Oracle Linux-Sicherheit
Sie können Oracle Linux sicher in Ihrer Cloud-Umgebung verwenden, indem Sie diese Best Practices zur Sicherheit befolgen. Oracle Linux bietet außerdem mehrere Cloud-Services, mit denen Sie automatische Softwareupdates ausführen, Bugfixes installieren und Ihre Instanzen auf kritische Ereignisse überwachen können.
Best Practices bei der Sicherheit
Befolgen Sie diese Best Practices für die Sicherheit, wenn Sie Oracle Linux in einer Cloud-Umgebung verwenden.
Weitere Informationen finden Sie unter Oracle Linux 9 Enhancing System Security und Oracle Linux 8 Enhancing System Security.
Best-Practice |
Beschreibung |
---|---|
Minimierung und Sicherung des Software-Footprints |
Deinstallieren oder deaktivieren Sie Komponenten, Services und Features, die Sie nicht in Ihrer Cloud-Umgebung benötigen oder verwenden. Als Option sollten Sie nur das Basisbetriebssystem auf Oracle Linux-Systemen installieren. Wenn Sie das Oracle Cloud-Plattformimage verwenden, wählen Sie den besten Imagetyp aus, um Ihre Geschäftsanforderungen zu erfüllen:
Überprüfen Sie regelmäßig die Packages, die Teil Ihres Oracle Cloud-Plattformimages sind, um sicherzustellen, dass die Packages aktiv verwendet werden. Entfernen Sie Pakete, die nicht verwendet werden. |
Software auf dem neuesten Stand halten |
Bewerten Sie die auf den Oracle Linux-Systemen in Ihrer Umgebung installierte Software, und wenden Sie mindestens wöchentlich Sicherheitsupdates an. Prüfen Sie regelmäßig auf Patchupdates, und installieren Sie die neuesten Patches. Legen Sie fest, wann und wie oft größere Updates ausgeführt werden sollen, die zusätzliche Bugfixes und Verbesserungen enthalten. Verwenden Sie diese Oracle Linux-Cloud-Services, um die Software auf dem neuesten Stand zu halten:
|
Zugriff einschränken |
Middle Tier-Anwendungen und -Datenbanken hinter einer Firewall schützen oder den Zugriff nach IP-Adresse einschränken. Wenn Sie eine Firewall verwenden, stellen Sie sicher, dass die Firewalleinstellungen kontrolliert werden, und überprüfen Sie diese Einstellungen regelmäßig. Wenn Sie eine virtuelle Firewall verwenden, richten Sie die richtigen Sicherheitslisten für Ihre Instanzen ein. Siehe Ways to Secure Your Network und Security Lists. |
Kontrollieren Sie Authentifizierungsmechanismen und setzen Sie strenge Passwortbeschränkungen durch |
Verwenden Sie striktes Passwort, Schlüssel, Zertifikat und tokenbasierte Authentifizierung. |
Minimale Benutzerberechtigungen erteilen |
Beschränken Sie die Benutzerberechtigungen so weit wie möglich. Geben Sie Benutzern nur den Zugriff, der für die Ausführung ihrer Arbeit erforderlich ist. |
Systemaktivität überwachen |
Systemauditdatensätze prüfen und prüfen Ksplice bietet eine bekannte Exploit-Erkennungsfunktion für Systeme, auf denen der Ksplice Enhanced-Client installiert ist. Weitere Informationen finden Sie im Ksplice - Benutzerhandbuch. |
Immer auf dem neuesten Stand mit den neuesten Sicherheitsinformationen |
Überwachen Sie die Oracle Linux-Sicherheits-Mailingliste auf kritische Sicherheitsankündigungen. Siehe Oracle Security Alerts abonnieren. |
Für Sicherheitsstandards und -anforderungen der Regierung verwenden Sie das STIG-Image |
Mit dem Oracle Linux-STIG-Image können Sie Oracle Linux-Instanzen erstellen, die bestimmten Sicherheitsstandards und -anforderungen entsprechen, die von der Defense Information Systems Agency (DISA) festgelegt wurden. Diese Sicherheitsstandards werden im Security Technical Implementation Guide (STIG) beschrieben. Weitere Informationen finden Sie unter Was ist STIG?. |
Es gibt zusätzliche Services in Oracle Cloud, die die mit Oracle Linux erstellte Sicherheit ergänzen. Beispiel: Um Hosts und Containerimages regelmäßig auf potenzielle Sicherheitslücken zu prüfen, können Sie den Oracle Cloud Infrastructure Vulnerability Scanning Service verwenden. Für Unterstützung bei der Verwaltung von Anwendungsstacks, einschließlich der Gruppierung von Ressourcen basierend auf definierten Kriterien, können Sie den Oracle Fleet Application Management Service verwenden.
