From 0b17ab6196f5e73fb1f2746ddb48dc57b74ec279 Mon Sep 17 00:00:00 2001
From: Wallenstein <wallenstein@noreply.git.cringetech.net>
Date: Tue, 26 Dec 2023 06:52:02 +0100
Subject: [PATCH] Add task1

---
 task1 | 16 ++++++++++++++++
 1 file changed, 16 insertions(+)
 create mode 100644 task1

diff --git a/task1 b/task1
new file mode 100644
index 0000000..b1d7c21
--- /dev/null
+++ b/task1
@@ -0,0 +1,16 @@
+Список уязвимостей:
+1. Set a password on GRUB boot loader to prevent altering boot configuration (e.g. boot in single user mode without password) [BOOT-5122]
+2. Install a PAM module for password strength testing like pam_cracklib or pam_passwdqc [AUTH-9262]
+3. Consider hardening system services [BOOT-5264]
+4. When possible set expire dates for all password protected accounts [AUTH-9282]
+5. Enable auditd to collect audit information [ACCT-9628]
+
+По 1 - достаточно задать пароль на GRUB для запрета модификации параметров загрузчика при холодном старте устройства.
+2 - достаточно установить один из предложенных модулей PAM.
+3 - выполнить `systemd-analyze security UNIT` и настроить конфигурацию юнит файлов в соответствии с выводом.
+4 - установить срок жизни для всех паролей пользователей в системе, устаноить обязательное требование смены пароля при истечении срока жизни пароля.
+5 - задать правила для аудита поведения системных и пользовательских сервисов и ПО с выводом в системный журнал.
+
+В целом все предупреждения от Lynis связаны только с возможностью эксплуатации при получении физического доступа к устройству или при заражении устройства через запуск ПО с вредоносной нагрузкой.
+Исправление большей части предупреждений Lynis приведет к затруднению эксплуатации уязвимостей при физическом доступе к устройству.
+Вынос загрузчика на внешнее устройство и использование шифрования для корневой ФС дополнительно сократит векторы атаки на устройство.
\ No newline at end of file