与NSA有关保护RHEL 6的安全性的所有内容[关闭]

我们基础架构小组中的一些人希望升级以开始利用RHEL 6中的新功能。过去，我依靠《 NSA指南》（www.nsa.gov/ia/_files/os/redhat/rhel5-guide- i731.pdf）以保护RHEL 5和CentOS 5的安装。我发现该指南非常宝贵。

有没有人有过以类似方式保护RHEL / CentOS 6的经验？如果是这样，您利用了哪些资源（书面或咨询性）？

我从一些同事那里听说，版本6在很多方面与版本5明显不同，所以我不想在安全性上留下空白，因为我没有充分考虑这些差异。

Red Hat自己的RHEL 6指南（http://docs.redhat.com/docs/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/index.html）真的足够吗？

有人会说，除非您有令人信服的功能原因，否则您应该推迟从5升级到6，直到NSA之类的组织可以针对您要保护的版本制定具体的指南？

我感谢您可能收到的任何反馈，即使它会将我引导到一个更合适的论坛。

问候，

麦克风

麦克风，

通常，那里有一些用于加强安全性的良好指南。

• DISA STIGs
• NSA SRG
• 国家标准技术研究所
• 独联体基准
• 供应商指南
• SANS
• 专门针对强化的书籍

在我的工作中，我们结合使用DISA STIG和Linux的puppet。我更可能会说这是不充分的，并提出以下一些建议。

请记住，上面的加固指南确实有重叠，并且缺少一些区域。最佳实践是通过数据库或电子表格中的指南来跟踪所有配置选项，这样您才能获得最大的覆盖范围。

做同一件事的另一种方法是根据上述内容创建强化或审核脚本，然后对自己进行审核以找出不同标准之间的差距在哪里。

我认为RHEL的指南不够用-我更喜欢NSA，DISA和NIST的输出。但是，红帽指南是一个很好的起点。

随着NSA和DISA提前开始在草案中制定强化标准，这对您可能是一个很好的来源。如果您在DoD中有朋友，您也可以访问预发行材料。由于适用于Red Hat的DISA STIG的当前状态，我想说NSA可能会更快地产生一些东西。我可以和他们一起检查一下，看看它们在哪里。我建议现在在测试环境中开始升级到6。在6中测试您的强化脚本。

寻求外部援助以制定安全强化指南

考虑与专门致力于Linux安全性强化的安全工程师合作，为您提供指导。红帽还可以让其员工参与其中，以加快安全工程工作。

到目前为止，您所说的一切都表明了尽职调查方法和合理的安全性。基于此，我认为上面已考虑到，您显然可以继续使用RHEL6。但是，我将添加一些您可以考虑的其他任务，因为我假设您在非常注重安全性的受监管环境中工作。

通过风险评估增强您的方法

如果您想将自己的方法提高到一个新的水平，并且以某种方式通过甚至是最具保留力的审核员也可以通过审核，则可以考虑使用NIST 800-30以及您所使用的特定控制措施进行全面的发展风险评估行业。这得到安全测试和分析的支持。正式进行风险评估可以很好地记录RHEL6所带来的风险，并提供一些潜在的补偿性控制措施，以支持任何潜在的弱点。

添加渗透测试

甚至将其扩展到风险评估之外，您也可以聘请具有强大Linux背景的渗透测试仪，以在进行一些安全配置后尝试对您的RHEL6主机进行白盒或黑盒渗透。一个安全的基本操作系统可能不会提供太多的攻击面，因此将其加载到应用程序中将提供一个更为现实的攻击平台，从而使您能够更好地了解潜在的攻击媒介。最后，使用笔测试报告来回圈一下，您可以增加以前的工作，缩小差距，添加其他控件并以更加温暖和模糊的方式进行操作。

RHEL 6 STIGS预计将于2013年5月13日左右完成。您可以按照Red Hat的Gov-Sec邮件列表中的信息进行操作。