Documentation sur Oracle Cloud Infrastructure

Image Oracle Linux STIG

L'image Oracle Linux STIG est une mise en oeuvre d'Oracle Linux qui suit les recommandations du guide technique de mise en oeuvre de la sécurité (STIG).

Avec l'image STIG, vous pouvez configurer une instance Oracle Linux dans Oracle Cloud Infrastructure, qui respecte certaines normes et exigences de sécurité définies par l'agence des systèmes d'information du Département de la défense des États-Unis (DISA).

Note

Oracle met à jour régulièrement l'image Oracle Linux STIG avec les derniers errata de sécurité. Ce document est mis à jour lorsque la norme STIG est modifiée, ou lorsque des modifications du guide de sécurité nécessitent une configuration manuelle de l'image. Voir Historique des révisions de l'image Oracle Linux STIG pour connaître les modifications spécifiques apportées à chaque version.
Important

Toute modification apportée à une instance d'image Oracle Linux STIG (par exemple, l'installation d'autres applications ou la modification des paramètres de configuration) peut avoir une incidence sur la note de conformité. Après avoir apporté des modifications, balayez de nouveau l'instance pour vérifier sa conformité. Voir Rebalayer une instance pour vérifier sa conformité.

Qu'est-ce qu'un STIG?

Un guide de mise en oeuvre de la sécurité (STIG) est un document écrit par l'agence des systèmes d'information du Département de la défense des États-Unis (DISA). Il fournit des conseils pour configurer un système en vue de respecter les exigences de cybersécurité pour le déploiement dans les systèmes de réseau du Département de la défense (DoD) des États-Unis. Les exigences STIG aident à protéger le réseau contre les menaces de cybersécurité en se concentrant sur l'infrastructure et la sécurité du réseau pour atténuer les vulnérabilités. Le respect des STIG est une exigence pour les agences DoD ou toute organisation faisant partie des réseaux d'information DoD (DoDIN).

L'image Oracle Linux STIG contribue à automatiser la conformité en fournissant une version renforcée de l'image Oracle Linux standard. L'image est renforcée pour respecter les directives des STIG. Cependant, l'image ne peut pas répondre à toutes les exigences STIG et peut nécessiter des mesures correctives manuelles supplémentaires. Voir Application de mesures correctives.

Téléchargement du dernier STIG

La DISA fournit des mises à jour trimestrielles des STIG. Cette documentation a été créée à l'aide du dernier STIG disponible au moment de la publication. Cependant, utilisez toujours le dernier STIG lors de l'évaluation de votre système.

Téléchargez la dernière version à l'adresse https://public.cyber.mil/stigs/downloads/. Recherchez Oracle Linux, puis téléchargez le fichier zip approprié.

Vous pouvez éventuellement utiliser le visualiseur STIG DISA disponible à l'adresse https://public.cyber.mil/stigs/srg-stig-tools/. Ensuite, importez le fichier xccdf.xml du STIG pour voir les règles de celui-ci.

Comment la conformité au STIG a-t-elle été évaluée?

L'évaluation de la conformité commence souvent par un balayage à l'aide d'un outil de contrôle de conformité SCAP (Security Content Automation Protocol). Cet outil utilise un STIG (chargé au format SCAP) pour analyser la sécurité d'un système. Cependant, il ne teste pas toujours toutes les règles d'un STIG et certains STIG peuvent ne pas avoir de version SCAP. Dans ce cas, un vérificateur doit vérifier manuellement la conformité du système en suivant les règles du STIG non couvertes par l'outil.

Les outils suivants sont disponibles pour automatiser l'évaluation de la conformité :

  • Outil de contrôle de conformité SCAP (SCC) - Outil développé par la DISA qui peut exécuter une évaluation à l'aide de la norme STIG de la DISA ou d'un profil en amont OpenSCAP. Généralement, la norme STIG de la DISA est utilisée pour l'évaluation de la conformité lors de l'utilisation de l'outil SCC.

    Important

    Pour balayer l'architecture Arm (aarch64), vous devez utiliser SCC version 5.5 ou ultérieure.

  • OpenSCAP - Utilitaire à source ouverte disponible au moyen de yum qui peut exécuter une évaluation à l'aide de la norme STIG de la DISA ou d'un profil en amont OpenSCAP. Oracle Linux distribue un ensemble SCAP Security Guide (SSG) qui contient des profils propres à la version du système. Par exemple, le fichier de flux de données SCAP ssg-ol7-ds.xml fourni par l'ensemble SSG inclut le profil STIG de la DISA pour Oracle Linux 7. Un avantage de l'utilisation de l'outil OpenSCAP est que SSG fournit des scripts Bash ou Ansible pour automatiser les mesures correctives et rendre le système conforme.

    Attention

    La correction automatique à l'aide de scripts peut entraîner une configuration indésirable du système ou rendre celui-ci non fonctionnel. Testez les scripts de correction dans un environnement hors production.

Pour plus d'informations sur l'exécution des outils de conformité et la génération d'un rapport de balayage, voir Rebalayage d'une instance pour vérifier sa conformité.

Cibles de conformité

L'image STIG Oracle Linux contient des mesures correctives supplémentaires pour les règles qui ne sont pas traitées par la norme STIG de la DISA. Utilisez le profil SSG "STIG" aligné sur DISA STIG pour Oracle Linux pour étendre l'automatisation sur les règles non traitées précédemment et déterminer la conformité par rapport au STIG DISA complet.

Deux fichiers de liste de vérification DISA STIG Viewer sont fournis avec l'image, qui sont basés sur les résultats de balayage de SCC et OpenSCAP. La liste de vérification de la norme STIG de la DISA utilise les résultats du balayage SCC, tandis que la liste de vérification du profil SSG "STIG" utilise les résultats du balayage OpenSCAP. Ces listes de vérification contiennent des commentaires d'Oracle sur les zones de l'image qui ne répondent pas aux directives. Voir Utilisation de la liste de vérification pour voir des configurations supplémentaires.
Note

Les notes de conformité les plus élevées pour la norme STIG DISA reflètent une portée de règles plus limitée que la norme STIG DISA complète. Cependant, le profil SSG "stig" représente l'ensemble du STIG de la DISA, fournissant une évaluation plus complète de la conformité de l'image.
Oracle Linux 8

Les images STIG Oracle Linux 8 respectent les normes de sécurité de la DISA et sont renforcées selon le STIG de la DISA pour Oracle Linux 8. Pour la dernière version d'image Oracle Linux 8 STIG, l'objectif de conformité est le STIG DISA pour Oracle Linux 8, version 10. L'ensemble scap-security-guide (version minimale 0.1.73-1.0.1) disponible via yum contient le profil SSG "STIG" aligné avec le STIG de la DISA pour Oracle Linux 8, version 10.

Informations de conformité pour les images STIG d'Oracle Linux 8.10 septembre 2024 :

Cible : Profil "STIG" SSG aligné avec le STIG DISA pour Oracle Linux 8, version 10

  • Note de conformité de la liste de vérification pour x86_64 : 74,63 %
  • Note de conformité de la liste de vérification pour aarch64 : 74,55 %

Cible : Profil de référence DISA STIG pour Oracle Linux 8, version 1, version 8

  • Note de conformité de la liste de vérification pour x86_64 : 80,57 %
  • Note de conformité de la liste de vérification pour aarch64 : 80,57 %
Oracle Linux 7 (soutien prolongé)

Les images STIG Oracle Linux 7 respectent les normes de sécurité de la DISA et sont renforcées selon le STIG de la DISA pour Oracle Linux 7. Pour la dernière version de l'image STIG Oracle Linux 7, la cible de conformité est le STIG V3, version 1 de la DISA. L'ensemble scap-security-guide (version minimale 0.1.73-1.0.3) disponible via yum contient le profil SSG "STIG" aligné avec DISA STIG pour Oracle Linux 7 version 3, version 1.

Informations de conformité pour les images STIG d'Oracle Linux 7.9 février 2025 :

Cible : Profil "STIG" SSG aligné avec le STIG DISA pour Oracle Linux 7, version 3, version 1

  • Note de conformité de la liste de vérification x86_64 : 81,65 %
  • Note de conformité de la liste de vérification aarch64 : 81,65 %

Cible : STIG de la DISA pour le profil de référence Oracle Linux 7, version 3, version 1

  • Note de conformité de la liste de vérification x86_64 : 91,71 %
  • Note de conformité de la liste de vérification aarch64 : 91,71 %
Note

Le standard STIG de la DISA n'a apporté aucune modification significative, autre que la formulation, entre Oracle Linux 7 Ver 3, Rel 1 et Oracle Linux 7 Ver 2, Rel 14. Pour cette raison, tout système conforme à Oracle Linux 7 version 2, version 14, est également conforme à Oracle Linux 7 version 3, version 1.

Application de mesures correctives

L'image Oracle Linux STIG renforcée ne peut pas être configurée pour tenir compte de toutes les recommandations. Vous devez finaliser manuellement les configurations non incluses dans l'instance d'image STIG Oracle Linux.

Pour chaque règle de sécurité établie par l'agence DISA, des instructions d'application de la configuration de sécurité appropriée sont fournies dans le Guide technique de mise en oeuvre de la sécurité d'Oracle Linux correspondant.

Important

Certaines modifications apportées à l'image peuvent avoir une incidence sur le compte Oracle Cloud Infrastructure par défaut de l'instance. Si vous décidez d'appliquer une règle, étudiez les informations relatives à cette règle et les motifs d'exclusion afin de bien comprendre son incidence potentielle sur l'instance.

Utilisation de la liste de vérification pour voir des configurations supplémentaires

Utilisez les listes de vérification fournies avec l'image STIG d'Oracle Linux pour afficher des "notes de version" supplémentaires sur les zones d'orientation non incluses dans l'image, qui peuvent nécessiter une configuration supplémentaire. Les notes de version identifient les configurations supplémentaires qui peuvent avoir une incidence sur le compte Oracle Cloud Infrastructure par défaut des instances.

Accès à la liste de vérification

L'image Oracle Linux STIG comprend des listes de vérification DISA STIG Viewer pour le profil "STIG" DISA STIG Benchmark et SCAP Security Guide (SSG) alignés avec DISA STIG pour Oracle Linux. Ces listes de vérification se trouvent dans le répertoire /usr/share/xml/stig. Voir Historique des versions pour le nom de fichier spécifique associé à chaque version.

  • OL<release>_SSG_STIG_<stig-version>_CHECKLIST_RELEASE.ckl - Liste de vérification pour DISA STIG pour Oracle Linux à l'aide des résultats de balayage de profil "STIG" SSG.
  • OL<release>_DISA_BENCHMARK_<stig-version>_CHECKLIST_RELEASE.ckl - Liste de vérification de la norme STIG de la DISA pour Oracle Linux à l'aide des résultats du balayage de profil SCC Oracle_Linux_<release>_STIG.

