Операционная система должна предоставлять ==упреждающие меры защиты и быть сконфигурирована с безопасными настройками по умолчанию==.
- Режим суперпользователя
- Невозможность завести пользователя с пустым паролем
Запрет root ходить по ssh
Был вскрыт образ Альт СП, вот список некоторых скриптов:
/home/basealt/altcustom/squashfs-root/usr/share/install2/postinstall.d/40-add-trusted-mode.sh - добавление доверенных интерпретаторов питон и перл
/home/basealt/altcustom/squashfs-root/usr/share/install2/postinstall.d/86-all-groups - создание групп
/home/basealt/altcustom/squashfs-root/usr/share/install2/preinstall.d/08-crypttab.sh - отработка LUKS
/home/basealt/altcustom/squashfs-root/usr/share/install2/preinstall.d/80-setup-user-groups - создание основных групп
/home/basealt/altcustom/squashfs-root/usr/share/polkit-1 - настройки политик Polkit
/home/basealt/altcustom/squashfs-root/lib/sysctl.d - service to configure sysctl kernel parameters. управление параметрами ядра
/home/basealt/altcustom/squashfs-root/usr/share/pki/ca-trust-source - сертификаты и доверенные настройки
/home/basealt/altcustom/squashfs-root/usr/share/install2/postinstall.d/90-integrity-init.sh - инициализация базы данных OSEC
/home/basealt/altcustom/squashfs-root/usr/share/install2/postinstall.d/45-noexec-home.sh - занесение записей о монтировании /home и /tmp с параметром noexec
/home/basealt/altcustom/squashfs-root/usr/share/install2/initinstall.d/01-apt-cache-limit.sh - ограничение кэша apt
запуск через чрут
! По умолчанию включен только репозиторий с установочного диска, даже внешний altsp.su выключен
! логирование и журналированине
В Альт 8СП релиз 10 по умолчанию В целях повышения уровня безопасности домашний каталог пользователя /home, а также каталог /tmp, смонтирован с опцией noexec (вам не будет доступен запуск скриптов, некоторые изменения в системе, могут возникнуть проблемы при установке отдельного ПО).
https://www.altlinux.org/Control
Работа в системе с использованием учетной записи администратора небезопасна, вследствие этого вход в систему в графическом режиме для администратора (root) запрещен. Попытка зарегистрироваться в системе будет прервана сообщением об ошибке.
Своя схема работы с паролями https://www.altlinux.org/Tcb
Я надеялся, что хоть фаерволл по умолчанию нормально сделан, но 
по умолчанию он выключен)
могу ещё вспомнить, естественно, про изоляцию, пользовательское пространство, разграничение доступа и т.д. и т.п.:
![[23) Изолированные сеансы]]