Bất cứ điều gì gần với Hướng dẫn NSA để bảo mật RHEL 6 [đã đóng]

Một số người trong nhóm cơ sở hạ tầng của chúng tôi muốn nâng cấp để bắt đầu tận dụng các tính năng mới trong RHEL 6. Trước đây, tôi đã dựa vào Hướng dẫn NSA (www.nsa.gov/ia/_files/os/redhat/rhel5-guide- i731.pdf) để bảo mật cài đặt RHEL 5 và CentOS 5. Tôi thấy hướng dẫn này là vô giá.

Có ai ở ngoài đó có kinh nghiệm với việc bảo vệ RHEL / CentOS 6 theo cách tương tự không? Nếu vậy, những nguồn lực nào (bằng văn bản hoặc tư vấn) bạn đã tận dụng?

Tôi đã được nghe từ một số đồng nghiệp rằng phiên bản 6 khác biệt đáng kể so với phiên bản 5 theo nhiều cách khác nhau, vì vậy tôi không muốn để lại lỗ hổng trong bảo mật của chúng tôi vì tôi không giải thích thỏa đáng cho những khác biệt đó.

Hướng dẫn riêng của Red Hat dành cho RHEL 6 ( http://docs.redhat.com/docs/en-US/Red_Hat_ Entryprise_Linux / 6 / html / Security_Guide / index.html ) có thực sự đủ?

Có ai có thể nói rằng, trừ khi bạn có một lý do chức năng hấp dẫn, bạn nên giữ việc nâng cấp từ 5 lên 6 cho đến khi một số nhóm như NSA có thể tạo ra một hướng dẫn dành riêng cho phiên bản bạn đang cố gắng bảo vệ?

Tôi đánh giá cao bất kỳ phản hồi nào mà bạn có thể có, ngay cả khi nó đang hướng tôi đến một diễn đàn phù hợp hơn.

Trân trọng,

Mike

Mike,

nói chung có một vài nguồn hướng dẫn tốt để tăng cường bảo mật.

• DIIG STIG
• NSA SRG
• NIST
• Điểm chuẩn CIS
• Hướng dẫn bán hàng
• KHÔNG
• Sách cụ thể để làm cứng

Trong công việc của tôi, chúng tôi sử dụng kết hợp các DISA STIG, cùng với con rối cho Linux. Tôi có nhiều khả năng nói rằng điều đó là không thỏa đáng và thúc đẩy một số khuyến nghị dưới đây.

Hãy nhớ rằng các hướng dẫn cứng ở trên có sự chồng chéo và một số khu vực bị thiếu. Cách thực hành tốt nhất là theo dõi tất cả các tùy chọn cấu hình thông qua hướng dẫn trong cơ sở dữ liệu hoặc bảng tính, để bạn có thể có phạm vi bảo hiểm nhất.

Một cách khác để làm điều tương tự là tạo ra các kịch bản cứng hoặc kiểm toán dựa trên, và sau đó chạy kiểm toán của chính bạn để tìm ra khoảng cách giữa các tiêu chuẩn khác nhau.

Tôi không tin rằng các hướng dẫn của RHEL là đủ - Tôi thích các kết quả đầu ra của NSA, DISA và NIST. Nhưng, hướng dẫn của Red Hat là một điểm khởi đầu tuyệt vời.

Khi NSA và DISA bắt đầu làm việc với các tiêu chuẩn cứng trước cho đến nay, trong dự thảo, đó có thể là một nguồn tốt cho bạn. Nếu bạn có một người bạn trong DoD, bạn cũng có thể có quyền truy cập vào tài liệu trước khi phát hành. Do trạng thái hiện tại của DISA STIG cho Red Hat, tôi muốn nói rằng NSA có khả năng sản xuất thứ gì đó nhanh hơn. Tôi có thể đăng ký với họ và xem họ ở đâu. Tôi khuyên bạn nên bắt đầu tiến lên 6 trong một môi trường thử nghiệm ngay bây giờ. Nhận kịch bản cứng của bạn được thử nghiệm trong 6.

Tham gia hỗ trợ bên ngoài để phát triển hướng dẫn tăng cường an ninh

Hãy xem xét một cam kết với một Kỹ sư bảo mật tập trung đặc biệt vào việc tăng cường bảo mật Linux để đưa ra hướng dẫn cho bạn. Red Hat có thể làm cho nhân viên của họ sẵn sàng tham gia cũng như để tăng tốc các nỗ lực kỹ thuật bảo mật.

Tất cả mọi thứ bạn đã nói cho đến nay chỉ ra một cách tiếp cận chuyên sâu và bảo mật hợp lý. Dựa vào đó, tôi nghĩ rằng xem xét ở trên, bạn rõ ràng để tiến tới RHEL6. Tuy nhiên, tôi sẽ thêm một số nhiệm vụ bổ sung mà bạn có thể xem xét vì tôi cho rằng bạn đang làm việc trong một môi trường quy định rất có ý thức bảo mật.

Tăng cường cách tiếp cận của bạn với Đánh giá rủi ro

Nếu bạn muốn đưa cách tiếp cận của mình lên cấp độ tiếp theo và chứng minh bằng cách nào đó sẽ vượt qua sự đánh giá của ngay cả kiểm toán viên kiên trì nhất, hãy xem xét thực hiện đánh giá rủi ro phát triển toàn diện bằng NIST 800-30 cùng với các bộ kiểm soát cụ thể được sử dụng trong công nghiệp. Điều này, được hỗ trợ bởi kiểm tra và phân tích bảo mật. Việc đánh giá rủi ro được chính thức hóa sẽ cho phép một tài liệu tốt về các rủi ro được đưa ra bằng cách tiếp tục với RHEL6 và một số biện pháp kiểm soát bù tiềm năng mà bạn có thể bổ sung để khắc phục mọi điểm yếu tiềm ẩn.

Thêm một bài kiểm tra thâm nhập

Mang nó thậm chí vượt ra ngoài đánh giá rủi ro, bạn có thể tham gia một trình kiểm tra thâm nhập với nền tảng Linux mạnh mẽ để thử thâm nhập hộp trắng hoặc hộp đen của máy chủ RHEL6 của bạn sau một số cấu hình an toàn. Một hệ điều hành cơ sở được bảo mật có thể không có nhiều bề mặt tấn công, vì vậy việc tải nó bằng các ứng dụng sẽ tạo ra một nền tảng thực tế hơn cho cuộc tấn công giúp bạn hiểu rõ hơn các vectơ tấn công tiềm năng. Xoay quanh ở cuối, sử dụng báo cáo kiểm tra bút bạn có thể tăng thêm công việc trước đây của mình, đóng bất kỳ khoảng trống nào, thêm điều khiển bổ sung và hướng tới các hoạt động với nhiều ấm áp và mờ hơn.

Dự kiến ​​STIGS của RHEL 6 sẽ kết thúc vào khoảng ngày 13 tháng 5 năm 2013. Bạn có thể theo dõi thông tin trên Danh sách gửi thư Gov-Sec của Red Hat.