Consultation des notes de version des listes de vérification

  1. Téléchargez l'outil DISA STIG Viewer à l'adresse : https://public.cyber.mil/stigs/srg-stig-tools/
  2. Ouvrez l'outil STIG Viewer.
  3. Sous Liste de vérification, sélectionnez Ouvrir la liste de vérification à partir du fichier... et naviguez jusqu'au fichier de liste de vérification.
  4. Développez le panneau de filtre et ajoutez le filtre suivant :
    • Correspondance obligatoire : TOUS
    • Filtrer par : Mot clé
    • Type de filtre : Filtre inclusif (+)
    • Mot clé : Notes de version d'Oracle
  5. Les notes de version fournissent des informations supplémentaires sur les règles :
    • Ouvert - Règles qui ont été exclues ou considérées comme hors de portée.
      • Exclus - Règles qui peuvent avoir une incidence sur le compte Oracle Cloud Infrastructure par défaut de l'instance et qui ont été exclues des mesures correctives pour l'image STIG Oracle Linux.
      • Hors de la portée - Règles hors de portée pour les mesures correctives dans la version courante, mais qui peuvent être prises en compte pour les mesures correctives dans une version future.
    • Sans objet - Règles qui ont été considérées comme non applicables à l'image STIG Oracle Linux.
    • Non révisé - Règles qui ne sont pas couvertes par une mesure corrective dans la version courante, mais qui pourraient être prises en compte pour une mesure corrective dans une version future.
  6. Pour chaque règle, assurez-vous de bien comprendre les implications pour l'instance avant d'appliquer une mesure corrective.

Rebalayer une instance pour vérifier sa conformité

Utilisez l'outil SCC ou OpenSCAP pour balayer l'instance afin de vérifier qu'elle est toujours conforme.

Les modifications apportées à une instance d'image Oracle Linux STIG (par exemple, l'installation d'autres applications ou l'ajout de nouveaux paramètres de configuration) peuvent avoir une incidence sur la conformité. Nous vous recommandons d'analyser pour vérifier que l'instance est conforme après toute modification. En outre, vous devrez peut-être effectuer des balayages ultérieurs pour détecter les mises à jour trimestrielles de la norme STIG de l'agence DISA.

Utilisation de l'outil OpenSCAP

L'outil OpenSCAP est disponible dans Oracle Linux et certifié par le NIST (National Institute of Standards and Technologies).

  1. Connectez-vous à votre instance d'image Oracle Linux STIG.
  2. Installez l'ensemble openscap-scanner. 
    sudo yum install openscap-scanner
  3. Identifiez le fichier XCCDF ou de flux de données à utiliser pour l'analyse.

    Pour utiliser le profil SSG "stig" :

    1. Installez l'ensemble scap-security-guide. 
      sudo yum install scap-security-guide
    2. Localisez le fichier à utiliser pour le balayage dans /usr/share/xml/scap/ssg/content.
    Pour utiliser la norme STIG Oracle Linux DISA :
    1. Allez à https://public.cyber.mil/stigs/downloads/".
    2. Recherchez Oracle Linux et téléchargez le fichier de référence STIG DISA approprié.
    3. Décompressez le fichier après l'avoir téléchargé.
  4. Pour effectuer un balayage, exécutez la commande suivante : 
    sudo oscap xccdf eval --profile profile-name \
--results=path-to-results.xml --oval-results \
--report=path-to-report.html \
--check-engine-results \
--stig-viewer=path-to-stig-viewer-report.xml \
path-to-xccdf-document

    Pour connaître les autres options que vous pouvez utiliser avec la commande oscap, voir Utilisation d'OpenSCAP pour le balayage de vulnérabilités dans les documents Oracle® Linux 7 : Guide de sécurité et Oracle Linux 8 : Utilisation d'OpenSCAP pour la conformité en matière de sécurité.

  5. Vérifiez les résultats de l'évaluation dans le fichier path-to-report.html.

Utilisation de l'outil SCC

SCC est l'outil officiel de vérification de la conformité aux normes gouvernementales. Il peut être utilisé pour balayer une instance d'image Oracle Linux STIG.

Important

Pour balayer l'architecture Arm (aarch64), vous devez utiliser SCC version 5.5 ou ultérieure.

Pour obtenir des instructions sur l'utilisation de l'outil SCC, consultez le tableau des outils SCAP à l'adresse https://public.cyber.mil/stigs/scap/.

  1. Procurez-vous l'outil SCC à partir du tableau à l'adresse https://public.cyber.mil/stigs/scap/.
  2. Installez l'outil. 
    unzip scc-5.4.2_rhel7_sles12-15_oracle-linux7_x86_64_bundle.zip
cd scc-5.4.2_rhel7_x86_64/
rpm -i scc-5.4.2.rhel7.x86_64.rpm
  3. Compressez le fichier .xml de contenu SCAP avant de l'importer dans l'outil SCC.

    Pour le profil SSG "stig" :

    zip ssg_content.zip /usr/share/xml/scap/ssg/content/xml-document
/opt/scc/cscc -is ssg_content.zip

    Pour la norme STIG Oracle Linux DISA :

    zip scap_content.zip path-to-disa-benchmark-xml-document
/opt/scc/cscc -is scap_content.zip
  4. Configurez SCC pour effectuer un balayage sur le contenu importé. 
    /opt/scc/cscc --config
  5. Effectuez le balayage à l'aide du menu de la ligne de commande :
    1. Entrez 1 pour configurer le contenu SCAP.
    2. Entrez clear, puis entrez le numéro correspondant au contenu SCAP importé.

      Dans l'exemple suivant, vous entrez 2 pour le contenu SCAP importé pour Oracle Linux 7. 

      SCC 5.4.2 Available SCAP Content                        [Version]  [Date]    
1.  [ ]  Mozilla_Firefox_RHEL                           005.003    2021-06-09
2.  [X]  OL-7                                           0.1.54     2021-09-23
3.  [ ]  Oracle_Linux_7_STIG                            002.004    2021-06-14
4.  [ ]  RHEL_6_STIG                                    002.002    2020-12-04
5.  [ ]  RHEL_7_STIG                                    003.004    2021-06-14
6.  [ ]  RHEL_8_STIG                                    001.002    2021-06-14
7.  [ ]  SLES_12_STIG                                   002.004    2021-06-14
    3. Entrez 0 pour retourner au menu principal.
    4. Entrez 2 pour configurer le profil SCAP.
    5. Entrez 1 pour sélectionner le profil. Vérifiez que "stig" est sélectionné. 
      Available Profiles for OL-7

1.  [ ] no_profile_selected
2.  [X] stig
    6. Retournez au menu principal. Entrez 9 pour enregistrer les modifications et effectuer un balayage sur le système.
      Le balayage peut prendre entre 25 et 30 minutes.

Historique des révisions de l'image Oracle Linux STIG

Oracle met à jour régulièrement l'image Oracle Linux STIG pour résoudre les problèmes de sécurité.

Si vous déployez une ancienne image Oracle Linux STIG, vous pouvez effectuer un balayage ultérieur pour détecter les mises à jour trimestrielles de la norme STIG de l'agence DISA. Pour plus d'informations, voir Rebalayer une instance pour vérifier sa conformité.

Oracle Linux 8

Oracle-Linux-8.10-STIG septembre 2024
Ces informations concernent :
  • Oracle Linux-8.10-2024.08.20-STIG (pour x86_64)
  • Oracle Linux-8.10-aarch64-2024.08.20-STIG (pour aarch64)
Informations sur l'image
  • kernel-uek : 5.15.0-209.161.7.1.el8uek
  • Première version d'Oracle Linux 8.10 renforcée contre DISA STIG pour Oracle Linux 8, version 10.
  • Mise à jour des ensembles du système vers les dernières versions disponibles, avec correctifs de sécurité.
  • Mesures correctives de règle STIG supplémentaires appliquées à l'image, voir Utilisation de la liste de vérification pour voir des configurations supplémentaires.
  • Fichiers de liste de vérification dans /usr/share/xml/stig :
    • OL8_SSG_STIG_V1R10_CHECKLIST_RELEASE.ckl
    • OL8_DISA_BENCHMARK_V1R8_CHECKLIST_RELEASE.ckl
Informations sur la conformité

Cible : Profil "STIG" SSG aligné avec le STIG DISA pour Oracle Linux 8, version 10

  • Note de conformité de la liste de vérification pour x86_64 : 74,63 %
  • Note de conformité de la liste de vérification pour aarch64 : 74,55 %

Cible : Profil de référence DISA STIG pour Oracle Linux 8, version 1, version 8

  • Note de conformité de la liste de vérification pour x86_64 : 80,57 %
  • Note de conformité de la liste de vérification pour aarch64 : 80,57 %
Note

Les notes de conformité les plus élevées pour la norme STIG DISA reflètent une portée de règles plus limitée que la norme STIG DISA complète. Cependant, le profil SSG "stig" représente l'ensemble du STIG de la DISA, fournissant une évaluation plus complète de la conformité de l'image.
Oracle-Linux-8.9-STIG janvier 2024
Ces informations concernent :
  • Oracle Linux-8.9-2024.01.25-STIG (pour x86_64)
  • Oracle Linux-8.9-aarch64-2024.01.25-STIG (pour aarch64)
Informations sur l'image
  • kernel-uek : 5.15.0-202.135.2.el8uek
  • Première version d'Oracle Linux 8.9 renforcée contre DISA STIG pour Oracle Linux 8, version 1, version 8.
  • Mise à jour des ensembles du système vers les dernières versions disponibles, avec correctifs de sécurité.
  • Mesures correctives de règle STIG supplémentaires appliquées à l'image, voir Utilisation de la liste de vérification pour voir des configurations supplémentaires.
  • Fichiers de liste de vérification dans /usr/share/xml/stig :
    • OL8_SSG_STIG_V1R8_CHECKLIST_RELEASE.ckl
    • OL8_DISA_BENCHMARK_V1R7_CHECKLIST_RELEASE.ckl
Informations sur la conformité

Cible : Profil "STIG" SSG aligné avec le STIG DISA pour Oracle Linux 8, version 8

  • Note de conformité de la liste de vérification pour x86_64 : 67,50 %
  • Note de conformité de la liste de vérification pour aarch64 : 67,40 %

Cible : Profil de référence DISA STIG pour Oracle Linux 8, version 1, version 7

  • Note de conformité de la liste de vérification pour x86_64 : 78,92 %
  • Note de conformité de la liste de vérification pour aarch64 : 78,92 %
Note

Les notes de conformité les plus élevées pour la norme STIG DISA reflètent une portée de règles plus limitée que la norme STIG DISA complète. Cependant, le profil SSG "stig" représente l'ensemble du STIG de la DISA, fournissant une évaluation plus complète de la conformité de l'image.
Oracle-Linux-8.8-STIG juillet 2023
Ces informations concernent :
  • Oracle Linux-8.8-2023.07.06-STIG (pour x86_64)
  • Oracle Linux-8.8-aarch64-2023.07.06-STIG (pour aarch64)
Informations sur l'image
  • kernel-uek : 5.15.0-102.110.5.1.el8uek
  • Première version d'Oracle Linux 8.8 renforcée contre DISA STIG pour Oracle Linux 8, version 1, version 6.
  • Mise à jour des ensembles du système vers les dernières versions disponibles, avec correctifs de sécurité.
  • Mesures correctives de règle STIG supplémentaires appliquées à l'image, voir Utilisation de la liste de vérification pour voir des configurations supplémentaires.
  • Fichiers de liste de vérification dans /usr/share/xml/stig :
    • OL8_SSG_STIG_V1R6_CHECKLIST_RELEASE.ckl
    • OL8_DISA_BENCHMARK_V1R5_CHECKLIST_RELEASE.ckl
Informations sur la conformité

Cible : Profil "STIG" SSG aligné avec le STIG DISA pour Oracle Linux 8, version 6

  • Note de conformité de la liste de vérification pour x86_64 : 64,81 %
  • Note de conformité de la liste de vérification pour aarch64 : 64,54 %

Cible : Profil de référence DISA STIG pour Oracle Linux 8, version 1, version 5

  • Note de conformité de la liste de vérification pour x86_64 : 78,92 %
  • Note de conformité de la liste de vérification pour aarch64 : 78,92 %
Note

