Apa pun yang dekat dengan Panduan NSA untuk Mengamankan RHEL 6 [ditutup]


12

Beberapa di grup infrastruktur kami ingin memutakhirkan untuk mulai memanfaatkan fitur-fitur baru di RHEL 6. Di masa lalu, saya mengandalkan Panduan NSA (www.nsa.gov/ia/_files/os/redhat/rhel5-guide- i731.pdf) untuk mengamankan instalasi RHEL 5 dan CentOS 5. Saya menemukan panduan ini sangat berharga.

Apakah ada orang di luar sana yang memiliki pengalaman dalam mengamankan RHEL / CentOS 6 dengan cara yang serupa? Jika demikian, sumber daya apa (tertulis atau konsultatif) yang Anda manfaatkan?

Saya telah mendengar dari beberapa kolega bahwa versi 6 berbeda secara signifikan dari versi 5 dalam berbagai cara, jadi saya tidak ingin meninggalkan celah yang menganga dalam keamanan kami karena saya tidak memperhitungkan perbedaan tersebut secara memadai.

Apakah panduan Red Hat sendiri untuk RHEL 6 ( http://docs.redhat.com/docs/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/index.html ) benar-benar cukup?

Adakah yang akan mengatakan lebih jauh, kecuali Anda memiliki alasan fungsional yang meyakinkan, Anda harus menunda peningkatan dari 5 menjadi 6 hingga beberapa kelompok seperti NSA dapat menghasilkan panduan yang spesifik untuk versi yang Anda coba lindungi?

Saya menghargai setiap umpan balik yang mungkin Anda miliki, bahkan jika itu mengarahkan saya ke forum yang lebih tepat.

Salam,

Mike


Anda mungkin ingin juga mencoba situs Security StackExchange: security.stackexchange.com
HTTP500

Saya tidak berpikir RHEL6 telah disetujui untuk operasi pemerintah / mil apa pun, jadi tidak ada STIG atau SNAC yang dirilis.
Marcin

Mengalami masalah serupa untuk klien, di mana tidak semua vendor telah menambahkan RHEL6 ke OS yang didukung. Saya belum menjalankannya sendiri, tetapi Bolehkah saya menyarankan menjalankan pemindaian Nessus?
Raj J

Jawaban:


8

Mike,

umumnya ada beberapa sumber panduan yang bagus di luar sana untuk pengerasan keamanan.

  • STA DISA
  • SRG NSA
  • NIST
  • Tolok Ukur CIS
  • Panduan vendor
  • TANPA
  • Buku khusus untuk pengerasan

Di tempat kerja saya, kami menggunakan kombinasi DISA STIG, bersama dengan boneka untuk Linux. Saya akan lebih cenderung mengatakan bahwa itu tidak memadai dan mendorong beberapa rekomendasi di bawah ini.

Perlu diingat bahwa panduan pengerasan di atas memang tumpang tindih, dan beberapa area hilang. Praktik terbaik adalah melacak semua opsi konfigurasi melalui panduan dalam database atau spreadsheet, sehingga Anda dapat memiliki cakupan terbanyak.

Cara alternatif untuk melakukan hal yang sama adalah dengan membuat skrip pengerasan atau audit berdasarkan di atas, dan kemudian menjalankan audit sendiri untuk mencari tahu di mana kesenjangan antara standar yang berbeda.

Saya tidak percaya panduan RHEL cukup - saya lebih suka output dari NSA, DISA dan NIST. Tapi, panduan Red Hat adalah titik awal yang bagus.

Ketika NSA dan DISA mulai bekerja pada standar pengerasan jauh di muka, dalam konsep, itu mungkin merupakan sumber yang baik untuk Anda. Jika Anda memiliki teman di DoD, Anda juga bisa mendapatkan akses ke materi pra-rilis. Karena keadaan saat ini dari DISA STIG untuk Red Hat, saya akan mengatakan NSA kemungkinan akan menghasilkan sesuatu yang lebih cepat. Saya dapat memeriksa dengan mereka dan melihat di mana mereka berada. Saya akan merekomendasikan mulai bergerak maju ke 6 di lingkungan pengujian sekarang. Dapatkan skrip pengerasan Anda diuji dalam 6.

Melibatkan bantuan dari luar untuk mengembangkan panduan pengerasan keamanan

Pertimbangkan keterlibatan dengan Insinyur Keamanan yang berfokus khusus pada pengerasan keamanan Linux untuk menghasilkan panduan bagi Anda. Red Hat dapat menyediakan karyawan mereka untuk keterlibatan juga untuk mempercepat upaya rekayasa keamanan.

Semua yang Anda katakan sejauh ini menunjukkan pendekatan uji tuntas dan keamanan yang wajar. Berdasarkan itu, saya pikir mempertimbangkan di atas, Anda jelas untuk bergerak maju ke RHEL6. Namun, saya akan menambahkan beberapa tugas tambahan yang dapat Anda pertimbangkan karena saya menganggap Anda bekerja di lingkungan yang diatur yang sangat sadar akan keamanan.

Menambah pendekatan Anda dengan Penilaian Risiko

Jika Anda ingin mengambil pendekatan Anda ke tingkat berikutnya, dan membenarkannya dengan cara yang akan melewati tinjauan bahkan oleh auditor yang paling retrospektif, pertimbangkan untuk melakukan penilaian risiko perkembangan penuh menggunakan NIST 800-30 bersama dengan set kontrol tertentu yang digunakan dalam Anda industri. Ini, didukung oleh pengujian & analisis keamanan. Memiliki penilaian risiko diformalkan akan memungkinkan dokumentasi yang baik dari risiko yang disajikan dengan melangkah maju dengan RHEL6, dan beberapa kontrol kompensasi potensial yang dapat Anda tambahkan untuk menopang setiap kelemahan potensial.

Menambahkan tes penetrasi

Mengambilnya bahkan di luar penilaian risiko, Anda dapat menggunakan tester penetrasi dengan latar belakang Linux yang kuat untuk mencoba penetrasi white box atau black box dari host RHEL6 Anda setelah beberapa konfigurasi aman. Sistem operasi pangkalan yang aman mungkin tidak menghadirkan banyak permukaan serangan, sehingga memuatnya dengan aplikasi akan menghadirkan platform serangan yang jauh lebih realistis yang akan lebih memungkinkan Anda untuk memahami vektor serangan potensial. Berputar-putar di akhir, menggunakan laporan tes pena Anda bisa menambah pekerjaan Anda sebelumnya, menutup semua celah, menambahkan kontrol tambahan dan menuju operasi dengan jauh lebih hangat dan tidak jelas.


2

RHEL 6 STIGS diharapkan selesai sekitar 13 Mei 2013. Anda dapat mengikuti informasi di milis Red Hat's Gov-Sec.


3
Jawaban ini adalah salah satu referensi dari saya. Tautan ke sumber?
Aaron Copley

1
Setuju dengan @AaronCopley - silakan tambahkan tautan ke sumber untuk membuktikan pengetahuan Anda.
Frederik Nielsen

Shawn Wells, seorang karyawan RedHat, mengikuti proses RHEL6 dengan cermat dan perkiraan perkiraan jalurnya dengan lagu SimonTek: blog-shawndwells.rhcloud.com/2013/02/draft-rhel6-stig-released
Royce Williams

1
The RHEL 6 STIGS telah dirilis di iase.disa.mil/stigs/os/unix/red_hat.html
heymikeymo

@heymikeymo, saya sangat menghargai Anda memposting tautan itu, tetapi tampaknya sudah usang :) Berikut ini tautan yang diperbarui yang mencakup beberapa versi Red Hat: iase.disa.mil/stigs/os/unix-linux/Pages/index.aspx
blong
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.