Imagen de STIG de Oracle Linux

Oracle Linux STIG Image es una implantación de Oracle Linux que sigue la Security Technical Implementation Guide (STIG).

La imagen STIG de Oracle Linux se inicia desde Oracle Cloud Marketplace. En Marketplace, busque las listas STIG de Oracle Linux y seleccione la imagen STIG de Oracle Linux con el perfil en el que está interesado.

Con la imagen STIG, puede configurar una instancia de Oracle Linux en Oracle Cloud Infrastructure que cumpla determinados estándares de seguridad y requisitos definidos por la Agencia de Sistemas de la Información de Defensa (DISA).

Nota

Oracle actualiza Oracle Linux STIG Image regularmente con las últimas erratas de seguridad. Este documento se actualiza cada vez que cambia la referencia STIG o cuando los cambios en la guía de seguridad requieren la configuración manual de la imagen. Consulte Historial de revisiones para imágenes STIG de Oracle Linux para ver los cambios específicos realizados en cada versión.
Importante

Cualquier cambio que se realice en una instancia de Oracle Linux STIG Image (como instalar otras aplicaciones o modificar los valores en la configuración) puede afectar a la puntuación en conformidad. Después de realizar cambios, vuelva a analizar la instancia para comprobar que cumple los requisitos de conformidad

¿Qué es un STIG?

Una STIG (Security Technical Implementation Guide, guía de implantación técnica de seguridad) es un documento redactado por la Agencia de Sistemas de la Información de Defensa (DISA). Proporciona orientación sobre la configuración de un sistema para cumplir con los requisitos de ciberseguridad para el despliegue en los sistemas de red de TI del Departamento de Defensa (DoD) de EE. UU. Los requisitos de STIG ayudan a proteger la red frente amenazas de ciberseguridad centrándose en la infraestructura y la seguridad de la red para mitigar las vulnerabilidades. Compliance with STIGs is a requirement for DoD agencies, or any organization that's a part of the DoD information networks (DoDIN).

La imagen STIG de Oracle Linux ayuda a automatizar la conformidad proporcionando una versión reforzada de la imagen estándar de Oracle Linux. La imagen se ha reforzado para seguir las directrices de STIG. Sin embargo, la imagen no puede cumplir todos los requisitos de STIG y puede requerir una reparación manual adicional.

Descarga de la STIG más reciente

DISA proporciona actualizaciones trimestrales de las STIG. Esta documentación se ha creado utilizando la STIG más reciente disponible en el momento de la publicación. Sin embargo, siempre utilice la STIG más reciente al evaluar el sistema.

Descargue la versión más reciente de https://public.cyber.mil/stigs/downloads/ de STIG. Busque Oracle Linux y, a continuación, descargue el archivo zip adecuado.

Si lo desea, utilice el Visor de STIG de DISA de https://public.cyber.mil/stigs/srg-stig-tools/. A continuación, importe el archivo xccdf.xml de la STIG para ver las reglas de STIG.

¿Cómo se evalúa la conformidad de STIG?

La evaluación de conformidad suele comenzar con una exploración mediante una herramienta de comprobación de conformidad de Security Content Automation Protocol (SCAP). La herramienta utiliza una STIG (cargada en formato de SCAP) para analizar la seguridad de un sistema. Sin embargo, la herramienta no siempre prueba todas las reglas de una STIG y es posible que algunas STIG no tengan versiones de SCAP. En estos casos, un auditor tiene que comprobar la conformidad del sistema de forma manual; para ello, tendrá que revisar las reglas de STIG, que no cubre la herramienta.

Las siguientes herramientas están disponibles para automatizar la evaluación de conformidad:

  • SCAP Compliance Checker (SCC): herramienta desarrollada por DISA que puede ejecutar una evaluación utilizando DISA STIG Benchmark o un perfil ascendente OpenSCAP. Normalmente, DISA STIG Benchmark se utiliza para el análisis de conformidad cuando se utiliza la herramienta SCC.

    Importante

    Para explorar una arquitectura de Arm (aarch64), debe utilizar SCC versión 5.5 o posterior.
  • OpenSCAP: utilidad del código abierto disponible mediante yum que puede ejecutar una evaluación utilizando DISA STIG Benchmark o un perfil ascendente OpenSCAP. Oracle Linux distribuye un paquete de la Guía de seguridad de SCAP (SSG) que contiene perfiles específicos de la versión del sistema. Por ejemplo, el archivo ssg-ol7-ds.xml del flujos de Datos SCAP que se proporciona en el paquete SSG incluye el perfil DISA STIG para Oracle Linux 7. Una ventaja de utilizar la herramienta OpenSCAP es que SSG proporciona scripts Bash o Ansible para automatizar el proceso de corrección y llevar el sistema a un estado compatible.

