СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Статьи
Дмитрий Беляев
12 мая
#Dev#ИБ#Инфра

Безопасность Unix-систем: практические советы для администраторов

Безопасность Unix-систем: практические советы для администраторов

Unix-системы на протяжении десятилетий остаются опорой для критически важных ИТ-инфраструктур. Но в эпоху растущих киберугроз и импортозамещения их защита становится не только технологическим, но и стратегическим приоритетом. За более чем 10 лет работы в сфере информационной безопасности мне не раз приходилось сталкиваться с атаками на Unix-системы. За годы работы, я убедился, что надёжная защита — это не только нормативная база, но и актуальные знания применения технических мер и синхронизация работы подразделений Кибербезопасности, системного администрирования и DevOps-направления.

В этой статье я поделюсь некоторым своим опытом построения эффективной защиты Unix-систем с учетом российских реалий 2025 года.

В введении хотел бы поделиться с Вами актуальным списком российских Unix-систем (Unix-подобных операционных систем), которые широко используются в 2025 году в государственных и коммерческих организациях:

  • Astra Linux. Одна из самых популярных и сертифицированных российских ОС на базе Linux, предназначенная для комплексной защиты информации и построения защищённых автоматизированных систем. Имеет различные редакции для рабочих станций и серверов, поддерживает усиленный и максимальный режимы защиты.
  • РЕД ОС. Дистрибутив Linux, разработанный компанией «Ред Софт». Входит в Единый реестр российского ПО, сертифицирован ФСТЭК, поддерживает рабочие станции и серверы, оснащён современными средствами безопасности и интеграцией с российскими криптографическими алгоритмами.
  • Альт (Alt Linux). Семейство российских дистрибутивов Linux, разработанных компанией «Базальт СПО». Отличается гибкостью, наличием собственного репозитория Sisyphus, поддержкой различных архитектур и сертификацией ФСТЭК.
  • РОСА (ROSA Linux). Российская ОС, ориентированная как на корпоративный, так и на домашний сектор. Поддерживает современные графические оболочки, средства виртуализации и контейнеризации, сертифицирована для использования в организациях с повышенными требованиями к безопасности.
  • ОСнова. Российская операционная система для рабочих станций и серверов, сертифицирована ФСТЭК, поддерживает технологии контроля целостности (IMA), интеграцию с Active Directory и собственный фреймворк безопасности NESS. Включена в Единый реестр российского ПО.
  • АльтерОС (AlterOS). Сертифицированная российская ОС на базе Linux, предназначенная для работы с отечественным и зарубежным ПО, поддерживает серверные и десктопные редакции, имеет сертификат ФСТЭК по 4 классу защиты.
  • СТРЕЛЕЦ. Российская ОС с повышенным уровнем защиты, ориентирована на государственные учреждения и организации с высокими требованиями к безопасности.

Эти системы входят в Единый реестр российского ПО, имеют сертификаты ФСТЭК и/или ФСБ, поддерживают современные требования по безопасности и активно внедряются в госсекторе и бизнесе в рамках политики импортозамещения

Далее, хотелось бы рассмотреть список наиболее известных OpenSource Unix-систем, которые доступны для свободного использования:

  • FreeBSD. Универсальная и производительная Unix-подобная система, ориентированная на серверы, рабочие станции и встраиваемые решения. Отличается высокой стабильностью и богатой документацией.
  • OpenBSD. Система, сделанная с упором на безопасность и простоту аудита кода. Часто используется в критически важных инфраструктурах, где приоритет — надежность и защищённость.
  • NetBSD. Известна своей портируемостью — работает практически на любом оборудовании, от микроконтроллеров до серверов.
  • DragonFly BSD. Развивается с акцентом на многопоточность и масштабируемость, подходит для кластерных и распределённых вычислений.

Эти системы свободно распространяются, имеют открытый исходный код и активно поддерживаются сообществом разработчиков. Они применяются для серверов, рабочих станций, встраиваемых решений и критически важных инфраструктур по всему миру, в том числе и в нашей стране.

