ทุกสิ่งที่ใกล้กับคู่มือ NSA สำหรับการรักษาความปลอดภัย RHEL 6 [ปิด]


12

บางคนในกลุ่มโครงสร้างพื้นฐานของเราต้องการอัปเกรดเพื่อเริ่มใช้ประโยชน์จากคุณสมบัติใหม่ใน RHEL 6 ในอดีตฉันอาศัยคู่มือ NSA (www.nsa.gov/ia/_files/os/redhat/rhel5-guide-) i731.pdf) เพื่อรักษาความปลอดภัยการติดตั้ง RHEL 5 และ CentOS 5 ฉันพบว่าคู่มือนี้มีค่า

ใครบ้างที่มีประสบการณ์ในการรักษา RHEL / CentOS 6 ในลักษณะที่คล้ายกัน? ถ้าเป็นเช่นนั้นคุณใช้ประโยชน์จากทรัพยากรใด (เป็นลายลักษณ์อักษรหรือที่ปรึกษา)?

ฉันได้ยินจากเพื่อนร่วมงานบางคนว่ารุ่น 6 แตกต่างจากรุ่น 5 อย่างมากในหลาย ๆ ทางดังนั้นฉันไม่ต้องการทิ้งช่องโหว่ไว้ในความปลอดภัยของเราเพราะฉันไม่ได้คำนึงถึงความแตกต่างเหล่านั้นอย่างเพียงพอ

คู่มือของ Red Hat สำหรับ RHEL 6 ( http://docs.redhat.com/docs/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/index.html ) นั้นเพียงพอจริงหรือ

มีใครบ้างที่จะบอกว่าถ้าคุณไม่มีเหตุผลการทำงานที่น่าสนใจคุณควรหยุดการอัปเกรดจาก 5 เป็น 6 จนกว่ากลุ่มบางกลุ่มเช่น NSA จะสามารถให้คำแนะนำเฉพาะรุ่นที่คุณพยายามปกป้องได้

ฉันขอขอบคุณข้อเสนอแนะใด ๆ ที่คุณอาจมีแม้ว่าจะนำฉันไปยังฟอรัมที่เหมาะสมยิ่งขึ้น

ความนับถือ,

ไมค์


คุณอาจต้องการลองไซต์ Security StackExchange: security.stackexchange.com
HTTP500

ฉันไม่คิดว่า RHEL6 ได้รับการอนุมัติสำหรับการดำเนินการใด ๆ ที่เป็น gov / mil ดังนั้น STIGs หรือ SNACs จึงยังไม่ออก
Marcin

ผ่านปัญหาที่คล้ายกันสำหรับลูกค้าที่ผู้ขายไม่ทั้งหมดได้เพิ่ม RHEL6 ลงในระบบปฏิบัติการที่รองรับ ฉันไม่ได้รันด้วยตัวเอง แต่ขอแนะนำให้ใช้การสแกน Nessus หรือไม่
Raj J

คำตอบ:


8

ไมค์

โดยทั่วไปมีแหล่งข้อมูลแนะนำที่ดีบางประการเพื่อความปลอดภัย

  • DISA STIGs
  • SRA ของ NSA
  • NIST
  • มาตรฐาน CIS
  • คำแนะนำผู้ขาย
  • SANS
  • หนังสือเฉพาะสำหรับการชุบแข็ง

ที่ทำงานของฉันเราใช้ส่วนผสมของ DISA STIGs พร้อมกับหุ่นกระบอกสำหรับ Linux ฉันจะบอกว่ามันไม่เพียงพอและผลักดันให้คำแนะนำด้านล่าง

โปรดทราบว่าคำแนะนำการชุบแข็งด้านบนมีการทับซ้อนกันและบางส่วนที่ขาดหายไป แนวทางปฏิบัติที่ดีที่สุดคือการติดตามตัวเลือกการกำหนดค่าทั้งหมดผ่านคำแนะนำในฐานข้อมูลหรือสเปรดชีตดังนั้นคุณจึงสามารถครอบคลุมได้มากที่สุด

อีกวิธีหนึ่งในการทำสิ่งเดียวกันคือการสร้างสคริปต์ที่ทำให้แข็งหรือตรวจสอบตามที่กล่าวมาแล้วทำการตรวจสอบด้วยตัวคุณเองเพื่อหาว่าช่องว่างระหว่างมาตรฐานต่าง ๆ นั้นอยู่ที่ใด

ฉันไม่เชื่อว่าไกด์ของ RHEL นั้นเพียงพอ - ฉันชอบผลลัพธ์ของ NSA, DISA และ NIST แต่ไกด์ของ Red Hat เป็นจุดเริ่มต้นที่ดี

ในฐานะที่เป็น NSA และ DISA เริ่มทำงานกับมาตรฐานการชุบแข็งล่วงหน้าล่วงหน้าในร่างที่อาจเป็นแหล่งที่ดีสำหรับคุณ หากคุณมีเพื่อนใน DoD คุณสามารถเข้าถึงเนื้อหาก่อนเผยแพร่ได้เช่นกัน เนื่องจากสถานะปัจจุบันของ DISA STIG สำหรับ Red Hat ฉันว่า NSA น่าจะสร้างบางสิ่งได้เร็วขึ้น ฉันสามารถเช็คอินกับพวกเขาและดูว่าพวกเขาอยู่ที่ไหน ฉันขอแนะนำให้เริ่มก้าวต่อไปที่ 6 ในสภาพแวดล้อมการทดสอบทันที รับการทดสอบสคริปต์การชุบแข็งของคุณใน 6

