माइक,
वहाँ आम तौर पर सुरक्षा सख्त करने के लिए अच्छे गाइड के कुछ स्रोत हैं।
- DISA STIGs
- NSA SRGs
- NIST
- CIS बेंचमार्क
- विक्रेता मार्गदर्शन
- SANS
- कठोर करने के लिए विशिष्ट पुस्तकें
मेरे काम पर, हम लिनक्स के लिए कठपुतली के साथ DISA STIGs के संयोजन का उपयोग करते हैं। मुझे यह कहने की अधिक संभावना होगी कि यह अपर्याप्त है और नीचे दी गई कुछ सिफारिशों के लिए धक्का देना चाहिए।
ध्यान रखें कि ऊपर दिए गए सख्त गाइड में ओवरलैप और कुछ गायब क्षेत्र हैं। सबसे अच्छा अभ्यास एक डेटाबेस या स्प्रेडशीट में गाइड के माध्यम से सभी कॉन्फ़िगरेशन विकल्पों को ट्रैक करना है, इसलिए आपके पास सबसे अधिक कवरेज हो सकता है।
एक ही काम करने का एक वैकल्पिक तरीका उपरोक्त के आधार पर स्क्रिप्टिंग को सख्त करना या ऑडिट करना है, और फिर यह पता लगाने के लिए खुद के ऑडिट चलाएं कि विभिन्न मानकों के बीच अंतराल कहां हैं।
मेरा मानना है कि आरएचईएल के गाइड पर्याप्त नहीं हैं - मुझे एनएसए, डीआईएसए और एनआईएसटी के आउटपुट पसंद हैं। लेकिन, Red Hat के मार्गदर्शक एक महान प्रारंभिक बिंदु हैं।
जैसा कि ड्राफ्ट में NSA और DISA ने पहले से ही सख्त मानकों पर काम करना शुरू कर दिया है, जो आपके लिए एक अच्छा स्रोत हो सकता है। यदि आपका DoD में कोई मित्र है, तो आप पूर्व-रिलीज़ सामग्री तक भी पहुँच प्राप्त कर सकते हैं। लाल टोपी के लिए डिसा STIG की वर्तमान स्थिति के कारण, मैं कहूंगा कि एनएसए तेजी से कुछ उत्पादन करने की संभावना है। मैं उनके साथ जांच कर सकता हूं और देख सकता हूं कि वे कहां हैं। मैं अभी एक परीक्षण वातावरण में 6 से आगे बढ़ना शुरू करने की सलाह दूंगा। 6 में अपने सख्त लिपियों का परीक्षण करें।
सुरक्षा सख्त मार्गदर्शन विकसित करने के लिए सहायता के बाहर संलग्न करना
एक सुरक्षा इंजीनियर के साथ सगाई पर विचार करें जो विशेष रूप से आपके लिए मार्गदर्शन उत्पन्न करने के लिए लिनक्स सुरक्षा सख्त करने पर केंद्रित है। Red Hat सुरक्षा कर्मचारियों के प्रयासों को तेज करने के लिए अपने कर्मचारियों को सगाई के लिए उपलब्ध करा सकता है।
आपने जो कुछ भी कहा है, वह एक उचित परिश्रम दृष्टिकोण और उचित सुरक्षा को इंगित करता है। उसके आधार पर, मुझे लगता है कि ऊपर विचार करके, आप आरएचईएल 6 से आगे बढ़ने के लिए स्पष्ट हैं। हालाँकि, मैं कुछ अतिरिक्त कार्यों को जोड़ने जा रहा हूँ जिन पर आप विचार कर सकते हैं क्योंकि मैं मानता हूँ कि आप एक विनियमित वातावरण में काम कर रहे हैं जो बहुत सुरक्षा के प्रति सचेत है।
जोखिम मूल्यांकन के साथ अपने दृष्टिकोण को संवर्धित करना
यदि आप अपने दृष्टिकोण को अगले स्तर पर ले जाना चाहते हैं, और इसे एक तरह से सही ठहराते हैं, तो भी सबसे अधिक प्रतिशोधी लेखा परीक्षक द्वारा समीक्षा पारित की जाएगी, तो अपने विशेष उपयोग नियंत्रण सेट के साथ NIST 800-30 का उपयोग करके पूर्ण विकसित विकास जोखिम मूल्यांकन करने पर विचार करें। उद्योग। यह, सुरक्षा परीक्षण और विश्लेषण द्वारा समर्थित है। औपचारिक रूप से जोखिम मूल्यांकन होने से आरएचईएल 6 के साथ आगे जाकर प्रस्तुत किए गए जोखिमों का एक अच्छा प्रलेखन सक्षम हो जाएगा, और कुछ संभावित क्षतिपूर्ति नियंत्रण आप किसी भी संभावित कमजोरियों को जोड़ सकते हैं।
एक प्रवेश परीक्षा जोड़ना
जोखिम मूल्यांकन से परे इसे लेते हुए, आप कुछ सुरक्षित कॉन्फ़िगरेशन के बाद अपने RHEL6 होस्ट के व्हाइट बॉक्स या ब्लैक बॉक्स पेनेट्रेशन का प्रयास करने के लिए एक मजबूत लिनक्स पृष्ठभूमि के साथ एक प्रवेश परीक्षक संलग्न कर सकते हैं। एक सुरक्षित आधार ऑपरेटिंग सिस्टम बहुत अधिक हमले की सतह पेश नहीं कर सकता है, इसलिए इसे अनुप्रयोगों के साथ लोड करना हमले के लिए बहुत अधिक यथार्थवादी मंच पेश करेगा जो आपको संभावित हमले वैक्टर को समझने में सक्षम करेगा। अंत में चारों ओर घूमते हुए, पेन टेस्ट रिपोर्ट का उपयोग करके आप अपने पिछले काम को बढ़ा सकते हैं, किसी भी अंतराल को बंद कर सकते हैं, अतिरिक्त नियंत्रण और सिर को अधिक गर्म और फजी के साथ संचालन की ओर जोड़ सकते हैं।