Siehe Überblick über Vulnerability Scanning und Überblick über Fleet Application Management.
Oracle Linux-Services für Sicherheit
Oracle Linux bietet mehrere Services, mit denen Sie Oracle Linux-Instanzen in Ihrer Cloud-Umgebung sichern können.
Oracle Autonomous Linux-Service
Autonomous Linux führt automatische tägliche Sicherheitsupdates auf Ihren Oracle Linux-Instanzen aus und überwacht die Instanzen auf kritische Ereignisse.
Weitere Informationen finden Sie unter Überblick über Autonomous Linux.
Sicherheitsfunktionen
Feature |
Beschreibung |
---|---|
Instanzen, die das Oracle Autonomous Linux-Image verwenden, werden automatisch täglich mit verfügbaren Packages und Patches aktualisiert, die Sicherheitslücken beheben. Einige dieser Updates können Ksplice-Patches ohne Ausfallzeiten für Kernel-, OpenSSL- und glibc-Bibliotheken enthalten. Sie können die Ausführungszeit dieser täglichen Updates ändern. |
|
Zeigen Sie filterbare Berichte an, die Sicherheits-Advisorys für Ihre Instanzen auflisten, und geben Sie an, ob Ihre Instanzen über Sicherheitspatches auf dem neuesten Stand sind. |
|
Wenn ein Exploit-Erkennungsereignis auf einer Instanz auftritt, prüfen Sie die Ereignisdetails, die zugehörigen Logdateien und Stacktraceinformationen zum Ereignis. |
|
Wählen Sie diese Option, um benachrichtigt zu werden, wenn ein Sicherheitsereignis auf einer Instanz auftritt. Dazu legen Sie das Benachrichtigungsthema für die Instanz fest. |
OS Management Hub-Service
Mit OS Management Hub können Sie Updates über die Oracle Linux-Instanzen in Ihrer Cloud-Umgebung von einer zentralen Managementkonsole aus überwachen und verwalten.
Weitere Informationen finden Sie unter Überblick über OS Management Hub.
Sicherheitsfunktionen
Feature |
Beschreibung |
---|---|
Verwenden Sie Policys und Gruppen, um den Zugriff auf Benutzer und Cloud-Ressourcen einzuschränken. |
|
Steuern Sie die Anzahl der Softwarequellen (Repositorys), und geben Sie an, welche Softwarepackages für die bei OS Management Hub registrierten Instanzen verfügbar sind. |
|
Jobs, die Patching-Updates für eine Standalone-Instanz oder alle Standalone-Instanzen in einem Compartment planen |
Erstellen Sie Jobs, die wiederkehrende Sicherheitsupdates für Ihre Instanz oder Instanzen planen. Sie können Jobs erstellen, die Ksplice-Updates einspielen. |
Spiegelsynchronisierungsjobs, die gespiegelte Softwarequellen synchronisieren |
Legen Sie fest, dass eine Instanz eine Managementstation ist. Sie können dann Jobs erstellen, die sicherstellen, dass die Managementstation die neueste Software und Sicherheitspakete an alle Instanzen verteilt, die diese Station verwenden. |
Prüfen Sie Berichte mit Informationen zu Sicherheitsupdates, Bugupdates und Instanzaktivitäten. |
Oracle Ksplice-Service
Oracle Ksplice bietet automatische Sicherheitspatches und -updates für Ihre Oracle Linux-Instanzen, ohne die Instanzen herunterfahren und neu starten zu müssen.
Weitere Informationen zu Ksplice finden Sie im Oracle Linux: Ksplice - Benutzerhandbuch.
