Установка#

Безопасную установку ОС «Platform V SberLinux OS Server» можно осуществлять только с носителей, прошедших процедуру приемки.

Порядок безопасной установки Исполнений ОС «Platform V SberLinux OS Server»: «OS Server», «OS Core», а также средств виртуализации (далее – СВ) и средств контейнеризации (далее – СК) приведен в соответствующих разделах.

Безопасная установка «OS Server»#

В разделе описаны действия, которые нужно совершить для осуществления безопасной установки «OS Server».

Безопасная установка ОС «Platform V SberLinux OS Server» состоит из:

• загрузки средств установки;

• процедур подготовки установки;

• выполнения установки файлов;

• проверки установки всех пакетов, реализующих ФБО;

• проверки целостности установки;

• проведения автотеста системы.

Загрузка средств установки#

Перед началом установки выберите на предназначенном для этого компьютере с помощью встроенных средств BIOS или UEFI в качестве загрузочного то устройство, куда будет установлен накопитель с загрузочным образом системы.

После установите носитель в выбранное устройство и перезагрузите машину.

Стадия подготовки завершается выводом на экран меню загрузки ОС «Platform V SberLinux OS Server», показанным на рисунке ниже.

Переключение между пунктами меню можно осуществлять с клавиатуры, либо с помощью клавиш управления курсором, либо с помощью клавиш, символы которых подсвечены в строках меню. Выбор пункта осуществляется нажатием клавиши Enter или аналогичной.

Выбор пункта меню Install SberLinux 9.0 немедленно запускает процесс установки.

Выбор пункта меню Test this media & install SberLinux 9.0 запускает техническую проверку целостности носителя и при ее успешном завершении запускает процесс установки.

Остальные элементы меню служат отладочным целям и при безопасной установке не используются.

При возникновении в процессе безопасной установки затруднений и появлении сообщений об ошибках следует обращаться в службу поддержки.

На начальной стадии установки происходит загрузка модулей с установочного диска, и на экран выводятся диагностические сообщения. Каких-либо действий пользователя на этом этапе не требуется.

Начальная стадия завершается выводом на экран меню установки ОС «Platform V SberLinux OS Server», общий вид которого представлен на рисунке ниже.

В режиме установки система предоставляет пять виртуальных терминалов. Подсказка о клавишах, позволяющих переключаться между разными терминалами расположена в нижней части экрана в специальной полосе. Окно первого терминала отведено на управление процессом установки, окно второго предоставляет доступ к командной строке, на остальные терминалы выводится содержимое общего журнала установки, журнала диска и журнала программ.

Переключение на дополнительные терминалы в процессе установки не предусмотрено.

Подготовка процедуры установки с помощью меню#

Безопасная установка системы с диска выполняется в текстовом режиме.

Меню установки состоит из девяти пронумерованных элементов.

Правее номера пункта, перед текстовым описанием расположен символ выбора элемента. Он может иметь два значения:

• [x] - означает, что для этого пункта имеется установленное значение (значение по умолчанию или значение, введенное пользователем);

• [!] - означает, что для этого пункта пользователем не установлено никакое значение и его обязательно нужно установить.

Ниже описания пункта меню в круглых скобках приведено значение, которое будет использовано для этого пункта. Его можно изменить при повторном выборе пункта меню.

Меню в процессе установки будет изменять свой вид в зависимости от выбранного пункта, но общий принцип взаимодействия всегда остается одинаковым.

Чтобы выбрать пункт, нужно ввести его номер в командной строке в позиции курсора. Подтверждение выбора осуществляется нажатием клавиши Enter или аналогичной.

Управление процессом установки:

• для завершения работы с пунктом меню и перехода к выбору других пунктов следует ввести символ c (в латинской раскладке);

• для продолжения установки (перехода к следующей стадии) следует ввести символ b;

• для прерывания установки следует ввести символ q.

При прерывании установки система предложит подтвердить выбор; требуется ввести полную форму ответа: yes или no.

«Прокрутка» содержимого экрана в режиме установки не поддерживается. Для повторного вывода на экран текущего состояния меню следует ввести символ r.

Допустимые для каждого варианта меню символы в виде подсказки отображаются в командной строке.

Языковые установки#

Для выбора языковых установок целевой системы нужно выбрать пункт 1 (Language settings). Откроется меню выбора языка.

После выбора языка открывается меню выбора локализации.

После выбора локализации на экран выводится меню установки системы, при этом возле первого пункта будет стоять отметка [x] и под описанием этого пункта будет отображено выбранное значение.

Установки времени#

Для установки времени нужно выбрать пункт 2 (Time settings), см. рисунок 2. Откроется меню установок времени.

Меню установки времени позволяет перейти к настройкам временной зоны.

Установка временной зоны#

При выборе пункта 1 откроется меню выбора региона.

После выбора региона открывается окно выбора города, по которому определяется временная зона.

После выбора города на экран выводится меню установки системы, при этом возле второго пункта будет стоять отметка [x] и под описанием этого пункта будет отображено выбранное значение.

Установка расположения носителя с дистрибутивом#

Для того чтобы определить тип и местонахождение дистрибутива, выберите из меню установки системы пункт 3 (Installation source), см. рисунок 3 в разделе «Подготовка процедуры установки с помощью меню».

Откроется меню выбора типа источника, на котором размещен дистрибутив.

Выберите пункт 2 (local ISO file) и затем устройство, в котором размещен носитель.

После выбора устройства выводится меню установки системы, при этом возле третьего пункта будет стоять отметка [x] и под описанием этого пункта будет отображено выбранное значение.

Выбор варианта установки#

Для определения варианта установки ОС «Platform V SberLinux OS Server» введите значение 4 (Software selection) (Рисунок 3).

На экране отобразится меню выбора базового окружения.

Убедитесь, что активирован пункт 1) [x] OS Server, и введите символ c (в латинской раскладке) для перехода к следующему пункту меню выбора дополнительного программного окружения.

При процедуре безопасной установки не осуществляется какой-либо выбор на этом этапе; введите символ c (в латинской раскладке) для продолжения работы.

После этого этапа на экран выводится меню установки системы. При этом возле четвертого пункта отметка [x] может появиться не сразу, для применения установок требуется некоторое время. Под этим пунктом меню может отображаться надпись (Processing...). Такое состояние не препятствует дальнейшей работе, и можно продолжать процедуру безопасной установки. Отметка о выборе пользователя появится при одном из следующих обновлений экрана.

Выбор устройства назначения#

Для выбора устройства, на которое будет производиться установка системы нужно выбрать пункт 5 (Installation Destination) (Рисунок 3). Откроется меню, позволяющее выбрать для установки конкретный диск из доступных в системе.

Следующее меню позволит выбрать способ размещения системы на диске.

Заключительное меню серии позволит выбрать способ управления логическими томами (LVM).

После завершения выбора выводится меню установки системы, при этом возле пятого пункта будет стоять отметка [x] и под описанием этого пункта будет отображено выбранное значение базового окружения.

Разрешение kdump#

Настройка разрешений kdump (рисунок 3 в разделе «Подготовка процедуры установки с помощью меню», пункт меню 6, Kdump) в условиях безопасной установки не производится.

Конфигурация сети#

Управление конфигурацией сети (рисунок 3 в разделе «Подготовка процедуры установки с помощью меню», пункт меню 7, Network configuration) в условиях безопасной установки не производится.

Установка пароля пользователя root#

Для установки пароля для пользователя root выберите пункт 8 меню (Root password) (рисунок 3 в разделе «Подготовка процедуры установки с помощью меню»).

Вводимые с клавиатуры символы в этом режиме не отображаются. Пароль требуется ввести дважды; если система обнаружит несовпадение, то процесс ввода начнется сначала.

После завершения установки пароля на экран выводится меню установки системы, при этом возле восьмого пункта будет стоять отметка [x] и под описанием этого пункта будет отображено сообщение Root password is set.

Создание аккаунта пользователя#

В процессе безопасной установки создание аккаунта пользователя (рисунок 3 в разделе «Подготовка процедуры установки с помощью меню», пункт меню 9; User Creation) не производится.

Завершение процедуры подготовки установки#

После выбора параметров для запуска процесса установки компонентов введите с клавиатуры символ b.

Установка компонентов системы#

Установка компонентов системы происходит в автоматическом режиме. Во время выполнения установки на экран выводятся сообщения информационного характера. Каких-либо действий пользователя на этом этапе не требуется.

Когда все необходимые компоненты будут установлены, машина автоматически перезагрузится, однако процедура безопасной установки на этом не завершается.

Для завершения процедуры необходимо:

• выполнить проверку установки всех пакетов, реализующих ФБО;

• выполнить автотестирование функций безопасности.

Описание необходимых для этого действий приведены в соответствующих разделах.

Проверка установки всех пакетов, реализующих ФБО#

Проверка установки всех пакетов, реализующих ФБО, выполняется с помощью программы sberlinux-security-target-os-a4-stf.

Перед осуществлением проверки нужно монтировать диск из комплекта поставки.

Монтирование диска выполняется следующими командами:

mkdir -p  /mnt/disc

И:

mount /dev/sr0 /mnt/disc

Где /dev/sr0 - устройство, на котором размещен диск.

Для того чтобы проверить установку пакетов ФБО, выполните команду:

sberlinux-security-target-os-a4-stf -a

Убедитесь, что во время выполнения и после завершения программа не формирует сообщений об ошибках.

Если во время выполнения будет обнаружено отсутствие нормально установленного пакета, реализующего ФБО, программа запустит процедуру установки этого пакета из репозитория на смонтированном диске.

После завершения проверки и возможной установки отсутствующих пакетов выполняется контроль установки пакетов, реализующих ФБО.

Для этого используйте команду:

sberlinux-security-target-os-a4-stf

Убедитесь, что во время выполнения и после завершения программа не формирует сообщений об ошибках.

Самотестирование функций безопасности#

Самотестирование функций безопасности выполняется с помощью программы selftest.

Для того чтобы запустить самотестирование, выполните команду:

selftest

Убедитесь, что программа завершается без формирования сообщения об ошибках.

Если самотестирование завершилось с отрицательным результатом, ОС «Platform V SberLinux OS Server» не рекомендована к использованию.

В этом случае:

1. Заново произведите безопасную установку и настройку «OS Server».

2. Если ошибка сохранится, обратитесь к разработчику.

Завершение безопасной установки «OS Server»#

После первой загрузки системы и выполнения проверок никаких компонентов устанавливать не следует. Первое действие после установки – безопасная настройка «OS Server», описанная в соответствующем разделе.

После успешного выполнения перечисленных выше действий безопасная установка завершена.

Безопасная установка Исполнения «OS Core»#

Процедура установки «OS Core» заключается в подготовке виртуальной машины, в составе которой используется это исполнение ОС «Platform V SberLinux OS Server», и выполнения процедуры безопасной настройки.

Подготовка виртуальной машины#

Процедура безопасной установки СВ выполняется только после выполнения безопасной настройки «OS Server» и СВ на хосте.

Пример сценария безопасного создания виртуальной машины с «OS Core».

1. Перед осуществлением установки монтируйте диск из комплекта поставки.

   Если безопасная установка «OS Core» происходит не сразу после выполнения безопасной настройки «OS Server», следует выполнить проверку целостности дистрибутива, как это указано в разделе «Проверка целостности файлов дистрибутива ОС «Platform V SberLinux OS Server» на носителе».

   Монтирование диска выполняется следующими командами:

   mkdir -p /mnt/disc
   

   И:

   mount /dev/sr0 /mnt/disc
   

   Где /dev/sr0 - устройство, на котором размещен диск.

2. Создайте каталог для виртуальных дисков:

   mkdir -pv ~/.local/share/libvirt/images/
   

3. Скопируйте образ системы в созданный каталог:

   cp /mnt/disc/<path-to-image>/SBCOS_fstec-9.0-20240515-1124-0-qemu.x86_64.qcow2 /home/virtuser/.local/share/libvirt/images/SBCOS_fstec-9
   

   Где <path-to-image> - путь до образа.

   В примере файл образа системы SBCOS_fstec-9.0-20240515-1124-0-qemu.x86_64.qcow2 с диска из комплекта поставки копируется в каталог пользователя virtuser.

4. Проверьте правильность установки контекста безопасности:

   ls -lhZ ~/.local/share/libvirt/images/
   

   Пример выполнения команды:

   total 1,8G
   -rw-r--r--. 1 virtuser virtuser system_u:object_r:virt_content_t:s0   1,7G мая 29 14:39 SBCOS_fstec-9.0-20240515-1124-0-qemu.x86_64.qcow2
   -rw-------. 1 virtuser virtuser unconfined_u:object_r:svirt_home_t:s0  99M мая 29 17:23 sbcos-test-01.qcow2
   

   В примере для файла с образом системы SBCOS_fstec-9.0-20240515-1124-0-qemu.x86_64.qcow2 установлен контекст безопасности virt_content_t.

5. Создайте файл конфигурации Ignition:

   nano /home/virtuser/core_user9.json
   

   Введите в окне редактора следующие инструкции:

   {
     "ignition": {
       "version": "3.2.0"
     },
     "passwd": {
       "users": [
         {
           "name": "core",
           "password": "qwerty",
           "passwordHash": "$y$j9T$oChYIEwTntTjM/V75nQJE/$4iCPsdpzTNGTeb8TKMIug2I0BQclAZUwEz5.GELXpG2",
           "gecos": "CoreOS Admin",
           "groups": [
             "adm",
             "sudo",
             "systemd-journal",
             "wheel"
           ]
         }
       ]
     }
   }
   

   Использование инструкций из примера выше приведет к созданию внутри виртуальной машины пользователя с именем core, для которого будет установлен пароль qwerty. Пользователь будет принадлежать к группам adm, sudo, systemd-journal, wheel.

6. Установите для файла конфигурации соответствующего контекста безопасности:

   chcon --verbose --type svirt_home_t ~/core_user9.json
   

   Пример вывода команды:

   changing security context of '/home/virtuser/core_user9.json'
   

   В примере для файла конфигурации устанавливается контекст безопасности svirt_home_t.

7. Создайте и запустите виртуальную машину с установленной «OS Core»:

   virt-install --name="sbcos-test-01" --vcpus="4" --memory="1024" --os-variant="fedora-coreos-stable" --import --graphics=none --disk="size=16,backing_store=/home/virtuser/.local/share/libvirt/images/SBCOS_fstec-9.0-20240515-1124-0-qemu.x86_64.qcow2" --network network=default --qemu-commandline="-fw_cfg name=opt/com.coreos/config,file=/home/virtuser/core_user9.json"
   

   В результате выполнения приведенной выше команды будет создана и запущена виртуальная машина со следующими характеристиками:

   • имя машины: sbcos-test-01;

   • число потоков: 4;

   • объем диска: 16 Гбайт;

   • подключение сети: отсутствует;

   • графическая консоль: отключена;

   • операционная система: «OS Core».

   После загрузки виртуальной машины и получения доступа к ней, можно войти под именем core; этот пользователь наделен административными полномочиями.

При первом запуске процедура безопасной установки «OS Core» еще не завершена.

Для завершения установки необходимо выполнение процедур проверки установки всех пакетов, реализующих ФБО, проверки целостности исполняемых файлов и самотестирование функций безопасности. Данные действия выполняются аналогично процессам при безопасной установке «OS Server» и описаны в разделах 6.1.4-6.1.6.

Безопасная установка средств виртуализации#

Процедура безопасной установки СВ выполняется только после выполнения безопасной настройки «OS Server».

Перед осуществлением проверки смонтируйте диск из комплекта поставки.

Если безопасная установка СВ происходит не сразу после выполнения безопасной настройки «OS Server», следует выполнить проверку целостности дистрибутива, как это указано в разделе «Проверка целостности файлов дистрибутива ОС «Platform V SberLinux OS Server» на носителе».

Монтирование диска выполняется следующими командами:

mkdir -p /mnt/disc

И:

mount /dev/sr0 /mnt/disc

Где /dev/sr0 - устройство, на котором размещен диск.

Для того чтобы запустить процедуру безопасной установки СВ, выполните команду:

sberlinux-fstec-virt-stf -a

Команда при выполнении не требует ввода каких-либо данных.

Убедитесь, что во время выполнения и после завершения работы команды не формируются сообщения об ошибках.

После завершения установки следует произвести контроль установки СВ. Для этого выполняется команда:

sberlinux-fstec-virt-stf

После установки следует выполнить процедуру безопасной настройки СВ, которая описана в соответствующем разделе.

Безопасная установка средств контейнеризации#

Процедура безопасной установки СК выполняется только после выполнения безопасной настройки «OS Server».

Перед осуществлением проверки смонтируйте диск из комплекта поставки.

Если выполнение безопасной установки СК происходит не сразу после выполнения безопасной настройки «OS Server», следует выполнить проверку целостности дистрибутива, как это указано в разделе «Проверка целостности файлов дистрибутива ОС «Platform V SberLinux OS Server» на носителе».

Монтирование диска выполняется следующими командами:

mkdir -p /mnt/disc

И:

mount /dev/sr0 /mnt/disc

Где /dev/sr0 - устройство, на котором размещен диск.

Для того чтобы запустить процедуру безопасной установки СК, выполните команду:

sberlinux-fstec-container-stf -a

Команда при выполнении не требует ввода каких-либо данных.

Убедитесь, что во время выполнения и после завершения работы команды не формируются сообщения об ошибках.

После завершения установки следует произвести контроль установки СК. Для этого выполняется команда:

sberlinux-fstec-container-stf

После установки следует выполнить процедуру безопасной настройки СК, которая описана в соответствующем разделе.

Безопасная настройка «OS Server»#

При первой загрузке после безопасной установки следует выполнить безопасную настройку.

Для этого войдите в систему, используя учетную запись пользователя root. Этот пользователь наделен административными полномочиями.

Перед выполнением действий по безопасной настройке необходимо выполнить монтирование диска из комплекта поставки.

Монтирование диска выполняется следующими командами:

mkdir -p /mnt/disc

И:

mount /dev/sr0 /mnt/disc

Где /dev/sr0 - устройство, на котором размещен диск.

В составе системы присутствуют скрипты, обеспечивающие безопасную настройку и контроль соответствия требованиям безопасности. Сведения о них приведены в таблице:

Если скрипт вызывается с параметром -a, то происходят проверка и изменения настроек системы для достижения соответствия установленным требованиям; если скрипт вызывается без параметров, осуществляется контроль соответствия настроек системы заданным значениям.

Сначала выполняется скрипт sberlinux-security-target-os-a4:

sberlinux-security-target-os-a4 -a

Он проверяет наличие компонентов, обеспечивающих выполнение обязательных требований Профиля защиты операционной системы типа «А» четвертого класса защиты ИТ.ОС.ПЗ.А4 ФСТЭК. Если компоненты отсутствуют в системе, они будут автоматически установлены.

В процессе работы скрипта ответьте на выводимые запросы; они касаются настроек, определяемых требованиями ИС.

Список задаваемых системой вопросов приведен в таблице ниже:

После завершения проверки выполняется контроль установки компонентов:

sberlinux-security-target-os-a4

Убедитесь в отсутствии сообщений об ошибках.

Для выполнения «Рекомендаций по безопасной настройке операционных систем Linux», утвержденных ФСТЭК 25 декабря 2022г, запускается скрипт sberlinux-fstec-hardening:

sberlinux-fstec-hardening -a

Во время работы скрипта никакие вопросы не задаются.

Если при работе скрипта обнаруживается отсутствие настройки компонентов в соответствии с упомянутыми выше рекомендациями ФСТЭК, такие настройки будут автоматически добавлены.

После завершения работы скрипта убедитесь в отсутствии сообщений об ошибках в выводе.

Затем запускается контроль настроек, соответствующих рекомендациям ФСТЭК:

sberlinux-fstec-hardening

После завершения работы скрипта убедитесь в отсутствии сообщений об ошибках в выводе.

Далее выполняются настройки, представленные в разделе «Рекомендации разработчика по безопасной настройке».

Необходимо выполнить перезагрузку системы для вступления изменений в силу.

На этом стадия безопасной настройки «OS Server» завершена и система может считаться готовой к эксплуатации.

Безопасная настройка Исполнения «OS Core»#

Безопасная настройка «OS Core» выполняется аналогично настройкам «OS Server», описанной в соответствующем разделе.

Для автоматизации безопасной настройки можно воспользоваться конфигурационным файлом, приведенном в Приложении к настоящему документу.

Безопасная настройка средств виртуализации#

Для выполнения безопасной настройки СВ требуется смонтировать диск из комплекта поставки.

Если безопасная настройка СВ выполняется не сразу после безопасной настройки операционной системы и безопасной установки СВ, следует выполнить проверку целостности содержимого диска как это указано в разделе «Проверка целостности файлов дистрибутива ОС «Platform V SberLinux OS Server» на носителе».

Монтирование диска выполняется следующими командами:

mkdir -p /mnt/disc

И:

mount /dev/sr0 /mnt/disc

Где /dev/sr0 - устройство, на котором размещен диск.

Для того чтобы запустить процедуру безопасной настройки СВ, выполните команду:

sberlinux-fstec-virt-hardening -a

Во время работы скрипт не требует ввода каких-либо данных через терминал.

Убедитесь в отсутствии сообщений об ошибках после завершения работы скрипта.

В завершение процедуры безопасной настройки осуществляется контроль правильности установки и настройки СВ:

sberlinux-fstec-virt-hardening

После завершения работы скрипта все компоненты системы виртуализации будут настроены в соответствии с установленными требованиями безопасности и будут автоматически запускаться после загрузки.

Убедитесь в отсутствии сообщений об ошибках после завершения работы скрипта.

Необходимо выполнить перезагрузку системы для вступления изменений в силу.

На этом стадия безопасной настройки СВ завершена и система в исполнении «OS Virtualization» может считаться готовой к эксплуатации.

Безопасная настройка средств контейнеризации#

Для выполнения безопасной настройки СК требуется монтировать диск из комплекта поставки.

Если безопасная настройка СК выполняется не сразу после безопасной настройки операционной системы и безопасной установки СК, следует выполнить проверку целостности содержимого диска как это указано в разделе «Проверка целостности файлов дистрибутива ОС «Platform V SberLinux OS Server» на носителе».

Монтирование диска выполняется следующими командами:

mkdir -p /mnt/disc

И:

mount /dev/sr0 /mnt/disc

Где /dev/sr0 - устройство, на котором размещен диск.

Для того чтобы запустить процедуру безопасной настройки СК, выполните команду:

sberlinux-fstec-container-hardening -a

Во время работы скрипт не требует ввода каких-либо данных через терминал.

Убедитесь в отсутствии сообщений об ошибках после завершения работы скрипта.

В завершение процедуры безопасной настройки осуществляется контроль правильности установки и настройки СК:

sberlinux-fstec-container-hardening

После завершения работы скрипта все компоненты системы контейнеризации будут настроены в соответствии с установленными требованиями безопасности и будут автоматически запускаться после загрузки.

Убедитесь в отсутствии сообщений об ошибках после завершения работы скрипта.

Выполните перезагрузку системы для вступления изменений в силу.

На этом стадия безопасной настройки СК завершена, и система с установленными СК может считаться готовой к эксплуатации.

Рекомендации разработчика по безопасной настройке#

Описанные в данном разделе действия рекомендованы разработчиком ОС «Platform V SberLinux OS Server» при процедуре безопасной настройке.

1. Следует ограничить максимальное число параллельных сеансов, предоставляемых одному и тому же пользователю ОС «Platform V SberLinux OS Server», согласно правилам.

   Пример скрипта, вводящего ограничение максимального числа сеансов:

   for USR in `awk -F: '{if ($3>=1000) print $1}' /etc/passwd`; do
   echo -n "Enter session limit for user $USR: "
   read -e SESSCNT
   echo "${USR} hard maxlogins ${SESSCNT}" > /etc/security/limits.d/"99-maxlogins-${USR}.conf"
   done
   

   В скрипте пользователи определяются по вхождению в файл /etc/passwd, поэтому для всех пользователей, которые будут добавлены в систему после выполнения скрипта, нужно будет ввести ограничение дополнительно.

2. Следует установить значение по умолчанию для числа одновременных сеансов пользователя ОС «Platform V SberLinux OS Server».

   Пример скрипта, вводящего ограничение по умолчанию:

   echo "* hard maxlogins 10" > /etc/security/limits.d/maxlogins.conf
   

3. Следует установить пароль достаточной степени сложности на grub.

4. После выполнения безопасной настройки операционной системы в соответствии с разделом «Действия по безопасной настройке» -> «Безопасная настройка «OS Server» следует установить новый пароль для пользователя root.

5. Следует проверить наличие обновлений ОС «Platform V SberLinux OS Server», выпущенных производителем, и, если они представлены, установить их. Обновления системы выполнять в соответствии с регламентом, описанным в «Руководстве пользователя RU.92573301.10006-01 90 01», раздел «Регламент обновления». Следует проверить наличие информации о мерах и ограничениях, представленных разработчиком в связи с выявлением уязвимостей, и при наличии обеспечить их реализацию.

6. При необходимости изменения настроек функций безопасности воспользоваться описаниями, приведенными в «Руководстве пользователя RU.92573301.10006-01 90 01», разделы «Функции и интерфейсы функций СЗИ, доступных каждой роли пользователей» и «Параметры (настройки) безопасности СЗИ, доступные для каждой роли пользователей, и их безопасные значения».

7. Реализация остальных рекомендаций разработчика выполняется скриптом sberlinux-security-vendor-hardening:

   sberlinux-security-vendor-hardening -a
   

   После успешного завершения скрипта нужно проконтролировать правильность реализации рекомендаций:

   sberlinux-security-vendor-hardening
   

   Если при контроле отсутствуют сообщения об ошибках, можно считать реализацию рекомендаций разработчика по безопасной настройке завершенной.