Documentation Oracle Cloud Infrastructure

Image STIG Oracle Linux

L'image STIG Oracle Linux est une implémentation d'Oracle Linux qui respecte le STIG (Security Technical Implementation Guide).

Avec l'image STIG, vous pouvez configurer dans Oracle Cloud Infrastructure une instance Oracle Linux qui respecte certaines normes et exigences de sécurité définies par la Defense Information Systems Agency (DISA).

Remarque

Oracle met régulièrement à jour l'image STIG Oracle Linux avec les derniers errata de sécurité. Ce document est mis à jour chaque fois que la référence STIG change ou lorsque les modifications apportées aux directives de sécurité nécessitent une configuration manuelle de l'image. Reportez-vous à Historique des révisions de l'image STIG Oracle Linux pour connaître les modifications spécifiques apportées à chaque version.
Important

Toute modification apportée à une instance d'image STIG Oracle Linux (comme l'installation d'autres applications ou la modification des paramètres de configuration) peut avoir une incidence sur le score de conformité. Après avoir apporté des modifications, analysez à nouveau l'instance pour vérifier sa conformité. Reportez-vous à Nouvelle analyse d'une instance pour en vérifier la conformité.

Qu'est-ce qu'un STIG ?

Un STIG (Security Technical Implementation Guide) est un document écrit par l'agence DISA (Defense Information Systems Agency). Il fournit des conseils sur la configuration d'un système afin de répondre aux exigences en matière de cybersécurité pour le déploiement au sein des systèmes de réseaux informatiques du ministère de la Défense des Etats-Unis. Les exigences STIG aident à protéger le réseau contre les menaces de cybersécurité en se concentrant sur la sécurité des infrastructures et des réseaux pour réduire les vulnérabilités. La conformité aux STIG est une exigence pour les agences DoD ou toute organisation faisant partie des réseaux d'information DoD (DoDIN).

L'image STIG Oracle Linux aide à automatiser la conformité grâce à une version renforcée de l'image Oracle Linux standard. L'image est renforcée pour suivre les directives STIG. Cependant, l'image ne peut pas répondre à toutes les exigences STIG et peut nécessiter une correction manuelle supplémentaire. Reportez-vous à Application de mesures correctives.

Téléchargement du dernier STIG

L'agence DISA fournit des mises à jour trimestrielles des STIG. Cette documentation a été créée à l'aide du dernier STIG disponible au moment de la publication. Cependant, utilisez toujours le dernier STIG lors de l'évaluation de votre système.

Téléchargez en local le dernier STIG sur la page https://public.cyber.mil/stigs/downloads/. Recherchez Oracle Linux, puis téléchargez en local le fichier ZIP approprié.

Utilisez éventuellement le visualiseur de STIG de la DISA sur la page https://public.cyber.mil/stigs/srg-stig-tools/. Importez ensuite le fichier xccdf.xml du STIG pour visualiser les règles STIG.

Comment la conformité STIG est-elle évaluée ?

L'évaluation de la conformité commence souvent par une analyse effectuée à l'aide d'un outil de vérification de conformité SCAP (Security Content Automation Protocol). L'outil utilise un STIG (téléchargé au format SCAP) pour analyser la sécurité d'un système. Cependant, l'outil ne teste pas toujours toutes les règles d'un STIG et certains STIG peuvent ne pas avoir de versions SCAP. Dans ce cas, un auditeur doit vérifier manuellement la conformité du système en examinant les règles STIG non traitées par l'outil.

Les outils suivants sont disponibles pour automatiser l'évaluation de la conformité :

  • Contrôleur de conformité SCAP (SCC) : outil développé par la DISA qui peut exécuter une évaluation à l'aide de la référence STIG DISA ou d'un profil en amont OpenSCAP. En général, la référence STIG de la DISA est utilisée pour l'analyse de conformité lors de l'utilisation de l'outil SCC.

    Important

    Pour analyser une architecture Arm (aarch64), vous devez utiliser SCC version 5.5 ou ultérieure.

