インフラストラクチャグループの一部は、RHEL 6の新機能の利用を開始するためにアップグレードしたいと考えています。以前は、RHEL 5およびCentOS 5のインストールを保護するために NSA Guide に依存していました。このガイドは非常に貴重です。
同様の方法でRHEL/CentOS 6を保護した経験がある人はいますか?もしそうなら、どのようなリソース(書面またはコンサルティング)を活用しましたか?
一部の同僚から、バージョン6はバージョン5とさまざまな点で大幅に異なると聞いたことがあります。そのため、これらの違いを適切に考慮していなかったため、セキュリティに大きな穴を残したくないと思います。
Red Hat独自の RHEL 6のセキュリティガイド は本当に十分ですか?
説得力のある機能上の理由がない限り、NSAのようなグループが特定のガイドを作成できるまで、5から6へのアップグレードを保留する必要があります。あなたが保護しようとしているバージョンに?
より適切なフォーラムに私を導くものであっても、あなたからのフィードバックはありがたいです。
強化ガイドのようなものになると、RHEL 6はまだかなり新しいと考えられています。残念なことに、これらのタイプのガイドの多くは制作に数か月または数年かかります。一般的に言って、あなたの目的のために、EL 5とEL 6の違いはかなり最小でなければなりません。 EL 6をサポートし始めたとき、私の変更のほとんどはかなり化粧品でした。たとえば、syslogdの代わりに必ずrsyslogを使用します。 RedHatは独自のガイドを作成するので、バージョン固有の作業の多くを処理する必要があります。
ただし、 RedHat 5のNSAファクトシート および CISベンチマーク を確認することをお勧めします。一部の詳細は変更される可能性がありますが、主要な作業の多くはかなりうまく翻訳できるはずです。
私はまた、この関連する質問をチェックすることをお勧めします: LAMPスタックを実行している商用Linuxサーバーを商用Eコマース用に保護する方法
2012年6月2日の時点で、Center for Internet Securityから Red Hat Enterprise Linux 6ベンチマーク が存在していることは注目に値します。
正解は、SNACは最初のガイドの1つであり、すべての組織と個人を対象としたものでした。 USGCB RHEL 5とSTIG 5および6のベースとなっているNIST仕様に大きく取って代わられました。参照している強化ガイドは、このすべての作業から作成されています。 ( http://blog-shawndwells.rhcloud.com/ )CISベンチマークはSTIGのほぼ正確なコピーであり、許可なしに元の作者を参照しています。