Les notes de conformité les plus élevées pour la norme STIG DISA reflètent une portée de règles plus limitée que la norme STIG DISA complète. Cependant, le profil SSG "stig" représente l'ensemble du STIG de la DISA, fournissant une évaluation plus complète de la conformité de l'image.
Oracle-Linux-8.7-STIG avril 2023
Ces informations concernent :
  • Oracle Linux-8.7-2023.04.26-STIG (pour x86_64)
  • Oracle Linux-8.7-aarch64-2023.04.26-STIG (pour aarch64)
Informations sur l'image
  • kernel-uek : 5.15.0-100.96.32.el8uek
  • Première version d'Oracle Linux 8.7 renforcée contre DISA STIG pour Oracle Linux 8, version 1, version 5.
  • Mise à jour des ensembles du système vers les dernières versions disponibles, avec correctifs de sécurité.
  • Mesures correctives de règle STIG supplémentaires appliquées à l'image, voir Utilisation de la liste de vérification pour voir des configurations supplémentaires.
  • Fichiers de liste de vérification dans /usr/share/xml/stig :
    • OL8_SSG_STIG_V1R5_CHECKLIST_RELEASE.ckl
    • OL8_DISA_BENCHMARK_V1R4_CHECKLIST_RELEASE.ckl
Informations sur la conformité

Cible : Profil "STIG" SSG aligné avec le STIG DISA pour Oracle Linux 8, version 5

  • Note de conformité de la liste de vérification pour x86_64 : 63,78 %
  • Note de conformité de la liste de vérification pour aarch64 : 63,50 %

Cible : Profil de référence DISA STIG pour Oracle Linux 8, version 1, version 4

  • Note de conformité de la liste de vérification pour x86_64 : 79,25 %
  • Note de conformité de la liste de vérification pour aarch64 : 79,25 %
Note

Les notes de conformité les plus élevées pour la norme STIG DISA reflètent une portée de règles plus limitée que la norme STIG DISA complète. Cependant, le profil SSG "stig" représente l'ensemble du STIG de la DISA, fournissant une évaluation plus complète de la conformité de l'image.

Oracle Linux 7 (soutien prolongé)

Oracle-Linux-7.9-STIG février 2025

Ces informations concernent :

  • Oracle Linux-7.9-2025.02.06-STIG (pour x86_64)
  • Oracle Linux-7.9-aarch64-2025.02.06-STIG (pour aarch64)
Informations sur l'image
  • kernel-uek : 5.4.17-2136.339.5.1.el7uek (x86_64) et 5.4.17-2136.338.4.2 (aarch64)
  • Mise à jour des ensembles du système vers les dernières versions disponibles, avec correctifs de sécurité.
  • Chaînes ou référentiels yum du support Linux étendu (ELS) ajoutés à l'image x86_64.
  • La cible de conformité est le profil SSG aligné avec le STIG de la DISA pour Oracle Linux 7, version 3, version 1.
  • Version SSG minimale : scap-security-guide-0.1.73-1.0.3
  • Mesures correctives de règle STIG supplémentaires appliquées à l'image, voir Utilisation de la liste de vérification pour voir des configurations supplémentaires.
  • Fichiers de liste de vérification dans /usr/share/xml/stig :
    • OL7_SSG_STIG_V3R1_CHECKLIST_RELEASE.ckl
    • OL7_DISA_BENCHMARK_V3R1_CHECKLIST_RELEASE.ckl
Informations sur la conformité

Cible : Profil "STIG" SSG aligné avec le STIG DISA pour Oracle Linux 7, version 3, version 1

  • Note de conformité de la liste de vérification x86_64 : 81,65 %
  • Note de conformité de la liste de vérification aarch64 : 81,65 %

Cible : STIG de la DISA pour le profil de référence Oracle Linux 7, version 3, version 1

  • Note de conformité de la liste de vérification x86_64 : 91,71 %
  • Note de conformité de la liste de vérification aarch64 : 91,71 %
Note

Le standard STIG de la DISA n'a apporté aucune modification significative, autre que la formulation, entre Oracle Linux 7 Ver 3, Rel 1 et Oracle Linux 7 Ver 2, Rel 14. Pour cette raison, tout système conforme à Oracle Linux 7 version 2, version 14, est également conforme à Oracle Linux 7 version 3, version 1.
Note

Les notes de conformité les plus élevées pour la norme STIG DISA reflètent une portée de règles plus limitée que la norme STIG DISA complète. Cependant, le profil SSG "stig" représente l'ensemble du STIG de la DISA, fournissant une évaluation plus complète de la conformité de l'image.
Oracle-Linux-7.9-STIG mai 2024

Ces informations concernent :

  • Oracle Linux-7.9-2024.05.31-STIG (pour x86_64)
  • Oracle Linux-7.9-aarch64-2024.05.31-STIG (pour aarch64)
Informations sur l'image
  • kernel-uek : 5.4.17-2136.331.7.el7uek
  • Mise à jour des ensembles du système vers les dernières versions disponibles, avec correctifs de sécurité.
  • La cible de conformité est le profil SSG aligné avec le STIG de la DISA pour Oracle Linux 7 Ver 2, Rel 14.
  • Version SSG minimale : scap-security-guide-0.1.72-2.0.1
  • Mesures correctives de règle STIG supplémentaires appliquées à l'image, voir Utilisation de la liste de vérification pour voir des configurations supplémentaires.
  • Fichiers de liste de vérification dans /usr/share/xml/stig :
    • OL7_SSG_STIG_V2R14_CHECKLIST_RELEASE.ckl
    • OL7_DISA_BENCHMARK_V1R14_CHECKLIST_RELEASE.ckl
Informations sur la conformité

Cible : Profil "STIG" SSG aligné avec le STIG de la DISA pour Oracle Linux 7, version 14

  • Note de conformité de la liste de vérification x86_64 : 81,36 %
  • Note de conformité de la liste de vérification aarch64 : 81,36 %

Cible : Profil de référence DISA STIG pour Oracle Linux 7, version 2, version 14

  • Note de conformité de la liste de vérification x86_64 : 91,77 %
  • Note de conformité de la liste de vérification aarch64 : 91,77 %
Note

La norme STIG de la DISA n'a connu aucune modification significative, autre que le libellé, entre Oracle Linux 7 Ver 2, Rel 13 et Oracle Linux 7 Ver 2, Rel 14. Pour cette raison, tout système conforme à Oracle Linux 7 version 2, la version 13 est également conforme à Oracle Linux 7 version 2, version 14.
Note

Les notes de conformité les plus élevées pour la norme STIG DISA reflètent une portée de règles plus limitée que la norme STIG DISA complète. Cependant, le profil SSG "STIG" représente l'ensemble du STIG de la DISA, fournissant une évaluation plus complète de la conformité de l'image.
Oracle-Linux-7.9-STIG décembre 2023

Ces informations concernent :

  • Oracle Linux-7.9-2023.11.30-STIG (pour x86_64)
  • Oracle Linux-7.9-aarch64-2023.11.30-STIG (pour aarch64)
Informations sur l'image
  • kernel-uek : 5.4.17-2136.325.5.1.el7uek
  • Mise à jour des ensembles du système vers les dernières versions disponibles, avec correctifs de sécurité.
  • L'objectif de conformité est le profil SSG aligné avec le STIG de la DISA pour Oracle Linux 7 Ver 2, Rel 13.
  • Version SSG minimale : scap-security-guide-0.1.69-1.0.1
  • Mesures correctives de règle STIG supplémentaires appliquées à l'image, voir Utilisation de la liste de vérification pour voir des configurations supplémentaires.
  • Fichiers de liste de vérification dans /usr/share/xml/stig :
    • OL7_SSG_STIG_V2R13_CHECKLIST_RELEASE.ckl
    • OL7_DISA_BENCHMARK_V1R13_CHECKLIST_RELEASE.ckl
Informations sur la conformité

Cible : Profil "STIG" SSG aligné avec le STIG de la DISA pour Oracle Linux 7, version 13

  • Note de conformité de la liste de vérification x86_64 : 81,36 %
  • Note de conformité de la liste de vérification aarch64 : 81,36 %

Cible : Profil de référence DISA STIG pour Oracle Linux 7, version 2, version 13

  • Note de conformité de la liste de vérification x86_64 : 91,71 %
  • Note de conformité de la liste de vérification aarch64 : 91,71 %
Note

La norme STIG de la DISA n'a connu aucune modification significative, autre que le libellé, entre Oracle Linux 7 Ver 2, Rel 12 et Oracle Linux 7 Ver 2, Rel 13. Pour cette raison, tout système conforme à Oracle Linux 7 version 2, la version 12 est également conforme à Oracle Linux 7 version 2, version 13.
Note

Les notes de conformité les plus élevées pour la norme STIG DISA reflètent une portée de règles plus limitée que la norme STIG DISA complète. Cependant, le profil SSG "STIG" représente l'ensemble du STIG de la DISA, fournissant une évaluation plus complète de la conformité de l'image.
Oracle-Linux-7.9-STIG mai 2023

Ces données sont les suivantes :

  • Oracle Linux-7.9-2023.05.31-STIG (pour x86_64)
  • Oracle Linux-7.9-aarch64-2023.05.31-STIG (pour aarch64)
Informations sur l'image
  • kernel-uek : 5.4.17-2136.319.1.3.el7uek
  • Mise à jour des ensembles du système vers les dernières versions disponibles, avec correctifs de sécurité.
  • La cible de conformité est passée au profil SSG aligné avec le STIG de la DISA pour Oracle Linux 7, version 2, version 11.
  • Mesures correctives de règle STIG supplémentaires appliquées à l'image, voir Utilisation de la liste de vérification pour voir des configurations supplémentaires.
  • Fichiers de liste de vérification dans /usr/share/xml/stig :
    • OL7_SSG_STIG_V2R11_CHECKLIST_RELEASE.ckl
    • OL7_DISA_BENCHMARK_V1R11_CHECKLIST_RELEASE.ckl
Informations sur la conformité

Cible : Profil "STIG" SSG aligné avec le STIG DISA pour Oracle Linux 7, version 11

  • Note de conformité de la liste de vérification x86_64 : 81,36 %
  • Note de conformité de la liste de vérification aarch64 : 81,36 %

Cible : Profil de référence DISA STIG pour Oracle Linux 7, version 2, version 11

  • Note de conformité de la liste de vérification x86_64 : 91,71 %
  • Note de conformité de la liste de vérification aarch64 : 91,71 %
Note

Les notes de conformité les plus élevées pour la norme STIG de la DISA reflètent une portée de règles plus limitée par rapport à la norme STIG complète de la DISA. Cependant, le profil SSG "STIG" représente le STIG DISA complet, fournissant une évaluation plus complète de la conformité de l'image.

Images plus anciennes

Oracle-Linux-7.9-aarch64-2022.08.29-STIG
  • kernel-uek : 5.4.17-2136.310.7.1.el7uek.aarch64
  • Mise à jour des ensembles du système vers les dernières versions disponibles, avec correctifs de sécurité.
  • Mesures correctives de règles STIG supplémentaires appliquées à l'image. Voir Mesures correctives supplémentaires.
  • Transition de conformité à partir de la norme STIG V2R4 de la DISA vers le profil SSG aligné avec le STIG de la DISA V2R8 pour Oracle Linux 7.