Нормативная база — не формальность, а фундамент

В эпоху импортозамещения, первым делом необходимо изучить ключевые нормативные документы, регулирующие безопасность Unix-систем в России. Особенно важным для меня был Приказ Минцифры России № 21 от 17.02.2021, который рекомендует использовать российское программное обеспечение, например Astra Linux, РЕД ОС, Альт и т.д. Без внимания не стоит оставлять и Методический документ «Рекомендации по безопасной настройке операционных систем linux», от 25 декабря 2022 г, он хоть и устарел, но содержит фундаментальные основы по настройке безопасности.

Знание нормативных требований, а самое главное – понимание целесообразности их исполнения, помогает не только соответствовать требованиям регуляторов — ФСТЭК и ФСБ, — но и повысить уровень защиты компании.

Важно понимать, что требования регуляторов не противоречат здравому смыслу – они направлены на снижение рисков.

Согласно методическим документам ФСТЭК, выделяют четыре класса защищённости информационных систем, в которых могут применяться Unix-системы:

  • К1 (первый класс) — максимальный уровень защищённости; применяется для федеральных информационных систем, критически важной инфраструктуры, где нарушение безопасности может привести к существенным последствиям в социальной, политической, экономической сферах.
  • К2 (второй класс) — высокий уровень защищённости; для региональных систем и объектов, где ущерб от инцидента будет значительным, но не критическим.
  • К3 (третий класс) — средний уровень защищённости; для объектовых систем, где последствия ограничены рамками отдельной организации.
  • К4 (четвёртый класс) — минимальный уровень защищённости; для информационных систем с низкой значимостью информации

Класс защиты выбирается в зависимости от уровня значимости информации (конфиденциальность, целостность, доступность).

Для операционных систем, ФСТЭК определяет шесть классов защиты (от шестого — самого низкого — до первого — самого высокого), описание которых представлено в таблице 1.

Таблица 1 – Профили защиты ОС по ФСТЭК:

КлассНазначение и область применения
6Для ГИС 3–4 классов, АСУ ТП 3 класса, ИСПДн 3–4 уровней защищённости. Минимальные требования.
5Для ГИС 2-го класса, АСУ ТП 2-го класса, ИСПДн 2-го уровня. Дискреционная защита.
4Для ГИС 1-го класса, АСУ ТП 1-го класса, ИСПДн 1-го уровня. Обязательная защита, расширенные функции безопасности.
3Усиленная мандатная защита, дополнительные требования по контролю доступа и аудиту.
2Усиленные требования, включая верификацию безопасности и формальные методы контроля.
1Максимальный уровень, верифицированная защита, применяется для особо критичных объектов.

Чем ниже номер класса, тем выше требования к безопасности и шире перечень реализуемых функций (идентификация, аутентификация, управление доступом, аудит, изоляция процессов, контроль целостности и др.)

Кроме того, необходимо учитывать требования Федерального закона № 152-ФЗ «О персональных данных» и стандарты защиты информации с ограниченным доступом. Это позволяет выстроить систему безопасности, которая отвечает всем основным требованиям регуляторов.

Практика: что реально работает

Для начала следует уделять внимание физической безопасности серверов: ограничивать доступ в серверные помещения, устанавливать системы контроля доступа и видеонаблюдения. Также обязательно настраивать защиту загрузчика GRUB, чтобы предотвратить несанкционированный доступ через изменение параметров загрузки. Шифрование дисков — еще одна обязательная мера, которая защищает данные, если кто-то получит физический доступ к оборудованию (например, можно использовать LUKS для шифрования разделов с ПДн. Пример команды: cryptsetup luksFormat /dev/sdb1)

При работе с учётными записями необходимо минимизировать риски: запрещать прямой вход под учётной записью root, настраивать sudo с ограниченными правами, внедрять строгие политики паролей и, где это возможно, использовать многофакторную аутентификацию (использование SSH-ключей вместе с OTP-токенами (например, Яндекс Ключ) для доступа к серверам) Это значительно снизит вероятность компрометации.

