RHEL 6 को सुरक्षित करने के लिए NSA गाइड के करीब कुछ भी [बंद]


12

हमारे इन्फ्रास्ट्रक्चर समूह में से कुछ आरएचईएल 6 में नई सुविधाओं का लाभ उठाना शुरू करने के लिए अपग्रेड करना चाहते हैं। अतीत में, मैंने एनएसए गाइड (www.nsa.gov/ia/_files/os/redhat/rhel5-guide) पर भरोसा किया है। i731.pdf) RHEL 5 और CentOS 5 प्रतिष्ठानों को सुरक्षित करने के लिए। मुझे यह मार्गदर्शिका अमूल्य लगती है।

किसी को भी वहाँ इसी तरह से RHEL / CentOS 6 हासिल करने के साथ अनुभव है? यदि हां, तो आपने किन संसाधनों (लिखित या परामर्शात्मक) का लाभ उठाया है?

मैंने कुछ सहयोगियों से सुना है कि संस्करण 6 विभिन्न तरीकों से संस्करण 5 से काफी अलग है, इसलिए मैं हमारी सुरक्षा में अंतर नहीं छोड़ना चाहता क्योंकि मैं उन अंतरों के लिए पर्याप्त रूप से खाता नहीं था।

क्या आरएचईएल 6 ( http://docs.redhat.com/docs/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/index.html ) के लिए Red Hat का अपना मार्गदर्शक वास्तव में पर्याप्त है?

क्या कोई यह कहने के लिए इतनी दूर जाएगा कि जब तक आपके पास कोई सम्मोहक कार्यात्मक कारण न हो, आपको 5 से 6 तक अपग्रेड करने पर रोक लगाना चाहिए जब तक कि एनएसए जैसा कोई समूह एक गाइड का उत्पादन नहीं कर सकता है जो उस संस्करण के लिए विशिष्ट है जिसे आप संरक्षित करने की कोशिश कर रहे हैं?

मैं किसी भी प्रतिक्रिया की सराहना करता हूं जो आपके पास हो सकती है, भले ही वह मुझे एक अधिक उपयुक्त मंच पर निर्देशित कर रही हो।

सादर,

माइक


तुम भी सुरक्षा StackExchange साइट की कोशिश करना चाहते हो सकता है: security.stackexchange.com
HTTP500

मुझे नहीं लगता कि RHEL6 को अभी तक कुछ भी gov / मिलिट्री ऑपरेशंस के लिए मंजूरी दे दी गई है, इसलिए कोई STIG या SNAC जारी नहीं किया गया है।
मार्सिन

एक ग्राहक के लिए समान मुद्दों से गुजरना, जहां सभी विक्रेताओं ने अपने समर्थित ओएस में आरएचईएल 6 नहीं जोड़ा है। मैंने इसे स्वयं नहीं चलाया है, लेकिन क्या मैं नेसस स्कैन चलाने का सुझाव दूंगा?
राज जे।

जवाबों:


8

माइक,

वहाँ आम तौर पर सुरक्षा सख्त करने के लिए अच्छे गाइड के कुछ स्रोत हैं।

  • DISA STIGs
  • NSA SRGs
  • NIST
  • CIS बेंचमार्क
  • विक्रेता मार्गदर्शन
  • SANS
  • कठोर करने के लिए विशिष्ट पुस्तकें

मेरे काम पर, हम लिनक्स के लिए कठपुतली के साथ DISA STIGs के संयोजन का उपयोग करते हैं। मुझे यह कहने की अधिक संभावना होगी कि यह अपर्याप्त है और नीचे दी गई कुछ सिफारिशों के लिए धक्का देना चाहिए।

ध्यान रखें कि ऊपर दिए गए सख्त गाइड में ओवरलैप और कुछ गायब क्षेत्र हैं। सबसे अच्छा अभ्यास एक डेटाबेस या स्प्रेडशीट में गाइड के माध्यम से सभी कॉन्फ़िगरेशन विकल्पों को ट्रैक करना है, इसलिए आपके पास सबसे अधिक कवरेज हो सकता है।

एक ही काम करने का एक वैकल्पिक तरीका उपरोक्त के आधार पर स्क्रिप्टिंग को सख्त करना या ऑडिट करना है, और फिर यह पता लगाने के लिए खुद के ऑडिट चलाएं कि विभिन्न मानकों के बीच अंतराल कहां हैं।

मेरा मानना ​​है कि आरएचईएल के गाइड पर्याप्त नहीं हैं - मुझे एनएसए, डीआईएसए और एनआईएसटी के आउटपुट पसंद हैं। लेकिन, Red Hat के मार्गदर्शक एक महान प्रारंभिक बिंदु हैं।

जैसा कि ड्राफ्ट में NSA और DISA ने पहले से ही सख्त मानकों पर काम करना शुरू कर दिया है, जो आपके लिए एक अच्छा स्रोत हो सकता है। यदि आपका DoD में कोई मित्र है, तो आप पूर्व-रिलीज़ सामग्री तक भी पहुँच प्राप्त कर सकते हैं। लाल टोपी के लिए डिसा STIG की वर्तमान स्थिति के कारण, मैं कहूंगा कि एनएसए तेजी से कुछ उत्पादन करने की संभावना है। मैं उनके साथ जांच कर सकता हूं और देख सकता हूं कि वे कहां हैं। मैं अभी एक परीक्षण वातावरण में 6 से आगे बढ़ना शुरू करने की सलाह दूंगा। 6 में अपने सख्त लिपियों का परीक्षण करें।

सुरक्षा सख्त मार्गदर्शन विकसित करने के लिए सहायता के बाहर संलग्न करना

एक सुरक्षा इंजीनियर के साथ सगाई पर विचार करें जो विशेष रूप से आपके लिए मार्गदर्शन उत्पन्न करने के लिए लिनक्स सुरक्षा सख्त करने पर केंद्रित है। Red Hat सुरक्षा कर्मचारियों के प्रयासों को तेज करने के लिए अपने कर्मचारियों को सगाई के लिए उपलब्ध करा सकता है।

आपने जो कुछ भी कहा है, वह एक उचित परिश्रम दृष्टिकोण और उचित सुरक्षा को इंगित करता है। उसके आधार पर, मुझे लगता है कि ऊपर विचार करके, आप आरएचईएल 6 से आगे बढ़ने के लिए स्पष्ट हैं। हालाँकि, मैं कुछ अतिरिक्त कार्यों को जोड़ने जा रहा हूँ जिन पर आप विचार कर सकते हैं क्योंकि मैं मानता हूँ कि आप एक विनियमित वातावरण में काम कर रहे हैं जो बहुत सुरक्षा के प्रति सचेत है।

जोखिम मूल्यांकन के साथ अपने दृष्टिकोण को संवर्धित करना

यदि आप अपने दृष्टिकोण को अगले स्तर पर ले जाना चाहते हैं, और इसे एक तरह से सही ठहराते हैं, तो भी सबसे अधिक प्रतिशोधी लेखा परीक्षक द्वारा समीक्षा पारित की जाएगी, तो अपने विशेष उपयोग नियंत्रण सेट के साथ NIST 800-30 का उपयोग करके पूर्ण विकसित विकास जोखिम मूल्यांकन करने पर विचार करें। उद्योग। यह, सुरक्षा परीक्षण और विश्लेषण द्वारा समर्थित है। औपचारिक रूप से जोखिम मूल्यांकन होने से आरएचईएल 6 के साथ आगे जाकर प्रस्तुत किए गए जोखिमों का एक अच्छा प्रलेखन सक्षम हो जाएगा, और कुछ संभावित क्षतिपूर्ति नियंत्रण आप किसी भी संभावित कमजोरियों को जोड़ सकते हैं।

एक प्रवेश परीक्षा जोड़ना

जोखिम मूल्यांकन से परे इसे लेते हुए, आप कुछ सुरक्षित कॉन्फ़िगरेशन के बाद अपने RHEL6 होस्ट के व्हाइट बॉक्स या ब्लैक बॉक्स पेनेट्रेशन का प्रयास करने के लिए एक मजबूत लिनक्स पृष्ठभूमि के साथ एक प्रवेश परीक्षक संलग्न कर सकते हैं। एक सुरक्षित आधार ऑपरेटिंग सिस्टम बहुत अधिक हमले की सतह पेश नहीं कर सकता है, इसलिए इसे अनुप्रयोगों के साथ लोड करना हमले के लिए बहुत अधिक यथार्थवादी मंच पेश करेगा जो आपको संभावित हमले वैक्टर को समझने में सक्षम करेगा। अंत में चारों ओर घूमते हुए, पेन टेस्ट रिपोर्ट का उपयोग करके आप अपने पिछले काम को बढ़ा सकते हैं, किसी भी अंतराल को बंद कर सकते हैं, अतिरिक्त नियंत्रण और सिर को अधिक गर्म और फजी के साथ संचालन की ओर जोड़ सकते हैं।


2

RHEL 6 STIGS के 13 मई, 2013 के आसपास समाप्त होने की उम्मीद है। आप Red Hat की Gov-Sec मेलिंग सूची की जानकारी का अनुसरण कर सकते हैं।


3
यह उत्तर एक संदर्भ है जो मुझसे दूर है। स्रोत से लिंक करें?
आरोन कोपले

1
@AaronCopley से सहमत - कृपया अपने ज्ञान का प्रमाण देने के लिए स्रोत से लिंक जोड़ें।
फ्रेडरिक नीलसन 21

शॉन वेल्स, एक रेडहैट कर्मचारी, आरएचईएल 6 प्रक्रिया का बारीकी से पालन कर रहा है और साइमनटेक के साथ उसकी तारीख का अनुमान लगाता है: blog-shawndwells.rhcloud.com/2013/02/draft-rhel6-stig-edeased
रॉयस विलियम्स

1
RHEL 6 Stigs पर जारी किया गया है iase.disa.mil/stigs/os/unix/red_hat.html
heymikeymo

@heymikeymo, मैं निश्चित रूप से उस लिंक को पोस्ट करने के लिए आपकी सराहना करता हूं, लेकिन यह पुराना प्रतीत होता है :) यहां एक अद्यतन लिंक है जिसमें Red Hat के कई संस्करण शामिल हैं: iase.disa.mil/stigs/os/unix-linux/Pages/index.aspx
ब्लॉन्क
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.