การช่วยเหลือจากภายนอกเพื่อพัฒนาแนวทางการรักษาความปลอดภัย

พิจารณาการมีส่วนร่วมกับวิศวกรความปลอดภัยที่เน้นเรื่องความปลอดภัยของ Linux เพื่อสร้างแนวทางสำหรับคุณ เรดแฮทสามารถให้พนักงานของพวกเขามีส่วนร่วมเช่นกันเพื่อเร่งความพยายามด้านวิศวกรรมความปลอดภัย

ทุกสิ่งที่คุณพูดจนถึงขณะนี้บ่งชี้ถึงวิธีการตรวจสอบสถานะและความปลอดภัยที่เหมาะสม จากที่ฉันคิดว่าการพิจารณาข้างต้นคุณมีความชัดเจนที่จะก้าวไปข้างหน้าเพื่อ RHEL6 อย่างไรก็ตามฉันจะเพิ่มงานเพิ่มเติมที่คุณสามารถพิจารณาได้เนื่องจากฉันคิดว่าคุณกำลังทำงานในสภาพแวดล้อมที่มีการควบคุมซึ่งมีความปลอดภัยมาก

เพิ่มแนวทางของคุณด้วยการประเมินความเสี่ยง

หากคุณต้องการใช้แนวทางของคุณในระดับต่อไปและปรับให้เป็นวิธีที่จะผ่านการตรวจสอบโดยผู้สอบบัญชีที่มีค่าตอบแทนสูงสุดให้พิจารณาดำเนินการประเมินความเสี่ยงเชิงพัฒนาแบบเต็มโดยใช้ NIST 800-30 พร้อมกับชุดควบคุมเฉพาะที่ใช้ใน อุตสาหกรรม. สิ่งนี้สนับสนุนโดยการทดสอบและวิเคราะห์ความปลอดภัย การมีการประเมินความเสี่ยงอย่างเป็นทางการจะทำให้สามารถจัดทำเอกสารที่ดีเกี่ยวกับความเสี่ยงที่นำเสนอโดยการดำเนินการต่อไปกับ RHEL6 และการควบคุมที่มีค่าชดเชยบางอย่างที่คุณสามารถเพิ่มเพื่อป้องกันจุดอ่อนที่อาจเกิดขึ้น

การเพิ่มการทดสอบการเจาะ

แม้จะเกินกว่าการประเมินความเสี่ยงคุณสามารถมีส่วนร่วมกับเครื่องมือทดสอบการเจาะที่มีพื้นหลัง Linux ที่แข็งแกร่งเพื่อลองใช้กล่องสีขาวหรือกล่องดำของโฮสต์ RHEL6 หลังจากการกำหนดค่าความปลอดภัยบางอย่าง ระบบปฏิบัติการพื้นฐานที่ปลอดภัยอาจไม่แสดงพื้นผิวการโจมตีมากนักดังนั้นการโหลดแอปพลิเคชันจะนำเสนอแพลตฟอร์มที่สมจริงยิ่งขึ้นสำหรับการโจมตีที่จะช่วยให้คุณเข้าใจเวกเตอร์การโจมตีที่มีศักยภาพ วนรอบในตอนท้ายโดยใช้รายงานการทดสอบปากกาคุณสามารถเพิ่มงานก่อนหน้าของคุณปิดช่องว่างใด ๆ เพิ่มการควบคุมเพิ่มเติมและมุ่งสู่การปฏิบัติงานด้วยความอบอุ่นและเลือน


2

RHEL 6 STIGS คาดว่าจะแล้วเสร็จประมาณ 13 พฤษภาคม 2556 คุณสามารถติดตามข้อมูลในรายชื่อผู้รับจดหมาย Gov-Sec ของ Red Hat


3
คำตอบนี้เป็นหนึ่งในการอ้างอิงห่างจาก upvote จากฉัน เชื่อมโยงไปยังแหล่งที่มา?
Aaron Copley

1
เห็นด้วยกับ @AaronCopley - โปรดเพิ่มลิงก์ไปยังแหล่งที่มาเพื่อพิสูจน์ความรู้ของคุณ
Frederik Nielsen

Shawn Wells พนักงาน RedHat กำลังติดตามกระบวนการ RHEL6 อย่างใกล้ชิดและวันที่เขาคาดการณ์ติดตามกับ SimonTek's: blog-shawndwells.rhcloud.com/2013/02/draft-rhel6-stig-release
Royce Williams

1
RHEL 6 STIGS วางจำหน่ายแล้วที่iase.disa.mil/stigs/os/unix/red_hat.html
heymikeymo

@heymikeymo ฉันขอขอบคุณที่คุณโพสต์ลิงค์นั้น แต่ดูเหมือนว่าจะล้าสมัย :) นี่คือลิงค์อัปเดตที่มี Red Hat หลายเวอร์ชัน: iase.disa.mil/stigs/os/unix-linux/Pages/index.aspx
blong
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.