RHEL 6を保護するためのNSAガイドに近いもの[終了]

12

インフラストラクチャグループの一部は、RHEL 6の新機能を活用するためにアップグレードしたいと考えています。過去には、NSAガイド(www.nsa.gov/ia/_files/os/redhat/rhel5-guide- i731.pdf)RHEL 5およびCentOS 5インストールを保護します。このガイドは非常に貴重です。

そこにいる人は、RHEL / CentOS 6を同様の方法で保護した経験がありますか?もしそうなら、どのリソース(書面または相談)を活用しましたか?

一部の同僚から、バージョン6とバージョン5はさまざまな点で大幅に異なると聞きましたが、その違いを十分に説明していなかったため、セキュリティに大きな穴を残したくありません。

RHEL 6のRed Hat独自のガイド(http://docs.redhat.com/docs/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/index.html)は本当に十分ですか?

機能的な理由がない限り、NSAのようなグループが保護しようとしているバージョンに固有のガイドを作成できるようになるまで、5から6へのアップグレードを控えるべきだと言う人はいますか?

より適切なフォーラムに導かれている場合でも、ご意見をお寄せください。

よろしく、

マイク

security  documentation  rhel6 
theosophe74
ソース
Security StackExchangeサイトも試してみてください:security.stackexchange.com
HTTP500
RHEL6がgov / mil操作に対してまだ承認されていないと思うので、STIGまたはSNACはリリースされていません。
マルチン
すべてのベンダーがサポートされているOSにRHEL6を追加しているわけではないクライアントについて、同様の問題を経験しています。自分では実行していませんが、Nessusスキャンの実行を提案できますか?
ラージJ

回答:

8

マイク、

一般に、セキュリティ強化のための優れたガイドがいくつかあります。

  • DISA STIG
  • NSA SRG
  • NIST
  • CISベンチマーク
  • ベンダーガイダンス
  • SANS
  • 硬化に特化した本

私の仕事では、Linux用のパペットとともにDISA STIGの組み合わせを使用しています。私はそれが不十分であると言って、以下の推奨事項のいくつかをプッシュする可能性が高くなります。

上記の強化ガイドには重複があり、いくつかの欠落領域があることに注意してください。ベストプラクティスは、データベースまたはスプレッドシートのガイドを介してすべての構成オプションを追跡することです。これにより、最大限のカバレッジを得ることができます。

同じことを行う別の方法は、上記に基づいて強化または監査スクリプトを作成し、次に自分自身の監査を実行して、異なる標準間のギャップがどこにあるかを把握することです。

RHELのガイドで十分だとは思わない-NSA、DISA、NISTの出力を好む。しかし、Red Hatのガイドは素晴らしい出発点です。

NSAとDISAがドラフトではるかに前に標準の強化に取り組んでいるので、それはあなたにとって良いソースになるかもしれません。DoDに友人がいる場合は、プレリリース資料にもアクセスできます。Red HatのDISA STIGの現在の状態により、NSAは何かをより速く生成する可能性が高いと思います。私は彼らと一緒にチェックインし、彼らがどこにいるか見ることができます。今すぐテスト環境で6に進むことをお勧めします。強化スクリプトを6でテストします。

セキュリティ強化ガイダンスを開発するための外部支援の活用

Linuxのセキュリティ強化に特に焦点を当てたセキュリティエンジニアとの連携を検討して、ガイダンスを作成してください。Red Hatは、セキュリティエンジニアリングの取り組みを加速するために、従業員をエンゲージメントにも利用できるようにします。

これまで述べてきたことはすべて、デューデリジェンスアプローチと合理的なセキュリティを示しています。それに基づいて、上記を考慮すると、RHEL6に進むことは明らかだと思います。ただし、非常にセキュリティを意識した規制された環境で作業していることを前提としているため、考慮できる追加のタスクをいくつか追加します。

リスク評価によるアプローチの強化

次のレベルにアプローチし、最も保持力のある監査人でさえレビューに合格する方法で正当化する場合は、NIST 800-30を使用して特定のコントロールセットを使用して本格的な発達リスク評価を実行することを検討してください業界。これは、セキュリティのテストと分析によってサポートされています。リスク評価を形式化することで、RHEL6を進めることで提示されるリスクの優れた文書化が可能になり、潜在的な弱点を補うための潜在的な代替コントロールが可能になります。

侵入テストの追加

リスク評価を超えて、強力なLinuxのバックグラウンドを持つペネトレーションテスターを使用して、安全な構成の後にRHEL6ホストのホワイトボックスまたはブラックボックスのペネトレーションを試みることができます。セキュリティで保護された基本オペレーティングシステムは攻撃対象領域をあまり提供しない可能性があるため、アプリケーションをロードすると、潜在的な攻撃ベクトルをよりよく理解できる、より現実的な攻撃プラットフォームが提供されます。最後に旋回して、ペンテストレポートを使用すると、以前の作業を増やし、ギャップを埋め、追加のコントロールを追加し、より温かくファジーな操作に向かうことができます。

ブレナン
ソース
2

RHEL 6 STIGSは2013年5月13日頃に終了する予定です。RedHatのGov-Secメーリングリストの情報をフォローできます。

サイモンテック
ソース
3
この答えは、私からの賛成票から離れた1つの参考です。ソースにリンクしますか?
アーロンコプリー
1
@AaronCopleyに同意します-あなたの知識を証明するためにソースへのリンクを追加してください。
フレデリックニールセン
ショーン・ウェルズ、RedHatの従業員は、密接RHEL6プロセスに従っていると彼の日付の見積もりはSimonTekので追跡:blog-shawndwells.rhcloud.com/2013/02/draft-rhel6-stig-released
ロイス・ウィリアムズ
1
RHEL 6 STIGSはiase.disa.mil/stigs/os/unix/red_hat.htmlでリリースされました
heymikeymo
@heymikeymo、そのリンクを投稿することは間違いなくありますが、古くなっているようです:)ここに、Red Hatの複数のバージョンを含む更新されたリンクがあります:iase.disa.mil/stigs/os/unix-linux/Pages/index.aspx
14年
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.