Oracle Cloud Infrastructure-Dokumentation

Oracle Linux-Sicherheit

Sie können Oracle Linux sicher in Ihrer Cloud-Umgebung verwenden, indem Sie diese Best Practices zur Sicherheit befolgen. Oracle Linux bietet außerdem mehrere Cloud-Services, mit denen Sie automatische Softwareupdates ausführen, Bugfixes installieren und Ihre Instanzen auf kritische Ereignisse überwachen können.

Best Practices bei der Sicherheit

Befolgen Sie diese Best Practices für die Sicherheit, wenn Sie Oracle Linux in einer Cloud-Umgebung verwenden.

Weitere Informationen finden Sie unter Oracle Linux 9 Enhancing System Security und Oracle Linux 8 Enhancing System Security.

Best Practices für die Sicherheit von Oracle Linux

Best-Practice

Beschreibung

Minimierung und Sicherung des Software-Footprints

Deinstallieren oder deaktivieren Sie Komponenten, Services und Features, die Sie nicht in Ihrer Cloud-Umgebung benötigen oder verwenden.

Als Option sollten Sie nur das Basisbetriebssystem auf Oracle Linux-Systemen installieren.

Wenn Sie das Oracle Cloud-Plattformimage verwenden, wählen Sie den besten Imagetyp aus, um Ihre Geschäftsanforderungen zu erfüllen:

  • Standardplattformimage: Ein minimales Image mit zusätzlichen Supporttools und Packages, die standardmäßig installiert werden. Die Tools und Pakete werden vom Oracle Support verwendet, um offene Supporttickets zu bearbeiten, sofern sie eingereicht wurden.
  • Minimales Plattformimage: Ein Image mit der Mindestanzahl an Packages, die zum Booten und Herstellen einer Verbindung zu einer OCI-Instanz über die SSH-Konsole erforderlich sind.
  • Benutzerdefiniertes Plattformimage: Ihr eigenes, benutzerdefiniertes Image, das Best Practices für die Sicherheit befolgt, indem nur das installiert wird, was zur Unterstützung Ihrer Cloud-Umgebung und Ihres Anwendungsstacks erforderlich ist.

Überprüfen Sie regelmäßig die Packages, die Teil Ihres Oracle Cloud-Plattformimages sind, um sicherzustellen, dass die Packages aktiv verwendet werden. Entfernen Sie Pakete, die nicht verwendet werden.

Software auf dem neuesten Stand halten

Bewerten Sie die auf den Oracle Linux-Systemen in Ihrer Umgebung installierte Software, und wenden Sie mindestens wöchentlich Sicherheitsupdates an. Prüfen Sie regelmäßig auf Patchupdates, und installieren Sie die neuesten Patches. Legen Sie fest, wann und wie oft größere Updates ausgeführt werden sollen, die zusätzliche Bugfixes und Verbesserungen enthalten.

Verwenden Sie diese Oracle Linux-Cloud-Services, um die Software auf dem neuesten Stand zu halten:

  • OS Management Hub: Verwaltet die neuesten Softwarepackages auf Ihren Oracle Cloud Infrastructure-(OCI-)Instanzen. Siehe OS Management Hub verwenden.

  • Autonomes Linux-Image: Damit kann Autonomous Linux tägliche Updates von kritischen Problemen für Ihre OCI-Instanzen durchführen und diese überwachen. Siehe Oracle Autonomous Linux-Image.

  • Ksplice: Patcht automatisch den laufenden Kernel und die allgemeinen Userspace-Bibliotheken auf den Oracle Linux-Systemen in Ihrer Umgebung, ohne dass ein Neustart oder eine Ausfallzeit erforderlich ist. Siehe Oracle Ksplice verwenden.

Zugriff einschränken

Middle Tier-Anwendungen und -Datenbanken hinter einer Firewall schützen oder den Zugriff nach IP-Adresse einschränken. Wenn Sie eine Firewall verwenden, stellen Sie sicher, dass die Firewalleinstellungen kontrolliert werden, und überprüfen Sie diese Einstellungen regelmäßig. Wenn Sie eine virtuelle Firewall verwenden, richten Sie die richtigen Sicherheitslisten für Ihre Instanzen ein. Siehe Ways to Secure Your Network und Security Lists.

Kontrollieren Sie Authentifizierungsmechanismen und setzen Sie strenge Passwortbeschränkungen durch

Verwenden Sie striktes Passwort, Schlüssel, Zertifikat und tokenbasierte Authentifizierung.

Minimale Benutzerberechtigungen erteilen

Beschränken Sie die Benutzerberechtigungen so weit wie möglich. Geben Sie Benutzern nur den Zugriff, der für die Ausführung ihrer Arbeit erforderlich ist.

