ทุกสิ่งที่ใกล้กับคู่มือ NSA สำหรับการรักษาความปลอดภัย RHEL 6 [ปิด]

บางคนในกลุ่มโครงสร้างพื้นฐานของเราต้องการอัปเกรดเพื่อเริ่มใช้ประโยชน์จากคุณสมบัติใหม่ใน RHEL 6 ในอดีตฉันอาศัยคู่มือ NSA (www.nsa.gov/ia/_files/os/redhat/rhel5-guide-) i731.pdf) เพื่อรักษาความปลอดภัยการติดตั้ง RHEL 5 และ CentOS 5 ฉันพบว่าคู่มือนี้มีค่า

ใครบ้างที่มีประสบการณ์ในการรักษา RHEL / CentOS 6 ในลักษณะที่คล้ายกัน? ถ้าเป็นเช่นนั้นคุณใช้ประโยชน์จากทรัพยากรใด (เป็นลายลักษณ์อักษรหรือที่ปรึกษา)?

ฉันได้ยินจากเพื่อนร่วมงานบางคนว่ารุ่น 6 แตกต่างจากรุ่น 5 อย่างมากในหลาย ๆ ทางดังนั้นฉันไม่ต้องการทิ้งช่องโหว่ไว้ในความปลอดภัยของเราเพราะฉันไม่ได้คำนึงถึงความแตกต่างเหล่านั้นอย่างเพียงพอ

คู่มือของ Red Hat สำหรับ RHEL 6 ( http://docs.redhat.com/docs/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/index.html ) นั้นเพียงพอจริงหรือ

มีใครบ้างที่จะบอกว่าถ้าคุณไม่มีเหตุผลการทำงานที่น่าสนใจคุณควรหยุดการอัปเกรดจาก 5 เป็น 6 จนกว่ากลุ่มบางกลุ่มเช่น NSA จะสามารถให้คำแนะนำเฉพาะรุ่นที่คุณพยายามปกป้องได้

ฉันขอขอบคุณข้อเสนอแนะใด ๆ ที่คุณอาจมีแม้ว่าจะนำฉันไปยังฟอรัมที่เหมาะสมยิ่งขึ้น

ความนับถือ,

ไมค์

ไมค์

โดยทั่วไปมีแหล่งข้อมูลแนะนำที่ดีบางประการเพื่อความปลอดภัย

• DISA STIGs
• SRA ของ NSA
• NIST
• มาตรฐาน CIS
• คำแนะนำผู้ขาย
• SANS
• หนังสือเฉพาะสำหรับการชุบแข็ง

ที่ทำงานของฉันเราใช้ส่วนผสมของ DISA STIGs พร้อมกับหุ่นกระบอกสำหรับ Linux ฉันจะบอกว่ามันไม่เพียงพอและผลักดันให้คำแนะนำด้านล่าง

โปรดทราบว่าคำแนะนำการชุบแข็งด้านบนมีการทับซ้อนกันและบางส่วนที่ขาดหายไป แนวทางปฏิบัติที่ดีที่สุดคือการติดตามตัวเลือกการกำหนดค่าทั้งหมดผ่านคำแนะนำในฐานข้อมูลหรือสเปรดชีตดังนั้นคุณจึงสามารถครอบคลุมได้มากที่สุด

อีกวิธีหนึ่งในการทำสิ่งเดียวกันคือการสร้างสคริปต์ที่ทำให้แข็งหรือตรวจสอบตามที่กล่าวมาแล้วทำการตรวจสอบด้วยตัวคุณเองเพื่อหาว่าช่องว่างระหว่างมาตรฐานต่าง ๆ นั้นอยู่ที่ใด

ฉันไม่เชื่อว่าไกด์ของ RHEL นั้นเพียงพอ - ฉันชอบผลลัพธ์ของ NSA, DISA และ NIST แต่ไกด์ของ Red Hat เป็นจุดเริ่มต้นที่ดี

