Oracle Linux STIG-Image

Das Oracle Linux STIG-Image ist eine Implementierung von Oracle Linux, die dem Security Technical Implementation Guide (STIG) folgt.

Mit dem STIG-Image können Sie eine Oracle Linux-Instanz in Oracle Cloud Infrastructure konfigurieren, die bestimmten Sicherheitsstandards und -anforderungen der Defense Information Systems Agency (DISA) entspricht.

Hinweis

Oracle aktualisiert das Oracle Linux STIG-Image regelmäßig mit den neuesten Sicherheitserrata. Dieses Dokument wird immer dann aktualisiert, wenn sich die STIG-Benchmark ändert oder wenn Änderungen an der Sicherheitsrichtlinie eine manuelle Konfiguration des Images erfordern. Spezifische Änderungen in den einzelnen Releases finden Sie unter Revisionshistorie für Oracle Linux STIG-Image.

Wichtig

Änderungen, die Sie an einer Oracle Linux-STIG-Imageinstanz vornehmen (wie die Installation anderer Anwendungen oder die Änderung der Konfigurationseinstellungen), können sich auf den Compliancegrad auswirken. Nachdem Sie Änderungen vorgenommen haben, scannen Sie die Instanz erneut, um sie auf Compliance zu prüfen. Siehe Instanz erneut auf Compliance scannen.

Was ist ein STIG?

Ein Security Technical Implementation Guide (STIG) ist ein Dokument der Defense Information Systems Agency (DISA). Es enthält Anleitungen zur Konfiguration eines Systems, um die Cybersicherheitsanforderungen für das Deployment innerhalb der IT-Netzwerksysteme des US-Verteidigungsministeriums (DoD) zu erfüllen. STIG-Anforderungen helfen beim Schutz des Netzwerks vor Cybersicherheitsbedrohungen, indem sie sich auf die Infrastruktur- und Netzwerksicherheit konzentrieren, um Sicherheitslücken zu mindern. Die Einhaltung von STIGs ist eine Anforderung für DoD-Behörden oder für jede Organisation, die Teil des Informationsnetzwerks DoD (DoDIN) ist.

Mit dem Oracle Linux-STIG-Image kann die Compliance automatisiert werden, indem eine gehärtete Version des Standard-Oracle Linux-Images bereitgestellt wird. Das Image ist gemäß den STIG-Richtlinien gehärtet. Das Image kann jedoch nicht alle STIG-Anforderungen erfüllen und erfordert möglicherweise zusätzliche manuelle Korrekturen. Siehe Korrekturen anwenden.

Aktuellen STIG herunterladen

DISA stellt vierteljährliche Updates für die STIGs bereit. Diese Dokumentation wurde mit dem neuesten STIG erstellt, der zum Zeitpunkt der Veröffentlichung verfügbar ist. Verwenden Sie jedoch immer den aktuellen STIG, wenn Sie Ihr System bewerten.

Laden Sie den aktuellen STIG unter https://public.cyber.mil/stigs/downloads/ herunter. Suchen Sie nach Oracle Linux, und laden Sie dann die entsprechende ZIP-Datei herunter.

Verwenden Sie optional den DISA-STIG-Viewer von https://public.cyber.mil/stigs/srg-STIG-tools/. Importieren Sie anschließend die STIG-Datei xccdf.xml, um die STIG-Regeln anzuzeigen.

Wie wird die STIG-Compliance bewertet?

Die Compliancebewertung beginnt häufig mit einem Scan mit einem SCAP-Complianceprüfungstool (Security Content Automation Protocol). Das Tool verwendet einen STIG (im SCAP-Format hochgeladen), um die Sicherheit eines Systems zu analysieren. Das Tool testet jedoch nicht immer alle Regeln in einem STIG, und einige STIGs weisen möglicherweise keine SCAP-Versionen auf. In diesen Fällen muss ein Auditor das System manuell auf Compliance überprüfen, indem er die nicht vom Tool abgedeckten STIG-Regeln durchläuft.

Die folgenden Tools stehen zur Automatisierung der Compliancebewertung zur Verfügung:

SCAP Compliance Checker (SCC): Ein von DISA entwickeltes DISA-Tool, das eine Bewertung entweder mit der DISA-STIG-Benchmark oder einem OpenSCAP-Upstreamprofil ausführen kann. Im Allgemeinen wird die DISA-STIG-Benchmark für Compliancescans verwendet, wenn das SCC-Tool genutzt wird.

Wichtig

Zum Scannen einer Arm-Architektur (aarch64) müssen Sie die SCC-Version 5.5 oder höher verwenden.
OpenSCAP: Ein Open-Source-Utility, das über yum verfügbar ist und eine Bewertung mit der DISA-STIG-Benchmark oder einem OpenSCAP-Upstreamprofil ausführen kann. Oracle Linux verteilt ein SCAP Security Guide-(SSG-)Package mit spezifischen Profilen für Systemreleases. Beispiel: Die vom SSG-Paket bereitgestellte SCAP-Datenstreamdatei ssg-ol7-ds.xml enthält das DISA-STIG-Profil für Oracle Linux 7. Ein Vorteil bei der Verwendung des OpenSCAP-Tools besteht darin, dass SSG Bash- oder Ansible-Skripte bereitstellt, um die Korrektur zu automatisieren und das System in einen konformen Status zu versetzen.

Achtung

Die automatische Korrektur mit Skripten kann zu einer unerwünschten Systemkonfiguration führen oder ein System funktionsunfähig machen. Testen Sie die Korrekturskripte in einer Nicht-Produktionsumgebung.

Informationen zum Ausführen der Compliancetools und zum Generieren eines Scanberichts finden Sie unter Instanz erneut auf Compliance scannen.

Complianceziele

Das Oracle Linux STIG-Image enthält zusätzliche Korrekturen für Regeln, die nicht von der DISA STIG-Benchmark behandelt werden. Verwenden Sie das mit DISA STIG abgestimmte SSG-"STIG"-Profil für Oracle Linux, um die Automatisierung der zuvor nicht adressierten Regeln zu erweitern und die Compliance mit dem vollständigen DISA STIG zu bestimmen.

Das Bild enthält zwei DISA STIG Viewer-Checklistendateien, die auf Scanergebnissen von SCC und OpenSCAP basieren. Die Checkliste für die DISA STIG-Benchmark verwendet die SCC-Scanergebnisse, während die Checkliste für das SSG-Profil "STIG" die OpenSCAP-Scanergebnisse verwendet. Diese Checklisten enthalten Kommentare von Oracle für Bereiche des Bildes, die den Richtlinien nicht entsprechen. Siehe Zusätzliche Konfigurationen mit der Checkliste anzeigen.

Hinweis

Die höheren Compliancebewertungen für die DISA STIG-Benchmark spiegeln einen begrenzteren Regelbereich im Vergleich zum vollständigen DISA STIG wider. Das SSG-Profil "stig" berücksichtigt jedoch die vollständige DISA STIG und bietet eine umfassendere Bewertung der Bildkonformität.

Oracle Linux 8

Oracle Linux 8-STIG-Images folgen den DISA-Sicherheitsstandards und werden gemäß Oracle Linux 8 DISA STIG gehärtet. Für das neueste Oracle Linux 8 STIG-Imagerelease ist das Complianceziel DISA STIG für Oracle Linux 8 Ver 1, Rel 10. Das Package scap-security-guide (Mindestversion 0.1.73-1.0.1), das über yum verfügbar ist, enthält das SSG-Profil "STIG", das auf DISA STIG für Oracle Linux 8 Ver 1, Rel 10 ausgerichtet ist.

Complianceinformationen für STIG-Images für Oracle Linux 8.10. September 2024:

Ziel: SSG-"STIG"-Profil entsprechend DISA STIG für Oracle Linux 8 Version 1, Release 10

Checklisten-Compliance-Score für x86_64: 74,63%
Checklisten-Compliance-Score für aarch64: 74,55%

Ziel: DISA STIG für Oracle Linux 8 Ver 1, Rel 8 Benchmarkprofil

Checklisten-Compliance-Score für x86_64: 80,57%
Checklisten-Compliance-Score für aarch64: 80,57%

Oracle Linux 7 (erweiterter Support)

Oracle Linux 7-STIG-Images folgen den DISA-Sicherheitsstandards und werden gemäß Oracle Linux 7 DISA STIG gehärtet. Für das neueste Oracle Linux 7 STIG-Imagerelease wurde das Complianceziel auf DISA STIG Ver 3, Rel 1 umgestellt. Das über yum verfügbare Package scap-security-guide (Mindestversion 0.1.73-1.0.3) enthält das SSG-Profil "STIG", das auf DISA STIG für Oracle Linux 7 Version 3, Release 1 ausgerichtet ist.

Complianceinformationen für STIG-Images für Oracle Linux 7.9. Februar 2025:

Ziel: SSG-"STIG"-Profil entsprechend DISA STIG für Oracle Linux 7 Version 3, Release 1

Checklisten-Compliance-Score x86_64: 81,65%
Checklisten-Compliance-Score aarch64: 81,65%

Ziel: DISA STIG für Oracle Linux 7 Ver 3, Rel 1 Benchmarkprofil

Checklisten-Compliance-Score x86_64: 91,71%
Checklisten-Compliance-Score aarch64: 91,71%

Hinweis

Der STIG-Standard von DISA hatte keine wesentlichen Änderungen, außer der Formulierung, zwischen Oracle Linux 7 Ver 3, Rel 1 und Oracle Linux 7 Ver 2, Rel 14. Aus diesem Grund ist jedes mit Oracle Linux 7 Ver 2 konforme System, Rel 14, auch mit Oracle Linux 7 Ver 3, Rel 1 konform.

Instanzen erstellen und Verbindungen mit ihnen herstellen

Siehe Instanzen erstellen und Auf Instanzen zugreifen.

Verfügbare Bilder:

Korrekturen anwenden

Das gesicherte Oracle Linux STIG-Image kann nicht für alle empfohlenen Richtlinien konfiguriert werden. Sie müssen alle Konfigurationen, die nicht in der Oracle Linux STIG-Imageinstanz enthalten sind, manuell abschließen.

Anweisungen zum Anwenden der entsprechenden Sicherheitskonfiguration für alle von DISA festgelegten Sicherheitsregeln finden Sie im entsprechenden Technischen Implementierungshandbuch für Sicherheit in Oracle Linux.

Wichtig

Einige Änderungen am Image können sich auf den Standardaccount der Instanz in Oracle Cloud Infrastructure auswirken. Wenn Sie eine Regel durchsetzen möchten, prüfen Sie die Informationen zu jeder Regel und die Gründe für den Ausschluss, um die potenziellen Auswirkungen auf die Instanz vollständig zu verstehen.

Zusätzliche Konfigurationen mit der Checkliste anzeigen

Verwenden Sie die mit dem Oracle Linux STIG-Image bereitgestellten Checklisten, um zusätzliche "Versionshinweise" zu Richtlinienbereichen anzuzeigen, die nicht im Image enthalten sind. Möglicherweise ist eine zusätzliche Konfiguration erforderlich. In den Versionshinweisen werden zusätzliche Konfigurationen aufgeführt, die sich auf den Oracle Cloud Infrastructure-Standardaccount der Instanzen auswirken können.

Auf die Checkliste zugreifen

Das Oracle Linux STIG-Image enthält DISA STIG Viewer-Checklisten sowohl für das "STIG"-Profil von DISA STIG Benchmark als auch für das SCAP Security Guide (SSG), das mit DISA STIG für Oracle Linux abgestimmt ist. Diese Checklisten befinden sich im Verzeichnis /usr/share/xml/stig. Unter Revisionshistorie finden Sie den spezifischen Dateinamen, der mit jedem Release verknüpft ist.

OL<release>_SSG_STIG_<stig-version>_CHECKLIST_RELEASE.ckl: Checkliste für DISA STIG für Oracle Linux mit den Ergebnissen des SSG "STIG"-Profilscans.
OL<release>_DISA_BENCHMARK_<stig-version>_CHECKLIST_RELEASE.ckl: Checkliste für DISA STIG-Benchmark für Oracle Linux mit den SCC Oracle_Linux_<release>_STIG-Profilscanergebnissen.

Versionshinweise für Checklisten anzeigen

Laden Sie das DISA STIG Viewer-Tool herunter unter: https://public.cyber.mil/stigs/srg-stig-tools/
Öffnen Sie das STIG-Viewer-Tool.
Wählen Sie unter Checkliste die Option Checkliste aus Datei öffnen... aus, und navigieren Sie zur Checklistendatei.
Blenden Sie den Filterbereich ein, und fügen Sie den folgenden Filter hinzu:
- Muss übereinstimmen: ALLE
- Filtern nach: Stichwort
- Filtertyp: Inklusive (+) Filter
- Schlüsselwort: Oracle Release Notes
Die Versionshinweise enthalten zusätzliche Informationen zu den Regeln:
- Offen - Regeln, die ausgeschlossen oder als außerhalb des Geltungsbereichs betrachtet wurden.
  - Ausgeschlossen: Regeln, die sich auf den Oracle Cloud Infrastructure-Standardaccount der Instanz auswirken und von der Korrektur für das Oracle Linux STIG-Image ausgeschlossen wurden.
  - Nicht im Geltungsbereich - Regeln, die für die Korrektur im aktuellen Release außerhalb des Geltungsbereichs liegen, jedoch in einem zukünftigen Release für die Korrektur in Betracht gezogen werden können.
- Nicht anwendbar: Regeln, die für das Oracle Linux STIG-Image als nicht anwendbar erachtet wurden.
- Nicht geprüft - Regeln, die für das aktuelle Release nicht geeignet sind, aber für eine Korrektur in einem zukünftigen Release in Betracht gezogen werden können.
Stellen Sie sicher, dass Sie für jede Regel die Auswirkungen auf die Instanz vollständig verstanden haben, bevor Sie eine Korrektur anwenden.

Instanz erneut auf Compliance scannen

Scannen Sie die Instanz mit dem SCC- oder OpenSCAP-Tool, um zu prüfen, ob sie weiterhin konform ist.

Änderungen an einer Oracle Linux STIG-Imageinstanz (wie die Installation anderer Anwendungen oder das Hinzufügen neuer Konfigurationseinstellungen) können sich auf die Compliance auswirken. Es wird empfohlen zu scannen, um zu prüfen, ob die Instanz nach eventuellen Änderungen konform ist. Darüber hinaus müssen Sie möglicherweise weitere Scans durchführen, um nach regelmäßigen, vierteljährlichen DISA STIG-Updates zu suchen.

Das Tool OpenSCAP verwenden

Das Tool OpenSCAP ist in Oracle Linux verfügbar und vom National Institute of Standards and Technologies (NIST) zertifiziert.

Melden Sie sich bei Ihrer Oracle Linux STIG-Imageinstanz an.
Installieren Sie das Package openscap-scanner.
```
sudo yum install openscap-scanner
```
Identifizieren Sie die XCCDF- oder Datastream-Datei, die für den Scan verwendet werden soll.

So verwenden Sie das SSG-Profil "stig":
1. Installieren Sie das Package scap-security-guide.
```
sudo yum install scap-security-guide
```
2. Suchen Sie die Datei, die für den Scan in /usr/share/xml/scap/ssg/content verwendet werden soll.
So verwenden Sie die Oracle Linux DISA STIG-Benchmark:
1. Gehen Sie zu https://public.cyber.mil/stigs/downloads/".
2. Suchen Sie nach Oracle Linux, und laden Sie die entsprechende DISA STIG-Benchmarkdatei herunter.
3. Dekomprimieren Sie die Datei nach dem Download.
Führen Sie zum Scannen den folgenden Befehl aus:
```
sudo oscap xccdf eval --profile profile-name \
--results=path-to-results.xml --oval-results \
--report=path-to-report.html \
--check-engine-results \
--stig-viewer=path-to-stig-viewer-report.xml \
path-to-xccdf-document
```
Weitere Optionen, die Sie mit dem Befehl oscap verwenden können, finden Sie unter Mit OpenSCAP auf Sicherheitslücken scannen in Oracle® Linux 7: Sicherheitsdokumentation und Oracle Linux 8: OpenSCAP für Sicherheitscompliance verwenden.
Prüfen Sie die Auswertungsergebnisse in der Datei path-to-report.html.

Das SSC-Tool verwenden

Das SCC-Tool ist das offizielle Tool zur Prüfung der Einhaltung der gesetzlichen Vorschriften und kann zum Scannen einer Oracle Linux STIG-Imageinstanz verwendet werden.

Wichtig

Zum Scannen einer Arm-Architektur (aarch64) müssen Sie die SCC-Version 5.5 oder höher verwenden.

Anweisungen zur Verwendung des SCC-Tools finden Sie in der Tabelle "SCAP Tools" unter https://public.cyber.mil/stigs/scap/.

Rufen Sie das SCC-Tool von der Tabelle unter https://public.cyber.mil/stigs/scap/ ab.

Installieren Sie das Tool.

unzip scc-5.4.2_rhel7_sles12-15_oracle-linux7_x86_64_bundle.zip
cd scc-5.4.2_rhel7_x86_64/
rpm -i scc-5.4.2.rhel7.x86_64.rpm

ZIP-Datei des SCAP-Inhalts, bevor sie in das SCC-Tool importiert wird.

Für das SSG "stig"-Profil:

zip ssg_content.zip /usr/share/xml/scap/ssg/content/xml-document
/opt/scc/cscc -is ssg_content.zip

Für die Oracle Linux DISA STIG-Benchmark:

zip scap_content.zip path-to-disa-benchmark-xml-document
/opt/scc/cscc -is scap_content.zip

SCC zum Scannen des importierten Inhalts konfigurieren
```
/opt/scc/cscc --config
```

Führen Sie den Scan über das Befehlszeilenmenü aus:

Geben Sie 1 ein, um SCAP-Inhalt zu konfigurieren.

Geben Sie clear ein, und geben Sie dann die Nummer ein, die dem importierten SCAP-Inhalt entspricht.

Im folgenden Beispiel geben Sie 2 für den importierten SCAP-Content für Oracle Linux 7 ein.

SCC 5.4.2 Available SCAP Content                        [Version]  [Date]    
1.  [ ]  Mozilla_Firefox_RHEL                           005.003    2021-06-09
2.  [X]  OL-7                                           0.1.54     2021-09-23
3.  [ ]  Oracle_Linux_7_STIG                            002.004    2021-06-14
4.  [ ]  RHEL_6_STIG                                    002.002    2020-12-04
5.  [ ]  RHEL_7_STIG                                    003.004    2021-06-14
6.  [ ]  RHEL_8_STIG                                    001.002    2021-06-14
7.  [ ]  SLES_12_STIG                                   002.004    2021-06-14

Geben Sie 0 ein, um zum Hauptmenü zurückzukehren.
Geben Sie 2 ein, um das SCAP-Profil zu konfigurieren.
Geben Sie 1 ein, um das Profil auszuwählen. Stellen Sie sicher, dass "stig" ausgewählt ist.
```
Available Profiles for OL-7

1.  [ ] no_profile_selected
2.  [X] stig
```
Kehren Sie zum Hauptmenü zurück. Geben Sie 9 ein, um die Änderungen zu speichern und einen Scan im System auszuführen.
Der Scan kann 25 bis 30 Minuten dauern.

Revisionshistorie für Oracle Linux STIG-Image

Oracle aktualisiert das Oracle Linux STIG-Image regelmäßig, um Sicherheitsprobleme zu beheben.

Wenn Sie ein älteres Oracle Linux STIG-Image bereitstellen, können Sie danach einen Scan ausführen, um auf regelmäßige vierteljährliche DISA STIG-Updates zu prüfen. Weitere Informationen finden Sie unter Instanz erneut auf Compliance scannen.

Oracle Linux 8

Oracle-Linux-8.10-STIG September 2024

Diese Informationen sind für:

Oracle Linux-8.10-2024.08.20-STIG (für x86_64)
Oracle Linux-8.10-aarch64-2024.08.20-STIG (für aarch64)

Imageinformationen

kernel-uek: 5.15.0-209.161.7.1.el8uek
Das erste Release von Oracle Linux 8.10 wurde gegen DISA STIG für Oracle Linux 8 Ver 1, Rel 10 gehärtet.
Systempackages wurden auf die neuesten verfügbaren Versionen mit Sicherheitsfixes aktualisiert.
Weitere STIG-Regelkorrekturen, die auf das Image angewendet werden, finden Sie unter Zusätzliche Konfigurationen mit der Checkliste anzeigen.
Checklistendateien in /usr/share/xml/stig:
- OL8_SSG_STIG_V1R10_CHECKLIST_RELEASE.ckl
- OL8_DISA_BENCHMARK_V1R8_CHECKLIST_RELEASE.ckl

Complianceinformationen

Ziel: SSG-"STIG"-Profil entsprechend DISA STIG für Oracle Linux 8 Version 1, Release 10

Checklisten-Compliance-Score für x86_64: 74,63%
Checklisten-Compliance-Score für aarch64: 74,55%

Ziel: DISA STIG für Oracle Linux 8 Ver 1, Rel 8 Benchmarkprofil

Checklisten-Compliance-Score für x86_64: 80,57%
Checklisten-Compliance-Score für aarch64: 80,57%

Oracle-Linux-8.9-STIG Januar 2024

Diese Informationen sind für:

Oracle Linux-8.9-2024.01.25-STIG (für x86_64)
Oracle Linux-8.9-aarch64-2024.01.25-STIG (für aarch64)

Imageinformationen

kernel-uek: 5.15.0-202.135.2.el8uek
Das erste Release von Oracle Linux 8.9 wurde gegen DISA STIG für Oracle Linux 8 Ver 1, Rel 8 gehärtet.
Systempackages wurden auf die neuesten verfügbaren Versionen mit Sicherheitsfixes aktualisiert.
Weitere STIG-Regelkorrekturen, die auf das Image angewendet werden, finden Sie unter Zusätzliche Konfigurationen mit der Checkliste anzeigen.
Checklistendateien in /usr/share/xml/stig:
- OL8_SSG_STIG_V1R8_CHECKLIST_RELEASE.ckl
- OL8_DISA_BENCHMARK_V1R7_CHECKLIST_RELEASE.ckl

Complianceinformationen

Ziel: SSG-"STIG"-Profil entsprechend DISA STIG für Oracle Linux 8 Version 1, Release 8

Checklisten-Compliance-Score für x86_64: 67,50%
Checklisten-Compliance-Score für aarch64: 67,40%

Ziel: DISA STIG für Oracle Linux 8 Ver 1, Rel 7 Benchmarkprofil

Checklisten-Compliance-Score für x86_64: 78,92%
Checklisten-Compliance-Score für aarch64: 78,92%

Oracle-Linux-8.8-STIG Juli 2023

Diese Informationen sind für:

Oracle Linux-8.8-2023.07.06-STIG (für x86_64)
Oracle Linux-8.8-aarch64-2023.07.06-STIG (für aarch64)

Imageinformationen

kernel-uek: 5.15.0-102.110.5.1.el8uek
Das erste Release von Oracle Linux 8.8 wurde gegen DISA STIG für Oracle Linux 8 Ver 1, Rel 6 gehärtet.
Systempackages wurden auf die neuesten verfügbaren Versionen mit Sicherheitsfixes aktualisiert.
Weitere STIG-Regelkorrekturen, die auf das Image angewendet werden, finden Sie unter Zusätzliche Konfigurationen mit der Checkliste anzeigen.
Checklistendateien in /usr/share/xml/stig:
- OL8_SSG_STIG_V1R6_CHECKLIST_RELEASE.ckl
- OL8_DISA_BENCHMARK_V1R5_CHECKLIST_RELEASE.ckl

Complianceinformationen

Ziel: SSG-"STIG"-Profil entsprechend DISA STIG für Oracle Linux 8 Version 1, Release 6

Checklisten-Compliance-Score für x86_64: 64,81%
Checklisten-Compliance-Score für aarch64: 64,54%

Ziel: DISA STIG für Oracle Linux 8 Ver 1, Rel 5 Benchmarkprofil

Checklisten-Compliance-Score für x86_64: 78,92%
Checklisten-Compliance-Score für aarch64: 78,92%

Oracle-Linux-8.7-STIG April 2023

Diese Informationen sind für:

Oracle Linux-8.7-2023.04.26-STIG (für x86_64)
Oracle Linux-8.7-aarch64-2023.04.26-STIG (für aarch64)

Imageinformationen

kernel-uek: 5.15.0-100.96.32.el8uek
Das erste Release von Oracle Linux 8.7 wurde gegen DISA STIG für Oracle Linux 8 Ver 1, Rel 5 gehärtet.
Systempackages wurden auf die neuesten verfügbaren Versionen mit Sicherheitsfixes aktualisiert.
Weitere STIG-Regelkorrekturen, die auf das Image angewendet werden, finden Sie unter Zusätzliche Konfigurationen mit der Checkliste anzeigen.
Checklistendateien in /usr/share/xml/stig:
- OL8_SSG_STIG_V1R5_CHECKLIST_RELEASE.ckl
- OL8_DISA_BENCHMARK_V1R4_CHECKLIST_RELEASE.ckl

Complianceinformationen

Ziel: SSG-"STIG"-Profil entsprechend DISA STIG für Oracle Linux 8 Version 1, Release 5

Checklisten-Compliance-Score für x86_64: 63,78%
Checklisten-Compliance-Score für aarch64: 63,50%

Ziel: DISA STIG für Oracle Linux 8 Ver 1, Rel 4 Benchmark-Profil

Checklisten-Compliance-Score für x86_64: 79,25%
Checklisten-Compliance-Score für aarch64: 79,25%

Oracle Linux 7 (erweiterter Support)

Oracle-Linux-7.9-STIG Februar 2025

Diese Informationen sind für:

Oracle Linux-7.9-2025.02.06-STIG (für x86_64)
Oracle Linux-7.9-aarch64-2025.02.06-STIG (für aarch64)

Imageinformationen

kernel-uek: 5.4.17-2136.339.5.1.el7uek (x86_64) und 5.4.17-2136.338.4.2 (aarch64)
Systempackages wurden auf die neuesten verfügbaren Versionen mit Sicherheitsfixes aktualisiert.
Erweitertes Linux Support-(ELS-)yum-Kanal oder Repositorys, das dem x86_64-Image hinzugefügt wird.
Complianceziel ist das SSG-Profil entsprechend DISA STIG für Oracle Linux 7 Version 3, Release 1.
Minimale SSG-Version: scap-security-guide-0.1.73-1.0.3
Weitere STIG-Regelkorrekturen, die auf das Image angewendet werden, finden Sie unter Zusätzliche Konfigurationen mit der Checkliste anzeigen.
Checklistendateien in /usr/share/xml/stig:
- OL7_SSG_STIG_V3R1_CHECKLIST_RELEASE.ckl
- OL7_DISA_BENCHMARK_V3R1_CHECKLIST_RELEASE.ckl

Complianceinformationen

Ziel: SSG-"STIG"-Profil entsprechend DISA STIG für Oracle Linux 7 Version 3, Release 1

Checklisten-Compliance-Score x86_64: 81,65%
Checklisten-Compliance-Score aarch64: 81,65%

Ziel: DISA STIG für Oracle Linux 7 Ver 3, Rel 1 Benchmarkprofil

Checklisten-Compliance-Score x86_64: 91,71%
Checklisten-Compliance-Score aarch64: 91,71%

Oracle-Linux-7.9-STIG Mai 2024

Diese Informationen sind für:

Oracle Linux-7.9-2024.05.31-STIG (für x86_64)
Oracle Linux-7.9-aarch64-2024.05.31-STIG (für aarch64)

Imageinformationen

kernel-uek: 5.4.17-2136.331.7.el7uek
Systempackages wurden auf die neuesten verfügbaren Versionen mit Sicherheitsfixes aktualisiert.
Complianceziel ist das SSG-Profil entsprechend DISA STIG für Oracle Linux 7 Version 2, Release 14.
Minimale SSG-Version: scap-security-guide-0.1.72-2.0.1
Weitere STIG-Regelkorrekturen, die auf das Image angewendet werden, finden Sie unter Zusätzliche Konfigurationen mit der Checkliste anzeigen.
Checklistendateien in /usr/share/xml/stig:
- OL7_SSG_STIG_V2R14_CHECKLIST_RELEASE.ckl
- OL7_DISA_BENCHMARK_V1R14_CHECKLIST_RELEASE.ckl

Complianceinformationen

Ziel: SSG-"STIG"-Profil entsprechend DISA STIG für Oracle Linux 7 Version 2, Release 14

Checklisten-Compliance-Score x86_64: 81,36%
Checklisten-Compliance-Score aarch64: 81,36%

Ziel: DISA STIG für Oracle Linux 7 Ver 2, Rel 14 Benchmarkprofil

Checklisten-Compliance-Score x86_64: 91,77%
Checklisten-Compliance-Score aarch64: 91,77%

Hinweis

Der STIG-Standard von DISA hatte keine wesentlichen Änderungen, außer der Formulierung, zwischen Oracle Linux 7 Ver 2, Rel 13 und Oracle Linux 7 Ver 2, Rel 14. Aus diesem Grund ist jedes mit Oracle Linux 7 Ver 2 konforme System, Rel 13, auch mit Oracle Linux 7 Ver 2, Rel 14 konform.

Hinweis

Die höheren Compliancebewertungen für die DISA STIG-Benchmark spiegeln einen begrenzteren Regelbereich im Vergleich zum vollständigen DISA STIG wider. Das SSG-Profil "STIG" berücksichtigt jedoch die vollständige DISA STIG und bietet eine umfassendere Bewertung der Bildkonformität.

Oracle-Linux-7.9-STIG Dezember 2023

Diese Informationen sind für:

Oracle Linux-7.9-2023.11.30-STIG (für x86_64)
Oracle Linux-7.9-aarch64-2023.11.30-STIG (für aarch64)

Imageinformationen

kernel-uek: 5.4.17-2136.325.5.1.el7uek
Systempackages wurden auf die neuesten verfügbaren Versionen mit Sicherheitsfixes aktualisiert.
Complianceziel ist das SSG-Profil entsprechend DISA STIG für Oracle Linux 7 Version 2, Release 13.
Minimale SSG-Version: scap-security-guide-0.1.69-1.0.1
Weitere STIG-Regelkorrekturen, die auf das Image angewendet werden, finden Sie unter Zusätzliche Konfigurationen mit der Checkliste anzeigen.
Checklistendateien in /usr/share/xml/stig:
- OL7_SSG_STIG_V2R13_CHECKLIST_RELEASE.ckl
- OL7_DISA_BENCHMARK_V1R13_CHECKLIST_RELEASE.ckl

Complianceinformationen

Ziel: SSG-"STIG"-Profil entsprechend DISA STIG für Oracle Linux 7 Version 2, Release 13

Checklisten-Compliance-Score x86_64: 81,36%
Checklisten-Compliance-Score aarch64: 81,36%

Ziel: DISA STIG für Oracle Linux 7 Ver 2, Rel 13 Benchmarkprofil

Checklisten-Compliance-Score x86_64: 91,71%
Checklisten-Compliance-Score aarch64: 91,71%

Hinweis

Der STIG-Standard von DISA hatte keine nennenswerten Änderungen außer der Formulierung zwischen Oracle Linux 7 Ver 2, Rel 12 und Oracle Linux 7 Ver 2, Rel 13. Aus diesem Grund ist jedes mit Oracle Linux 7 Ver 2 konforme System, Rel 12, auch mit Oracle Linux 7 Ver 2, Rel 13 konform.

Hinweis

Die höheren Compliancebewertungen für die DISA STIG-Benchmark spiegeln einen im Vergleich zum vollständigen DISA STIG begrenzteren Regelumfang wider. Das SSG-Profil "STIG" berücksichtigt jedoch den vollständigen DISA STIG und bietet eine umfassendere Bewertung der Bildkonformität.

Oracle-Linux-7.9-STIG Mai 2023

Diese Informationen sind für:

Oracle Linux-7.9-2023.05.31-STIG (für x86_64)
Oracle Linux-7.9-aarch64-2023.05.31-STIG (für aarch64)

Imageinformationen

kernel-uek: 5.4.17-2136.319.1.3.el7uek
Systempackages wurden auf die neuesten verfügbaren Versionen mit Sicherheitsfixes aktualisiert.
Das Complianceziel wurde auf das SSG-Profil entsprechend DISA STIG für Oracle Linux 7 Version 2, Release 11 umgestellt.
Weitere STIG-Regelkorrekturen, die auf das Image angewendet werden, finden Sie unter Zusätzliche Konfigurationen mit der Checkliste anzeigen.
Checklistendateien in /usr/share/xml/stig:
- OL7_SSG_STIG_V2R11_CHECKLIST_RELEASE.ckl
- OL7_DISA_BENCHMARK_V1R11_CHECKLIST_RELEASE.ckl

Complianceinformationen

Ziel: SSG-"STIG"-Profil entsprechend DISA STIG für Oracle Linux 7 Version 2, Release 11

Checklisten-Compliance-Score x86_64: 81,36%
Checklisten-Compliance-Score aarch64: 81,36%

Ziel: DISA STIG für Oracle Linux 7 Ver 2, Rel 11 Benchmarkprofil

Checklisten-Compliance-Score x86_64: 91,71%
Checklisten-Compliance-Score aarch64: 91,71%

Ältere Bilder

Oracle-Linux-7.9-aarch64-2022.08.29-STIG

kernel-uek: 5.4.17-2136.310.7.1.el7uek.aarch64
Systempackages wurden auf die neuesten verfügbaren Versionen mit Sicherheitsfixes aktualisiert.
Zusätzliche STIG-Regelkorrekturen wurden auf das Image angewendet. Siehe Zusätzliche Korrekturen.
Complianceübergang von DISA STIG Benchmark Version 2, Release 4 zum SSG-Profil entsprechend DISA STIG für Oracle Linux 7 Version 2, Release 8.

Compliance-Informationen

Ziel: SSG-Profil entsprechend DISA STIG für Oracle Linux 7 Version 2, Release 8
OpenSCAP Compliancegrad: 80.83%

Weitere Korrekturen

Anweisungen zum Anwenden der entsprechenden Sicherheitskonfiguration für jede von DISA festgelegte Sicherheitsregel finden Sie im Technischen Implementierungsleitfaden für Sicherheit in Oracle Linux 7.

Prüfen Sie die folgende Tabelle, und stellen Sie sicher, dass Sie die potenziellen Auswirkungen auf die Instanz verstehen, wenn Sie eine Korrektur vornehmen.
Laden Sie die neueste STIG von https://public.cyber.mil/stigs/downloads/ herunter, indem Sie nach Oracle Linux suchen und eine Version auswählen.
Laden Sie das DISA STIG Viewer-Tool herunter unter: https://public.cyber.mil/stigs/srg-stig-tools/
Öffnen Sie die Datei xccdf.xml für die STIG im Viewer.
Gehen Sie für jede Regel in der folgenden Tabelle, die Sie korrigieren möchten, wie folgt vor:
1. Suchen Sie in der Dokumentation nach der STIG-ID der Regel, um zum entsprechenden Abschnitt zu gelangen, in dem die Regel, die Schwachstellen und die Schritte zur Einhaltung der Regel erläutert werden.
2. Führen Sie die angegebenen Konfigurationsschritte aus.

In der folgenden Tabelle werden die Anweisungsbereiche beschrieben, die nicht im Oracle Linux-STIG-Image enthalten sind und für die eine zusätzliche Konfiguration erforderlich ist. Außerdem werden zusätzliche Konfigurationen genannt, die sich auf den Oracle Cloud Infrastructure-Standardaccount der Instanz auswirken können.

Die Regeln mit der Kennzeichnung "Automatisierungsunterstützung" bieten integrierte Automatisierung, um die Regelanforderungen zu prüfen und gegebenenfalls die erforderlichen Korrekturen anzuwenden. Alle Regeln ohne Automatisierungsunterstützung müssen manuell von einem Benutzer in einem System geprüft werden, da keine Automatisierungsprüfungen für die Regelanforderungen unterstützt werden oder kein Remediation-Skript verfügbar ist.


