Настройка парольных политик, блокировки экрана и других харизмов защиты.
Установка ядра Харден по умолчанию для загрузки системы.
Харден обеспечивает лучшую защиту, но работает медленнее.
Переход в панель управления, система, загрузчик Grub.
По умолчанию загружается ядро Дженерик, но нужно сделать Харден по умолчанию.
Ошибка при попытке изменить конфиг, нужно перемонтировать загрузочный раздел.
Перемонтирование раздела для чтения и записи.
Проверка корректности изменений после перезагрузки.
Ядро Харден загружается по умолчанию без выбора пользователя.
Настройка парольной политики в графике и консоли.
Создание пользователя и настройка пароля.
Глобальные и пользовательские настройки паролей, включая минимальную длину и срок действия.
Политика устаревания пароля применяется только при создании новых пользователей.
Изменение срока действия пароля для существующего пользователя.
Демонстрация работы политики при смене пароля.
Максимальное количество сложных символов в пароле.
Политика паролей соблюдается в соответствии с заданными параметрами.
Возможность включения истории паролей и настройки количества запоминаемых паролей.
По умолчанию блокировка после восьми неудачных попыток.
Рекомендуется оставить восемь попыток и включить период блокировки.
Период блокировки важен для предотвращения повторных попыток входа.
Пользователь вводит неправильный пароль дважды в течение пяти секунд.
Система блокирует пользователя сразу после второй попытки.
Если пользователь вводит пароль с интервалом более пяти секунд, блокировка не происходит.
Минимальная длина и количество символов в пароле настраиваются в файле.
Возможность изменения параметров через консоль.
Рекомендуется задавать минимальное и максимальное количество дней для хранения паролей.
Период бездействия и отключение монитора при блокировке.
Запрет переключения на другую консоль и подключения к графическому серверу.
Настройка блокировки консоли для пользователей, не входящих в группу "астро консоль".
Включение блокировки консоли для пользователей, не входящих в группу "астро консоль".
Возможность блокировки интерпретатора bash для пользователей.
Скрипты будут запускаться, но пользователь не сможет использовать интерпретатор.
Включение блокировки интерпретаторов, кроме bash, для пользователей.
Блокировка новых скриптов и файлов, чтобы предотвратить запуск вредоносных программ.
Важно знать, что старые исполняемые файлы останутся доступными.
Настройка запрещает создание исполняемых файлов и скриптов для всех пользователей.
Рекомендуется использовать на серверах и рабочих станциях.
Отключение настройки для установки обновлений и конфигураций.
Настройка предотвращает запуск вредоносных программ и шифровальщиков.
Действует на всех пользователей и файловые системы.
Рекомендуется для использования на чистых операционных системах.
Демонстрация запуска исполняемого файла в файловой системе с запретом исполнения.
Файл запускается только из разрешенных мест.
Пример с копированием файла в другую файловую систему для запуска.
После включения запрета установки бит исполнения, новые файлы не могут быть исполняемыми.
Пользователь root может дать права на исполнение файла.
Старые исполняемые файлы остаются доступными.
Включение блокировки интерпретаторов, кроме bash, для пользователей.
Пример с попыткой запуска Python.
Пользователи не могут запускать интерпретаторы, кроме bash.
Администраторы могут запускать любые интерпретаторы.
Эти настройки помогают защитить систему от уязвимостей.
Включение режима работы файловой системы только на чтение.
Изменения сохраняются только в оперативной памяти и очищаются при перезагрузке.
Рекомендуется для серверов, где изменения не должны сохраняться.
Межсетевой экран блокирует все подключения.
Блокировка системных команд предотвращает использование скрытых каналов.
Команды, такие как ip и df, будут запрещены.
Запрет монтирования носителей для пользователей, не входящих в группу admin.
Блокировка выключения при загрузке ПК для пользователей.
Рекомендуется включать для серверов, но не для рабочих станций.
Включение ЗПС подписывает все файлы в системе.
Неподписанные файлы не могут быть запущены.
ЗПС защищает систему от вредоносных файлов.
Включение очистки разделов подкачки и внешней памяти.
Гарантированное удаление файлов и папок.
Мандатное управление доступом будет рассмотрено в следующих роликах.
Перезагрузка системы для применения изменений.
Проверка работы системы после перезагрузки.
Установка программ проходит без проблем при включенном ЗПС.
Подключение к сетевому экрану через панель управления.
Включение сетевого экрана и проверка доступа к порту.
Создание правил для блокировки и разрешения входящих и исходящих соединений.
Добавление правил для разрешения соединений в категории "Сеть" и "Сервисы".
Перезапуск сеанса для проверки подключения.
Отключение сетевого экрана для дальнейшей настройки домена.
Проверка состояния безопасности и политики безопасности.
Включение блокировки макросов для чистоты эксперимента.
Включение блокировки макросов для защиты сервера.
Установка сетевых служб на защищенных серверах для проверки их работы.