Informations sur la conformité

  • Cible : Profil SSG aligné avec le STIG V2R8 de la DISA pour Oracle Linux 7
  • OpenSCAP Note de conformité : 80,83 %
Mesures correctives supplémentaires

Pour chaque règle de sécurité établie par la DISA, des instructions d'application de la configuration de sécurité appropriée sont fournies dans le Guide technique de mise en oeuvre de la sécurité d'Oracle Linux 7 .

  1. Vérifiez le tableau qui suit et assurez-vous de comprendre les incidences potentielles sur l'instance en cas de correction.

  2. Téléchargez le dernier STIG à partir de https://public.cyber.mil/stigs/downloads/ en recherchant Oracle Linux et en sélectionnant une version.

  3. Téléchargez l'outil de visualisation STIG de la DISA à l'adresse : https://public.cyber.mil/stigs/srg-stig-tools/
  4. Ouvrez le fichier xccdf.xml pour le STIG dans le visualiseur.

  5. Pour chaque règle du tableau ci-dessous à corriger, procédez de la façon suivante :

    1. Recherchez l'ID STIG de la règle dans le guide pour accéder à la section appropriée qui décrit la règle, les vulnérabilités et les étapes à suivre pour respecter la règle.

    2. Suivez les étapes de configuration indiquées.

Le tableau suivant décrit les domaines de recommandation non inclus dans l'image Oracle Linux STIG, qui nécessitent une configuration supplémentaire, et annule les configurations supplémentaires qui peuvent affecter le compte Oracle Cloud Infrastructure par défaut de l'instance.

Les règles marquées comme prenant en charge l'automatisation disposent d'une automatisation intégrée pour vérifier les conditions des règles et appliquer les mesures correctives requises, si nécessaire. Toutes les règles qui ne prennent pas en charge l'automatisation doivent être vérifiées manuellement par un utilisateur d'un système, car les vérifications automatisées des conditions des règles ne sont pas prises en charge ou aucun script de mesure corrective n'est disponible.

ID STIG

Description de la règle

Prise en charge de l'automatisation

Motif d'exclusion

OL07-00-010050 Le système d'exploitation Oracle Linux doit afficher la bannière de consentement à l'avis obligatoire standard du Département de la défense avant d'accorder un accès local ou distant au système au moyen d'une connexion d'utilisateur à partir de la ligne de commande. Oui Nécessite que l'utilisateur accepte l'avis obligatoire standard du Département de la défense.

OL07-00-010230

Le système d'exploitation Oracle Linux doit être configuré de sorte que les mots de passe des nouveaux utilisateurs aient une durée de vie minimale de 24 heures/1 jour.

Oui

Affecte le compte d'utilisateur OPC par défaut configuré pour l'accès à l'instance Oracle Cloud Infrastructure.

OL07-00-010240

Le système d'exploitation Oracle Linux doit être configuré de sorte que les mots de passe aient une durée de vie minimale de 24 heures/1 jour.

Oui

Affecte le compte d'utilisateur OPC par défaut configuré pour l'accès à l'instance Oracle Cloud Infrastructure.

OL07-00-010250

Le système d'exploitation Oracle Linux doit être configuré de sorte que les mots de passe des nouveaux utilisateurs aient une durée de vie maximale de 60 jours.

Oui

Affecte le compte d'utilisateur OPC par défaut configuré pour l'accès à l'instance Oracle Cloud Infrastructure.

OL07-00-010260 1

Le système d'exploitation Oracle Linux doit être configuré de sorte que les mots de passe existants aient une durée de vie maximale de 60 jours.

Non

Affecte le compte d'utilisateur OPC par défaut configuré pour l'accès à l'instance Oracle Cloud Infrastructure. Les règles de durée de vie des mots de passe PAM ont également une incidence sur les clés SSH.

INCIDENCE IMPORTANTE SUR OCI : La limitation de la durée de vie des mots de passe existants à 60 jours au maximum peut entraîner un verrouillage irréversible du compte OPC après 60 jours en raison du réglage sans mot de passe du compte.
OL07-00-010320 Le système d'exploitation Oracle Linux doit être configuré pour verrouiller les comptes pendant un minimum de 15 minutes après trois tentatives de connexion non réussies dans un délai de 15 minutes. Oui Affecte le compte d'utilisateur OPC par défaut configuré pour l'accès à l'instance Oracle Cloud Infrastructure.
OL07-00-010330 Le système d'exploitation Oracle Linux doit verrouiller le compte associé après trois tentatives de connexion infructueuses en tant qu'utilisateur racine dans un délai de 15 minutes. Oui Affecte le compte d'utilisateur OPC par défaut configuré pour l'accès à l'instance Oracle Cloud Infrastructure.

OL07-00-010340

Le système d'exploitation Oracle Linux doit être configuré de sorte que les utilisateurs doivent fournir un mot de passe pour l'escalade des privilèges.

Oui

Selon le schéma par défaut d'Oracle Cloud Infrastructure, NOPASSWD est défini pour OPC.

OL07-00-010342

Le système d'exploitation Oracle Linux doit utiliser le mot de passe de l'utilisateur appelant pour l'escalade des privilèges lors de l'utilisation de la commande sudo.

Oui

Affecte le compte d'utilisateur OPC par défaut.

OL07-00-010491 1

Les systèmes d'exploitation Oracle Linux version 7.2 ou ultérieure qui utilisent l'interface UEFFI (Unified Extensible Firmware Interface) doivent exiger une authentification lors du démarrage en mode d'utilisateur unique et de maintenance.

Non

Exige un mot de passe GRUB 2, ce qui n'est pas possible pour l'image par défaut.

INCIDENCE IMPORTANTE SUR OCI : La mise en oeuvre d'un mot de passe GRUB 2 entraîne l'affichage d'une invite de mot de passe au démarrage de l'instance.
OL07-00-010492 Les systèmes d'exploitation Oracle Linux version 7.2 ou ultérieure démarrés avec l'interface UEFI (United Extensible Firmware Interface) doivent avoir un nom unique pour le compte de superutilisateur grub lors du démarrage et de la maintenance en mode mono-utilisateur. Non Nécessite la modification du nom du superutilisateur par défaut. Affecte le démarrage avec le superutilisateur grub.
OL07-00-010500 Le système d'exploitation Oracle Linux doit identifier et authentifier de manière unique les utilisateurs organisationnels (ou les processus agissant pour le compte d'utilisateurs organisationnels) à l'aide de l'authentification multifacteur. Oui L'authentification multifacteur n'est pas configurée dans l'image Oracle Cloud Infrastructure par défaut.
OL07-00-020019 Le système d'exploitation Oracle Linux doit mettre en oeuvre l'outil Endpoint Security for Linux Threat Prevention. Non Oracle Linux n'est pas livré avec un logiciel de balayage antivirus. La configuration par l'utilisateur est requise.
OL07-00-020020 Le système d'exploitation Oracle Linux doit empêcher les utilisateurs sans privilèges d'exécuter des fonctions nécessitant des privilèges incluant la désactivation, le contournement ou la modification des mesures de protection mises en oeuvre. Non Requiert l'obtention d'une liste spécifique d'utilisateurs autorisés auprès de l'agent de sécurité des systèmes d'information.

OL07-00-020021

Le système d'exploitation Oracle Linux doit limiter les utilisateurs SELinux à des rôles suivant le principe de privilège minimal.

 Non Exige que l'administrateur du système/l'agent de sécurité des systèmes d'information vérifie la conformité du mappage de rôle SELinux.

OL07-00-020023

Le système d'exploitation Oracle Linux doit élever le contexte SELinux lorsqu'un administrateur appelle la commande sudo.

 Non

Affecte le compte d'utilisateur OPC par défaut configuré pour l'accès à l'instance Oracle Cloud Infrastructure.

OL07-00-020030

Le système d'exploitation Oracle Linux doit être configuré de sorte qu'un outil d'intégrité de fichiers vérifie la configuration du système d'exploitation de référence au moins une fois par semaine.

Oui

AIDE ou un autre système de détection d'intrusion doit être configuré sur l'image cible.

OL07-00-020040 Le système d'exploitation Oracle Linux doit être configuré de sorte que le personnel désigné soit avisé si les configurations de base sont modifiées de manière non autorisée. Oui Nécessite l'installation du système de détection AIDE avant la configuration.
OL07-00-020270 Le système d'exploitation Oracle Linux ne doit pas comporter de comptes inutiles. Non Requiert l'obtention d'une liste spécifique des comptes du système autorisés auprès de l'agent de sécurité des systèmes d'information.

OL07-00-020680

Le système d'exploitation Oracle Linux doit être configuré de sorte que tous les fichiers et répertoires situés dans les répertoires de base d'utilisateurs interactifs locaux possèdent les autorisations 750 ou inférieures.

 Non

Restreint l'accès aux fichiers pour les services du système.

OL07-00-020720

Le système d'exploitation Oracle Linux doit être configuré de sorte que tous les chemins de recherche exécutables de fichiers d'initialisation d'utilisateurs interactifs locaux contiennent uniquement des chemins pointant vers le répertoire de base des utilisateurs.

 Non

Affecte l'accès aux binaires et aux utilitaires des utilisateurs.
OL07-00-021000 Le système d'exploitation Oracle Linux doit être configuré de sorte que les systèmes de fichiers contenant les répertoires de base des utilisateurs soient montés pour empêcher l'exécution des fichiers pour lesquels les bits setuid et setgid sont définis. Oui Affecte l'accès des utilisateurs pour l'exécution des fichiers binaires situés dans leur répertoire de base.
OL07-00-021300 Le système d'exploitation Oracle Linux doit désactiver les vidages de noyau, sauf en cas de nécessité. Oui Le service Kdump est nécessaire à des fins de diagnostic en cas d'incident lié au noyau généré par le système.

OL07-00-021350 1

Le système d'exploitation Oracle Linux doit mettre en oeuvre la cryptographie validée par FIPS NIST pour les opérations suivantes : provisionner des signatures numériques, générer des codes de hachage cryptographiques et protéger les données nécessitant une protection de données au repos conformément aux lois fédérales, aux décrets, aux directives, aux politiques, aux règlements et aux normes applicables.

Non

Exclusion du paramètre fips=1 de la ligne de commande rescue kernel.

INCIDENCE IMPORTANTE SUR OCI : L'ajout de fips=1 à la ligne de commande rescue kernel peut entraîner l'échec du démarrage de l'instance avec une erreur fatale.
OL07-00-021600 Le système d'exploitation Oracle Linux doit être configuré de sorte que l'outil d'intégrité des fichiers soit configuré pour vérifier les listes de contrôle d'accès. Oui Nécessite l'installation du système de détection AIDE avant la configuration.
OL07-00-021610 Le système d'exploitation Oracle Linux doit être configuré de sorte que l'outil d'intégrité des fichiers soit configuré pour vérifier les attributs étendus. Oui Nécessite l'installation du système de détection AIDE avant la configuration.
OL07-00-021620 Le système d'exploitation Oracle Linux doit utiliser un outil d'intégrité de fichiers configuré pour utiliser des codes de hachage cryptographiques conformes à la norme FIPS 140-2 pour valider le contenu des fichiers et des répertoires. Oui Nécessite l'installation du système de détection AIDE avant la configuration.

OL07-00-030010 1

Le système d'exploitation Oracle Linux doit s'arrêter en cas d'échec du traitement de vérification, sauf si la disponibilité est une préoccupation majeure. Si la disponibilité est cruciale, le système doit alerter le personnel désigné (administrateur de système et agent de sécurité de système d'information au minimum) en cas d'échec du traitement de vérification.

Oui

Le réglage par défaut du paramètre failure est 1, ce qui transmet uniquement les informations relatives à l'échec au journal du noyau, sans arrêter l'instance.

INCIDENCE IMPORTANTE SUR OCI : Le réglage du paramètre failure à 2 entraînerait une panique du système et un arrêt en cas d'échec du traitement de vérification.

OL07-00-030201

Le système d'exploitation Oracle Linux doit être configuré pour décharger les journaux de vérification sur un système ou un média de stockage différent du système en cours de vérification.

 Non

La configuration du plugiciel au-remote se base sur les détails du serveur distant.

OL07-00-030300

Le système d'exploitation Oracle Linux doit décharger les enregistrements de vérification sur un système ou un média différent du système en cours de vérification.

Oui

La configuration du plugiciel au-remote se base sur les détails du serveur distant.

OL07-00-030310

Le système d’exploitation Oracle Linux doit chiffrer le transfert des enregistrements de vérification déchargés sur un système ou un média différent du système en cours de vérification.

Oui

La configuration du plugiciel au-remote se base sur les détails du serveur distant.

OL07-00-030320

Le système d'exploitation Oracle Linux doit être configuré de sorte que le système de vérification prenne les mesures appropriées lorsque le volume de stockage de vérification est saturé.

Non

La configuration du plugiciel au-remote se base sur les détails du serveur distant.

OL07-00-030321

Le système d'exploitation Oracle Linux doit être configuré de sorte que le système de vérification prenne les mesures appropriées lorsqu'une erreur survient lors de l'envoi des enregistrements de vérification à un système distant.

Non

La configuration du plugiciel au-remote se base sur les détails du serveur distant.

OL07-00-031000 Le système d'exploitation Oracle Linux doit envoyer la sortie rsyslog à un serveur d'agrégation de journaux. Oui Nécessite un serveur distant pour la transmission des informations rsyslog.
OL07-00-032000 Le système d'exploitation Oracle Linux doit utiliser un programme de balayage antivirus. Non Oracle Linux n'est pas livré avec un logiciel de balayage antivirus. La configuration par l'utilisateur est requise.
OL07-00-040100 Le système d'exploitation Oracle Linux doit être configuré pour interdire ou restreindre l'utilisation des fonctions, des ports, des protocoles ou des services, tels que définis dans l'évaluation des services locaux de composant pour la gestion des ports, des protocoles et des services (PPSM CLSA) et les évaluations de vulnérabilités. Non Exige la vérification des ports, protocoles ou services définis par la CLSA PPSM d'un utilisateur.
OL07-00-040160 Le système d'exploitation Oracle Linux doit être configuré de sorte que toutes les connexions de réseau associées à une session de communication soient interrompues à la fin de la session ou après 15 minutes d'inactivité de l'utilisateur à l'invite de commande, sauf pour répondre à des exigences de mission documentées et validées. Oui Peut perturber les charges de travail des utilisateurs.
OL07-00-040170 Le système d'exploitation Oracle Linux doit afficher la bannière de consentement à l'avis obligatoire standard du Département de la défense immédiatement avant les invites de connexion à distance ou en même temps que celles-ci. Oui Nécessite que l'utilisateur accepte l'avis obligatoire standard du Département de la défense.

OL07-00-040420

Le système d'exploitation Oracle Linux doit être configuré de sorte que les fichiers de clé d'hôte privé SSH possèdent les autorisations 0600 ou inférieures.

 Oui Modifie les autorisations par défaut de la clé d'hôte privé SSH générée par le service du système.

OL07-00-040600

Au moins deux serveurs de noms doivent être configurés pour les systèmes d'exploitation Oracle Linux qui utilisent la résolution DNS.

Non

Oracle Cloud Infrastructure fournit un serveur DNS hautement disponible.

OL07-00-040710 1

Le système d'exploitation Oracle Linux doit être configuré de sorte que les connexions X distantes soient désactivées, sauf pour répondre aux exigences documentées et validées de la mission.

Oui

Affecte la connectivité à la console série de l'instance.

INCIDENCE IMPORTANTE SUR OCI : La désactivation des connexions X distantes peut entraîner l'échec de la connexion à la console série de l'instance OCI.
OL07-00-040711 Le démon SSH du système d'exploitation Oracle Linux doit empêcher les hôtes distants de se connecter à l'affichage du mandataire. Oui Affecte l'accès de l'utilisateur aux instances Oracle Cloud Infrastructure.

OL07-00-040810

Le programme de contrôle d'accès Au système d'exploitation Oracle Linux doit être configuré pour accorder ou refuser l'accès au système à des hôtes et services spécifiques.

 Non Exige la vérification de l'accès d'hôtes et de services spécifiques. L'accès doit être autorisé par la politique d'autorisation de l'utilisateur.

OL07-00-040820

Aucun tunnel IP non autorisé ne doit être configuré sur le système d'exploitation Oracle Linux.

 Non Exige que l'administrateur du système/l'agent de sécurité des systèmes d'information vérifie les connexions de tunnel IPSec autorisées.

OL07-00-041002

Le système d'exploitation Oracle Linux doit mettre en oeuvre l'authentification multifacteur pour l'accès aux comptes privilégiés au moyen de modules d'authentification enfichables (PAM).

Non

L'authentification multifacteur n'est pas configurée dans l'image Oracle Cloud Infrastructure par défaut.

OL07-00-041003

Le système d'exploitation Oracle Linux doit mettre en oeuvre la vérification du statut du certificat pour l'authentification PKI.

Oui

La vérification du statut du certificat pour l'authentification PKI n'est pas configurée dans l'image Oracle Cloud Infrastructure par défaut.

1 La correction de ces règles peut avoir une incidence importante sur l'accessibilité des systèmes.

Journal des modifications

ID STIG

Description de la règle

Motif d'exclusion

Statut Commentaires
OL07-00-010050 Le système d'exploitation Oracle Linux doit afficher la bannière de consentement à l'avis obligatoire standard du Département de la défense avant d'accorder un accès local ou distant au système au moyen d'une connexion d'utilisateur à partir de la ligne de commande. Nécessite que l'utilisateur accepte l'avis obligatoire standard du Département de la défense. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-010320 Le système d'exploitation Oracle Linux doit être configuré pour verrouiller les comptes pendant un minimum de 15 minutes après trois tentatives de connexion non réussies dans un délai de 15 minutes. Affecte le compte d'utilisateur OPC par défaut configuré pour l'accès à l'instance Oracle Cloud Infrastructure. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-010330 Le système d'exploitation Oracle Linux doit verrouiller le compte associé après trois tentatives de connexion infructueuses en tant qu'utilisateur racine dans un délai de 15 minutes. Affecte le compte d'utilisateur OPC par défaut configuré pour l'accès à l'instance Oracle Cloud Infrastructure. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-010492 Les systèmes d'exploitation Oracle Linux version 7.2 ou ultérieure démarrés avec l'interface UEFI (United Extensible Firmware Interface) doivent avoir un nom unique pour le compte de superutilisateur grub lors du démarrage et de la maintenance en mode mono-utilisateur. Nécessite une modification si le nom du superutilisateur par défaut est utilisé. Affecte le démarrage avec le superutilisateur grub. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-010500 Le système d'exploitation Oracle Linux doit identifier et authentifier de manière unique les utilisateurs organisationnels (ou les processus agissant pour le compte d'utilisateurs organisationnels) à l'aide de l'authentification multifacteur. L'authentification multifacteur n'est pas configurée dans l'image Oracle Cloud Infrastructure par défaut. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-020019 Le système d'exploitation Oracle Linux doit mettre en oeuvre l'outil Endpoint Security for Linux Threat Prevention. Oracle Linux n'est pas livré avec un logiciel de balayage antivirus. La configuration par l'utilisateur est requise. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-020020 Le système d'exploitation Oracle Linux doit empêcher les utilisateurs sans privilèges d'exécuter des fonctions nécessitant des privilèges incluant la désactivation, le contournement ou la modification des mesures de protection mises en oeuvre. Requiert l'obtention d'une liste spécifique d'utilisateurs autorisés auprès de l'agent de sécurité des systèmes d'information. Ajoutée Ajouté à la liste d'exclusion dans V2R8

OL07-00-020021

Le système d'exploitation Oracle Linux doit limiter les utilisateurs SELinux à des rôles suivant le principe de privilège minimal.

 Exige que l'administrateur du système/l'agent de sécurité des systèmes d'information vérifie la conformité du mappage de rôle SELinux. Ajoutée Ajouté à la liste d'exclusion dans V2R8

OL07-00-020023

Le système d'exploitation Oracle Linux doit élever le contexte SELinux lorsqu'un administrateur appelle la commande sudo.

Affecte le compte d'utilisateur OPC par défaut configuré pour l'accès à l'instance Oracle Cloud Infrastructure.

 Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-020040 Le système d'exploitation Oracle Linux doit être configuré de sorte que le personnel désigné soit avisé si les configurations de base sont modifiées de manière non autorisée. Nécessite l'installation du système de détection AIDE avant la configuration. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-020270 Le système d'exploitation Oracle Linux ne doit pas comporter de comptes inutiles. Requiert l'obtention d'une liste spécifique des comptes du système autorisés auprès de l'agent de sécurité des systèmes d'information. Ajoutée Ajouté à la liste d'exclusion dans V2R8

OL07-00-020680

Le système d'exploitation Oracle Linux doit être configuré de sorte que tous les fichiers et répertoires situés dans les répertoires de base d'utilisateurs interactifs locaux possèdent les autorisations 750 ou inférieures.

Restreint l'accès aux fichiers pour les services du système.

Ajoutée Ajouté à la liste d'exclusion dans V2R8

OL07-00-020720

Le système d'exploitation Oracle Linux doit être configuré de sorte que tous les chemins de recherche exécutables de fichiers d'initialisation d'utilisateurs interactifs locaux contiennent uniquement des chemins pointant vers le répertoire de base des utilisateurs.

Affecte l'accès aux binaires et aux utilitaires des utilisateurs.

 Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-021000 Le système d'exploitation Oracle Linux doit être configuré de sorte que les systèmes de fichiers contenant les répertoires de base des utilisateurs soient montés pour empêcher l'exécution des fichiers pour lesquels les bits setuid et setgid sont définis. Affecte l'accès des utilisateurs pour l'exécution des fichiers binaires situés dans leur répertoire de base. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-021300 Le système d'exploitation Oracle Linux doit désactiver les vidages de noyau, sauf en cas de nécessité. Le service Kdump est nécessaire à des fins de diagnostic en cas d'incident lié au noyau généré par le système. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-021600 Le système d'exploitation Oracle Linux doit être configuré de sorte que l'outil d'intégrité des fichiers soit configuré pour vérifier les listes de contrôle d'accès. Nécessite l'installation du système de détection AIDE avant la configuration. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-021610 Le système d'exploitation Oracle Linux doit être configuré de sorte que l'outil d'intégrité des fichiers soit configuré pour vérifier les attributs étendus. Nécessite l'installation du système de détection AIDE avant la configuration. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-021620 Le système d'exploitation Oracle Linux doit utiliser un outil d'intégrité de fichiers configuré pour utiliser des codes de hachage cryptographiques conformes à la norme FIPS 140-2 pour valider le contenu des fichiers et des répertoires. Nécessite l'installation du système de détection AIDE avant la configuration. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-031000 Le système d'exploitation Oracle Linux doit envoyer la sortie rsyslog à un serveur d'agrégation de journaux. Nécessite un serveur distant pour la transmission des informations rsyslog. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-032000 Le système d'exploitation Oracle Linux doit utiliser un programme de balayage antivirus. Oracle Linux n'est pas livré avec un logiciel de balayage antivirus. La configuration par l'utilisateur est requise. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-040100 Le système d'exploitation Oracle Linux doit être configuré pour interdire ou restreindre l'utilisation des fonctions, des ports, des protocoles ou des services, tels que définis dans l'évaluation des services locaux de composant pour la gestion des ports, des protocoles et des services (PPSM CLSA) et les évaluations de vulnérabilités. Exige la vérification des ports, protocoles ou services définis par la CLSA PPSM d'un utilisateur. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-040160 Le système d'exploitation Oracle Linux doit être configuré de sorte que toutes les connexions de réseau associées à une session de communication soient interrompues à la fin de la session ou après 15 minutes d'inactivité de l'utilisateur à l'invite de commande, sauf pour répondre à des exigences de mission documentées et validées. Peut perturber les charges de travail des utilisateurs. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-040170 Le système d'exploitation Oracle Linux doit afficher la bannière de consentement à l'avis obligatoire standard du Département de la défense immédiatement avant les invites de connexion à distance ou en même temps que celles-ci. Nécessite que l'utilisateur accepte l'avis obligatoire standard du Département de la défense. Ajoutée Ajouté à la liste d'exclusion dans V2R8

OL07-00-040420

Le système d'exploitation Oracle Linux doit être configuré de sorte que les fichiers de clé d'hôte privé SSH possèdent les autorisations 0600 ou inférieures.

 Modifie les autorisations par défaut de la clé d'hôte privé SSH générée par le service du système. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-040711 Le démon SSH du système d'exploitation Oracle Linux doit empêcher les hôtes distants de se connecter à l'affichage du mandataire. Affecte l'accès de l'utilisateur aux instances Oracle Cloud Infrastructure. Ajoutée Ajouté à la liste d'exclusion dans V2R8

OL07-00-040810

Le programme de contrôle d'accès Au système d'exploitation Oracle Linux doit être configuré pour accorder ou refuser l'accès au système à des hôtes et services spécifiques.

 Exige la vérification de l'accès d'hôtes et de services spécifiques. L'accès doit être autorisé par la politique d'autorisation de l'utilisateur. Ajoutée Ajouté à la liste d'exclusion dans V2R8

OL07-00-040820

Aucun tunnel IP non autorisé ne doit être configuré sur le système d'exploitation Oracle Linux.

 Exige que l'administrateur du système/l'agent de sécurité des systèmes d'information vérifie les connexions de tunnel IPSec autorisées. Ajoutée Ajouté à la liste d'exclusion dans V2R8
Oracle-Linux-7.9-aarch64-2021.10.08-STIG

L'image Oracle Linux STIG Oracle-Linux-7.9-aarch64-2021.10.08-STIG a été publiée le 16/12/2021.

Informations sur l'image

  • Version du noyau UEK R6 5.4.17-2102.205.7.3.el7uek.aarch64.

  • Première version de l'image Oracle Linux STIG basée sur l'architecture Arm (aarch64).

  • Dernières versions des ensembles du système Oracle Linux 7.9, avec correctifs de sécurité.

Informations sur la conformité

  • Cible : Norme STIG pour Oracle Linux 7 de la DISA - V2R4.

  • Note de conformité OpenSCAP : 89,44 %

Oracle-Linux-7.9-2022.08.29-STIG

Informations sur l'image

  • kernel-uek : 5.4.17-2136.310.7.1.el7uek.x86_64
  • Mise à jour des ensembles du système vers les dernières versions disponibles, avec correctifs de sécurité.
  • Mesures correctives de règles STIG supplémentaires appliquées à l'image. Voir Mesures correctives supplémentaires.
  • Transition de conformité à partir de la norme STIG V2R4 de la DISA vers le profil SSG aligné avec le STIG de la DISA V2R8 pour Oracle Linux 7.

Informations sur la conformité

  • Cible : Profil SSG aligné avec le STIG V2R8 de la DISA pour Oracle Linux 7.
  • OpenSCAP Note de conformité : 80,76 %
  • Note de conformité SCC : 80,77 %
Mesures correctives supplémentaires

Pour chaque règle de sécurité établie par la DISA, des instructions d'application de la configuration de sécurité appropriée sont fournies dans le Guide technique de mise en oeuvre de la sécurité d'Oracle Linux 7 .

  1. Vérifiez le tableau qui suit et assurez-vous de comprendre les incidences potentielles sur l'instance en cas de correction.

  2. Téléchargez le dernier STIG à partir de https://public.cyber.mil/stigs/downloads/ en recherchant Oracle Linux et en sélectionnant une version.

  3. Téléchargez l'outil de visualisation STIG de la DISA à l'adresse : https://public.cyber.mil/stigs/srg-stig-tools/
  4. Ouvrez le fichier xccdf.xml pour le STIG dans le visualiseur.

  5. Pour chaque règle du tableau ci-dessous à corriger, procédez de la façon suivante :

    1. Recherchez l'ID STIG de la règle dans le guide pour accéder à la section appropriée qui décrit la règle, les vulnérabilités et les étapes à suivre pour respecter la règle.

    2. Suivez les étapes de configuration indiquées.

Le tableau suivant décrit les domaines de recommandation non inclus dans l'image Oracle Linux STIG, qui nécessitent une configuration supplémentaire, et annule les configurations supplémentaires qui peuvent affecter le compte Oracle Cloud Infrastructure par défaut de l'instance.

Les règles marquées comme prenant en charge l'automatisation disposent d'une automatisation intégrée pour vérifier les conditions des règles et appliquer les mesures correctives requises, si nécessaire. Toutes les règles qui ne prennent pas en charge l'automatisation doivent être vérifiées manuellement par un utilisateur d'un système, car les vérifications automatisées des conditions des règles ne sont pas prises en charge ou aucun script de mesure corrective n'est disponible.

ID STIG

Description de la règle

Prise en charge de l'automatisation

Motif d'exclusion

OL07-00-010050 Le système d'exploitation Oracle Linux doit afficher la bannière de consentement à l'avis obligatoire standard du Département de la défense avant d'accorder un accès local ou distant au système au moyen d'une connexion d'utilisateur à partir de la ligne de commande. Oui Nécessite que l'utilisateur accepte l'avis obligatoire standard du Département de la défense.

OL07-00-010230

Le système d'exploitation Oracle Linux doit être configuré de sorte que les mots de passe des nouveaux utilisateurs aient une durée de vie minimale de 24 heures/1 jour.

Oui

Affecte le compte d'utilisateur OPC par défaut configuré pour l'accès à l'instance Oracle Cloud Infrastructure.

OL07-00-010240

Le système d'exploitation Oracle Linux doit être configuré de sorte que les mots de passe aient une durée de vie minimale de 24 heures/1 jour.

Oui

Affecte le compte d'utilisateur OPC par défaut configuré pour l'accès à l'instance Oracle Cloud Infrastructure.

OL07-00-010250

Le système d'exploitation Oracle Linux doit être configuré de sorte que les mots de passe des nouveaux utilisateurs aient une durée de vie maximale de 60 jours.

Oui

Affecte le compte d'utilisateur OPC par défaut configuré pour l'accès à l'instance Oracle Cloud Infrastructure.

OL07-00-010260 1

Le système d'exploitation Oracle Linux doit être configuré de sorte que les mots de passe existants aient une durée de vie maximale de 60 jours.

Non

Affecte le compte d'utilisateur OPC par défaut configuré pour l'accès à l'instance Oracle Cloud Infrastructure. Les règles de durée de vie des mots de passe PAM ont également une incidence sur les clés SSH.

INCIDENCE IMPORTANTE SUR OCI : La limitation de la durée de vie des mots de passe existants à 60 jours au maximum peut entraîner un verrouillage irréversible du compte OPC après 60 jours en raison du réglage sans mot de passe du compte.
OL07-00-010320 Le système d'exploitation Oracle Linux doit être configuré pour verrouiller les comptes pendant un minimum de 15 minutes après trois tentatives de connexion non réussies dans un délai de 15 minutes. Oui Affecte le compte d'utilisateur OPC par défaut configuré pour l'accès à l'instance Oracle Cloud Infrastructure.
OL07-00-010330 Le système d'exploitation Oracle Linux doit verrouiller le compte associé après trois tentatives de connexion infructueuses en tant qu'utilisateur racine dans un délai de 15 minutes. Oui Affecte le compte d'utilisateur OPC par défaut configuré pour l'accès à l'instance Oracle Cloud Infrastructure.

OL07-00-010340

Le système d'exploitation Oracle Linux doit être configuré de sorte que les utilisateurs doivent fournir un mot de passe pour l'escalade des privilèges.

Oui

Selon le schéma par défaut d'Oracle Cloud Infrastructure, NOPASSWD est défini pour OPC.

OL07-00-010342

Le système d'exploitation Oracle Linux doit utiliser le mot de passe de l'utilisateur appelant pour l'escalade des privilèges lors de l'utilisation de la commande sudo.

Oui

Affecte le compte d'utilisateur OPC par défaut.

OL07-00-010491 1

Les systèmes d'exploitation Oracle Linux version 7.2 ou ultérieure qui utilisent l'interface UEFFI (Unified Extensible Firmware Interface) doivent exiger une authentification lors du démarrage en mode d'utilisateur unique et de maintenance.

Non

Exige un mot de passe GRUB 2, ce qui n'est pas possible pour l'image par défaut.

INCIDENCE IMPORTANTE SUR OCI : La mise en oeuvre d'un mot de passe GRUB 2 entraîne l'affichage d'une invite de mot de passe au démarrage de l'instance.
OL07-00-010492 Les systèmes d'exploitation Oracle Linux version 7.2 ou ultérieure démarrés avec l'interface UEFI (United Extensible Firmware Interface) doivent avoir un nom unique pour le compte de superutilisateur grub lors du démarrage et de la maintenance en mode mono-utilisateur. Non Nécessite la modification du nom du superutilisateur par défaut. Affecte le démarrage avec le superutilisateur grub.
OL07-00-010500 Le système d'exploitation Oracle Linux doit identifier et authentifier de manière unique les utilisateurs organisationnels (ou les processus agissant pour le compte d'utilisateurs organisationnels) à l'aide de l'authentification multifacteur. Oui L'authentification multifacteur n'est pas configurée dans l'image Oracle Cloud Infrastructure par défaut.
OL07-00-020019 Le système d'exploitation Oracle Linux doit mettre en oeuvre l'outil Endpoint Security for Linux Threat Prevention. Non Oracle Linux n'est pas livré avec un logiciel de balayage antivirus. La configuration par l'utilisateur est requise.
OL07-00-020020 Le système d'exploitation Oracle Linux doit empêcher les utilisateurs sans privilèges d'exécuter des fonctions nécessitant des privilèges incluant la désactivation, le contournement ou la modification des mesures de protection mises en oeuvre. Non Requiert l'obtention d'une liste spécifique d'utilisateurs autorisés auprès de l'agent de sécurité des systèmes d'information.

OL07-00-020021

Le système d'exploitation Oracle Linux doit limiter les utilisateurs SELinux à des rôles suivant le principe de privilège minimal.

 Non Exige que l'administrateur du système/l'agent de sécurité des systèmes d'information vérifie la conformité du mappage de rôle SELinux.

OL07-00-020023

Le système d'exploitation Oracle Linux doit élever le contexte SELinux lorsqu'un administrateur appelle la commande sudo.

 Non

Affecte le compte d'utilisateur OPC par défaut configuré pour l'accès à l'instance Oracle Cloud Infrastructure.