  • OpenSCAP - Utilitaire open source disponible via yum qui peut exécuter une évaluation à l'aide de la référence STIG de la DISA ou d'un profil en amont OpenSCAP. Oracle Linux distribue un package SSG (SCAP Security Guide) contenant des profils propres aux versions de système. Par exemple, le fichier ssg-ol7-ds.xml de flux de données SCAP fourni par le package SSG inclut le profil STIG pour Oracle Linux 7 de la DISA. L'un des avantages de l'outil OpenSCAP est que SSG fournit des scripts Bash ou Ansible pour automatiser la résolution et rendre le système conforme.

    Attention

    La résolution automatique à l'aide de scripts peut entraîner une configuration système indésirable ou rendre un système non fonctionnel. Testez les scripts de résolution dans un environnement autre que de production.

Pour obtenir des informations sur l'exécution des outils de conformité et la génération d'un rapport d'analyse, reportez-vous à Nouvelle analyse d'une instance pour en vérifier la conformité.

Cibles de conformité

L'image STIG Oracle Linux contient des corrections supplémentaires pour les règles non traitées par le test d'évaluation STIG DISA. Utilisez le profil SSG "STIG" aligné sur DISA STIG pour Oracle Linux pour étendre l'automatisation sur les règles précédemment non traitées et déterminer la conformité par rapport à l'ensemble DISA STIG.

Deux fichiers de liste de contrôle du visualiseur STIG DISA sont fournis avec l'image, qui sont basés sur les résultats d'analyse de SCC et OpenSCAP. La liste de contrôle de la référence STIG DISA utilise les résultats de l'analyse SCC, tandis que la liste de contrôle du profil SSG "STIG" utilise les résultats de l'analyse OpenSCAP. Ces listes de contrôle contiennent des commentaires d'Oracle pour les zones de l'image qui ne répondent pas aux instructions. Reportez-vous à Utilisation de la liste de contrôle pour afficher des configurations supplémentaires.
Remarque

Les scores de conformité plus élevés pour l'évaluation STIG DISA reflètent une portée de règles plus limitée que l'ensemble de l'évaluation STIG DISA. Cependant, le profil SSG "stig" tient compte de l'ensemble du STIG DISA, fournissant une évaluation plus complète de la conformité de l'image.
Oracle Linux 8 :

Les images STIG Oracle Linux 8 respectent les normes de sécurité de la DISA et sont renforcées selon le STIG Oracle Linux 8 de la DISA. Pour la dernière version de l'image STIG Oracle Linux 8, la cible de conformité est le STIG DISA pour Oracle Linux 8 Ver 1, Rel 10. Le package scap-security-guide (version minimale 0.1.73-1.0.1) disponible via yum contient le profil SSG "STIG" conforme au STIG de la DISA pour Oracle Linux 8 version 1, version 10.

Informations de conformité pour les images STIG Oracle Linux 8.10 septembre 2024 :

Cible : profil SSG "STIG" conforme au STIG de la DISA pour Oracle Linux 8 Ver 1, Rel 10.

  • Score de conformité de la liste de contrôle pour x86_64 : 74,63 %
  • Score de conformité de la liste de contrôle pour aarch64 : 74,55 %

Cible : STIG DISA pour le profil de référence Oracle Linux 8 Ver 1, Rel 8

  • Score de conformité de la liste de contrôle pour x86_64 : 80,57 %
  • Score de conformité de la liste de contrôle pour aarch64 : 80,57 %
Oracle Linux 7 (support étendu)

Les images STIG Oracle Linux 7 respectent les normes de sécurité de la DISA et sont renforcées selon le STIG Oracle Linux 7 de la DISA. Pour la dernière version de l'image STIG Oracle Linux 7, la cible de conformité est passée au STIG Version 3, Rel 1 de la DISA. Le package scap-security-guide (version minimale 0.1.73-1.0.3) disponible via yum contient le profil SSG "STIG" aligné sur DISA STIG pour Oracle Linux 7 version 3, version 1.

Informations de conformité pour les images STIG Oracle Linux 7.9 février 2025 :

Cible : profil SSG "STIG" conforme au STIG de la DISA pour Oracle Linux 7 version 3, version 1.