Для контроля целостности системных файлов необходимо устанавливать AIDE — это позволяет быстро выявлять любые подозрительные изменения. Также, лучше всего использовать возможности IMA (Integrity Measurement Architecture) для проверки доверенных приложений, что помогает блокировать действия вредоносного кода.

Для контроля ролевой модели доступа используйте настройка прав через chmod, chown и setfacl для файлов и каталогов с персональными данными. Например, доступ к БД ограничивается только пользователями с ролью pdn_operator.

Для корректировки парольной политики рекомендую использовать минимальную длину пароля — 16 символов, обязательное использование специальных символов и блокировка учетных записей после 5 неудачных попыток (настройка в /etc/pam.d/system-auth) или в настроенном file2ban.

Наиболее полный ( в т.ч OpenSource) список инструментов безопасности для Unix-систем представлен на рисунке 1.

Рисунок 1 – Defensive Linux Security Tools[2]

Безопасность сетевых сервисов и мониторинг

При настройке сетевых сервисов необходимо применять строгие правила межсетевого экрана на основе iptables или nftables, открывая доступ только к необходимым портам (блокировка всех входящих соединений, кроме необходимых портов, например, 443/TCP для HTTPS), более того, необходимо проводить минимум ежеквартальный аудит правил на МСЭ, так-как это позволит держать в руку на пульсе от «человеческого фактора», при котором на МСЭ могут быть обнаружены нелегитимные правила, что впоследствии может привести к инциденту.

Для защиты сетевого трафика все сетевые соединения должны шифроваться с помощью TLS и VPN, чтобы исключить перехват данных, а для изоляции процессов лучше использовать контейнеризацию и chroot-окружения.

Мониторинг — одна из ключевых составляющих работы специалиста по Кибербезопасности. Централизованное логирование — must-have. Лучше всего использовать отечественные решения, сертифицированные ФСТЭК и совместимые, например, с Astra Linux.

Встроенные модули SELinux + auditd — для аудита системных событий. Это позволяет в режиме реального времени отслеживать подозрительные действия и оперативно реагировать на инциденты. Взаимодействие с SOC компании помогает поддерживать высокий уровень безопасности, но здесь важен комплексный подход: Подключение СЗИ и СУБД в качестве источников событий, наличие EDR, настройка правил корреляции и увеличение количества правил покрытия MITRE ATT&CK, регулярный аудит правил, создание и тестирование плейбуков и т.д.

Люди решают всё

Я ориентируюсь на опыт российских компаний, которые используют сертифицированные отечественные операционные системы, поддерживающие работу отечественных СЗИ, однако в статье я уделил не мало внимания и на OpenSource-решения, с которыми так же можно работать, однако важно понимать, что они закроют не все задачи. Эти системы предоставляют дополнительные возможности по мандатному контролю доступа и запуску приложений, что значительно повышает уровень защиты.

Безопасность — это не только про технологии. Обучение персонала (в т.ч системных администраторов, разработчиков, девопсов и безопасников), важный критерий успеха компании, в плане обеспечения ее защиты, поэтому, он должно быть системным:

  • Ежемесячные тесты по фишингу.
  • Анализ последствий инцидентов.
  • Внедрение культуры «отчёта о подозрительном» — без страха наказаний.

Итоги моего подхода

Мой опыт показывает, что комплексный подход — залог надежной защиты Unix-систем. Настроить firewall и включить SELinux — это не защита, это начало. Реальная безопасность Unix-систем — это:

  • соблюдение стандартов;
  • постоянный мониторинг;
  • взаимодействие между DevOps, ИБ и админами;
  • обучение персонала;
  • и, главное — понимание угроз, актуальных именно для вашей инфраструктуры.

Создание устойчивой ИБ-среды требует комплексного подхода и внутренней дисциплины.

Автор: Беляев Д.А. Должность: Директор по Кибербезопасности. Компания: Независимый эксперт.

Дмитрий Беляев
Автор: Дмитрий Беляев
Эксперт в области информационной безопасности
Комментарии: