16 lines
No EOL
2.2 KiB
Text
16 lines
No EOL
2.2 KiB
Text
Список уязвимостей:
|
||
1. Set a password on GRUB boot loader to prevent altering boot configuration (e.g. boot in single user mode without password) [BOOT-5122]
|
||
2. Install a PAM module for password strength testing like pam_cracklib or pam_passwdqc [AUTH-9262]
|
||
3. Consider hardening system services [BOOT-5264]
|
||
4. When possible set expire dates for all password protected accounts [AUTH-9282]
|
||
5. Enable auditd to collect audit information [ACCT-9628]
|
||
|
||
По 1 - достаточно задать пароль на GRUB для запрета модификации параметров загрузчика при холодном старте устройства.
|
||
2 - достаточно установить один из предложенных модулей PAM.
|
||
3 - выполнить `systemd-analyze security UNIT` и настроить конфигурацию юнит файлов в соответствии с выводом.
|
||
4 - установить срок жизни для всех паролей пользователей в системе, устаноить обязательное требование смены пароля при истечении срока жизни пароля.
|
||
5 - задать правила для аудита поведения системных и пользовательских сервисов и ПО с выводом в системный журнал.
|
||
|
||
В целом все предупреждения от Lynis связаны только с возможностью эксплуатации при получении физического доступа к устройству или при заражении устройства через запуск ПО с вредоносной нагрузкой.
|
||
Исправление большей части предупреждений Lynis приведет к затруднению эксплуатации уязвимостей при физическом доступе к устройству.
|
||
Вынос загрузчика на внешнее устройство и использование шифрования для корневой ФС дополнительно сократит векторы атаки на устройство. |