  • Score de conformité de la liste de contrôle x86_64 : 81,65 %
  • Score de conformité de la liste de contrôle aarch64 : 81,65 %

Cible : STIG de la DISA pour le profil de référence Oracle Linux 7 version 3, version 1

  • Score de conformité de la liste de contrôle x86_64 : 91,71 %
  • Score de conformité de la liste de contrôle aarch64 : 91,71 %
Remarque

La norme STIG de DISA n'a apporté aucune modification significative, autre que le libellé, entre Oracle Linux 7 Ver 3, Rel 1 et Oracle Linux 7 Ver 2, Rel 14. De ce fait, tout système compatible avec Oracle Linux 7 Ver 2, Rel 14 est également compatible avec Oracle Linux 7 Ver 3, Rel 1.

Application des résolutions

L'image STIG Oracle Linux renforcée ne peut pas être configurée pour toutes les recommandations. Vous devez finaliser manuellement toutes les configurations qui ne sont pas incluses dans l'instance d'image STIG Oracle Linux.

Pour chaque règle de sécurité établie par la DISA, des instructions permettant d'appliquer la configuration de sécurité appropriée sont fournies dans le Guide d'implémentation technique de la sécurité Oracle Linux correspondant.

Important

Certaines modifications apportées à l'image peuvent avoir une incidence sur le compte Oracle Cloud Infrastructure par défaut de l'instance. Si vous décidez d'appliquer une règle, étudiez les informations relatives à chaque règle et les motifs d'exclusion pour comprendre l'impact potentiel sur l'instance.

Utiliser la liste de contrôle pour afficher des configurations supplémentaires

Utilisez les listes de contrôle fournies avec l'image STIG d'Oracle Linux pour afficher des "Notes de version" supplémentaires sur les domaines d'aide non inclus dans l'image, qui peuvent nécessiter une configuration supplémentaire. Les notes de version identifient des configurations supplémentaires susceptibles d'avoir une incidence sur le compte Oracle Cloud Infrastructure par défaut des instances.

Accéder à la checklist

L'image STIG d'Oracle Linux inclut des listes de contrôle du visualiseur STIG DISA pour le profil "STIG" du repère STIG DISA et du guide de sécurité SCAP (SSG) alignés sur le profil STIG DISA pour Oracle Linux. Ces listes de contrôle se trouvent dans le répertoire /usr/share/xml/stig. Reportez-vous à Historique des versions pour connaître le nom de fichier spécifique associé à chaque version.

  • OL<release>_SSG_STIG_<stig-version>_CHECKLIST_RELEASE.ckl : liste de contrôle du STIG DISA pour Oracle Linux à l'aide des résultats de l'analyse de profil SSG "STIG".
  • OL<release>_DISA_BENCHMARK_<stig-version>_CHECKLIST_RELEASE.ckl : liste de contrôle pour la référence STIG DISA pour Oracle Linux à l'aide des résultats de l'analyse de profil SCC Oracle_Linux_<release>_STIG.

Consulter les notes de version de la liste de contrôle

  1. Téléchargez l'outil du visualiseur de STIG de la DISA à l'adresse suivante : https://public.cyber.mil/stigs/srg-stig-tools/
  2. Ouvrez le visualiseur STIG.
  3. Sous Liste de contrôle, sélectionnez Ouvrir la liste de contrôle à partir du fichier... et accédez au fichier de liste de contrôle.
  4. Développez le panneau de filtre et ajoutez le filtre suivant :
    • Doit correspondre : ALL
    • Filtrer par : Mot-clé
    • Type de filtre : Filtre (+) inclus
    • Mot-clé : Oracle Release Notes
  5. Les notes de version fournissent des informations supplémentaires sur les règles :
    • Ouvert : règles qui ont été exclues ou considérées comme hors de portée.
      • Exclu : règles susceptibles d'affecter le compte Oracle Cloud Infrastructure par défaut de l'instance et qui ont été exclues de l'aide pour l'image STIG Oracle Linux.
      • Out of Scope - Règles hors de portée pour la résolution sur la version actuelle, mais pouvant être prises en compte pour la résolution dans une prochaine version.
    • Non applicable - Règles jugées non applicables à l'image STIG Oracle Linux.
    • Non révisé - Règles hors de portée pour la résolution sur la version actuelle, mais pouvant être prises en compte pour la résolution dans une prochaine version.
  6. Pour chaque règle, assurez-vous de bien comprendre les implications pour l'instance avant d'appliquer la résolution.