Systemaktivität überwachen

Systemauditdatensätze prüfen und prüfen

Ksplice bietet eine bekannte Exploit-Erkennungsfunktion für Systeme, auf denen der Ksplice Enhanced-Client installiert ist. Weitere Informationen finden Sie im Ksplice - Benutzerhandbuch.

Immer auf dem neuesten Stand mit den neuesten Sicherheitsinformationen

Überwachen Sie die Oracle Linux-Sicherheits-Mailingliste auf kritische Sicherheitsankündigungen. Siehe Oracle Security Alerts abonnieren.

Für Sicherheitsstandards und -anforderungen der Regierung verwenden Sie das STIG-Image

Mit dem Oracle Linux-STIG-Image können Sie Oracle Linux-Instanzen erstellen, die bestimmten Sicherheitsstandards und -anforderungen entsprechen, die von der Defense Information Systems Agency (DISA) festgelegt wurden. Diese Sicherheitsstandards werden im Security Technical Implementation Guide (STIG) beschrieben.

Weitere Informationen finden Sie unter Was ist STIG?.

Es gibt zusätzliche Services in Oracle Cloud, die die mit Oracle Linux erstellte Sicherheit ergänzen. Beispiel: Um Hosts und Containerimages regelmäßig auf potenzielle Sicherheitslücken zu prüfen, können Sie den Oracle Cloud Infrastructure Vulnerability Scanning Service verwenden. Für Unterstützung bei der Verwaltung von Anwendungsstacks, einschließlich der Gruppierung von Ressourcen basierend auf definierten Kriterien, können Sie den Oracle Fleet Application Management Service verwenden.

Siehe Überblick über Vulnerability Scanning und Überblick über Fleet Application Management.

Oracle Linux-Services für Sicherheit

Oracle Linux bietet mehrere Services, mit denen Sie Oracle Linux-Instanzen in Ihrer Cloud-Umgebung sichern können.

Oracle Autonomous Linux-Service

Autonomous Linux führt automatische tägliche Sicherheitsupdates auf Ihren Oracle Linux-Instanzen aus und überwacht die Instanzen auf kritische Ereignisse.

Weitere Informationen finden Sie unter Überblick über Autonomous Linux.

Sicherheitsfunktionen

Oracle Autonomous Linux - Sicherheitsfeatures

Feature

Beschreibung

Automatische tägliche Pakete und Updates

Instanzen, die das Oracle Autonomous Linux-Image verwenden, werden automatisch täglich mit verfügbaren Packages und Patches aktualisiert, die Sicherheitslücken beheben. Einige dieser Updates können Ksplice-Patches ohne Ausfallzeiten für Kernel-, OpenSSL- und glibc-Bibliotheken enthalten. Sie können die Ausführungszeit dieser täglichen Updates ändern.

Sicherheitsberichte

Zeigen Sie filterbare Berichte an, die Sicherheits-Advisorys für Ihre Instanzen auflisten, und geben Sie an, ob Ihre Instanzen über Sicherheitspatches auf dem neuesten Stand sind.

Überwachung von Exploit-Erkennungsereignissen

Wenn ein Exploit-Erkennungsereignis auf einer Instanz auftritt, prüfen Sie die Ereignisdetails, die zugehörigen Logdateien und Stacktraceinformationen zum Ereignis.

Benachrichtigungen bei Sicherheitsereignis

Wählen Sie diese Option, um benachrichtigt zu werden, wenn ein Sicherheitsereignis auf einer Instanz auftritt. Dazu legen Sie das Benachrichtigungsthema für die Instanz fest.

OS Management Hub-Service

Mit OS Management Hub können Sie Updates über die Oracle Linux-Instanzen in Ihrer Cloud-Umgebung von einer zentralen Managementkonsole aus überwachen und verwalten.

Weitere Informationen finden Sie unter Überblick über OS Management Hub.

Sicherheitsfunktionen

Sicherheitsfunktionen von OS Management Hub

Feature

Beschreibung

IAM-Policys und Gruppen

Verwenden Sie Policys und Gruppen, um den Zugriff auf Benutzer und Cloud-Ressourcen einzuschränken.

Softwarequellen und Profile

Steuern Sie die Anzahl der Softwarequellen (Repositorys), und geben Sie an, welche Softwarepackages für die bei OS Management Hub registrierten Instanzen verfügbar sind.

Jobs, die Patching-Updates für eine Standalone-Instanz oder alle Standalone-Instanzen in einem Compartment planen

Erstellen Sie Jobs, die wiederkehrende Sicherheitsupdates für Ihre Instanz oder Instanzen planen. Sie können Jobs erstellen, die Ksplice-Updates einspielen.

Spiegelsynchronisierungsjobs, die gespiegelte Softwarequellen synchronisieren

Legen Sie fest, dass eine Instanz eine Managementstation ist. Sie können dann Jobs erstellen, die sicherstellen, dass die Managementstation die neueste Software und Sicherheitspakete an alle Instanzen verteilt, die diese Station verwenden.

