Qualcosa vicino a una guida NSA per la protezione di RHEL 6 [chiuso]


12

Alcuni membri del nostro gruppo di infrastrutture desiderano eseguire l'aggiornamento per iniziare a sfruttare le nuove funzionalità di RHEL 6. In passato, ho fatto affidamento sulla guida NSA (www.nsa.gov/ia/_files/os/redhat/rhel5-guide- i731.pdf) per proteggere le installazioni di RHEL 5 e CentOS 5. Trovo questa guida inestimabile.

Qualcuno là fuori ha esperienza con la protezione di RHEL / CentOS 6 in modo simile? In tal caso, quali risorse (scritte o consultive) hai sfruttato?

Ho sentito da alcuni colleghi che la versione 6 è significativamente diversa dalla versione 5 in vari modi, quindi non voglio lasciare buchi nella nostra sicurezza perché non ho adeguatamente tenuto conto di tali differenze.

La guida di Red Hat per RHEL 6 ( http://docs.redhat.com/docs/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/index.html ) è davvero sufficiente?

Qualcuno si spingerebbe fino al punto di dire che, a meno che tu non abbia un motivo funzionale convincente, dovresti tenere a bada l'aggiornamento da 5 a 6 fino a quando un gruppo come l'NSA può produrre una guida specifica per la versione che stai cercando di proteggere?

Apprezzo qualsiasi feedback tu possa avere, anche se mi sta indirizzando verso un forum più appropriato.

Saluti,

Mike


Potresti provare anche il sito Security StackExchange: security.stackexchange.com
HTTP500

Non credo che RHEL6 sia stato ancora approvato per qualsiasi operazione gov / mil, quindi non sono stati rilasciati STIG o SNAC.
Marcin

Passando attraverso problemi simili per un client, in cui non tutti i fornitori hanno aggiunto RHEL6 al loro sistema operativo supportato. Non l'ho eseguito da solo, ma posso suggerire di eseguire una scansione Nessus?
Raj J,

Risposte:


8

Mike,

ci sono generalmente alcune fonti di buone guide là fuori per rafforzare la sicurezza.

  • I DISIG STIG
  • Gli SRG dell'NSA
  • NIST
  • Benchmark CSI
  • Guida del fornitore
  • SANS
  • Libri specifici per l'indurimento

Nel mio lavoro, usiamo una combinazione di DISA STIGs, insieme a fantoccio per Linux. Sarei più propenso a dire che è inadeguato e spingere per alcune delle raccomandazioni seguenti.

Tieni presente che le guide di tempra sopra hanno sovrapposizioni e alcune aree mancanti. Una buona pratica è quella di tracciare tutte le opzioni di configurazione tramite la guida in un database o foglio di calcolo, in modo da avere la massima copertura.

Un modo alternativo di fare la stessa cosa è quello di creare script di hardening o auditing basati su sopra e quindi eseguire audit di te stesso per capire dove si trovano gli spazi tra i diversi standard.

Non credo che le guide di RHEL siano sufficienti: preferisco i risultati di NSA, DISA e NIST. Ma le guide di Red Hat sono un ottimo punto di partenza.

Dato che NSA e DISA iniziano a lavorare sugli standard di indurimento con largo anticipo, in bozza, questa potrebbe essere una buona fonte per te. Se hai un amico in DoD, puoi accedere anche al materiale pre-release. A causa dell'attuale stato di DISA STIG per Red Hat, direi che probabilmente la NSA produrrà qualcosa di più veloce. Posso controllare con loro e vedere dove sono. Consiglio di iniziare subito a 6 in un ambiente di test in questo momento. Ottieni i tuoi script di indurimento testati in 6.

Coinvolgere l'assistenza esterna per sviluppare linee guida per il rafforzamento della sicurezza

Prendi in considerazione un impegno con un Ingegnere della Sicurezza incentrato specificatamente sulla protezione della sicurezza di Linux per fornire assistenza per te. Red Hat può rendere disponibili i propri dipendenti anche per impegni al fine di accelerare gli sforzi di ingegneria della sicurezza.

Tutto ciò che hai detto finora indica un approccio di dovuta diligenza e una ragionevole sicurezza. Sulla base di ciò, penso considerando quanto sopra, è chiaro per passare a RHEL6. Tuttavia, aggiungerò alcune attività aggiuntive che potresti prendere in considerazione poiché presumo che tu stia lavorando in un ambiente regolamentato che è molto attento alla sicurezza.

Aumentare il tuo approccio con una valutazione del rischio

Se volevi portare il tuo approccio al livello successivo e giustificarlo in un modo che avrebbe superato la revisione anche da parte del revisore più fiducioso, prendi in considerazione di eseguire una valutazione completa del rischio di sviluppo utilizzando NIST 800-30 insieme ai particolari set di controlli utilizzati nel tuo industria. Questo, supportato da test e analisi sulla sicurezza. Avere formalizzato una valutazione del rischio consentirà una buona documentazione dei rischi presentati andando avanti con RHEL6 e alcuni potenziali controlli compensativi che potresti aggiungere per sostenere eventuali potenziali punti deboli.

Aggiunta di un test di penetrazione

Portandolo anche oltre la valutazione del rischio, è possibile coinvolgere un tester di penetrazione con un forte background Linux per tentare penetrazioni in white box o black box dell'host RHEL6 dopo alcune configurazioni sicure. Un sistema operativo di base sicuro potrebbe non presentare molta superficie di attacco, quindi caricarlo con le applicazioni presenterebbe una piattaforma di attacco molto più realistica che ti consentirebbe di comprendere meglio i potenziali vettori di attacco. Girando alla fine, usando il rapporto del test con la penna è possibile aumentare il lavoro precedente, colmare eventuali lacune, aggiungere ulteriori controlli e dirigersi verso le operazioni con molto più di un caldo e confuso.


2

Il completamento di RHEL 6 STIGS è previsto per il 13 maggio 2013. Puoi seguire le informazioni sulla mailing list di Red Hat Gov-Sec.


3
Questa risposta è un riferimento lontano da un mio voto. Link alla fonte?
Aaron Copley,

1
Accetto con @AaronCopley - aggiungi un link alla fonte per provare la tua conoscenza.
Frederik Nielsen,

Shawn Wells, un dipendente di RedHat, sta seguendo da vicino il processo RHEL6 e le sue stime di data seguono con SimonTek: blog-shawndwells.rhcloud.com/2013/02/draft-rhel6-stig-released
Royce Williams

1
The RHEL 6 STIGS sono stati rilasciati su iase.disa.mil/stigs/os/unix/red_hat.html
heymikeymo il

@heymikeymo, apprezzo molto che tu abbia pubblicato quel link, ma sembra essere obsoleto :) Ecco un link aggiornato che include più versioni di Red Hat: iase.disa.mil/stigs/os/unix-linux/Pages/index.aspx
blong,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.