Oracle Cloud Infrastructure-Dokumentation

Oracle Linux STIG-Image

Das Oracle Linux STIG-Image ist eine Implementierung von Oracle Linux, die dem Security Technical Implementation Guide (STIG) folgt.

Das Oracle Linux STIG-Image wird über den Oracle Cloud Marketplace gestartet. Suchen Sie im Marketplace die Oracle Linux-STIG-Listen, und wählen Sie das Oracle Linux-STIG-Image mit dem gewünschten Profil aus.

Mit dem STIG-Image können Sie eine Oracle Linux-Instanz in Oracle Cloud Infrastructure konfigurieren, die bestimmten Sicherheitsstandards und -anforderungen der Defense Information Systems Agency (DISA) entspricht.

Hinweis

Oracle aktualisiert das Oracle Linux STIG-Image regelmäßig mit den neuesten Sicherheitserrata. Dieses Dokument wird immer dann aktualisiert, wenn sich die STIG-Benchmark ändert oder wenn Änderungen an der Sicherheitsrichtlinie eine manuelle Konfiguration des Images erfordern. Spezifische Änderungen in den einzelnen Releases finden Sie unter Revisionshistorie für Oracle Linux STIG-Images.
Wichtig

Änderungen, die an einer Oracle Linux STIG-Imageinstanz vorgenommen werden (wie der Installation anderer Anwendungen oder die Änderung der Konfigurationseinstellungen), können sich auf den Compliancegrad auswirken. Nachdem Sie Änderungen vorgenommen haben, scannen Sie die Instanz erneut, um sie auf Compliance zu prüfen

Was ist ein STIG?

Ein Security Technical Implementation Guide (STIG) ist ein Dokument der Defense Information Systems Agency (DISA). Es enthält Anleitungen zur Konfiguration eines Systems, um die Cybersicherheitsanforderungen für das Deployment innerhalb der IT-Netzwerksysteme des US-Verteidigungsministeriums (DoD) zu erfüllen. STIG-Anforderungen helfen beim Schutz des Netzwerks vor Cybersicherheitsbedrohungen, indem sie sich auf die Infrastruktur- und Netzwerksicherheit konzentrieren, um Sicherheitslücken zu mindern. Die Einhaltung der STIGs ist eine Anforderung für DoD-Agenturen oder eine Organisation, die Teil der DoD-Informationsnetzwerke ist (DoDIN).

Mit dem Oracle Linux-STIG-Image kann die Compliance automatisiert werden, indem eine gehärtete Version des Standard-Oracle Linux-Images bereitgestellt wird. Das Image ist gemäß den STIG-Richtlinien gehärtet. Das Image kann jedoch nicht alle STIG-Anforderungen erfüllen und erfordert möglicherweise zusätzliche manuelle Korrektur.

Aktuellen STIG herunterladen

DISA stellt vierteljährliche Updates für die STIGs bereit. Diese Dokumentation wurde mit dem neuesten STIG erstellt, der zum Zeitpunkt der Veröffentlichung verfügbar ist. Wenden Sie jedoch immer den aktuellen STIG an, wenn Sie Ihr System bewerten.

Laden Sie den aktuellen STIG unter https://public.cyber.mil/stigs/downloads/ herunter. Suchen Sie nach Oracle Linux, und laden Sie dann die entsprechende ZIP-Datei herunter.

Verwenden Sie optional den DISA-STIG-Viewer von https://public.cyber.mil/stigs/srg-STIG-tools/. Importieren Sie anschließend die STIG-Datei xccdf.xml, um die STIG-Regeln anzuzeigen.

Wie wird die STIG-Compliance bewertet?

Die Compliancebewertung beginnt häufig mit einem Scan mit einem SCAP-Complianceprüfungstool (Security Content Automation Protocol). Das Tool verwendet einen STIG (im SCAP-Format hochgeladen), um die Sicherheit eines Systems zu analysieren. Das Tool testet jedoch nicht immer alle Regeln in einem STIG, und einige STIGs weisen möglicherweise keine SCAP-Versionen auf. In diesem Fall muss ein Auditor das System manuell auf Compliance überprüfen, indem er die STIG-Regeln durchläuft, die nicht vom Tool abgedeckt sind.

Die folgenden Tools stehen zur Automatisierung der Compliancebewertung zur Verfügung:

  • SCAP Compliance Checker (SCC): Ein von DISA entwickeltes Tool, das eine Bewertung entweder mit der DISA STIG-Benchmark oder einem OpenSCAP-Upstreamprofil ausführen kann. Im Allgemeinen wird die DISA-STIG-Benchmark für Compliancescans verwendet, wenn das SCC-Tool genutzt wird.

    Wichtig

    Um die Arm-Architektur (aarch64) zu scannen, müssen Sie die SCC-Version 5.5 oder neuer verwenden.

