RHEL 6 보안을위한 NSA 가이드에 가까운 내용 [닫기]


12

인프라 그룹의 일부는 RHEL 6의 새로운 기능을 활용하기 위해 업그레이드하려고합니다. 과거에는 NSA 안내서 (www.nsa.gov/ia/_files/os/redhat/rhel5-guide- RHEL 5 및 CentOS 5 설치를 보호하기위한 i731.pdf). 이 안내서는 매우 귀중합니다.

RHEL / CentOS 6 보안과 비슷한 경험이 있습니까? 그렇다면 어떤 리소스 (작성 또는 상담)를 활용 했습니까?

일부 동료들로부터 버전 6이 버전 5와 여러 가지면에서 크게 다르다는 말을 들었으므로 이러한 차이점을 제대로 설명하지 못했기 때문에 보안에 허점을 남기고 싶지 않습니다.

RHEL 6에 대한 Red Hat의 자체 가이드 ( http://docs.redhat.com/docs/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/index.html )가 충분합니까?

강력한 기능상의 이유가 없다면 NSA와 같은 일부 그룹이 보호하려는 버전과 관련된 가이드를 만들 수있을 때까지 5에서 6으로 업그레이드하는 것을 연기해야한다고 말할 사람이 있습니까?

더 적절한 포럼으로 안내하더라도 귀하의 의견에 감사드립니다.

문안 인사,

마이크


Security StackExchange 사이트 ( security.stackexchange.com
HTTP500

RHEL6이 아직 정부 / 밀 운영에 대해 승인 된 것으로 생각하지 않아 STIG 또는 SNAC가 릴리스되지 않았습니다.
Marcin

모든 공급 업체가 지원되는 OS에 RHEL6을 추가하지 않은 클라이언트에 대해 비슷한 문제를 겪습니다. 직접 실행하지는 않았지만 Nessus 스캔 실행을 제안 할 수 있습니까?
Raj J

답변:


8

마이크,

일반적으로 보안 강화를위한 유용한 가이드가 몇 가지 있습니다.

  • DISA STIGs
  • NSA SRG
  • NIST
  • CIS 벤치 마크
  • 공급 업체 지침
  • SANS
  • 강화 관련 서적

제 작품에서는 DISA STIG와 Linux 용 퍼펫을 함께 사용합니다. 나는 그것이 적절하지 않다고 말하고 아래의 권장 사항 중 일부를 추진합니다.

위의 경화 가이드는 겹치며 일부 누락 된 부분이 있습니다. 가장 좋은 방법은 데이터베이스 또는 스프레드 시트에서 가이드를 통해 모든 구성 옵션을 추적하여 최대한의 적용 범위를 확보하는 것입니다.

동일한 작업을 수행하는 다른 방법은 위의 내용을 기반으로 강화 또는 감사 스크립트를 만든 다음 자신에 대한 감사를 실행하여 서로 다른 표준 간의 격차가 어디에 있는지 파악하는 것입니다.

RHEL의 가이드가 충분하지 않다고 생각합니다. NSA, DISA 및 NIST의 출력을 선호합니다. 그러나 Red Hat 가이드는 훌륭한 출발점입니다.

NSA와 DISA가 초안에서 미리 강화 표준에 대해 작업을 시작함에 따라 이는 좋은 소스가 될 수 있습니다. DoD에 친구가있는 경우 시험판 자료에 액세스 할 수도 있습니다. Red Hat의 DISA STIG의 현재 상태로 인해 NSA가 더 빠르게 무언가를 생산할 수 있다고 말합니다. 나는 그들과 함께 체크인하고 그들이 어디에 있는지 볼 수 있습니다. 테스트 환경에서 지금 6으로 넘어가는 것이 좋습니다. 강화 스크립트를 6에서 테스트하십시오.

보안 강화 지침 개발을위한 외부 지원 참여

Linux 보안 강화에 중점을 둔 보안 엔지니어와의 계약을 고려하십시오. Red Hat은 보안 엔지니어링 노력을 가속화하기 위해 직원들과 계약을 체결 할 수 있습니다.

지금까지 말한 모든 것은 실사 접근과 합리적인 보안을 나타냅니다. 이를 바탕으로 위의 내용을 고려할 때 RHEL6으로 넘어갈 수 있습니다. 그러나 보안에 매우 민감한 규제 환경에서 작업하고 있다고 가정하기 때문에 고려해야 할 몇 가지 추가 작업을 추가하겠습니다.

위험 평가로 접근 방식 강화

다음 단계로 접근하고 가장 보존적인 감사관이 검토를 통과 할 수있는 방법으로 정당화하려면 NIST 800-30을 사용하여 개발 된 특정 제어 세트와 함께 전체 개발 위험 평가를 수행하는 것이 좋습니다. 산업. 보안 테스트 및 분석에 의해 지원됩니다. 위험 평가를 공식화하면 RHEL6을 통해 발생하는 위험에 대한 좋은 문서화와 잠재적 인 약점을 보완하기 위해 추가 할 수있는 잠재적 보상 통제가 가능합니다.

침투 테스트 추가

위험 평가를 넘어서도 강력한 Linux 배경을 가진 침투 테스터를 참여시켜 보안 구성 후 RHEL6 호스트의 화이트 박스 또는 블랙 박스 침투를 시도 할 수 있습니다. 안전한 기본 운영 체제는 공격 영역이 많지 않을 수 있으므로 응용 프로그램에로드하면 잠재적 인 공격 경로를보다 잘 이해할 수있는보다 현실적인 공격 플랫폼이 제공됩니다. 마지막에 펜 테스트 보고서를 사용하여 이전 작업을 보강하고, 간격을 좁히고, 컨트롤을 추가하고, 더 따뜻하고 퍼지가 많은 작업으로 향할 수 있습니다.


2

RHEL 6 STIGS는 2013 년 5 월 13 일경에 완료 될 예정입니다. Red Hat의 Gov-Sec 메일 링리스트에있는 정보를 확인할 수 있습니다.


3
이 답변은 저에게서 공감 된 한 가지 참고 문헌입니다. 소스로 링크?
Aaron Copley

1
@AaronCopley에 동의하십시오-지식을 증명하기 위해 소스에 대한 링크를 추가하십시오.
프레데릭 닐슨

숀 웰스, 레드햇 직원은 밀접하게 RHEL6 프로세스를 따르고 그의 날짜 예상 SimonTek의와 추적 : blog-shawndwells.rhcloud.com/2013/02/draft-rhel6-stig-released
로이스 윌리엄스

1
RHEL 6 STIGS가에서 출시 된 iase.disa.mil/stigs/os/unix/red_hat.html
heymikeymo

@heymikeymo, 나는 당신이 그 링크를 게시 주셔서 감사합니다,하지만 그것은 구식 인 것 같습니다 :) Red Hat의 여러 버전을 포함하는 업데이트 된 링크가 있습니다 : iase.disa.mil/stigs/os/unix-linux/Pages/index.aspx
blong
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.