем гипертрединг ФСТЭК ни одни такие "умные", разработчики OpenBSD тоже отключили hyper-threading, только у всех. Это демонстрирует их реальный уровень во всей красе. >Такое чувство будто надёргали случайных советов из linux hardening и готово. Как хорошо, общаться с таким по настоящему умным и проницательным человеком, как вы. Вы видите эту контору насквозь.
	Ответить | Правка | К родителю #128 | Наверх | Cообщить модератору

	196. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	–2 +/–
	Сообщение от Аноним (195), 25-Янв-23, 06:24
	Покупаем 40 ядер 80 потоков Xeon Platinum 8380 за миллион рублей и отключаем у него 40 потоков. Что не смеётесь? Что не поняли да? Это Россия!
	Ответить | Правка | Наверх | Cообщить модератору

	198. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+2 +/–
	Сообщение от Аноним (198), 25-Янв-23, 07:25
	Покупаем 40 ядер 80 потоков Xeon Platinum 8380 за много тысяч долларов, ставим на него openbsd и у него отключаются 40 потоков. Что не смеётесь? Что не поняли да? Это США!
	Ответить | Правка | Наверх | Cообщить модератору

	200. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+1 +/–
	Сообщение от Аноним (200), 25-Янв-23, 09:15
	И будет ли выигрыш от виртуальных процессоров больше чем накладные расходы на синхронизацию это не очевидно. В прочем, для профессиональных экспертов с опеннет всё всегда очевидно
	Ответить | Правка | Наверх | Cообщить модератору

	205. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+2 +/–
	Сообщение от pavlinux (ok), 25-Янв-23, 12:19
	> Что не смеётесь? После патчей от Spectre, Meltdown, Retbleed и т.п., гыпертрединг бесполезен.
	Ответить | Правка | К родителю #196 | Наверх | Cообщить модератору

141. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+2 +/–
Сообщение от Аноним (141), 24-Янв-23, 17:21
Самое главное забыли `apt install safe-rm` А вообще советую ещё монтировать хомяк с noexec. > Отключаем гипертрединг Ты путаешь потоки и ядра. Лучше б его вообще не изобретали.
Ответить | Правка | Наверх | Cообщить модератору

	159. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+3 +/–
	Сообщение от Аноним (134), 24-Янв-23, 19:22
	> монтировать хомяк с noexec +100500!
	Ответить | Правка | Наверх | Cообщить модератору

	247. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от Аноним (244), 03-Фев-23, 14:34
	> А вообще советую ещё монтировать хомяк с noexec. /home, /proc, /sys, /tmp, /var, ... - nodev,noexec,nosuid,rw /dev - noexec,nosuid,rw /, /opt, /usr, - nodev,ro Проверка: mount |grep -v -E '(noexec|ro),' Не должно ничего выводить!
	Ответить | Правка | К родителю #141 | Наверх | Cообщить модератору

151. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
Сообщение от FreeStyler (ok), 24-Янв-23, 18:16
А скрипт делающий это всё не выпустили? -__-
Ответить | Правка | Наверх | Cообщить модератору

	154. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+2 +/–
	Сообщение от Аноним (113), 24-Янв-23, 18:27
	Но ведь ты исправишь эту оплошность?)
	Ответить | Правка | Наверх | Cообщить модератору

	173. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	–1 +/–
	Сообщение от Аноним (173), 24-Янв-23, 23:14
	Все это уже давно применяется в дистрибутивах.
	Ответить | Правка | К родителю #151 | Наверх | Cообщить модератору

	248. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от Аноним (244), 03-Фев-23, 14:39
	Есть скрипты для проверки! Lynis, ... https://en.wikipedia.org/wiki/Lynis https://habr.com/ru/company/vdsina/blog/503148/
	Ответить | Правка | К родителю #151 | Наверх | Cообщить модератору

183. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+2 +/–
Сообщение от OpenEcho (?), 25-Янв-23, 00:47
Странно, усё так завинченно, а про банальный    proc /proc proc    nodev,noexec,nosuid,hidepid=2  0  0 в fstab забыли, пущай типа все юзеры видят все процессы других
Ответить | Правка | Наверх | Cообщить модератору

	188. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+2 +/–
	Сообщение от Аноним (188), 25-Янв-23, 01:54
	https://wiki.debian.org/Hardening#Runtime_hardening  с systemd плохо сочетается. Когда я так делал, у меня еще и sway перестал запускаться.
	Ответить | Правка | Наверх | Cообщить модератору

	189. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от Попандопала (?), 25-Янв-23, 02:01
	А мне прикольнуло,как у бздунов прям.D
	Ответить | Правка | Наверх | Cообщить модератору

	190. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+5 +/–
	Сообщение от Аноним (134), 25-Янв-23, 02:09
	> с systemd плохо сочетается. Очевидно, что сначала надо от системды избавиться.
	Ответить | Правка | К родителю #188 | Наверх | Cообщить модератору

	208. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от OpenEcho (?), 25-Янв-23, 20:07
	> https://wiki.debian.org/Hardening#Runtime_hardening  с systemd плохо сочетается. > Когда я так делал, у меня еще и sway перестал запускаться. Да маковка о которой я хотел сказать - это hidepid=2 который скрывет показ не своих процессов, хотя и этого в линуксе недостаточно, т.к. в /proc по умолчанию доступно почти все на чтение всем
	Ответить | Правка | К родителю #188 | Наверх | Cообщить модератору

	219. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от Аноним (219), 26-Янв-23, 00:10
	Именно об hidepid=2 и речь. Или ты только в fstab это прописал и думаешь, что у тебя всё работает, как надо? )
	Ответить | Правка | Наверх | Cообщить модератору

	220. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+1 +/–
	Сообщение от OpenEcho (?), 26-Янв-23, 00:30
	> Именно об hidepid=2 и речь. Или ты только в fstab это прописал > и думаешь, что у тебя всё работает, как надо? ) А ты уверен, что до конца прочитал мой предыдущий пост?
	Ответить | Правка | Наверх | Cообщить модератору

	245. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от Аноним (244), 03-Фев-23, 14:21
	> Запретить подключение к другим процессам с помощью ptrace (sysctl -w kernel.yama.ptrace_scope=3). YAMA даст больше защиты процессов.
	Ответить | Правка | К родителю #183 | Наверх | Cообщить модератору

	246. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
	Сообщение от Аноним (244), 03-Фев-23, 14:23
	Хотя hidepid=2 у меня тоже стоит.
	Ответить | Правка | Наверх | Cообщить модератору

221. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+2 +/–
Сообщение от pavlinux (ok), 26-Янв-23, 00:52
Кто забыл, и кому нужен "скрипт" для генерации конфига. Уже лет 5 как Попов замутил такой: https://github.com/a13xp0p0v/kconfig-hardened-check
Ответить | Правка | Наверх | Cообщить модератору

252. "ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."	+/–
Сообщение от Аноним (252), 04-Фев-23, 17:48
KSPP: https://www.kernel.org/doc/html/latest/security/self-protect... https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Pr... GrSecurity: https://en.m.wikibooks.org/wiki/Grsecurity/Appendix/Grsecuri... Gentoo: https://wiki.gentoo.org/wiki/Hardened_Gentoo https://wiki.gentoo.org/wiki/Project:Hardened https://wiki.gentoo.org/wiki/Security_Handbook
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема