Defense-in-Depth. Задачи, решаемые в ходе защиты компьютерных систем. Обзор механизмов и принципов защиты. Концепция многоуровневой защиты.

Обеспечение физической безопасности Linux-сервера. Ограничение доступа к серверу. Настройка взаимодействия с источниками бесперебойного питания. Применение защитных механизмов на различных этапах загрузки. Настройка менеджера загрузки. Различные режимы загрузки.

Обход защитных механизмов при физическом доступе. Возможности по восстановлению пароля пользователя root при физическом доступе к серверу. Блокировка возможности загрузки с несанкционированных внешних носителей.            

Сетевая безопасность. Использование сетевого суперсервера для защиты сервисов, на примере SSH. Настройка межсетевого экрана и прокси-сервера. Установка и настройка системы обнаружения/предотвращения вторжений. Сегментация сети. Настройка VPN-соединений

Защита уровня узла. Настройка брандмауэра. Превентивная защита от эксплуатации уязвимостей ядра системы. Настройка Linux Security Modules (LSM) на примере SELinux и AppArmor. Включение функций аудита. Поиск руткитов и бэкдоров.

Защита приложений и данных. Управление учётными записями и домашними каталогами. Рекомендации в отношении системных и интерактивных учётных записей. Политика в отношении паролей. Инструменты и методы подбора паролей. Выполнение операций от имени учётной записи root. Делегирование прав root через программы su и sudo. Рекомендации по настройке допусков к различным объектам системы. Использование атрибутов разграничения доступа suid, sgid и umask. Тип модулей РАМ. Конфигурационные файлы РАМ. Примеры использования РАМ. Применение шифрования дисков.

Политики и процедуры. Особенности требований законодательства по защите конфиденциальной информации: 

Защита ГИС - ФЗ №149, Приказ ФСТЭК №17

Защита персональных данных - ФЗ№152, ПП №1119, Приказ ФСТЭК №21

Применение СКЗИ – Приказ ФАПСИ №152, Приказ ФСБ №66 (ПКЗ-2005), Приказ ФСБ №378