the*_*e74 12 security documentation rhel6
我们基础设施小组中的一些人想要升级以开始利用 RHEL 6 中的新功能。过去,我依赖于 NSA 指南 (www.nsa.gov/ia/_files/os/redhat/rhel5-guide- i731.pdf) 以保护 RHEL 5 和 CentOS 5 安装。我觉得这个指南非常宝贵。
有没有人有以类似方式保护 RHEL/CentOS 6 的经验?如果是这样,您利用了哪些资源(书面或咨询)?
我从一些同事那里听说第 6 版与第 5 版在很多方面有很大的不同,所以我不想在我们的安全中留下巨大的漏洞,因为我没有充分考虑这些差异。
Red Hat 自己的 RHEL 6 指南(http://docs.redhat.com/docs/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/index.html)真的足够了吗?
是否有人会说,除非您有令人信服的功能原因,否则您应该推迟从 5 升级到 6,直到像 NSA 这样的组织能够制作出针对您要保护的版本的特定指南?
我感谢您提供的任何反馈,即使它会将我引导至更合适的论坛。
问候,
麦克风
麦克风,
通常有一些很好的指南来源可用于加强安全性。
在我的工作中,我们结合使用 DISA STIG 和 Linux 的 puppet。我更有可能说这是不够的,并推动下面的一些建议。
请记住,上面的强化指南确实有重叠,还有一些缺失的区域。最佳做法是通过数据库或电子表格中的指南跟踪所有配置选项,以便获得最大的覆盖范围。
做同样事情的另一种方法是基于上述创建强化或审计脚本,然后对自己进行审计以找出不同标准之间的差距。
我不相信 RHEL 的指南就足够了 - 我更喜欢 NSA、DISA 和 NIST 的输出。但是,Red Hat 的指南是一个很好的起点。
随着 NSA 和 DISA 提前很早就开始制定强化标准,草案中,这对您来说可能是一个很好的来源。如果您在国防部有朋友,您也可以访问预发布材料。由于 Red Hat 的 DISA STIG 的当前状态,我想说 NSA 可能会更快地产生一些东西。我可以和他们一起登记,看看他们在哪里。我建议现在开始在测试环境中前进到 6。在 6 中测试您的强化脚本。
寻求外部援助以制定安全强化指南
考虑与专注于 Linux 安全强化的安全工程师合作,为您提供指导。红帽也可以让他们的员工参与进来,以加快安全工程工作。
到目前为止,您所说的一切都表明了一种尽职调查方法和合理的安全性。基于此,我认为考虑到上述情况,您很清楚可以继续使用 RHEL6。但是,我将添加一些您可以考虑的额外任务,因为我假设您在一个非常注重安全的受监管环境中工作。
通过风险评估增强您的方法
如果您想将您的方法提升到一个新的水平,并以某种方式证明它可以通过即使是最顽固的审核员的审查,请考虑使用 NIST 800-30 以及在您的项目中使用的特定控制集进行全面的开发风险评估。行业。这得到了安全测试和分析的支持。将风险评估正式化将能够很好地记录 RHEL6 所带来的风险,以及一些潜在的补偿控制,您可以添加以支持任何潜在的弱点。
添加渗透测试
甚至超越风险评估,您可以聘请具有强大 Linux 背景的渗透测试人员在进行一些安全配置后尝试对 RHEL6 主机进行白盒或黑盒渗透。一个安全的基础操作系统可能不会出现太多的攻击面,因此加载应用程序将提供一个更真实的攻击平台,让您能够更好地了解潜在的攻击媒介。最后转一圈,使用渗透测试报告,您可以增强以前的工作,缩小任何差距,添加额外的控件,并朝着更加温暖和模糊的操作前进。