我们基础设施小组的一些人希望升级以开始利用 RHEL 6 中的新功能。过去,我依靠 NSA 指南 (www.nsa.gov/ia/_files/os/redhat/rhel5-guide-i731.pdf) 来保护 RHEL 5 和 CentOS 5 安装。我发现这个指南非常有价值。
是否有人有以类似方式保护 RHEL / CentOS 6 的经验? 如果有,您利用了哪些资源(书面或咨询)?
我从一些同事那里听说,版本 6 在很多方面与版本 5 有显著不同,所以我不想因为没有充分考虑这些差异而在我们的安全方面留下巨大的漏洞。
Red Hat 自己的 RHEL 6 指南是(http://docs.redhat.com/docs/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/index.html)真的足够吗?
有人会说,除非你有令人信服的功能原因,否则你应该推迟从 5 升级到 6,直到 NSA 等组织能够制作出针对你要保护的版本的具体指南?
我感谢您的任何反馈,即使它只是引导我去一个更合适的论坛。
问候,
麦克风
答案1
麦克风,
通常,有一些关于加强安全性的良好指南来源。
- DISA STIG
- 美国国家安全局的 SRG
- 美国国家标准与技术研究院
- CIS 基准
- 供应商指导
- SANS
- 有关强化的书籍
在我的工作中,我们结合使用 DISA STIG 和 Linux 版 puppet。我更倾向于认为这是不够的,并推动以下一些建议。
请记住,上述强化指南确实存在重叠,也存在一些遗漏之处。最佳做法是通过数据库或电子表格中的指南跟踪所有配置选项,这样您就可以获得最大的覆盖范围。
做同样事情的另一种方法是根据上述内容创建强化或审计脚本,然后对自己进行审计,以找出不同标准之间的差距。
我认为 RHEL 的指南不够用 - 我更喜欢 NSA、DISA 和 NIST 的输出。但是,Red Hat 的指南是一个很好的起点。
由于 NSA 和 DISA 很早就开始制定强化标准,因此草案版可能对您来说是个不错的资源。如果您在国防部有朋友,您也可以获得预发布材料。鉴于 DISA STIG for Red Hat 的现状,我认为 NSA 可能会更快地推出一些内容。我可以与他们联系,看看他们进展如何。我建议现在就开始在测试环境中向 6 迈进。在 6 中测试您的强化脚本。
寻求外部援助来制定安全强化指南
考虑与专注于 Linux 安全强化的安全工程师合作,为您提供指导。Red Hat 也可以让其员工参与合作,以加速安全工程工作。
到目前为止,您所说的一切都表明了尽职调查方法和合理的安全性。基于此,我认为考虑到上述情况,您可以放心地继续使用 RHEL6。但是,我将添加一些您可以考虑的其他任务,因为我假设您是在受监管的环境中工作,并且非常注重安全性。
通过风险评估增强你的方法
如果您想将您的方法提升到一个新的水平,并以一种即使是最严谨的审计员也能通过审查的方式证明其合理性,请考虑使用 NIST 800-30 以及您所在行业使用的特定控制集进行全面的开发风险评估。这由安全测试和分析支持。将风险评估正式化将能够很好地记录使用 RHEL6 所带来的风险,以及您可以添加的一些潜在补偿控制,以弥补任何潜在的弱点。
添加渗透测试
除了风险评估之外,您还可以聘请具有丰富 Linux 背景的渗透测试人员,在进行一些安全配置后尝试对您的 RHEL6 主机进行白盒或黑盒渗透。安全的基础操作系统可能不会出现太多攻击面,因此加载应用程序将提供一个更现实的攻击平台,让您更好地了解潜在的攻击媒介。最后,使用渗透测试报告,您可以增强之前的工作,弥补任何漏洞,添加额外的控制,并在更加谨慎的情况下开始操作。
答案2
RHEL 6 STIGS 预计将于 2013 年 5 月 13 日左右完成。您可以关注 Red Hat 的 Gov-Sec 邮件列表中的信息。