  • OpenSCAP: Ein über yum verfügbares Open-Source-Utility, das eine Bewertung mit der DISA STIG-Benchmark oder einem OpenSCAP-Upstreamprofil ausführen kann. Oracle Linux verteilt ein SCAP Security Guide-(SSG-)Package mit spezifischen Profilen für Systemreleases. Beispiel: Die vom SSG-Package bereitgestellte SCAP-Datastream-ssg-ol7-ds.xml-Datei enthält das DISA-STIG für Oracle Linux 7-Profil. Ein Vorteil bei der Verwendung des OpenSCAP-Tools ist, dass SSG Bash- oder Ansible-Skripte bereitstellt, um das Korrekturverfahren zu automatisieren und das System in einen konformen Status zu versichern.

    Achtung

    Die automatische Korrektur mithilfe von Skripten kann zu einer unerwünschten Systemkonfiguration führen oder dazu, dass ein System nicht mehr funktioniert. Testen Sie die Korrekturskripte in einer Nicht-Produktions-Umgebung.

Informationen zum Ausführen der Compliancetools und Generieren eines Scanberichts finden Sie unter Instanz erneut auf Compliance scannen.

Complianceziele

Das Oracle Linux STIG-Image enthält zusätzliche Korrekturen für Regeln, die nicht von der DISA STIG-Benchmark adressiert werden. Verwenden Sie das SSG-Profil "STIG", das auf DISA STIG für Oracle Linux ausgerichtet ist, um die Automatisierung der zuvor nicht adressierten Regeln zu erweitern und die Compliance mit dem vollständigen DISA STIG zu bestimmen.

Das Bild enthält zwei DISA STIG Viewer-Checklistendateien, die auf den Scanergebnissen von SCC und OpenSCAP basieren. Die Checkliste für die DISA STIG-Benchmark verwendet die SCC-Scanergebnisse, während die Checkliste für das SSG-Profil "STIG" die OpenSCAP-Scanergebnisse verwendet. Diese Checklisten enthalten Kommentare von Oracle für Bildbereiche, die nicht den Vorgaben entsprechen. Siehe Zusätzliche Konfigurationen mit der Checkliste anzeigen.

Hinweis

Die höheren Compliance-Scores für die DISA STIG Benchmark spiegeln einen begrenzteren Regelumfang im Vergleich zum kompletten DISA STIG wider. Das SSG-Profil "STIG" macht jedoch den gesamten DISA STIG aus und bietet eine umfassendere Bewertung der Compliance des Bildes.

Oracle Linux 8

Oracle Linux 8 STIG-Images folgen den DISA-Sicherheitsstandards und werden gemäß Oracle Linux 8 DISA STIG gehärtet. Für das neueste Oracle Linux 8 STIG-Imagerelease ist das Complianceziel DISA STIG für Oracle Linux 8 Ver 2, Rel 4. Das scap-security-guide-Package (mindestens 0.1.76-1.0.3), das über yum verfügbar ist, enthält das SSG-Profil "STIG", das auf DISA STIG für Oracle Linux 8 Ver 2, Rel 4 ausgerichtet ist.

Complianceinformationen für Oracle Linux 8.10 Juni 2025 STIG-Images:

Ziel: SSG-Profil entsprechend DISA STIG für Oracle Linux 8 Ver 2, Rel 4

  • Checklisten-Compliance-Score für x86_64: 79,94%
  • Checklisten-Compliance-Score für aarch64: 79,87%

Ziel: DISA STIG für Oracle Linux 8 Ver 2, Rel 4 Benchmark-Profil

  • Checklisten-Compliance-Score für x86_64: 84,26%
  • Checklisten-Compliance-Score für aarch64: 84,26%

Oracle Linux 7 (erweiterter Support)

Oracle Linux 7-STIG-Images folgen den DISA-Sicherheitsstandards und werden gemäß Oracle Linux 7 DISA STIG gehärtet. Für das neueste Oracle Linux 7 STIG-Imagerelease ist das Complianceziel auf DISA STIG Ver 3, Rel 1 übergegangen. Das scap-security-guide-Package (mindestens 0.1.73-1.0.3), das über yum verfügbar ist, enthält das SSG-Profil "STIG", das auf DISA STIG für Oracle Linux 7 Version 3, Release 1 ausgerichtet ist.

Complianceinformationen für Oracle Linux 7.9 Februar 2025 STIG-Images:

Ziel: SSG-Profil entsprechend DISA STIG für Oracle Linux 7 Ver 3, Rel 1

  • Checklisten-Compliance-Score x86_64: 81,65%
  • Checklisten-Compliance-Score aarch64: 81,65%

Ziel: DISA STIG für Oracle Linux 7 Ver 3, Rel 1 Benchmark-Profil

  • Checklisten-Compliance-Score x86_64: 91,71%
  • Checklisten-Compliance-Score aarch64: 91,71%
Hinweis

Der STIG-Standard von DISA hatte außer dem Wortlaut keine wesentlichen Änderungen zwischen Oracle Linux 7 Ver 3, Rel 1 und Oracle Linux 7 Ver 2, Rel 14. Aus diesem Grund ist jedes System, das mit Oracle Linux 7 Ver 2, Rel 14 konform ist, auch mit Oracle Linux 7 Ver 3, Rel 1 konform.