Sicherheitsberichte

Prüfen Sie Berichte mit Informationen zu Sicherheitsupdates, Bugupdates und Instanzaktivitäten.

Oracle Ksplice-Service

Oracle Ksplice bietet automatische Sicherheitspatches und -updates für Ihre Oracle Linux-Instanzen, ohne die Instanzen herunterfahren und neu starten zu müssen.

Weitere Informationen zu Ksplice finden Sie im Oracle Linux: Ksplice - Benutzerhandbuch.

Sicherheitsfunktionen

Oracle Ksplice - Sicherheitsfunktionen

Feature

Beschreibung

Automatische Oracle Ksplice-Updates

Ksplice installiert automatisch die neuesten Sicherheitspatches und -updates für Linux-Kernel auf Ihren Instanzen und ohne Ausfallzeiten.

Aktuelle Patches

Zeigen Sie die Patches und Updates an, die aktuell auf Ihren Instanzen installiert sind.

Manuelle Aktualisierungen

Wenn Sie keine automatischen Updates möchten, installieren Sie bei Bedarf manuell die neuesten Patches und Updates für Ihre Instanzen.

Kernels, die aktiv gewartet werden

Zeigen Sie an, welche Kernel von Ksplice aktiv verwaltet werden.

Sicherheitsupdates mit DNF installieren

Verwenden Sie DNF, um nur Sicherheitsupdates zu installieren, anstatt alle verfügbaren Packageupdates auf eine Oracle Linux-Instanz auf Oracle Cloud Infrastructure einzuspielen.

So zeigen Sie Sicherheitsupdates an:
Gehen Sie folgendermaßen vor, um Sicherheitsupdates für eine Oracle Linux-Instanz anzuzeigen.
  1. Über eine Befehlszeile können Sie mit Administratorberechtigungen mit SSH eine Verbindung zur Instanz herstellen.
  2. Listen Sie die verfügbaren Errata auf, die Sicherheitsupdates enthalten:
    sudo dnf updateinfo list

    Die Ausgabe zeigt Advisorys nach Typ an: Security (ELSA), Bug Fixes (ELBA) und Feature Enhancements (ELEA). Sicherheits-Advisorys werden durch einen Schweregrad gefolgt von /Sec. identifiziert. Der Schweregrad kann Critical, Important, Moderate oder Low lauten. Beispiel:

    ...
ELSA-2025-9080  Important/Sec. kernel-5.14.0-570.22.1.0.1.el9_6.x86_64
ELSA-2025-9302  Moderate/Sec.  kernel-5.14.0-570.23.1.0.1.el9_6.x86_64
...
ELSA-2025-9080  Important/Sec. kernel-modules-5.14.0-570.22.1.0.1.el9_6.x86_64
ELSA-2025-9302  Moderate/Sec.  kernel-modules-5.14.0-570.23.1.0.1.el9_6.x86_64
...                          
ELBA-2025-9428  bugfix         kpartx-0.8.7-35.el9_6.1.x86_64
ELEA-2025-7281  enhancement    mysql-8.4.4-1.module+el9.6.0+90539+da437dfb.x86_64
...
ELSA-2025-9327  Important/Sec. libblockdev-loop-2.28-14.0.1.el9_6.x86_64
ELSA-2025-9327  Important/Sec. libblockdev-mdraid-2.28-14.0.1.el9_6.x86_64
ELSA-2025-9327  Important/Sec. libblockdev-part-2.28-14.0.1.el9_6.x86_64
...
  3. Verwenden Sie das Argument security, um nur die Sicherheitserrata aufzulisten. Beispiel: 
    sudo dnf updateinfo list security
    ...
ELSA-2025-9080  Important/Sec. kernel-5.14.0-570.22.1.0.1.el9_6.x86_64
ELSA-2025-9302  Moderate/Sec.  kernel-5.14.0-570.23.1.0.1.el9_6.x86_64
...
ELSA-2025-9080  Important/Sec. kernel-modules-5.14.0-570.22.1.0.1.el9_6.x86_64
ELSA-2025-9302  Moderate/Sec.  kernel-modules-5.14.0-570.23.1.0.1.el9_6.x86_64
...                          
ELSA-2025-9327  Important/Sec. libblockdev-loop-2.28-14.0.1.el9_6.x86_64
ELSA-2025-9327  Important/Sec. libblockdev-mdraid-2.28-14.0.1.el9_6.x86_64
ELSA-2025-9327  Important/Sec. libblockdev-part-2.28-14.0.1.el9_6.x86_64
...
  4. Filtern Sie die Liste wie folgt:
    • Verwenden Sie die Option --sec-severity=Severity, um die Sicherheitserrata nach Schweregrad zu filtern. Beispiel: 
      sudo dnf updateinfo list --sec-severity=Important
      ...
ELSA-2025-9080  Important/Sec. kernel-5.14.0-570.22.1.0.1.el9_6.x86_64
...
ELSA-2025-9080  Important/Sec. kernel-modules-5.14.0-570.22.1.0.1.el9_6.x86_64
...                          
ELSA-2025-9327  Important/Sec. libblockdev-loop-2.28-14.0.1.el9_6.x86_64
ELSA-2025-9327  Important/Sec. libblockdev-mdraid-2.28-14.0.1.el9_6.x86_64
ELSA-2025-9327  Important/Sec. libblockdev-part-2.28-14.0.1.el9_6.x86_64
...
    • Verwenden Sie das Argument cves, um die Sicherheitserrata nach ihren CVE-(Common Vulnerabilities and Exposures-)IDs aufzulisten. Beispiel: 
      sudo dnf updateinfo list cves
      ...
CVE-2024-57801 Important/Sec. kernel-uek-modules-wireless-6.12.0-101.33.4.3.el9uek.x86_64
CVE-2024-57839 Important/Sec. kernel-uek-modules-wireless-6.12.0-101.33.4.3.el9uek.x86_64
CVE-2024-57841 Important/Sec. kernel-uek-modules-wireless-6.12.0-101.33.4.3.el9uek.x86_64
...
CVE-2025-22126 Important/Sec. perf-5.14.0-570.22.1.0.1.el9_6.x86_64
CVE-2025-21979 Important/Sec. perf-5.14.0-570.22.1.0.1.el9_6.x86_64
CVE-2025-21963 Important/Sec. perf-5.14.0-570.22.1.0.1.el9_6.x86_64
...
CVE-2025-21919 Moderate/Sec.  python3-perf-5.14.0-570.23.1.0.1.el9_6.x86_64
CVE-2025-21883 Moderate/Sec.  python3-perf-5.14.0-570.23.1.0.1.el9_6.x86_64
CVE-2025-23150 Moderate/Sec.  python3-perf-5.14.0-570.23.1.0.1.el9_6.x86_64
CVE-2025-22104 Moderate/Sec.  python3-perf-5.14.0-570.23.1.0.1.el9_6.x86_64
...

