nlothik (nlothik) wrote,
nlothik
nlothik

Categories:

Про военный Линукс

Компьютеры, которые используются для хранения американской государственной информации (военные или, например, компьютеры, принадлежащие Администрации Социального Страхования), должны быть определённым образом защищены (hardened — есть ли более подходящий русский термин для этого слова?) Для этого после установки ОС, к ней необходимо применить дополнительные настройки, как-то: усиленные требования к паролям, методам криптографии, общее снижение поверхности для сетевых атак, и т.д. Так, например, на компьютерах, работающих под управлением ОС Линукс, не должен стоять FTP сервер, должна стоять обязательная проверка контрольной суммы устанавливаемых пакетов, должен быть врублен SELinux, и т.п.

Все эти настройки собраны в документы, называемые Руководства по Техническому Обеспечению Безопасности (Security Technical Implementation Guides, STIG). РТОБов есть туева хуча для всякого разного — от HP UX до роутеров, брандмауэров, и смартфонов. Их, вообще, полезно почитать для общего развития себя как сисадмина. Некоторые требования, конечно, немного перегибают палку (как, вам, например, требование невозможности копипасты пароля — только печатание пароля лапками), но в целом их внедрение способствует улучшению компьютерной безопасности.

РТОБы берут здесь:

https://iase.disa.mil/stigs/Pages/index.aspx

Они распространяются в XML формате, и там же можно сгрузить просмотрщик (STIG Viewer) — глазами XML читать сложно.

Но помимо чтения самих РТОБов ещё интересно смотреть, а для каких устройств они есть, а для каких нет. Потому что если нет РТОБов, то устройства в государственной компьютерной сети использовать невозможно. Что часто говорит о том, что устройства тупо невозможно защитить надлежащим образом или же производитель не спешит делиться техническими деталями с государственными структурами.

Так, например, среди РТОБов для смартфонов, разумеется, есть iOS. Конечно, есть BlackBerry (ещё бы, они первые подсуетились с FIPS), есть Виндофоны. А вот ведроидов — только два: ЛыЖа и Гнусмас. То-есть, все остальные производители (включая, ЧСХ, сам Гугол) государственным требованиям по безопасности — не отвечают:

https://iase.disa.mil/stigs/mobility/Pages/smartphone.aspx

А ещё я, можно сказать, обидился на то, что для Фрюниксов нет РТОБов под мою любимую FreeBSD, и совершенно отсутствует ветвь Debian, включая Ubuntu. Из Линуксов тока Красная Шапка, тока хардкор!!!! Ну ещё есть Оракл Линукс (та же Шапка, только в профиль), и разумеется, есть Солярка и прочий AIX. А вот Убунты или Фряхи — нету как класса. Обидно. Конечно, можно взять РТОБ от Шапки и перекострячить его под Убунту. Процентов 90 вполне можно применить и там и там. Но всё же это лишние телодвижения.

https://iase.disa.mil/stigs/os/unix-linux/Pages/index.aspx

Mirrored from Лабораторный Журнал №6.

Tags: в хозяйстве пригодится, компьютерное, рекомендую, сисадминское
Subscribe

  • RIP

    Богаты последние года смертями артистов, блин. Сначала Джои Джордисон (барабанщик Слипнот), а теперь Дасти Хилл (“Зи-Зи Топ”, бас).…

  • Порекомендую канал

    Я очень люблю всяческие тесты потребительских товаров. Разумеется, все они более-менее субъективны, однако всегда приятно, когда параметры…

  • Dolby Atmos

    В конце 90х на рынок звуковых карт вышла компания Aureal. Они придумали технологию Aureal 3D и сделали PCI звуковую карточку Aureal Vortex. В 90х…

  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 2 comments