OL07-00-020030

Le système d'exploitation Oracle Linux doit être configuré de sorte qu'un outil d'intégrité de fichiers vérifie la configuration du système d'exploitation de référence au moins une fois par semaine.

Oui

AIDE ou un autre système de détection d'intrusion doit être configuré sur l'image cible.

OL07-00-020040 Le système d'exploitation Oracle Linux doit être configuré de sorte que le personnel désigné soit avisé si les configurations de base sont modifiées de manière non autorisée. Oui Nécessite l'installation du système de détection AIDE avant la configuration.
OL07-00-020270 Le système d'exploitation Oracle Linux ne doit pas comporter de comptes inutiles. Non Requiert l'obtention d'une liste spécifique des comptes du système autorisés auprès de l'agent de sécurité des systèmes d'information.

OL07-00-020680

Le système d'exploitation Oracle Linux doit être configuré de sorte que tous les fichiers et répertoires situés dans les répertoires de base d'utilisateurs interactifs locaux possèdent les autorisations 750 ou inférieures.

 Non

Restreint l'accès aux fichiers pour les services du système.

OL07-00-020720

Le système d'exploitation Oracle Linux doit être configuré de sorte que tous les chemins de recherche exécutables de fichiers d'initialisation d'utilisateurs interactifs locaux contiennent uniquement des chemins pointant vers le répertoire de base des utilisateurs.

 Non

Affecte l'accès aux binaires et aux utilitaires des utilisateurs.
OL07-00-021000 Le système d'exploitation Oracle Linux doit être configuré de sorte que les systèmes de fichiers contenant les répertoires de base des utilisateurs soient montés pour empêcher l'exécution des fichiers pour lesquels les bits setuid et setgid sont définis. Oui Affecte l'accès des utilisateurs pour l'exécution des fichiers binaires situés dans leur répertoire de base.
OL07-00-021300 Le système d'exploitation Oracle Linux doit désactiver les vidages de noyau, sauf en cas de nécessité. Oui Le service Kdump est nécessaire à des fins de diagnostic en cas d'incident lié au noyau généré par le système.

OL07-00-021350 1

Le système d'exploitation Oracle Linux doit mettre en oeuvre la cryptographie validée par FIPS NIST pour les opérations suivantes : provisionner des signatures numériques, générer des codes de hachage cryptographiques et protéger les données nécessitant une protection de données au repos conformément aux lois fédérales, aux décrets, aux directives, aux politiques, aux règlements et aux normes applicables.

Non

Exclusion du paramètre fips=1 de la ligne de commande rescue kernel.

INCIDENCE IMPORTANTE SUR OCI : L'ajout de fips=1 à la ligne de commande rescue kernel peut entraîner l'échec du démarrage de l'instance avec une erreur fatale.
OL07-00-021600 Le système d'exploitation Oracle Linux doit être configuré de sorte que l'outil d'intégrité des fichiers soit configuré pour vérifier les listes de contrôle d'accès. Oui Nécessite l'installation du système de détection AIDE avant la configuration.
OL07-00-021610 Le système d'exploitation Oracle Linux doit être configuré de sorte que l'outil d'intégrité des fichiers soit configuré pour vérifier les attributs étendus. Oui Nécessite l'installation du système de détection AIDE avant la configuration.
OL07-00-021620 Le système d'exploitation Oracle Linux doit utiliser un outil d'intégrité de fichiers configuré pour utiliser des codes de hachage cryptographiques conformes à la norme FIPS 140-2 pour valider le contenu des fichiers et des répertoires. Oui Nécessite l'installation du système de détection AIDE avant la configuration.

OL07-00-030010 1

Le système d'exploitation Oracle Linux doit s'arrêter en cas d'échec du traitement de vérification, sauf si la disponibilité est une préoccupation majeure. Si la disponibilité est cruciale, le système doit alerter le personnel désigné (administrateur de système et agent de sécurité de système d'information au minimum) en cas d'échec du traitement de vérification.

Oui

Le réglage par défaut du paramètre failure est 1, ce qui transmet uniquement les informations relatives à l'échec au journal du noyau, sans arrêter l'instance.

INCIDENCE IMPORTANTE SUR OCI : Le réglage du paramètre failure à 2 entraînerait une panique du système et un arrêt en cas d'échec du traitement de vérification.

OL07-00-030201

Le système d'exploitation Oracle Linux doit être configuré pour décharger les journaux de vérification sur un système ou un média de stockage différent du système en cours de vérification.

 Non

La configuration du plugiciel au-remote se base sur les détails du serveur distant.

OL07-00-030300

Le système d'exploitation Oracle Linux doit décharger les enregistrements de vérification sur un système ou un média différent du système en cours de vérification.

Oui

La configuration du plugiciel au-remote se base sur les détails du serveur distant.

OL07-00-030310

Le système d’exploitation Oracle Linux doit chiffrer le transfert des enregistrements de vérification déchargés sur un système ou un média différent du système en cours de vérification.

Oui

La configuration du plugiciel au-remote se base sur les détails du serveur distant.

OL07-00-030320

Le système d'exploitation Oracle Linux doit être configuré de sorte que le système de vérification prenne les mesures appropriées lorsque le volume de stockage de vérification est saturé.

Non

La configuration du plugiciel au-remote se base sur les détails du serveur distant.

OL07-00-030321

Le système d'exploitation Oracle Linux doit être configuré de sorte que le système de vérification prenne les mesures appropriées lorsqu'une erreur survient lors de l'envoi des enregistrements de vérification à un système distant.

Non

La configuration du plugiciel au-remote se base sur les détails du serveur distant.

OL07-00-031000 Le système d'exploitation Oracle Linux doit envoyer la sortie rsyslog à un serveur d'agrégation de journaux. Oui Nécessite un serveur distant pour la transmission des informations rsyslog.
OL07-00-032000 Le système d'exploitation Oracle Linux doit utiliser un programme de balayage antivirus. Non Oracle Linux n'est pas livré avec un logiciel de balayage antivirus. La configuration par l'utilisateur est requise.
OL07-00-040100 Le système d'exploitation Oracle Linux doit être configuré pour interdire ou restreindre l'utilisation des fonctions, des ports, des protocoles ou des services, tels que définis dans l'évaluation des services locaux de composant pour la gestion des ports, des protocoles et des services (PPSM CLSA) et les évaluations de vulnérabilités. Non Exige la vérification des ports, protocoles ou services définis par la CLSA PPSM d'un utilisateur.
OL07-00-040160 Le système d'exploitation Oracle Linux doit être configuré de sorte que toutes les connexions de réseau associées à une session de communication soient interrompues à la fin de la session ou après 15 minutes d'inactivité de l'utilisateur à l'invite de commande, sauf pour répondre à des exigences de mission documentées et validées. Oui Peut perturber les charges de travail des utilisateurs.
OL07-00-040170 Le système d'exploitation Oracle Linux doit afficher la bannière de consentement à l'avis obligatoire standard du Département de la défense immédiatement avant les invites de connexion à distance ou en même temps que celles-ci. Oui Nécessite que l'utilisateur accepte l'avis obligatoire standard du Département de la défense.

OL07-00-040420

Le système d'exploitation Oracle Linux doit être configuré de sorte que les fichiers de clé d'hôte privé SSH possèdent les autorisations 0600 ou inférieures.

 Oui Modifie les autorisations par défaut de la clé d'hôte privé SSH générée par le service du système.

OL07-00-040600

Au moins deux serveurs de noms doivent être configurés pour les systèmes d'exploitation Oracle Linux qui utilisent la résolution DNS.

Non

Oracle Cloud Infrastructure fournit un serveur DNS hautement disponible.

OL07-00-040710 1

Le système d'exploitation Oracle Linux doit être configuré de sorte que les connexions X distantes soient désactivées, sauf pour répondre aux exigences documentées et validées de la mission.

Oui

Affecte la connectivité à la console série de l'instance.

INCIDENCE IMPORTANTE SUR OCI : La désactivation des connexions X distantes peut entraîner l'échec de la connexion à la console série de l'instance OCI.
OL07-00-040711 Le démon SSH du système d'exploitation Oracle Linux doit empêcher les hôtes distants de se connecter à l'affichage du mandataire. Oui Affecte l'accès de l'utilisateur aux instances Oracle Cloud Infrastructure.

OL07-00-040810

Le programme de contrôle d'accès Au système d'exploitation Oracle Linux doit être configuré pour accorder ou refuser l'accès au système à des hôtes et services spécifiques.

 Non Exige la vérification de l'accès d'hôtes et de services spécifiques. L'accès doit être autorisé par la politique d'autorisation de l'utilisateur.

OL07-00-040820

Aucun tunnel IP non autorisé ne doit être configuré sur le système d'exploitation Oracle Linux.

 Non Exige que l'administrateur du système/l'agent de sécurité des systèmes d'information vérifie les connexions de tunnel IPSec autorisées.

OL07-00-041002

Le système d'exploitation Oracle Linux doit mettre en oeuvre l'authentification multifacteur pour l'accès aux comptes privilégiés au moyen de modules d'authentification enfichables (PAM).

Non

L'authentification multifacteur n'est pas configurée dans l'image Oracle Cloud Infrastructure par défaut.

OL07-00-041003

Le système d'exploitation Oracle Linux doit mettre en oeuvre la vérification du statut du certificat pour l'authentification PKI.

Oui

La vérification du statut du certificat pour l'authentification PKI n'est pas configurée dans l'image Oracle Cloud Infrastructure par défaut.

1 La correction de ces règles peut avoir une incidence importante sur l'accessibilité des systèmes.

Journal des modifications

ID STIG

Description de la règle

Motif d'exclusion

Statut Commentaires
OL07-00-010050 Le système d'exploitation Oracle Linux doit afficher la bannière de consentement à l'avis obligatoire standard du Département de la défense avant d'accorder un accès local ou distant au système au moyen d'une connexion d'utilisateur à partir de la ligne de commande. Nécessite que l'utilisateur accepte l'avis obligatoire standard du Département de la défense. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-010320 Le système d'exploitation Oracle Linux doit être configuré pour verrouiller les comptes pendant un minimum de 15 minutes après trois tentatives de connexion non réussies dans un délai de 15 minutes. Affecte le compte d'utilisateur OPC par défaut configuré pour l'accès à l'instance Oracle Cloud Infrastructure. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-010330 Le système d'exploitation Oracle Linux doit verrouiller le compte associé après trois tentatives de connexion infructueuses en tant qu'utilisateur racine dans un délai de 15 minutes. Affecte le compte d'utilisateur OPC par défaut configuré pour l'accès à l'instance Oracle Cloud Infrastructure. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-010492 Les systèmes d'exploitation Oracle Linux version 7.2 ou ultérieure démarrés avec l'interface UEFI (United Extensible Firmware Interface) doivent avoir un nom unique pour le compte de superutilisateur grub lors du démarrage et de la maintenance en mode mono-utilisateur. Nécessite une modification si le nom du superutilisateur par défaut est utilisé. Affecte le démarrage avec le superutilisateur grub. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-010500 Le système d'exploitation Oracle Linux doit identifier et authentifier de manière unique les utilisateurs organisationnels (ou les processus agissant pour le compte d'utilisateurs organisationnels) à l'aide de l'authentification multifacteur. L'authentification multifacteur n'est pas configurée dans l'image Oracle Cloud Infrastructure par défaut. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-020019 Le système d'exploitation Oracle Linux doit mettre en oeuvre l'outil Endpoint Security for Linux Threat Prevention. Oracle Linux n'est pas livré avec un logiciel de balayage antivirus. La configuration par l'utilisateur est requise. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-020020 Le système d'exploitation Oracle Linux doit empêcher les utilisateurs sans privilèges d'exécuter des fonctions nécessitant des privilèges incluant la désactivation, le contournement ou la modification des mesures de protection mises en oeuvre. Requiert l'obtention d'une liste spécifique d'utilisateurs autorisés auprès de l'agent de sécurité des systèmes d'information. Ajoutée Ajouté à la liste d'exclusion dans V2R8

OL07-00-020021

Le système d'exploitation Oracle Linux doit limiter les utilisateurs SELinux à des rôles suivant le principe de privilège minimal.