STIG-ID	Regelbeschreibung	Automatisierungsunterstützung	Grund für Ausschluss
OL07-00-010050	Das Oracle Linux-Betriebssystem muss das obligatorische Standardhinweis- und Zustimmungsbanner des DoD anzeigen, bevor Sie über eine Befehlszeilen-Benutzeranmeldung lokalen oder Remotezugriff auf das System erteilen.	Ja	Erfordert die Benutzerzustimmung zur Vereinbarung für das obligatorische Standardhinweis- und Zustimmungsbanner des DoD.
OL07-00-010230	Das Oracle Linux-Betriebssystem muss so konfiguriert sein, dass Kennwörter für neue Benutzer einen Mindestgültigkeitszeitraum von 24 Stunden/1 Tag haben müssen.	Ja	Betrifft den Standard-OPC-Benutzeranmeldeaccount, der für den Zugriff auf die Oracle Cloud Infrastructure-Instanz konfiguriert ist.
OL07-00-010240	Das Oracle Linux-Betriebssystem muss so konfiguriert sein, dass Kennwörter einen Mindestgültigkeitszeitraum von 24 Stunden/1 Tag haben müssen.	Ja	Betrifft den Standard-OPC-Benutzeranmeldeaccount, der für den Zugriff auf die Oracle Cloud Infrastructure-Instanz konfiguriert ist.
OL07-00-010250	Das Oracle Linux-Betriebssystem muss so konfiguriert sein, dass Kennwörter für neue Benutzer auf einen maximalen Gültigkeitszeitraum von 60 Tagen begrenzt sind.	Ja	Betrifft den Standard-OPC-Benutzeranmeldeaccount, der für den Zugriff auf die Oracle Cloud Infrastructure-Instanz konfiguriert ist.
OL07-00-010260 ¹	Das Oracle Linux-Betriebssystem muss so konfiguriert sein, dass vorhandene Kennwörter auf einen maximalen Gültigkeitszeitraum von 60 Tagen begrenzt sind.	Nein	Betrifft den Standard-OPC-Benutzeranmeldeaccount, der für den Zugriff auf die Oracle Cloud Infrastructure-Instanz konfiguriert ist. Regeln zum Gültigkeitszeitraum von Kennwörtern wirken sich auch auf SSH-Schlüssel aus. Wichtige Auswirkung auf OCI: Wenn Sie vorhandene Kennwörter auf eine maximale Gültigkeit von 60 Tagen beschränken, kann das dazu führen, dass der OPC-Account aufgrund der kennwortlosen Accounteinstellung nach 60 Tagen unwiederbringlich gesperrt wird.
OL07-00-010320	Das Oracle Linux-Betriebssystem muss so konfiguriert sein, dass Accounts nach drei nicht erfolgreichen Anmeldeversuchen innerhalb eines 15-minütigen Zeitrahmens mindestens 15 Minuten lang gesperrt werden.	Ja	Betrifft den Standard-OPC-Benutzeranmeldeaccount, der für den Zugriff auf die Oracle Cloud Infrastructure-Instanz konfiguriert ist.
OL07-00-010330	Das Oracle Linux-Betriebssystem muss den zugehörigen Account sperren, nachdem drei nicht erfolgreiche Root-Anmeldeversuche innerhalb eines Zeitraums von 15 Minuten durchgeführt wurden.	Ja	Betrifft den Standard-OPC-Benutzeranmeldeaccount, der für den Zugriff auf die Oracle Cloud Infrastructure-Instanz konfiguriert ist.
OL07-00-010340	Das Oracle Linux-Betriebssystem muss so konfiguriert sein, dass Benutzer ein Kennwort für die Berechtigungseskalation angeben müssen.	Ja	Gemäß dem Oracle Cloud Infrastructure-Standardschema ist `NOPASSWD` für OPC festgelegt.
OL07-00-010342	Das Oracle Linux-Betriebssystem muss das Kennwort des aufrufenden Benutzers für die Berechtigungseskalation verwenden, wenn der Befehl sudo verwendet wird.	Ja	Wirkt sich auf den Standard-OPC-Anmeldeaccount aus.
OL07-00-010491 ¹	Für die Oracle Linux-Betriebssysteme der Version 7.2 oder höher mit Unified Extensible Firmware Interface (UEFI) ist beim Booten in die Einzelbenutzer- und Wartungsmodi eine Authentifizierung erforderlich.	Nein	Erfordert ein GRUB 2-Kennwort, was beim Standardimage nicht möglich ist. Wichtige Auswirkung auf OCI: Die Implementierung eines GRUB 2-Kennworts würde beim Booten der Instanz eine Aufforderung zur Kennworteingabe bewirken.
OL07-00-010492	Oracle Linux-Betriebssysteme mit Version 7.2 oder höher, die mit United Extensible Firmware Interface (UEFI) gestartet werden, müssen beim Booten im Einzelbenutzermodus und in der Wartung einen eindeutigen Namen für den grub-Superuser-Account aufweisen.	Nein	Erfordert eine Änderung des standardmäßigen Superuser-Namens. Betrifft das Booten als grub-Superuser.
OL07-00-010500	Das Oracle Linux-Betriebssystem muss Organisationsbenutzer (oder Prozesse, die im Namen von Organisationsbenutzern handeln) eindeutig identifizieren und mit Multifaktor-Authentifizierung authentifizieren.	Ja	Die Multifaktor-Authentifizierung ist auf dem Oracle Cloud Infrastructure-Standardimage nicht konfiguriert.
OL07-00-020019	Das Oracle Linux-Betriebssystem muss das Tool "Endpoint Security for Linux Threat Prevention" implementieren.	Nein	Oracle Linux wird nicht mit Virenscansoftware geliefert. Eine Benutzerkonfiguration ist erforderlich.
OL07-00-020020	Das Oracle Linux-Betriebssystem muss verhindern, dass nicht privilegierte Benutzer privilegierte Funktionen ausführen, wie die Deaktivierung, Umgehung oder Änderung implementierter Sicherheitsvorrichtungen/Gegenmaßnahmen.	Nein	Erfordert das Abrufen einer bestimmten Liste autorisierter Benutzer vom Benutzer-ISSO.
OL07-00-020021	Das Oracle Linux-Betriebssystem muss SELinux-Benutzer auf Rollen beschränken, die dem Least-Privilege-Prinzip entsprechen.	Nein	Erfordert eine SA-/ISSO-Prüfung eines Benutzers, um die Konformität der SELinux-Rollenzuordnung zu bestimmen.
OL07-00-020023	Das Oracle Linux-Betriebssystem muss den SELinux-Kontext erweitern, wenn ein Administrator den sudo-Befehl aufruft.	Nein	Betrifft den Standard-OPC-Benutzeranmeldeaccount, der für den Zugriff auf die Oracle Cloud Infrastructure-Instanz konfiguriert ist.
OL07-00-020030	Das Oracle Linux-Betriebssystem muss so konfiguriert sein, dass ein Dateiintegritätstool die Konfiguration des Baselinebetriebssystems mindestens wöchentlich überprüft.	Ja	Es wird erwartet, dass AIDE oder ein anderes Angriffserkennungssystem im Zielimage konfiguriert ist.
OL07-00-020040	Das Oracle Linux-Betriebssystem muss so konfiguriert werden, dass angegebene Mitarbeiter benachrichtigt werden, wenn Baselinekonfigurationen autorisiert geändert werden.	Ja	AIDE-Erkennungssystem muss vor der Konfiguration installiert werden.
OL07-00-020270	Das Oracle Linux-Betriebssystem darf keine unnötigen Accounts aufweisen.	Nein	Erfordert das Abrufen einer bestimmten Liste autorisierter Systemaccounts vom Benutzer-ISSO.
OL07-00-020680	Das Oracle Linux-Betriebssystem muss so konfiguriert sein, dass alle Dateien und Verzeichnisse in Home-Verzeichnissen lokaler interaktiver Benutzer den Modus 750 oder einen weniger permissiven Modus aufweisen.	Nein	Schränkt den Dateizugriff auf Systemservices ein.
OL07-00-020720	Das Oracle Linux-Betriebssystem muss so konfiguriert sein, dass alle ausführbaren Suchpfade für Initialisierungsdateien lokaler interaktiver Benutzer nur Pfade enthalten, die als das Home-Verzeichnis des Benutzers aufgelöst werden.	Nein	Betrifft den Zugriff auf Benutzerbinärdateien und Utilitys.
OL07-00-021000	Das Oracle Linux-Betriebssystem muss so konfiguriert sein, dass Dateisysteme mit Benutzer-Home-Verzeichnissen gemountet werden, um zu verhindern, dass Dateien mit dem setuid- und setgid-Bit ausgeführt werden.	Ja	Betrifft den Benutzerzugriff auf die Ausführung von Binärdateien in ihren Home-Verzeichnissen.
OL07-00-021300	Sofern nicht erforderlich, muss das Oracle Linux-Betriebssystem Kernelcoredumps deaktivieren.	Ja	Der Kdump-Service wird für Diagnosezwecke bei systemgenerierten Kernelabstürzen benötigt.
OL07-00-021350 ¹	Das Oracle Linux-Betriebssystem muss die von NIST FIPS validierte Kryptografie zu folgenden Zwecken implementieren: zur Bereitstellung digitaler Signaturen, zur Generierung kryptografischer Hashes und zum Schutz von Daten, die einen Data-at-Rest-Schutz erfordern, gemäß den geltenden Bundesgesetzen, Executive Orders, Direktiven, Policys, Vorschriften und Standards.	Nein	Ausschluss des Parameters `fips=1` aus Rettungskernelbefehlszeile. Wichtige Auswirkung auf OCI: Wenn Sie `fips=1` zur Rettungskernel-Befehlszeile hinzufügen, kann das zu einem schwerwiegenden Fehler führen, sodass die Instanz nicht gestartet werden kann.
OL07-00-021600	Das Oracle Linux-Betriebssystem muss so konfiguriert sein, dass das Dateiintegritätstool Access-Control-Listen (ACLs) verifiziert.	Ja	AIDE-Erkennungssystem muss vor der Konfiguration installiert werden.
OL07-00-021610	Das Oracle Linux-Betriebssystem muss so konfiguriert sein, dass das Dateiintegritätstool erweiterte Attribute verifiziert.	Ja	AIDE-Erkennungssystem muss vor der Konfiguration installiert werden.
OL07-00-021620	Das Oracle Linux-Betriebssystem muss ein Dateiintegritätstool verwenden, das zur Verwendung von FIPS 140-2-genehmigten kryptografischen Hashes für die Validierung von Dateiinhalten und -verzeichnissen konfiguriert ist.	Ja	AIDE-Erkennungssystem muss vor der Konfiguration installiert werden.
OL07-00-030010 ¹	Das Oracle Linux-Betriebssystem muss bei einem Fehler bei der Auditverarbeitung heruntergefahren werden, es sei denn, die Verfügbarkeit ist von vorrangiger Bedeutung. Wenn die Verfügbarkeit ausschlaggebend ist, muss das System die angegebenen Mitarbeiter (mindestens Systemadministrator [SA] und Information System Security Officer [ISSO]) benachrichtigen, wenn ein Fehler bei der Auditverarbeitung auftritt.	Ja	Die Standardeinstellung des Parameters `failure` lautet `1`. Damit werden nur Informationen zum Fehler an das Kernellog gesendet, ohne dass die Instanz heruntergefahren wird. Wichtige Auswirkung auf OCI: Wenn Sie den Parameter `failure` auf `2` setzen, führt das zu einer Systempanik und zum Herunterfahren, wenn ein Auditverarbeitungsfehler auftritt.
OL07-00-030201	Das Oracle Linux-Betriebssystem muss so konfiguriert sein, dass Auditlogs vom zu auditierenden System auf ein anderes System oder Speichermedium ausgelagert werden.	Nein	Die Plug-in-Konfiguration `au-remote` setzt Remoteserverdetails voraus.
OL07-00-030300	Das Oracle Linux-Betriebssystem muss Auditdatensätze von dem zu auditierenden System auf ein anderes System oder Medium auslagern.	Ja	Die Plug-in-Konfiguration `au-remote` setzt Remoteserverdetails voraus.
OL07-00-030310	Das Oracle Linux-Betriebssystem muss die Übertragung von Auditdatensätzen verschlüsseln, die aus dem zu auditierenden System auf ein anderes System oder andere Medien ausgelagert werden.	Ja	Die Plug-in-Konfiguration `au-remote` setzt Remoteserverdetails voraus.
OL07-00-030320	Das Oracle Linux-Betriebssystem muss so konfiguriert sein, dass das Auditsystem geeignete Maßnahmen ergreift, wenn das Auditspeicher-Volume voll ist.	Nein	Die Plug-in-Konfiguration `au-remote` setzt Remoteserverdetails voraus.
OL07-00-030321	Das Oracle Linux-Betriebssystem muss so konfiguriert sein, dass das Auditsystem geeignete Maßnahmen ergreift, wenn ein Fehler beim Senden von Auditdatensätzen an ein Remotesystem auftritt.	Nein	Die Plug-in-Konfiguration `au-remote` setzt Remoteserverdetails voraus.
OL07-00-031000	Das Oracle Linux-Betriebssystem muss die rsyslog-Ausgabe an einen Logaggregationsserver senden.	Ja	Erfordert einen Remoteserver zur Übertragung von rsyslog-Informationen.
OL07-00-032000	Das Oracle Linux-Betriebssystem muss ein Virenscanprogramm verwenden.	Nein	Oracle Linux wird nicht mit Virenscansoftware geliefert. Eine Benutzerkonfiguration ist erforderlich.
OL07-00-040100	Das Oracle Linux-Betriebssystem muss so konfiguriert sein, dass die Verwendung von Funktionen, Ports, Protokollen und/oder Services gemäß der Definition in der "Ports, Protocols, and Services Management Component Local Service Assessment" (PPSM CLSA) und den Sicherheitslückenbewertungen verboten oder eingeschränkt wird.	Nein	Erfordert die Prüfung von Ports, Protokollen und/oder Services gemäß der Definition durch die PPSM CLSA eines Benutzers.
OL07-00-040160	Das Oracle Linux-Betriebssystem muss so konfiguriert sein, dass alle mit einer Kommunikationssession verknüpften Netzwerkverbindungen am Ende der Session oder nach 15 Minuten Inaktivität des Benutzers an einer Eingabeaufforderung beendet werden, außer um dokumentierte und validierte Missionsanforderungen zu erfüllen.	Ja	Kann Benutzer-Workloads beeinträchtigen.
OL07-00-040170	Das Oracle Linux-Betriebssystem muss das obligatorische Standardhinweis- und Zustimmungsbanner des DoD unmittelbar vor oder im Rahmen der Anmeldeaufforderungen für den Remotezugriff anzeigen.	Ja	Erfordert die Benutzerzustimmung zur Vereinbarung für das obligatorische Standardhinweis- und Zustimmungsbanner des DoD.
OL07-00-040420	Das Oracle Linux-Betriebssystem muss so konfiguriert sein, dass die SSH-Private-Host-Key-Dateien den Modus 0600 oder einen weniger permissiven Modus aufweisen.	Ja	Ändert die Standardberechtigungen des vom Systemservice generierten SSH-Private-Host-Keys.
OL07-00-040600	Mindestens zwei Name Server müssen für die Oracle Linux-Betriebssysteme mit DNS-Auflösung konfiguriert sein.	Nein	Oracle Cloud Infrastructure bietet einen hochverfügbaren DNS-Server.
OL07-00-040710 ¹	Das Oracle Linux-Betriebssystem muss so konfiguriert sein, dass Remote-X-Verbindungen deaktiviert sind, außer zur Erfüllung dokumentierter und validierter geschäftskritischer Anforderungen.	Ja	Wirkt sich auf die serielle Konsolenkonnektivität der Instanz aus. Wichtige Auswirkung auf OCI: Wenn Sie Remote-X-Verbindungen deaktivieren, kann das dazu führen, dass keine Verbindung zur seriellen Konsole der OCI-Instanz hergestellt werden kann.
OL07-00-040711	Der SSH-Daemon des Oracle Linux-Betriebssystems muss verhindern, dass Remotehosts eine Verbindung zur Proxyanzeige herstellen.	Ja	Betrifft den Benutzerzugriff auf Oracle Cloud Infrastructure-Instanzen.
OL07-00-040810	Das Zugriffskontrollprogramm des Oracle Linux-Betriebssystems muss so konfiguriert sein, dass Systemzugriff auf bestimmte Hosts und Services gewährt oder verweigert wird.	Nein	Erfordert eine Prüfung des Zugriffs auf bestimmte Hosts und Services. Der Zugriff muss von der Berechtigungs-Policy des Benutzers gewährt werden.
OL07-00-040820	Für das Oracle Linux-Betriebssystem dürfen keine unautorisierten IP-Tunnel konfiguriert sein.	Nein	Erfordert eine SA-/ISSO-Prüfung eines Benutzers, um autorisierte IPSec-Tunnelverbindungen zu bestimmen.
OL07-00-041002	Das Oracle Linux-Betriebssystem muss eine Multifaktor-Authentifizierung für den Zugriff auf privilegierte Accounts über integrierbare Authentifizierungsmodule (PAM) implementieren.	Nein	Die Multifaktor-Authentifizierung ist auf dem Oracle Cloud Infrastructure-Standardimage nicht konfiguriert.
OL07-00-041003	Das Oracle Linux-Betriebssystem muss die Zertifikatstatusprüfung für die PKI-Authentifizierung implementieren.	Ja	Zertifikatsstatusprüfung für PKI-Authentifizierung nicht im Oracle Cloud Infrastructure-Standardimage konfiguriert.

¹ Das Ändern dieser Regeln kann erhebliche Auswirkungen auf die Barrierefreiheit des Systems haben.

Changelog


STIG-ID	Regelbeschreibung	Grund für Ausschluss	Status	Anmerkungen
OL07-00-010050	Das Oracle Linux-Betriebssystem muss das obligatorische Standardhinweis- und Zustimmungsbanner des DoD anzeigen, bevor Sie über eine Befehlszeilen-Benutzeranmeldung lokalen oder Remotezugriff auf das System erteilen.	Erfordert die Benutzerzustimmung zur Vereinbarung für das obligatorische Standardhinweis- und Zustimmungsbanner des DoD.	Hinzugefügt	Zur Ausschlussliste in V2R8 hinzugefügt
OL07-00-010320	Das Oracle Linux-Betriebssystem muss so konfiguriert sein, dass Accounts nach drei nicht erfolgreichen Anmeldeversuchen innerhalb eines 15-minütigen Zeitrahmens mindestens 15 Minuten lang gesperrt werden.	Betrifft den Standard-OPC-Benutzeranmeldeaccount, der für den Zugriff auf die Oracle Cloud Infrastructure-Instanz konfiguriert ist.	Hinzugefügt	Zur Ausschlussliste in V2R8 hinzugefügt
OL07-00-010330	Das Oracle Linux-Betriebssystem muss den zugehörigen Account sperren, nachdem drei nicht erfolgreiche Root-Anmeldeversuche innerhalb eines Zeitraums von 15 Minuten durchgeführt wurden.	Betrifft den Standard-OPC-Benutzeranmeldeaccount, der für den Zugriff auf die Oracle Cloud Infrastructure-Instanz konfiguriert ist.	Hinzugefügt	Zur Ausschlussliste in V2R8 hinzugefügt
OL07-00-010492	Oracle Linux-Betriebssysteme mit Version 7.2 oder höher, die mit United Extensible Firmware Interface (UEFI) gestartet werden, müssen beim Booten im Einzelbenutzermodus und in der Wartung einen eindeutigen Namen für den grub-Superuser-Account aufweisen.	Erfordert eine Änderung des standardmäßigen Superuser-Namens. Betrifft das Booten als grub-Superuser.	Hinzugefügt	Zur Ausschlussliste in V2R8 hinzugefügt
OL07-00-010500	Das Oracle Linux-Betriebssystem muss sich eindeutig identifizieren und Organisationsbenutzer (oder Prozesse, die im Namen von Organisationsbenutzern handeln) mit Multi-Faktor-Authentifizierung authentifizieren.	Die Multi-Faktor-Authentifizierung ist auf dem Oracle Cloud Infrastructure-Standardimage nicht konfiguriert.	Hinzugefügt	Zur Ausschlussliste in V2R8 hinzugefügt
OL07-00-020019	Das Oracle Linux-Betriebssystem muss das Tool "Endpoint Security for Linux Threat Prevention" implementieren.	Oracle Linux wird nicht mit Virenscansoftware geliefert. Eine Benutzerkonfiguration ist erforderlich.	Hinzugefügt	Zur Ausschlussliste in V2R8 hinzugefügt
OL07-00-020020	Das Oracle Linux-Betriebssystem muss verhindern, dass nicht privilegierte Benutzer privilegierte Funktionen ausführen, wie die Deaktivierung, Umgehung oder Änderung implementierter Sicherheitsvorrichtungen/Gegenmaßnahmen.	Erfordert das Abrufen einer bestimmten Liste autorisierter Benutzer vom Benutzer-ISSO.	Hinzugefügt	Zur Ausschlussliste in V2R8 hinzugefügt
OL07-00-020021	Das Oracle Linux-Betriebssystem muss SELinux-Benutzer auf Rollen beschränken, die dem Least-Privilege-Prinzip entsprechen.	Erfordert eine SA-/ISSO-Prüfung eines Benutzers, um die Konformität der SELinux-Rollenzuordnung zu bestimmen.	Hinzugefügt	Zur Ausschlussliste in V2R8 hinzugefügt
OL07-00-020023	Das Oracle Linux-Betriebssystem muss den SELinux-Kontext erweitern, wenn ein Administrator den sudo-Befehl aufruft.	Betrifft den Standard-OPC-Benutzeranmeldeaccount, der für den Zugriff auf die Oracle Cloud Infrastructure-Instanz konfiguriert ist.	Hinzugefügt	Zur Ausschlussliste in V2R8 hinzugefügt
OL07-00-020040	Das Oracle Linux-Betriebssystem muss so konfiguriert werden, dass angegebene Mitarbeiter benachrichtigt werden, wenn Baselinekonfigurationen autorisiert geändert werden.	AIDE-Erkennungssystem muss vor der Konfiguration installiert werden.	Hinzugefügt	Zur Ausschlussliste in V2R8 hinzugefügt
OL07-00-020270	Das Oracle Linux-Betriebssystem darf keine unnötigen Accounts aufweisen.	Erfordert das Abrufen einer bestimmten Liste autorisierter Systemaccounts vom Benutzer-ISSO.	Hinzugefügt	Zur Ausschlussliste in V2R8 hinzugefügt
OL07-00-020680	Das Oracle Linux-Betriebssystem muss so konfiguriert sein, dass alle Dateien und Verzeichnisse in Home-Verzeichnissen lokaler interaktiver Benutzer den Modus 750 oder einen weniger permissiven Modus aufweisen.	Schränkt den Dateizugriff auf Systemservices ein.	Hinzugefügt	Zur Ausschlussliste in V2R8 hinzugefügt
OL07-00-020720	Das Oracle Linux-Betriebssystem muss so konfiguriert sein, dass alle ausführbaren Suchpfade für Initialisierungsdateien lokaler interaktiver Benutzer nur Pfade enthalten, die als das Home-Verzeichnis des Benutzers aufgelöst werden.	Betrifft den Zugriff auf Benutzerbinärdateien und Utilitys.	Hinzugefügt	Zur Ausschlussliste in V2R8 hinzugefügt
OL07-00-021000	Das Oracle Linux-Betriebssystem muss so konfiguriert sein, dass Dateisysteme mit Benutzer-Home-Verzeichnissen gemountet werden, um zu verhindern, dass Dateien mit dem setuid- und setgid-Bit ausgeführt werden.	Betrifft den Benutzerzugriff auf die Ausführung von Binärdateien in ihren Home-Verzeichnissen.	Hinzugefügt	Zur Ausschlussliste in V2R8 hinzugefügt
OL07-00-021300	Sofern nicht erforderlich, muss das Oracle Linux-Betriebssystem Kernelcoredumps deaktivieren.	Der Kdump-Service wird für Diagnosezwecke bei systemgenerierten Kernelabstürzen benötigt.	Hinzugefügt	Zur Ausschlussliste in V2R8 hinzugefügt
OL07-00-021600	Das Oracle Linux-Betriebssystem muss so konfiguriert sein, dass das Dateiintegritätstool Access-Control-Listen (ACLs) verifiziert.	AIDE-Erkennungssystem muss vor der Konfiguration installiert werden.	Hinzugefügt	Zur Ausschlussliste in V2R8 hinzugefügt
OL07-00-021610	Das Oracle Linux-Betriebssystem muss so konfiguriert sein, dass das Dateiintegritätstool erweiterte Attribute verifiziert.	AIDE-Erkennungssystem muss vor der Konfiguration installiert werden.	Hinzugefügt	Zur Ausschlussliste in V2R8 hinzugefügt
OL07-00-021620	Das Oracle Linux-Betriebssystem muss ein Dateiintegritätstool verwenden, das zur Verwendung von FIPS 140-2-genehmigten kryptografischen Hashes für die Validierung von Dateiinhalten und -verzeichnissen konfiguriert ist.	AIDE-Erkennungssystem muss vor der Konfiguration installiert werden.	Hinzugefügt	Zur Ausschlussliste in V2R8 hinzugefügt
OL07-00-031000	Das Oracle Linux-Betriebssystem muss die rsyslog-Ausgabe an einen Logaggregationsserver senden.	Erfordert einen Remoteserver zur Übertragung von rsyslog-Informationen.	Hinzugefügt	Zur Ausschlussliste in V2R8 hinzugefügt
OL07-00-032000	Das Oracle Linux-Betriebssystem muss ein Virenscanprogramm verwenden.	Oracle Linux wird nicht mit Virenscansoftware geliefert. Eine Benutzerkonfiguration ist erforderlich.	Hinzugefügt	Zur Ausschlussliste in V2R8 hinzugefügt
OL07-00-040100	Das Oracle Linux-Betriebssystem muss so konfiguriert sein, dass die Verwendung von Funktionen, Ports, Protokollen und/oder Services gemäß der Definition in der "Ports, Protocols, and Services Management Component Local Service Assessment" (PPSM CLSA) und den Sicherheitslückenbewertungen verboten oder eingeschränkt wird.	Erfordert die Prüfung von Ports, Protokollen und/oder Services gemäß der Definition durch die PPSM CLSA eines Benutzers.	Hinzugefügt	Zur Ausschlussliste in V2R8 hinzugefügt
OL07-00-040160	Das Oracle Linux-Betriebssystem muss so konfiguriert sein, dass alle mit einer Kommunikationssession verknüpften Netzwerkverbindungen am Ende der Session oder nach 15 Minuten Inaktivität des Benutzers an einer Eingabeaufforderung beendet werden, außer um dokumentierte und validierte Missionsanforderungen zu erfüllen.	Kann Benutzer-Workloads beeinträchtigen.	Hinzugefügt	Zur Ausschlussliste in V2R8 hinzugefügt
OL07-00-040170	Das Oracle Linux-Betriebssystem muss das obligatorische Standardhinweis- und Zustimmungsbanner des DoD unmittelbar vor oder im Rahmen der Anmeldeaufforderungen für den Remotezugriff anzeigen.	Erfordert die Benutzerzustimmung zur Vereinbarung für das obligatorische Standardhinweis- und Zustimmungsbanner des DoD.	Hinzugefügt	Zur Ausschlussliste in V2R8 hinzugefügt
OL07-00-040420	Das Oracle Linux-Betriebssystem muss so konfiguriert sein, dass die SSH-Private-Host-Key-Dateien den Modus 0600 oder einen weniger permissiven Modus aufweisen.	Ändert die Standardberechtigungen des vom Systemservice generierten SSH-Private-Host-Keys.	Hinzugefügt	Zur Ausschlussliste in V2R8 hinzugefügt
OL07-00-040711	Der SSH-Daemon des Oracle Linux-Betriebssystems muss verhindern, dass Remotehosts eine Verbindung zur Proxyanzeige herstellen.	Betrifft den Benutzerzugriff auf Oracle Cloud Infrastructure-Instanzen.	Hinzugefügt	Zur Ausschlussliste in V2R8 hinzugefügt
OL07-00-040810	Das Zugriffskontrollprogramm des Oracle Linux-Betriebssystems muss so konfiguriert sein, dass Systemzugriff auf bestimmte Hosts und Services gewährt oder verweigert wird.	Erfordert eine Prüfung des Zugriffs auf bestimmte Hosts und Services. Der Zugriff muss von der Berechtigungs-Policy des Benutzers gewährt werden.	Hinzugefügt	Zur Ausschlussliste in V2R8 hinzugefügt
OL07-00-040820	Für das Oracle Linux-Betriebssystem dürfen keine unautorisierten IP-Tunnel konfiguriert sein.	Erfordert eine SA-/ISSO-Prüfung eines Benutzers, um autorisierte IPSec-Tunnelverbindungen zu bestimmen.	Hinzugefügt	Zur Ausschlussliste in V2R8 hinzugefügt

Oracle-Linux-7.9-aarch64-2021.10.08-STIG

Das Oracle Linux-STIG-Image Oracle-Linux-7.9-aarch64-2021.10.08-STIG wurde am 16.12.2021 veröffentlicht.