    • Verwenden Sie die Option --cve CVE-ID, um die Sicherheitserrata anzuzeigen, die einer bestimmten CVE-ID entsprechen. Beispiel: 

      sudo dnf updateinfo list --cve CVE-2025-32462
      ELSA-2025-9978 Important/Sec. sudo-1.9.5p2-10.el9_6.1.x86_64

    • Verwenden Sie das Argument info und die Option --cve CVE-ID, um Details zu einer CVE anzuzeigen. Beispiel: 

      sudo dnf updateinfo info --cve CVE-2025-32462
      ===============================================================================
   sudo security update
===============================================================================
  Update ID: ELSA-2025-9978
       Type: security
    Updated: 2025-06-30 00:00:00
       CVEs: CVE-2025-32462
Description: [1.9.5p2-10.1]
           : RHEL 9.6.0.Z ERRATUM
           : - CVE-2025-32462 sudo: LPE via host option
           : Resolves: RHEL-100016
   Severity: Important
So installieren Sie Sicherheitsupdates
Verwenden Sie eine der folgenden Optionen, um Sicherheitsupdates auf einer Oracle Linux-Instanz zu installieren.
  • Aktualisieren Sie alle Packages, für die Sicherheitserrata verfügbar sind, mit upgrade --security. Alle Pakete werden auf ihre neuesten Versionen aktualisiert, und die neuesten Versionen können Bugfixes oder neue Funktionen und keine Sicherheitserrata enthalten. 
    sudo dnf upgrade --security
  • Aktualisieren Sie alle Pakete mit upgrade-minimal --security auf die neuesten Versionen, die Sicherheitserrata enthalten. Wenn es neuere Pakete gibt, die keine Sicherheitserrata enthalten, werden sie ignoriert. 
    sudo dnf upgrade-minimal --security
  • Aktualisieren Sie bestimmte Packages mit upgrade-minimal package* --security auf die neuesten Versionen, die Sicherheitserrata enthalten. Beispiel: Um nur Kernel-Pakete zu aktualisieren, führen Sie Folgendes aus:
    sudo dnf upgrade-minimal kernel* --security
  • Aktualisieren Sie nur die Packages, die einer CVE entsprechen, mit upgrade --cve. 
    sudo dnf upgrade --cve CVE-ID
  • Aktualisieren Sie eine bestimmte ELSA mit upgrade --advisory. 
    sudo dnf upgrade --advisory ELSA-ID
Hinweis

Bei einigen Updates müssen Sie das System möglicherweise neu starten. Standardmäßig aktiviert der Bootmanager automatisch die neueste Kernelversion.