 Exige que l'administrateur du système/l'agent de sécurité des systèmes d'information vérifie la conformité du mappage de rôle SELinux. Ajoutée Ajouté à la liste d'exclusion dans V2R8

OL07-00-020023

Le système d'exploitation Oracle Linux doit élever le contexte SELinux lorsqu'un administrateur appelle la commande sudo.

Affecte le compte d'utilisateur OPC par défaut configuré pour l'accès à l'instance Oracle Cloud Infrastructure.

 Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-020040 Le système d'exploitation Oracle Linux doit être configuré de sorte que le personnel désigné soit avisé si les configurations de base sont modifiées de manière non autorisée. Nécessite l'installation du système de détection AIDE avant la configuration. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-020270 Le système d'exploitation Oracle Linux ne doit pas comporter de comptes inutiles. Requiert l'obtention d'une liste spécifique des comptes du système autorisés auprès de l'agent de sécurité des systèmes d'information. Ajoutée Ajouté à la liste d'exclusion dans V2R8

OL07-00-020680

Le système d'exploitation Oracle Linux doit être configuré de sorte que tous les fichiers et répertoires situés dans les répertoires de base d'utilisateurs interactifs locaux possèdent les autorisations 750 ou inférieures.

Restreint l'accès aux fichiers pour les services du système.

Ajoutée Ajouté à la liste d'exclusion dans V2R8

OL07-00-020720

Le système d'exploitation Oracle Linux doit être configuré de sorte que tous les chemins de recherche exécutables de fichiers d'initialisation d'utilisateurs interactifs locaux contiennent uniquement des chemins pointant vers le répertoire de base des utilisateurs.

Affecte l'accès aux binaires et aux utilitaires des utilisateurs.

 Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-021000 Le système d'exploitation Oracle Linux doit être configuré de sorte que les systèmes de fichiers contenant les répertoires de base des utilisateurs soient montés pour empêcher l'exécution des fichiers pour lesquels les bits setuid et setgid sont définis. Affecte l'accès des utilisateurs pour l'exécution des fichiers binaires situés dans leur répertoire de base. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-021300 Le système d'exploitation Oracle Linux doit désactiver les vidages de noyau, sauf en cas de nécessité. Le service Kdump est nécessaire à des fins de diagnostic en cas d'incident lié au noyau généré par le système. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-021600 Le système d'exploitation Oracle Linux doit être configuré de sorte que l'outil d'intégrité des fichiers soit configuré pour vérifier les listes de contrôle d'accès. Nécessite l'installation du système de détection AIDE avant la configuration. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-021610 Le système d'exploitation Oracle Linux doit être configuré de sorte que l'outil d'intégrité des fichiers soit configuré pour vérifier les attributs étendus. Nécessite l'installation du système de détection AIDE avant la configuration. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-021620 Le système d'exploitation Oracle Linux doit utiliser un outil d'intégrité de fichiers configuré pour utiliser des codes de hachage cryptographiques conformes à la norme FIPS 140-2 pour valider le contenu des fichiers et des répertoires. Nécessite l'installation du système de détection AIDE avant la configuration. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-031000 Le système d'exploitation Oracle Linux doit envoyer la sortie rsyslog à un serveur d'agrégation de journaux. Nécessite un serveur distant pour la transmission des informations rsyslog. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-032000 Le système d'exploitation Oracle Linux doit utiliser un programme de balayage antivirus. Oracle Linux n'est pas livré avec un logiciel de balayage antivirus. La configuration par l'utilisateur est requise. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-040100 Le système d'exploitation Oracle Linux doit être configuré pour interdire ou restreindre l'utilisation des fonctions, des ports, des protocoles ou des services, tels que définis dans l'évaluation des services locaux de composant pour la gestion des ports, des protocoles et des services (PPSM CLSA) et les évaluations de vulnérabilités. Exige la vérification des ports, protocoles ou services définis par la CLSA PPSM d'un utilisateur. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-040160 Le système d'exploitation Oracle Linux doit être configuré de sorte que toutes les connexions de réseau associées à une session de communication soient interrompues à la fin de la session ou après 15 minutes d'inactivité de l'utilisateur à l'invite de commande, sauf pour répondre à des exigences de mission documentées et validées. Peut perturber les charges de travail des utilisateurs. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-040170 Le système d'exploitation Oracle Linux doit afficher la bannière de consentement à l'avis obligatoire standard du Département de la défense immédiatement avant les invites de connexion à distance ou en même temps que celles-ci. Nécessite que l'utilisateur accepte l'avis obligatoire standard du Département de la défense. Ajoutée Ajouté à la liste d'exclusion dans V2R8

OL07-00-040420

Le système d'exploitation Oracle Linux doit être configuré de sorte que les fichiers de clé d'hôte privé SSH possèdent les autorisations 0600 ou inférieures.

 Modifie les autorisations par défaut de la clé d'hôte privé SSH générée par le service du système. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-040711 Le démon SSH du système d'exploitation Oracle Linux doit empêcher les hôtes distants de se connecter à l'affichage du mandataire. Affecte l'accès de l'utilisateur aux instances Oracle Cloud Infrastructure. Ajoutée Ajouté à la liste d'exclusion dans V2R8

OL07-00-040810

Le programme de contrôle d'accès Au système d'exploitation Oracle Linux doit être configuré pour accorder ou refuser l'accès au système à des hôtes et services spécifiques.

 Exige la vérification de l'accès d'hôtes et de services spécifiques. L'accès doit être autorisé par la politique d'autorisation de l'utilisateur. Ajoutée Ajouté à la liste d'exclusion dans V2R8

OL07-00-040820

Aucun tunnel IP non autorisé ne doit être configuré sur le système d'exploitation Oracle Linux.

 Exige que l'administrateur du système/l'agent de sécurité des systèmes d'information vérifie les connexions de tunnel IPSec autorisées. Ajoutée Ajouté à la liste d'exclusion dans V2R8
Oracle-Linux-7.9-2021.07.27-STIG

L'image Oracle Linux STIG Oracle-Linux-7.9-2021.07.27-STIG a été publiée le 10/08/2021.

Les notes suivantes concernant la mise à jour se basent sur une comparaison avec la version précédente Oracle-Linux-7.9-2021.03.02-STIG.

Mises à jour de l'image

  • kernel-uek: 5.4.17-2102.203.6.el7uek.x86_64 Version du noyau Unbreakable Enterprise Kernel Release 6 (UEK R6), avec un correctif pour CVE-2021-33909.

  • Mise à jour des ensembles du système Oracle Linux 7.9 vers les dernières versions disponibles, avec correctifs de sécurité.

Mises à jour de conformité

  • Cible : Norme STIG V2R4 pour Oracle Linux7 de l'agence DISA.

  • Note de conformité SCC : 89,44 %.

  • Modifications apportées à la dernière image STIG.

    Le tableau suivant décrit les modifications apportées dans la version Oracle-Linux-7.9-2021.07.27-STIG.

    Note

    Les mises à jour de cette version sont également présentées dans la rubrique Configuration supplémentaire d'Oracle Linux 7, qui décrit les domaines de la dernière image qui nécessitent une configuration manuelle. Reportez-vous à cette rubrique pour obtenir des informations importantes qui peuvent s'appliquer aux règles listées dans le tableau suivant.

    ID STIG

    Description de la règle

    Motif d'exclusion

    Statut

    Commentaires

    OL07-00-010090

    L'ensemble screen doit être installé avec le système d'exploitation Oracle Linux.

    Affecte le compte d'utilisateur OPC (Oracle Public Cloud) par défaut configuré pour l'accès à l'instance Oracle Cloud Infrastructure.

    Supprimée

    Supprimé de la liste d'exclusion dans V2R4

    OL07-00-021350

    Le système d'exploitation Oracle Linux doit mettre en oeuvre la cryptographie validée par FIPS NIST pour les opérations suivantes : provisionner des signatures numériques, générer des codes de hachage cryptographiques et protéger les données nécessitant une protection de données au repos conformément aux lois fédérales, aux décrets, aux directives, aux politiques, aux règlements et aux normes applicables.

    Exclusion du paramètre fips=1 de la ligne de commande rescue kernel.

    Ajoutée

    Supprimé de la liste d'exclusion dans V2R4

    Important : L'ajout de fips=1 à la ligne de commande du noyau de secours peut entraîner l'échec du démarrage de l'instance avec une erreur fatale.

    OL07-00-030200

    Le système d'exploitation Oracle Linux doit être configuré pour utiliser le plugiciel au-remote.

    La configuration du plugiciel au-remote se base sur les détails du serveur distant.

    Supprimée

    Supprimé de la liste d'exclusion dans V2R4

    OL07-00-030201

    Le système d'exploitation Oracle Linux doit être configuré pour décharger les journaux de vérification sur un système ou un média de stockage différent du système en cours de vérification.

    La configuration du plugiciel au-remote se base sur les détails du serveur distant.

    Mise à jour

    Le titre de la règle a été modifié dans V2R4

    OL07-00-040600

    Pour les systèmes d'exploitation Oracle Linux qui utilisent la résolution DNS, au moins deux serveurs de noms doivent être configurés.

    L'image ONSR (Oracle National Security Regions) fournit un seul hôte DNS fiable.

    Mise à jour

    Le titre de la règle a été modifié dans V2R4

    OL07-00-041001

    Le système d'exploitation Oracle Linux doit disposer des ensembles requis pour l'authentification multifacteur.

    L'authentification multifacteur n'est pas configurée dans l'image Oracle Cloud Infrastructure par défaut.

    Supprimée

    Supprimé de la liste d'exclusion dans V2R4

    Corrigé dans l'image : pam_pkcs11 package installé dans l'instance.

    OL07-00-040710

    Le système d'exploitation Oracle Linux doit être configuré de sorte que les connexions X distantes soient désactivées, sauf pour répondre aux exigences documentées et validées de la mission.

    Affecte la connectivité à la console série de l'instance.

    Ajoutée

    		Ajouté à la liste d'exclusion dans V2R4

    OL07-00-010342

    Le système d'exploitation Oracle Linux doit utiliser le mot de passe de l'utilisateur appelant pour l'escalade des privilèges lors de l'utilisation de la commande sudo.

    Affecte le compte d'utilisateur OPC par défaut.

    Ajoutée

    Ajouté à la liste d'exclusion dans V2R4
Oracle-Linux-7.9-2021.03.02-STIG

L'image Oracle Linux STIG Oracle-Linux-7.9-2021.03.02-STIG a été publiée le 10/03/2021.

Informations sur l'image

  • 5.4.17-2036.103.3.1.el7uek.x86_64 Version du noyau UEK R6.

  • Dernières versions des ensembles du système Oracle Linux 7.9, avec correctifs de sécurité.

Informations sur la conformité

  • Cible : Norme STIG V1R2 pour Oracle Linux 7 de l'agence DISA.

  • Note de conformité SCC : 89,44 %.

Informations supplémentaires

Utilisez les ressources ci-dessous pour obtenir des informations supplémentaires sur l'image Oracle Linux STIG.