Bildinformationen

UEK-R6-Kernelversion 5.4.17-2102.205.7.3.el7uek.aarch64
Erstes Release des STIG-Images von Oracle Linux basierend auf der Arm-Architektur (aarch64).
Neueste Versionen von Oracle Linux 7.9-Systempackages mit Sicherheitsfixes.

Compliance-Informationen

Ziel: Oracle Linux 7 DISA STIG Benchmark - Version 2, Release 4.
OpenSCAP-Compliancegrad: 89,44%.

Oracle-Linux-7.9-2022.08.29-STIG

Bildinformationen

kernel-uek: 5.4.17-2136.310.7.1.el7uek.x86_64
Systempackages wurden auf die neuesten verfügbaren Versionen mit Sicherheitsfixes aktualisiert.
Zusätzliche STIG-Regelkorrekturen wurden auf das Image angewendet. Siehe Zusätzliche Korrekturen.
Complianceübergang von DISA STIG Benchmark Version 2, Release 4 zum SSG-Profil entsprechend DISA STIG für Oracle Linux 7 Version 2, Release 8.

Compliance-Informationen

Ziel: SSG-Profil entsprechend DISA STIG für Oracle Linux 7 Version 2, Release 8.
OpenSCAP Compliancegrad: 80.76%
SCC-Compliancegrad: 80.77%

Weitere Korrekturen

Prüfen Sie die folgende Tabelle, und stellen Sie sicher, dass Sie die potenziellen Auswirkungen auf die Instanz verstehen, wenn Sie eine Korrektur vornehmen.
Laden Sie die neueste STIG von https://public.cyber.mil/stigs/downloads/ herunter, indem Sie nach Oracle Linux suchen und eine Version auswählen.
Laden Sie das DISA STIG Viewer-Tool herunter unter: https://public.cyber.mil/stigs/srg-stig-tools/
Öffnen Sie die Datei xccdf.xml für die STIG im Viewer.
Gehen Sie für jede Regel in der folgenden Tabelle, die Sie korrigieren möchten, wie folgt vor:
1. Suchen Sie in der Dokumentation nach der STIG-ID der Regel, um zum entsprechenden Abschnitt zu gelangen, in dem die Regel, die Schwachstellen und die Schritte zur Einhaltung der Regel erläutert werden.
2. Führen Sie die angegebenen Konfigurationsschritte aus.


STIG-ID	Regelbeschreibung	Automatisierungsunterstützung	Grund für Ausschluss
OL07-00-010050	Das Oracle Linux-Betriebssystem muss das obligatorische Standardhinweis- und Zustimmungsbanner des DoD anzeigen, bevor Sie über eine Befehlszeilen-Benutzeranmeldung lokalen oder Remotezugriff auf das System erteilen.	Ja	Erfordert die Benutzerzustimmung zur Vereinbarung für das obligatorische Standardhinweis- und Zustimmungsbanner des DoD.
OL07-00-010230	Das Oracle Linux-Betriebssystem muss so konfiguriert sein, dass Kennwörter für neue Benutzer einen Mindestgültigkeitszeitraum von 24 Stunden/1 Tag haben müssen.	Ja	Betrifft den Standard-OPC-Benutzeranmeldeaccount, der für den Zugriff auf die Oracle Cloud Infrastructure-Instanz konfiguriert ist.
OL07-00-010240	Das Oracle Linux-Betriebssystem muss so konfiguriert sein, dass Kennwörter einen Mindestgültigkeitszeitraum von 24 Stunden/1 Tag haben müssen.	Ja	Betrifft den Standard-OPC-Benutzeranmeldeaccount, der für den Zugriff auf die Oracle Cloud Infrastructure-Instanz konfiguriert ist.
OL07-00-010250	Das Oracle Linux-Betriebssystem muss so konfiguriert sein, dass Kennwörter für neue Benutzer auf einen maximalen Gültigkeitszeitraum von 60 Tagen begrenzt sind.	Ja	Betrifft den Standard-OPC-Benutzeranmeldeaccount, der für den Zugriff auf die Oracle Cloud Infrastructure-Instanz konfiguriert ist.
OL07-00-010260 ¹	Das Oracle Linux-Betriebssystem muss so konfiguriert sein, dass vorhandene Kennwörter auf einen maximalen Gültigkeitszeitraum von 60 Tagen begrenzt sind.	Nein	Betrifft den Standard-OPC-Benutzeranmeldeaccount, der für den Zugriff auf die Oracle Cloud Infrastructure-Instanz konfiguriert ist. Regeln zum Gültigkeitszeitraum von Kennwörtern wirken sich auch auf SSH-Schlüssel aus. Wichtige Auswirkung auf OCI: Wenn Sie vorhandene Kennwörter auf eine maximale Gültigkeit von 60 Tagen beschränken, kann das dazu führen, dass der OPC-Account aufgrund der kennwortlosen Accounteinstellung nach 60 Tagen unwiederbringlich gesperrt wird.
OL07-00-010320	Das Oracle Linux-Betriebssystem muss so konfiguriert sein, dass Accounts nach drei nicht erfolgreichen Anmeldeversuchen innerhalb eines 15-minütigen Zeitrahmens mindestens 15 Minuten lang gesperrt werden.	Ja	Betrifft den Standard-OPC-Benutzeranmeldeaccount, der für den Zugriff auf die Oracle Cloud Infrastructure-Instanz konfiguriert ist.
OL07-00-010330	Das Oracle Linux-Betriebssystem muss den zugehörigen Account sperren, nachdem drei nicht erfolgreiche Root-Anmeldeversuche innerhalb eines Zeitraums von 15 Minuten durchgeführt wurden.	Ja	Betrifft den Standard-OPC-Benutzeranmeldeaccount, der für den Zugriff auf die Oracle Cloud Infrastructure-Instanz konfiguriert ist.
OL07-00-010340	Das Oracle Linux-Betriebssystem muss so konfiguriert sein, dass Benutzer ein Kennwort für die Berechtigungseskalation angeben müssen.	Ja	Gemäß dem Oracle Cloud Infrastructure-Standardschema ist `NOPASSWD` für OPC festgelegt.
OL07-00-010342	Das Oracle Linux-Betriebssystem muss das Kennwort des aufrufenden Benutzers für die Berechtigungseskalation verwenden, wenn der Befehl sudo verwendet wird.	Ja	Wirkt sich auf den Standard-OPC-Anmeldeaccount aus.
OL07-00-010491 ¹	Für die Oracle Linux-Betriebssysteme der Version 7.2 oder höher mit Unified Extensible Firmware Interface (UEFI) ist beim Booten in die Einzelbenutzer- und Wartungsmodi eine Authentifizierung erforderlich.	Nein	Erfordert ein GRUB 2-Kennwort, was beim Standardimage nicht möglich ist. Wichtige Auswirkung auf OCI: Die Implementierung eines GRUB 2-Kennworts würde beim Booten der Instanz eine Aufforderung zur Kennworteingabe bewirken.
OL07-00-010492	Oracle Linux-Betriebssysteme mit Version 7.2 oder höher, die mit United Extensible Firmware Interface (UEFI) gestartet werden, müssen beim Booten im Einzelbenutzermodus und in der Wartung einen eindeutigen Namen für den grub-Superuser-Account aufweisen.	Nein	Erfordert eine Änderung des standardmäßigen Superuser-Namens. Betrifft das Booten als grub-Superuser.
OL07-00-010500	Das Oracle Linux-Betriebssystem muss Organisationsbenutzer (oder Prozesse, die im Namen von Organisationsbenutzern handeln) eindeutig identifizieren und mit Multifaktor-Authentifizierung authentifizieren.	Ja	Die Multifaktor-Authentifizierung ist auf dem Oracle Cloud Infrastructure-Standardimage nicht konfiguriert.
OL07-00-020019	Das Oracle Linux-Betriebssystem muss das Tool "Endpoint Security for Linux Threat Prevention" implementieren.	Nein	Oracle Linux wird nicht mit Virenscansoftware geliefert. Eine Benutzerkonfiguration ist erforderlich.
OL07-00-020020	Das Oracle Linux-Betriebssystem muss verhindern, dass nicht privilegierte Benutzer privilegierte Funktionen ausführen, wie die Deaktivierung, Umgehung oder Änderung implementierter Sicherheitsvorrichtungen/Gegenmaßnahmen.	Nein	Erfordert das Abrufen einer bestimmten Liste autorisierter Benutzer vom Benutzer-ISSO.
OL07-00-020021	Das Oracle Linux-Betriebssystem muss SELinux-Benutzer auf Rollen beschränken, die dem Least-Privilege-Prinzip entsprechen.	Nein	Erfordert eine SA-/ISSO-Prüfung eines Benutzers, um die Konformität der SELinux-Rollenzuordnung zu bestimmen.
OL07-00-020023	Das Oracle Linux-Betriebssystem muss den SELinux-Kontext erweitern, wenn ein Administrator den sudo-Befehl aufruft.	Nein	Betrifft den Standard-OPC-Benutzeranmeldeaccount, der für den Zugriff auf die Oracle Cloud Infrastructure-Instanz konfiguriert ist.
OL07-00-020030	Das Oracle Linux-Betriebssystem muss so konfiguriert sein, dass ein Dateiintegritätstool die Konfiguration des Baselinebetriebssystems mindestens wöchentlich überprüft.	Ja	Es wird erwartet, dass AIDE oder ein anderes Angriffserkennungssystem im Zielimage konfiguriert ist.
OL07-00-020040	Das Oracle Linux-Betriebssystem muss so konfiguriert werden, dass angegebene Mitarbeiter benachrichtigt werden, wenn Baselinekonfigurationen autorisiert geändert werden.	Ja	AIDE-Erkennungssystem muss vor der Konfiguration installiert werden.
OL07-00-020270	Das Oracle Linux-Betriebssystem darf keine unnötigen Accounts aufweisen.	Nein	Erfordert das Abrufen einer bestimmten Liste autorisierter Systemaccounts vom Benutzer-ISSO.
OL07-00-020680	Das Oracle Linux-Betriebssystem muss so konfiguriert sein, dass alle Dateien und Verzeichnisse in Home-Verzeichnissen lokaler interaktiver Benutzer den Modus 750 oder einen weniger permissiven Modus aufweisen.	Nein	Schränkt den Dateizugriff auf Systemservices ein.