ในฐานะที่เป็น NSA และ DISA เริ่มทำงานกับมาตรฐานการชุบแข็งล่วงหน้าล่วงหน้าในร่างที่อาจเป็นแหล่งที่ดีสำหรับคุณ หากคุณมีเพื่อนใน DoD คุณสามารถเข้าถึงเนื้อหาก่อนเผยแพร่ได้เช่นกัน เนื่องจากสถานะปัจจุบันของ DISA STIG สำหรับ Red Hat ฉันว่า NSA น่าจะสร้างบางสิ่งได้เร็วขึ้น ฉันสามารถเช็คอินกับพวกเขาและดูว่าพวกเขาอยู่ที่ไหน ฉันขอแนะนำให้เริ่มก้าวต่อไปที่ 6 ในสภาพแวดล้อมการทดสอบทันที รับการทดสอบสคริปต์การชุบแข็งของคุณใน 6

การช่วยเหลือจากภายนอกเพื่อพัฒนาแนวทางการรักษาความปลอดภัย

พิจารณาการมีส่วนร่วมกับวิศวกรความปลอดภัยที่เน้นเรื่องความปลอดภัยของ Linux เพื่อสร้างแนวทางสำหรับคุณ เรดแฮทสามารถให้พนักงานของพวกเขามีส่วนร่วมเช่นกันเพื่อเร่งความพยายามด้านวิศวกรรมความปลอดภัย

ทุกสิ่งที่คุณพูดจนถึงขณะนี้บ่งชี้ถึงวิธีการตรวจสอบสถานะและความปลอดภัยที่เหมาะสม จากที่ฉันคิดว่าการพิจารณาข้างต้นคุณมีความชัดเจนที่จะก้าวไปข้างหน้าเพื่อ RHEL6 อย่างไรก็ตามฉันจะเพิ่มงานเพิ่มเติมที่คุณสามารถพิจารณาได้เนื่องจากฉันคิดว่าคุณกำลังทำงานในสภาพแวดล้อมที่มีการควบคุมซึ่งมีความปลอดภัยมาก

เพิ่มแนวทางของคุณด้วยการประเมินความเสี่ยง

หากคุณต้องการใช้แนวทางของคุณในระดับต่อไปและปรับให้เป็นวิธีที่จะผ่านการตรวจสอบโดยผู้สอบบัญชีที่มีค่าตอบแทนสูงสุดให้พิจารณาดำเนินการประเมินความเสี่ยงเชิงพัฒนาแบบเต็มโดยใช้ NIST 800-30 พร้อมกับชุดควบคุมเฉพาะที่ใช้ใน อุตสาหกรรม. สิ่งนี้สนับสนุนโดยการทดสอบและวิเคราะห์ความปลอดภัย การมีการประเมินความเสี่ยงอย่างเป็นทางการจะทำให้สามารถจัดทำเอกสารที่ดีเกี่ยวกับความเสี่ยงที่นำเสนอโดยการดำเนินการต่อไปกับ RHEL6 และการควบคุมที่มีค่าชดเชยบางอย่างที่คุณสามารถเพิ่มเพื่อป้องกันจุดอ่อนที่อาจเกิดขึ้น

การเพิ่มการทดสอบการเจาะ

แม้จะเกินกว่าการประเมินความเสี่ยงคุณสามารถมีส่วนร่วมกับเครื่องมือทดสอบการเจาะที่มีพื้นหลัง Linux ที่แข็งแกร่งเพื่อลองใช้กล่องสีขาวหรือกล่องดำของโฮสต์ RHEL6 หลังจากการกำหนดค่าความปลอดภัยบางอย่าง ระบบปฏิบัติการพื้นฐานที่ปลอดภัยอาจไม่แสดงพื้นผิวการโจมตีมากนักดังนั้นการโหลดแอปพลิเคชันจะนำเสนอแพลตฟอร์มที่สมจริงยิ่งขึ้นสำหรับการโจมตีที่จะช่วยให้คุณเข้าใจเวกเตอร์การโจมตีที่มีศักยภาพ วนรอบในตอนท้ายโดยใช้รายงานการทดสอบปากกาคุณสามารถเพิ่มงานก่อนหน้าของคุณปิดช่องว่างใด ๆ เพิ่มการควบคุมเพิ่มเติมและมุ่งสู่การปฏิบัติงานด้วยความอบอุ่นและเลือน

RHEL 6 STIGS คาดว่าจะแล้วเสร็จประมาณ 13 พฤษภาคม 2556 คุณสามารถติดตามข้อมูลในรายชื่อผู้รับจดหมาย Gov-Sec ของ Red Hat