Add task1

2023-12-26 06:52:02 +01:00 · 2023-12-26 06:52:02 +01:00 · 0b17ab6196
commit 0b17ab6196
1 changed files with 16 additions and 0 deletions
--- a/16
+++ b/16
@ -0,0 +1,16 @@
+Список уязвимостей:
+1. Set a password on GRUB boot loader to prevent altering boot configuration (e.g. boot in single user mode without password) [BOOT-5122]
+2. Install a PAM module for password strength testing like pam_cracklib or pam_passwdqc [AUTH-9262]
+3. Consider hardening system services [BOOT-5264]
+4. When possible set expire dates for all password protected accounts [AUTH-9282]
+5. Enable auditd to collect audit information [ACCT-9628]
+
+По 1 - достаточно задать пароль на GRUB для запрета модификации параметров загрузчика при холодном старте устройства.
+2 - достаточно установить один из предложенных модулей PAM.
+3 - выполнить `systemd-analyze security UNIT` и настроить конфигурацию юнит файлов в соответствии с выводом.
+4 - установить срок жизни для всех паролей пользователей в системе, устаноить обязательное требование смены пароля при истечении срока жизни пароля.
+5 - задать правила для аудита поведения системных и пользовательских сервисов и ПО с выводом в системный журнал.
+
+В целом все предупреждения от Lynis связаны только с возможностью эксплуатации при получении физического доступа к устройству или при заражении устройства через запуск ПО с вредоносной нагрузкой.
+Исправление большей части предупреждений Lynis приведет к затруднению эксплуатации уязвимостей при физическом доступе к устройству.
+Вынос загрузчика на внешнее устройство и использование шифрования для корневой ФС дополнительно сократит векторы атаки на устройство.