OL07-00-020720	Das Oracle Linux-Betriebssystem muss so konfiguriert sein, dass alle ausführbaren Suchpfade für Initialisierungsdateien lokaler interaktiver Benutzer nur Pfade enthalten, die als das Home-Verzeichnis des Benutzers aufgelöst werden.	Nein	Betrifft den Zugriff auf Benutzerbinärdateien und Utilitys.
OL07-00-021000	Das Oracle Linux-Betriebssystem muss so konfiguriert sein, dass Dateisysteme mit Benutzer-Home-Verzeichnissen gemountet werden, um zu verhindern, dass Dateien mit dem setuid- und setgid-Bit ausgeführt werden.	Ja	Betrifft den Benutzerzugriff auf die Ausführung von Binärdateien in ihren Home-Verzeichnissen.
OL07-00-021300	Sofern nicht erforderlich, muss das Oracle Linux-Betriebssystem Kernelcoredumps deaktivieren.	Ja	Der Kdump-Service wird für Diagnosezwecke bei systemgenerierten Kernelabstürzen benötigt.
OL07-00-021350 ¹	Das Oracle Linux-Betriebssystem muss die von NIST FIPS validierte Kryptografie zu folgenden Zwecken implementieren: zur Bereitstellung digitaler Signaturen, zur Generierung kryptografischer Hashes und zum Schutz von Daten, die einen Data-at-Rest-Schutz erfordern, gemäß den geltenden Bundesgesetzen, Executive Orders, Direktiven, Policys, Vorschriften und Standards.	Nein	Ausschluss des Parameters `fips=1` aus Rettungskernelbefehlszeile. Wichtige Auswirkung auf OCI: Wenn Sie `fips=1` zur Rettungskernel-Befehlszeile hinzufügen, kann das zu einem schwerwiegenden Fehler führen, sodass die Instanz nicht gestartet werden kann.
OL07-00-021600	Das Oracle Linux-Betriebssystem muss so konfiguriert sein, dass das Dateiintegritätstool Access-Control-Listen (ACLs) verifiziert.	Ja	AIDE-Erkennungssystem muss vor der Konfiguration installiert werden.
OL07-00-021610	Das Oracle Linux-Betriebssystem muss so konfiguriert sein, dass das Dateiintegritätstool erweiterte Attribute verifiziert.	Ja	AIDE-Erkennungssystem muss vor der Konfiguration installiert werden.
OL07-00-021620	Das Oracle Linux-Betriebssystem muss ein Dateiintegritätstool verwenden, das zur Verwendung von FIPS 140-2-genehmigten kryptografischen Hashes für die Validierung von Dateiinhalten und -verzeichnissen konfiguriert ist.	Ja	AIDE-Erkennungssystem muss vor der Konfiguration installiert werden.
OL07-00-030010 ¹	Das Oracle Linux-Betriebssystem muss bei einem Fehler bei der Auditverarbeitung heruntergefahren werden, es sei denn, die Verfügbarkeit ist von vorrangiger Bedeutung. Wenn die Verfügbarkeit ausschlaggebend ist, muss das System die angegebenen Mitarbeiter (mindestens Systemadministrator [SA] und Information System Security Officer [ISSO]) benachrichtigen, wenn ein Fehler bei der Auditverarbeitung auftritt.	Ja	Die Standardeinstellung des Parameters `failure` lautet `1`. Damit werden nur Informationen zum Fehler an das Kernellog gesendet, ohne dass die Instanz heruntergefahren wird. Wichtige Auswirkung auf OCI: Wenn Sie den Parameter `failure` auf `2` setzen, führt das zu einer Systempanik und zum Herunterfahren, wenn ein Auditverarbeitungsfehler auftritt.
OL07-00-030201	Das Oracle Linux-Betriebssystem muss so konfiguriert sein, dass Auditlogs vom zu auditierenden System auf ein anderes System oder Speichermedium ausgelagert werden.	Nein	Die Plug-in-Konfiguration `au-remote` setzt Remoteserverdetails voraus.
OL07-00-030300	Das Oracle Linux-Betriebssystem muss Auditdatensätze von dem zu auditierenden System auf ein anderes System oder Medium auslagern.	Ja	Die Plug-in-Konfiguration `au-remote` setzt Remoteserverdetails voraus.
OL07-00-030310	Das Oracle Linux-Betriebssystem muss die Übertragung von Auditdatensätzen verschlüsseln, die aus dem zu auditierenden System auf ein anderes System oder andere Medien ausgelagert werden.	Ja	Die Plug-in-Konfiguration `au-remote` setzt Remoteserverdetails voraus.
OL07-00-030320	Das Oracle Linux-Betriebssystem muss so konfiguriert sein, dass das Auditsystem geeignete Maßnahmen ergreift, wenn das Auditspeicher-Volume voll ist.	Nein	Die Plug-in-Konfiguration `au-remote` setzt Remoteserverdetails voraus.
OL07-00-030321	Das Oracle Linux-Betriebssystem muss so konfiguriert sein, dass das Auditsystem geeignete Maßnahmen ergreift, wenn ein Fehler beim Senden von Auditdatensätzen an ein Remotesystem auftritt.	Nein	Die Plug-in-Konfiguration `au-remote` setzt Remoteserverdetails voraus.
OL07-00-031000	Das Oracle Linux-Betriebssystem muss die rsyslog-Ausgabe an einen Logaggregationsserver senden.	Ja	Erfordert einen Remoteserver zur Übertragung von rsyslog-Informationen.
OL07-00-032000	Das Oracle Linux-Betriebssystem muss ein Virenscanprogramm verwenden.	Nein	Oracle Linux wird nicht mit Virenscansoftware geliefert. Eine Benutzerkonfiguration ist erforderlich.
OL07-00-040100	Das Oracle Linux-Betriebssystem muss so konfiguriert sein, dass die Verwendung von Funktionen, Ports, Protokollen und/oder Services gemäß der Definition in der "Ports, Protocols, and Services Management Component Local Service Assessment" (PPSM CLSA) und den Sicherheitslückenbewertungen verboten oder eingeschränkt wird.	Nein	Erfordert die Prüfung von Ports, Protokollen und/oder Services gemäß der Definition durch die PPSM CLSA eines Benutzers.
OL07-00-040160	Das Oracle Linux-Betriebssystem muss so konfiguriert sein, dass alle mit einer Kommunikationssession verknüpften Netzwerkverbindungen am Ende der Session oder nach 15 Minuten Inaktivität des Benutzers an einer Eingabeaufforderung beendet werden, außer um dokumentierte und validierte Missionsanforderungen zu erfüllen.	Ja	Kann Benutzer-Workloads beeinträchtigen.
OL07-00-040170	Das Oracle Linux-Betriebssystem muss das obligatorische Standardhinweis- und Zustimmungsbanner des DoD unmittelbar vor oder im Rahmen der Anmeldeaufforderungen für den Remotezugriff anzeigen.	Ja	Erfordert die Benutzerzustimmung zur Vereinbarung für das obligatorische Standardhinweis- und Zustimmungsbanner des DoD.
OL07-00-040420	Das Oracle Linux-Betriebssystem muss so konfiguriert sein, dass die SSH-Private-Host-Key-Dateien den Modus 0600 oder einen weniger permissiven Modus aufweisen.	Ja	Ändert die Standardberechtigungen des vom Systemservice generierten SSH-Private-Host-Keys.
OL07-00-040600	Mindestens zwei Name Server müssen für die Oracle Linux-Betriebssysteme mit DNS-Auflösung konfiguriert sein.	Nein	Oracle Cloud Infrastructure bietet einen hochverfügbaren DNS-Server.
OL07-00-040710 ¹	Das Oracle Linux-Betriebssystem muss so konfiguriert sein, dass Remote-X-Verbindungen deaktiviert sind, außer zur Erfüllung dokumentierter und validierter geschäftskritischer Anforderungen.	Ja	Wirkt sich auf die serielle Konsolenkonnektivität der Instanz aus. Wichtige Auswirkung auf OCI: Wenn Sie Remote-X-Verbindungen deaktivieren, kann das dazu führen, dass keine Verbindung zur seriellen Konsole der OCI-Instanz hergestellt werden kann.
OL07-00-040711	Der SSH-Daemon des Oracle Linux-Betriebssystems muss verhindern, dass Remotehosts eine Verbindung zur Proxyanzeige herstellen.	Ja	Betrifft den Benutzerzugriff auf Oracle Cloud Infrastructure-Instanzen.
OL07-00-040810	Das Zugriffskontrollprogramm des Oracle Linux-Betriebssystems muss so konfiguriert sein, dass Systemzugriff auf bestimmte Hosts und Services gewährt oder verweigert wird.	Nein	Erfordert eine Prüfung des Zugriffs auf bestimmte Hosts und Services. Der Zugriff muss von der Berechtigungs-Policy des Benutzers gewährt werden.
OL07-00-040820	Für das Oracle Linux-Betriebssystem dürfen keine unautorisierten IP-Tunnel konfiguriert sein.	Nein	Erfordert eine SA-/ISSO-Prüfung eines Benutzers, um autorisierte IPSec-Tunnelverbindungen zu bestimmen.
OL07-00-041002	Das Oracle Linux-Betriebssystem muss eine Multifaktor-Authentifizierung für den Zugriff auf privilegierte Accounts über integrierbare Authentifizierungsmodule (PAM) implementieren.	Nein	Die Multifaktor-Authentifizierung ist auf dem Oracle Cloud Infrastructure-Standardimage nicht konfiguriert.
OL07-00-041003	Das Oracle Linux-Betriebssystem muss die Zertifikatstatusprüfung für die PKI-Authentifizierung implementieren.	Ja	Zertifikatsstatusprüfung für PKI-Authentifizierung nicht im Oracle Cloud Infrastructure-Standardimage konfiguriert.