Sicherheitsfunktionen
Feature |
Beschreibung |
---|---|
Ksplice installiert automatisch die neuesten Sicherheitspatches und -updates für Linux-Kernel auf Ihren Instanzen und ohne Ausfallzeiten. |
|
Zeigen Sie die Patches und Updates an, die aktuell auf Ihren Instanzen installiert sind. |
|
Wenn Sie keine automatischen Updates möchten, installieren Sie bei Bedarf manuell die neuesten Patches und Updates für Ihre Instanzen. |
|
Zeigen Sie an, welche Kernel von Ksplice aktiv verwaltet werden. |
Sicherheitsupdates mit DNF installieren
Verwenden Sie DNF, um nur Sicherheitsupdates zu installieren, anstatt alle verfügbaren Packageupdates auf eine Oracle Linux-Instanz auf Oracle Cloud Infrastructure einzuspielen.
- So zeigen Sie Sicherheitsupdates an:
- Gehen Sie folgendermaßen vor, um Sicherheitsupdates für eine Oracle Linux-Instanz anzuzeigen.
- Über eine Befehlszeile können Sie mit Administratorberechtigungen mit SSH eine Verbindung zur Instanz herstellen.
- Listen Sie die verfügbaren Errata auf, die Sicherheitsupdates enthalten:
sudo dnf updateinfo list
Die Ausgabe zeigt Advisorys nach Typ an: Security (ELSA), Bug Fixes (ELBA) und Feature Enhancements (ELEA). Sicherheits-Advisorys werden durch einen Schweregrad gefolgt von
/Sec.
identifiziert. Der Schweregrad kannCritical
,Important
,Moderate
oderLow
lauten. Beispiel:... ELSA-2025-9080 Important/Sec. kernel-5.14.0-570.22.1.0.1.el9_6.x86_64 ELSA-2025-9302 Moderate/Sec. kernel-5.14.0-570.23.1.0.1.el9_6.x86_64 ... ELSA-2025-9080 Important/Sec. kernel-modules-5.14.0-570.22.1.0.1.el9_6.x86_64 ELSA-2025-9302 Moderate/Sec. kernel-modules-5.14.0-570.23.1.0.1.el9_6.x86_64 ... ELBA-2025-9428 bugfix kpartx-0.8.7-35.el9_6.1.x86_64 ELEA-2025-7281 enhancement mysql-8.4.4-1.module+el9.6.0+90539+da437dfb.x86_64 ... ELSA-2025-9327 Important/Sec. libblockdev-loop-2.28-14.0.1.el9_6.x86_64 ELSA-2025-9327 Important/Sec. libblockdev-mdraid-2.28-14.0.1.el9_6.x86_64 ELSA-2025-9327 Important/Sec. libblockdev-part-2.28-14.0.1.el9_6.x86_64 ...
- Verwenden Sie das Argument
security
, um nur die Sicherheitserrata aufzulisten. Beispiel:sudo dnf updateinfo list security
... ELSA-2025-9080 Important/Sec. kernel-5.14.0-570.22.1.0.1.el9_6.x86_64 ELSA-2025-9302 Moderate/Sec. kernel-5.14.0-570.23.1.0.1.el9_6.x86_64 ... ELSA-2025-9080 Important/Sec. kernel-modules-5.14.0-570.22.1.0.1.el9_6.x86_64 ELSA-2025-9302 Moderate/Sec. kernel-modules-5.14.0-570.23.1.0.1.el9_6.x86_64 ... ELSA-2025-9327 Important/Sec. libblockdev-loop-2.28-14.0.1.el9_6.x86_64 ELSA-2025-9327 Important/Sec. libblockdev-mdraid-2.28-14.0.1.el9_6.x86_64 ELSA-2025-9327 Important/Sec. libblockdev-part-2.28-14.0.1.el9_6.x86_64 ...
- Filtern Sie die Liste wie folgt:
- Verwenden Sie die Option
--sec-severity=Severity
, um die Sicherheitserrata nach Schweregrad zu filtern. Beispiel:sudo dnf updateinfo list --sec-severity=Important
... ELSA-2025-9080 Important/Sec. kernel-5.14.0-570.22.1.0.1.el9_6.x86_64 ... ELSA-2025-9080 Important/Sec. kernel-modules-5.14.0-570.22.1.0.1.el9_6.x86_64 ... ELSA-2025-9327 Important/Sec. libblockdev-loop-2.28-14.0.1.el9_6.x86_64 ELSA-2025-9327 Important/Sec. libblockdev-mdraid-2.28-14.0.1.el9_6.x86_64 ELSA-2025-9327 Important/Sec. libblockdev-part-2.28-14.0.1.el9_6.x86_64 ...