    Atención

    La solución automática mediante secuencias de comandos puede provocar una configuración del sistema no deseada o hacer que un sistema no funcione. Pruebe los scripts de corrección en un entorno que no sea de producción.

Consulte Nuevo análisis de una instancia para su conformidad para ver información sobre la ejecución de las herramientas de conformidad y la generación de un informe de exploración.

Objetivos de conformidad

La imagen STIG de Oracle Linux contiene correcciones adicionales para las reglas que no se abordan en la referencia DISA STIG. Utilice el perfil SSG "STIG" alineado con DISA STIG para Oracle Linux para ampliar la automatización de las reglas no abordadas anteriormente y determinar la conformidad con la DISA STIG completa.

Se proporcionan dos archivos de lista de comprobación de DISA STIG Viewer con la imagen, que se basan en los resultados de análisis de SCC y OpenSCAP. La lista de comprobación de DISA STIG Benchmark utiliza los resultados de la exploración SCC, mientras que la lista de comprobación del perfil SSG "STIG" utiliza los resultados de la exploración OpenSCAP. Estas listas de comprobación contienen comentarios de Oracle para las áreas de la imagen que no cumplen con las directrices. Consulte Uso de la lista de comprobación para ver configuraciones adicionales.

Nota

Las puntuaciones de cumplimiento más altas para DISA STIG Benchmark reflejan un alcance más limitado de las reglas en comparación con la DISA STIG completa. Sin embargo, el perfil SSG "STIG" representa el DISA STIG completo, proporcionando una evaluación más completa del cumplimiento de la imagen.

Oracle Linux 8

Las imágenes de STIG de Oracle Linux 8 siguen los estándares del sistema DISA y se refuerzan de acuerdo con Oracle Linux 8 DISA STIG. Para la última versión de Oracle Linux 8 STIG Image, el destino de conformidad es DISA STIG para Oracle Linux 8 Ver 2, Versión 4. El paquete scap-security-guide (como mínimo 0.1.76-1.0.3) disponible a través de la versión yum contiene el perfil SSG "STIG" alineado con DISA STIG para Oracle Linux 8 Ver 2, Rel 4.

Información de conformidad para las imágenes de STIG de Oracle Linux 8.10 de junio de 2025:

Destino: perfil de SSG alineado con el STIG de DISA para Oracle Linux 8 Ver 2, Rel 4

  • Puntuación de conformidad de lista de comprobación para x86_64: 79,94 %
  • Puntuación de conformidad de lista de comprobación para aarch64: 79,87 %

Destino: STIG DISA para Oracle Linux 8 Ver 2, Rel 4 Perfil de referencia

  • Puntuación de conformidad de lista de comprobación para x86_64: 84,26 %
  • Puntuación de conformidad de lista de comprobación para aarch64: 84,26 %

Oracle Linux 7 (soporte extendido)

Las imágenes de Oracle Linux 7 STIG siguen los estándares de seguridad de DISA y se refuerzan de acuerdo con Oracle Linux 7 DISA STIG. Para la última versión de Oracle Linux 7 STIG Image, el destino de conformidad ha pasado a DISA STIG Ver 3, Versión 1. El paquete scap-security-guide (como mínimo 0.1.73-1.0.3) disponible a través de yum contiene el perfil SSG "STIG" alineado con DISA STIG para Oracle Linux 7 versión 3, versión 1.

Información de conformidad para las imágenes STIG de Oracle Linux 7.9 de febrero de 2025:

Destino: perfil de SSG alineado con el STIG de DISA para Oracle Linux 7 Ver 3, Rel 1

  • Puntuación de conformidad de lista de comprobación x86_64: 81,65 %
  • Puntuación de conformidad de lista de comprobación aarch64: 81,65 %

Destino: DISA STIG para Oracle Linux 7 Ver 3, Versión 1, perfil de referencia

  • Puntuación de conformidad de lista de comprobación x86_64: 91,71 %
  • Puntuación de conformidad de lista de comprobación aarch64: 91,71 %
Nota

El estándar STIG de DISA no tuvo cambios significativos, aparte de la redacción, entre Oracle Linux 7 Ver 3, Versión 1 y Oracle Linux 7 Ver 2, Versión 14. Debido a esto, cualquier sistema compatible con Oracle Linux 7 Ver 2, Versión 14 también es compatible con Oracle Linux 7 Ver 3, Versión 1.