¹ Das Ändern dieser Regeln kann erhebliche Auswirkungen auf die Barrierefreiheit des Systems haben.

Changelog


STIG-ID	Regelbeschreibung	Grund für Ausschluss	Status	Anmerkungen
OL07-00-010050	Das Oracle Linux-Betriebssystem muss das obligatorische Standardhinweis- und Zustimmungsbanner des DoD anzeigen, bevor Sie über eine Befehlszeilen-Benutzeranmeldung lokalen oder Remotezugriff auf das System erteilen.	Erfordert die Benutzerzustimmung zur Vereinbarung für das obligatorische Standardhinweis- und Zustimmungsbanner des DoD.	Hinzugefügt	Zur Ausschlussliste in V2R8 hinzugefügt
OL07-00-010320	Das Oracle Linux-Betriebssystem muss so konfiguriert sein, dass Accounts nach drei nicht erfolgreichen Anmeldeversuchen innerhalb eines 15-minütigen Zeitrahmens mindestens 15 Minuten lang gesperrt werden.	Betrifft den Standard-OPC-Benutzeranmeldeaccount, der für den Zugriff auf die Oracle Cloud Infrastructure-Instanz konfiguriert ist.	Hinzugefügt	Zur Ausschlussliste in V2R8 hinzugefügt
OL07-00-010330	Das Oracle Linux-Betriebssystem muss den zugehörigen Account sperren, nachdem drei nicht erfolgreiche Root-Anmeldeversuche innerhalb eines Zeitraums von 15 Minuten durchgeführt wurden.	Betrifft den Standard-OPC-Benutzeranmeldeaccount, der für den Zugriff auf die Oracle Cloud Infrastructure-Instanz konfiguriert ist.	Hinzugefügt	Zur Ausschlussliste in V2R8 hinzugefügt
OL07-00-010492	Oracle Linux-Betriebssysteme mit Version 7.2 oder höher, die mit United Extensible Firmware Interface (UEFI) gestartet werden, müssen beim Booten im Einzelbenutzermodus und in der Wartung einen eindeutigen Namen für den grub-Superuser-Account aufweisen.	Erfordert eine Änderung des standardmäßigen Superuser-Namens. Betrifft das Booten als grub-Superuser.	Hinzugefügt	Zur Ausschlussliste in V2R8 hinzugefügt
OL07-00-010500	Das Oracle Linux-Betriebssystem muss sich eindeutig identifizieren und Organisationsbenutzer (oder Prozesse, die im Namen von Organisationsbenutzern handeln) mit Multi-Faktor-Authentifizierung authentifizieren.	Die Multi-Faktor-Authentifizierung ist auf dem Oracle Cloud Infrastructure-Standardimage nicht konfiguriert.	Hinzugefügt	Zur Ausschlussliste in V2R8 hinzugefügt
OL07-00-020019	Das Oracle Linux-Betriebssystem muss das Tool "Endpoint Security for Linux Threat Prevention" implementieren.	Oracle Linux wird nicht mit Virenscansoftware geliefert. Eine Benutzerkonfiguration ist erforderlich.	Hinzugefügt	Zur Ausschlussliste in V2R8 hinzugefügt
OL07-00-020020	Das Oracle Linux-Betriebssystem muss verhindern, dass nicht privilegierte Benutzer privilegierte Funktionen ausführen, wie die Deaktivierung, Umgehung oder Änderung implementierter Sicherheitsvorrichtungen/Gegenmaßnahmen.	Erfordert das Abrufen einer bestimmten Liste autorisierter Benutzer vom Benutzer-ISSO.	Hinzugefügt	Zur Ausschlussliste in V2R8 hinzugefügt
OL07-00-020021	Das Oracle Linux-Betriebssystem muss SELinux-Benutzer auf Rollen beschränken, die dem Least-Privilege-Prinzip entsprechen.	Erfordert eine SA-/ISSO-Prüfung eines Benutzers, um die Konformität der SELinux-Rollenzuordnung zu bestimmen.	Hinzugefügt	Zur Ausschlussliste in V2R8 hinzugefügt
OL07-00-020023	Das Oracle Linux-Betriebssystem muss den SELinux-Kontext erweitern, wenn ein Administrator den sudo-Befehl aufruft.	Betrifft den Standard-OPC-Benutzeranmeldeaccount, der für den Zugriff auf die Oracle Cloud Infrastructure-Instanz konfiguriert ist.	Hinzugefügt	Zur Ausschlussliste in V2R8 hinzugefügt
OL07-00-020040	Das Oracle Linux-Betriebssystem muss so konfiguriert werden, dass angegebene Mitarbeiter benachrichtigt werden, wenn Baselinekonfigurationen autorisiert geändert werden.	AIDE-Erkennungssystem muss vor der Konfiguration installiert werden.	Hinzugefügt	Zur Ausschlussliste in V2R8 hinzugefügt
OL07-00-020270	Das Oracle Linux-Betriebssystem darf keine unnötigen Accounts aufweisen.	Erfordert das Abrufen einer bestimmten Liste autorisierter Systemaccounts vom Benutzer-ISSO.	Hinzugefügt	Zur Ausschlussliste in V2R8 hinzugefügt
OL07-00-020680	Das Oracle Linux-Betriebssystem muss so konfiguriert sein, dass alle Dateien und Verzeichnisse in Home-Verzeichnissen lokaler interaktiver Benutzer den Modus 750 oder einen weniger permissiven Modus aufweisen.	Schränkt den Dateizugriff auf Systemservices ein.	Hinzugefügt	Zur Ausschlussliste in V2R8 hinzugefügt
OL07-00-020720	Das Oracle Linux-Betriebssystem muss so konfiguriert sein, dass alle ausführbaren Suchpfade für Initialisierungsdateien lokaler interaktiver Benutzer nur Pfade enthalten, die als das Home-Verzeichnis des Benutzers aufgelöst werden.	Betrifft den Zugriff auf Benutzerbinärdateien und Utilitys.	Hinzugefügt	Zur Ausschlussliste in V2R8 hinzugefügt
OL07-00-021000	Das Oracle Linux-Betriebssystem muss so konfiguriert sein, dass Dateisysteme mit Benutzer-Home-Verzeichnissen gemountet werden, um zu verhindern, dass Dateien mit dem setuid- und setgid-Bit ausgeführt werden.	Betrifft den Benutzerzugriff auf die Ausführung von Binärdateien in ihren Home-Verzeichnissen.	Hinzugefügt	Zur Ausschlussliste in V2R8 hinzugefügt
OL07-00-021300	Sofern nicht erforderlich, muss das Oracle Linux-Betriebssystem Kernelcoredumps deaktivieren.	Der Kdump-Service wird für Diagnosezwecke bei systemgenerierten Kernelabstürzen benötigt.	Hinzugefügt	Zur Ausschlussliste in V2R8 hinzugefügt
OL07-00-021600	Das Oracle Linux-Betriebssystem muss so konfiguriert sein, dass das Dateiintegritätstool Access-Control-Listen (ACLs) verifiziert.	AIDE-Erkennungssystem muss vor der Konfiguration installiert werden.	Hinzugefügt	Zur Ausschlussliste in V2R8 hinzugefügt
OL07-00-021610	Das Oracle Linux-Betriebssystem muss so konfiguriert sein, dass das Dateiintegritätstool erweiterte Attribute verifiziert.	AIDE-Erkennungssystem muss vor der Konfiguration installiert werden.	Hinzugefügt	Zur Ausschlussliste in V2R8 hinzugefügt
OL07-00-021620	Das Oracle Linux-Betriebssystem muss ein Dateiintegritätstool verwenden, das zur Verwendung von FIPS 140-2-genehmigten kryptografischen Hashes für die Validierung von Dateiinhalten und -verzeichnissen konfiguriert ist.	AIDE-Erkennungssystem muss vor der Konfiguration installiert werden.	Hinzugefügt	Zur Ausschlussliste in V2R8 hinzugefügt
OL07-00-031000	Das Oracle Linux-Betriebssystem muss die rsyslog-Ausgabe an einen Logaggregationsserver senden.	Erfordert einen Remoteserver zur Übertragung von rsyslog-Informationen.	Hinzugefügt	Zur Ausschlussliste in V2R8 hinzugefügt
OL07-00-032000	Das Oracle Linux-Betriebssystem muss ein Virenscanprogramm verwenden.	Oracle Linux wird nicht mit Virenscansoftware geliefert. Eine Benutzerkonfiguration ist erforderlich.	Hinzugefügt	Zur Ausschlussliste in V2R8 hinzugefügt
OL07-00-040100	Das Oracle Linux-Betriebssystem muss so konfiguriert sein, dass die Verwendung von Funktionen, Ports, Protokollen und/oder Services gemäß der Definition in der "Ports, Protocols, and Services Management Component Local Service Assessment" (PPSM CLSA) und den Sicherheitslückenbewertungen verboten oder eingeschränkt wird.	Erfordert die Prüfung von Ports, Protokollen und/oder Services gemäß der Definition durch die PPSM CLSA eines Benutzers.	Hinzugefügt	Zur Ausschlussliste in V2R8 hinzugefügt
OL07-00-040160	Das Oracle Linux-Betriebssystem muss so konfiguriert sein, dass alle mit einer Kommunikationssession verknüpften Netzwerkverbindungen am Ende der Session oder nach 15 Minuten Inaktivität des Benutzers an einer Eingabeaufforderung beendet werden, außer um dokumentierte und validierte Missionsanforderungen zu erfüllen.	Kann Benutzer-Workloads beeinträchtigen.	Hinzugefügt	Zur Ausschlussliste in V2R8 hinzugefügt
OL07-00-040170	Das Oracle Linux-Betriebssystem muss das obligatorische Standardhinweis- und Zustimmungsbanner des DoD unmittelbar vor oder im Rahmen der Anmeldeaufforderungen für den Remotezugriff anzeigen.	Erfordert die Benutzerzustimmung zur Vereinbarung für das obligatorische Standardhinweis- und Zustimmungsbanner des DoD.	Hinzugefügt	Zur Ausschlussliste in V2R8 hinzugefügt
OL07-00-040420	Das Oracle Linux-Betriebssystem muss so konfiguriert sein, dass die SSH-Private-Host-Key-Dateien den Modus 0600 oder einen weniger permissiven Modus aufweisen.	Ändert die Standardberechtigungen des vom Systemservice generierten SSH-Private-Host-Keys.	Hinzugefügt	Zur Ausschlussliste in V2R8 hinzugefügt
OL07-00-040711	Der SSH-Daemon des Oracle Linux-Betriebssystems muss verhindern, dass Remotehosts eine Verbindung zur Proxyanzeige herstellen.	Betrifft den Benutzerzugriff auf Oracle Cloud Infrastructure-Instanzen.	Hinzugefügt	Zur Ausschlussliste in V2R8 hinzugefügt
OL07-00-040810	Das Zugriffskontrollprogramm des Oracle Linux-Betriebssystems muss so konfiguriert sein, dass Systemzugriff auf bestimmte Hosts und Services gewährt oder verweigert wird.	Erfordert eine Prüfung des Zugriffs auf bestimmte Hosts und Services. Der Zugriff muss von der Berechtigungs-Policy des Benutzers gewährt werden.	Hinzugefügt	Zur Ausschlussliste in V2R8 hinzugefügt
OL07-00-040820	Für das Oracle Linux-Betriebssystem dürfen keine unautorisierten IP-Tunnel konfiguriert sein.	Erfordert eine SA-/ISSO-Prüfung eines Benutzers, um autorisierte IPSec-Tunnelverbindungen zu bestimmen.	Hinzugefügt	Zur Ausschlussliste in V2R8 hinzugefügt

Oracle-Linux-7.9-2021.07.27-STIG

Das Oracle Linux STIG-Image Oracle-Linux-7.9-2021.07.27-STIG wurde am 10.08.2021 veröffentlicht.

Die folgenden Hinweise zum Update verstehen sich im Vergleich zum vorangegangenen Release Oracle-Linux-7.9-2021.03.02-STIG.

Imageupdates

kernel-uek: 5.4.17-2102.203.6.el7uek.x86_64 Unbreakable Enterprise Kernel Release 6-(UEK R6-)Kernelversion mit einem Fix für CVE-2021-33909.
Oracle Linux 7.9-Systempackages wurden auf die neuesten verfügbaren Versionen mit Sicherheitsfixes aktualisiert.

Complianceupdates

Ziel: Benchmarkversion Oracle Linux7 DISA STIG Benchmark - Ver 2, Rel 4.
SCC-Compliancescore: 89,44 %.

Am aktuellen STIG-Image wurden Änderungen vorgenommen.

In der folgenden Tabelle werden die Änderungen beschrieben, die im Release Oracle-Linux-7.9-2021.07.27-STIG vorgenommen wurden.

Hinweis

Updates für dieses Release werden auch im Abschnitt Oracle Linux 7 Additional Configurations berücksichtigt, in dem Bereiche im aktuellen Image beschrieben werden, die manuell konfiguriert werden müssen. In diesem Abschnitt finden Sie wichtige Informationen zu den in der folgenden Tabelle aufgeführten Regeln.


STIG-ID	Regelbeschreibung	Grund für Ausschluss	Status	Anmerkungen
OL07-00-010090	Auf dem Oracle Linux-Betriebssystem muss das Imagepackage installiert sein.	Betrifft den standardmäßigen Oracle Public Cloud-(OPC-)Benutzeranmeldeaccount, der für den Zugriff auf die Oracle Cloud Infrastructure-Instanz konfiguriert ist.	Entfernt	Aus der Ausschlussliste in V2R4 entfernt
OL07-00-021350	Das Oracle Linux-Betriebssystem muss die von NIST FIPS validierte Kryptografie zu folgenden Zwecken implementieren: zur Bereitstellung digitaler Signaturen, zur Generierung kryptografischer Hashes und zum Schutz von Daten, die einen Data-at-Rest-Schutz erfordern, gemäß den geltenden Bundesgesetzen, Executive Orders, Direktiven, Policys, Vorschriften und Standards.	Ausschluss des Parameters `fips=1` aus Rettungskernelbefehlszeile.	Hinzugefügt	Aus der Ausschlussliste in V2R4 entfernt Wichtig: Wenn Sie `fips=1` zur Rettungskernel-Befehlszeile hinzufügen, kann dies dazu führen, dass die Instanz nicht mit einem schwerwiegenden Fehler gestartet werden kann.
OL07-00-030200	Das Oracle Linux-Betriebssystem muss für die Verwendung des Plug-ins "au-remote" konfiguriert sein.	Die Plug-in-Konfiguration `au-remote` setzt Remoteserverdetails voraus.	Entfernt	Aus der Ausschlussliste in V2R4 entfernt
OL07-00-030201	Das Oracle Linux-Betriebssystem muss so konfiguriert sein, dass Auditlogs vom zu auditierenden System auf ein anderes System oder Speichermedium ausgelagert werden.	Die Plug-in-Konfiguration `au-remote` setzt Remoteserverdetails voraus.	Aktualisiert	Regeltitel in V2R4 geändert
OL07-00-040600	Bei Oracle Linux-Betriebssystemen, welche die DNS-Auflösung verwenden, müssen mindestens zwei Name Server konfiguriert werden.	Das Oracle National Security Regions-(ONSR-)Image stellt nur einen zuverlässigen DNS-Host bereit.	Aktualisiert	Regeltitel in V2R4 geändert
OL07-00-041001	Auf dem Oracle Linux-Betriebssystem müssen die erforderlichen Packages für die Multifaktor-Authentifizierung installiert sein.	Die Multifaktor-Authentifizierung ist auf dem Oracle Cloud Infrastructure-Standardimage nicht konfiguriert.	Entfernt	Aus der Ausschlussliste in V2R4 entfernt Behoben auf dem Image: `pam_pkcs11 package` auf der Instanz installiert.
OL07-00-040710	Das Oracle Linux-Betriebssystem muss so konfiguriert sein, dass Remote-X-Verbindungen deaktiviert sind, außer zur Erfüllung dokumentierter und validierter geschäftskritischer Anforderungen.	Wirkt sich auf die serielle Konsolenkonnektivität der Instanz aus.	Hinzugefügt	Zur Ausschlussliste in V2R4 hinzugefügt
OL07-00-010342	Das Oracle Linux-Betriebssystem muss das Kennwort des aufrufenden Benutzers für die Berechtigungseskalation verwenden, wenn der Befehl sudo verwendet wird.	Wirkt sich auf den Standard-OPC-Anmeldeaccount aus.	Hinzugefügt	Zur Ausschlussliste in V2R4 hinzugefügt

Oracle-Linux-7.9-2021.03.02-STIG

Das Oracle Linux STIG-Image Oracle-Linux-7.9-2021.03.02-STIG wurde am 10.03.2021 veröffentlicht.

Bildinformationen

UEK-R6-Kernelversion 5.4.17-2036.103.3.1.el7uek.x86_64.
Neueste Versionen von Oracle Linux 7.9-Systempackages mit Sicherheitsfixes.

Compliance-Informationen

Ziel: Benchmarkversion Oracle Linux 7 DISA STIG-Benchmark - Ver 1, Rel 2.
SCC-Compliancescore: 89,44 %.

Weitere Informationen

In diesen Ressourcen erhalten Sie weitere Informationen zum Oracle Linux STIG-Image.

Webressource des US-Verteidigungsministeriums unter https://public.cyber.mil/.

Informationen zu DISA STIG- und SCAP-Katalogen finden Sie in den folgenden Ressourcen:
- STIG-Katalog unter https://public.cyber.mil/stigs/.
- SCAP-Katalog unter https://public.cyber.mil/stigs/scap/.

Oracle Cloud Infrastructure-Dokumentation

Oracle Linux STIG-Image

Was ist ein STIG?

Aktuellen STIG herunterladen

Wie wird die STIG-Compliance bewertet?

Complianceziele

Instanzen erstellen und Verbindungen mit ihnen herstellen

Korrekturen anwenden

Zusätzliche Konfigurationen mit der Checkliste anzeigen

Auf die Checkliste zugreifen

Versionshinweise für Checklisten anzeigen

Instanz erneut auf Compliance scannen

Das Tool OpenSCAP verwenden

Das SSC-Tool verwenden

Revisionshistorie für Oracle Linux STIG-Image

Oracle Linux 8

Oracle Linux 7 (erweiterter Support)

Ältere Bilder

Weitere Korrekturen

Changelog

Weitere Korrekturen

Changelog

Weitere Informationen