- Verwenden Sie das Argument
cves
, um die Sicherheitserrata nach ihren CVE-(Common Vulnerabilities and Exposures-)IDs aufzulisten. Beispiel:sudo dnf updateinfo list cves
... CVE-2024-57801 Important/Sec. kernel-uek-modules-wireless-6.12.0-101.33.4.3.el9uek.x86_64 CVE-2024-57839 Important/Sec. kernel-uek-modules-wireless-6.12.0-101.33.4.3.el9uek.x86_64 CVE-2024-57841 Important/Sec. kernel-uek-modules-wireless-6.12.0-101.33.4.3.el9uek.x86_64 ... CVE-2025-22126 Important/Sec. perf-5.14.0-570.22.1.0.1.el9_6.x86_64 CVE-2025-21979 Important/Sec. perf-5.14.0-570.22.1.0.1.el9_6.x86_64 CVE-2025-21963 Important/Sec. perf-5.14.0-570.22.1.0.1.el9_6.x86_64 ... CVE-2025-21919 Moderate/Sec. python3-perf-5.14.0-570.23.1.0.1.el9_6.x86_64 CVE-2025-21883 Moderate/Sec. python3-perf-5.14.0-570.23.1.0.1.el9_6.x86_64 CVE-2025-23150 Moderate/Sec. python3-perf-5.14.0-570.23.1.0.1.el9_6.x86_64 CVE-2025-22104 Moderate/Sec. python3-perf-5.14.0-570.23.1.0.1.el9_6.x86_64 ...
-
Verwenden Sie die Option
--cve CVE-ID
, um die Sicherheitserrata anzuzeigen, die einer bestimmten CVE-ID entsprechen. Beispiel:sudo dnf updateinfo list --cve CVE-2025-32462
ELSA-2025-9978 Important/Sec. sudo-1.9.5p2-10.el9_6.1.x86_64
-
Verwenden Sie das Argument
info
und die Option--cve CVE-ID
, um Details zu einer CVE anzuzeigen. Beispiel:sudo dnf updateinfo info --cve CVE-2025-32462
=============================================================================== sudo security update =============================================================================== Update ID: ELSA-2025-9978 Type: security Updated: 2025-06-30 00:00:00 CVEs: CVE-2025-32462 Description: [1.9.5p2-10.1] : RHEL 9.6.0.Z ERRATUM : - CVE-2025-32462 sudo: LPE via host option : Resolves: RHEL-100016 Severity: Important
- Verwenden Sie die Option
- So installieren Sie Sicherheitsupdates
- Verwenden Sie eine der folgenden Optionen, um Sicherheitsupdates auf einer Oracle Linux-Instanz zu installieren.
- Aktualisieren Sie alle Packages, für die Sicherheitserrata verfügbar sind, mit
upgrade --security
. Alle Pakete werden auf ihre neuesten Versionen aktualisiert, und die neuesten Versionen können Bugfixes oder neue Funktionen und keine Sicherheitserrata enthalten.sudo dnf upgrade --security
- Aktualisieren Sie alle Pakete mit
upgrade-minimal --security
auf die neuesten Versionen, die Sicherheitserrata enthalten. Wenn es neuere Pakete gibt, die keine Sicherheitserrata enthalten, werden sie ignoriert.sudo dnf upgrade-minimal --security
- Aktualisieren Sie bestimmte Packages mit
upgrade-minimal package* --security
auf die neuesten Versionen, die Sicherheitserrata enthalten. Beispiel: Um nur Kernel-Pakete zu aktualisieren, führen Sie Folgendes aus:sudo dnf upgrade-minimal kernel* --security
- Aktualisieren Sie nur die Packages, die einer CVE entsprechen, mit
upgrade --cve
.sudo dnf upgrade --cve CVE-ID
- Aktualisieren Sie eine bestimmte ELSA mit
upgrade --advisory
.sudo dnf upgrade --advisory ELSA-ID
Hinweis
Bei einigen Updates müssen Sie das System möglicherweise neu starten. Standardmäßig aktiviert der Bootmanager automatisch die neueste Kernelversion. - Aktualisieren Sie alle Packages, für die Sicherheitserrata verfügbar sind, mit