Nouvelle analyse d'une instance pour en vérifier la conformité

Utilisez l'outil SCC ou OpenSCAP pour analyser l'instance afin de vérifier qu'elle reste conforme.

Les modifications apportées à une instance d'image STIG Oracle Linux (comme l'installation d'autres applications ou l'ajout de nouveaux paramètres de configuration) peuvent avoir une incidence sur la conformité. Nous vous recommandons d'effectuer une analyse pour vérifier que l'instance est conforme après chaque modification. En outre, vous devrez peut-être effectuer des analyses ultérieures pour rechercher les mises à jour trimestrielles régulières du STIG de la DISA.

Utilisation de l'outil OpenSCAP

L'outil OpenSCAP est disponible dans Oracle Linux et certifié par le National Institute of Standards and Technologies (NIST).

  1. Connectez-vous à votre instance d'image STIG Oracle Linux.
  2. Installez le package openscap-scanner. 
    sudo yum install openscap-scanner
  3. Identifiez le fichier XCCDF ou de flux de données à utiliser pour l'analyse.

    Pour utiliser le profil SSG "stig" :

    1. Installez le package scap-security-guide. 
      sudo yum install scap-security-guide
    2. Localisez le fichier à utiliser pour l'analyse trouvée dans /usr/share/xml/scap/ssg/content.
    Pour utiliser l'évaluation STIG DISA d'Oracle Linux :
    1. Accédez à https://public.cyber.mil/stigs/downloads/".
    2. Recherchez Oracle Linux et téléchargez le fichier de référence STIG DISA approprié.
    3. Décompressez le fichier après l'avoir téléchargé.
  4. Pour réaliser une analyse, exécutez la commande suivante : 
    sudo oscap xccdf eval --profile profile-name \
--results=path-to-results.xml --oval-results \
--report=path-to-report.html \
--check-engine-results \
--stig-viewer=path-to-stig-viewer-report.xml \
path-to-xccdf-document

    Pour connaître les autres options que vous pouvez utiliser avec la commande oscap, reportez-vous à Utilisation d'OpenSCAP pour effectuer des analyses à la recherche de vulnérabilités dans Oracle® Linux 7 : Guide de sécurité et Oracle Linux 8 : Utilisation d'OpenSCAP pour la conformité en matière de sécurité.

  5. Recherchez les résultats de l'évaluation dans le fichier path-to-report.html.

Utilisation de l'outil SCC

L'outil SCC est l'outil officiel de vérification de la conformité gouvernementale et peut être utilisé pour analyser une instance d'image STIG Oracle Linux.

Important

Pour analyser une architecture Arm (aarch64), vous devez utiliser SCC version 5.5 ou ultérieure.

Pour obtenir des instructions sur l'utilisation de l'outil SCC, reportez-vous au tableau des outils SCAP à l'adresse https://public.cyber.mil/stigs/scap/.

  1. Obtenez l'outil SCC à partir du tableau disponible à l'adresse https://public.cyber.mil/stigs/scap/.
  2. Installez l'outil. 
    unzip scc-5.4.2_rhel7_sles12-15_oracle-linux7_x86_64_bundle.zip
cd scc-5.4.2_rhel7_x86_64/
rpm -i scc-5.4.2.rhel7.x86_64.rpm
  3. Compressez le fichier .xml de contenu SCAP avant de l'importer dans l'outil SCC.

    Pour le profil SSG "stig" :

    zip ssg_content.zip /usr/share/xml/scap/ssg/content/xml-document
/opt/scc/cscc -is ssg_content.zip

    Pour l'évaluation STIG DISA d'Oracle Linux :

    zip scap_content.zip path-to-disa-benchmark-xml-document
/opt/scc/cscc -is scap_content.zip
  4. Configurez SCC pour analyser le contenu importé. 
    /opt/scc/cscc --config
  5. Effectuez l'analyse à l'aide du menu de ligne de commande :
    1. Saisissez 1 pour configurer le contenu SCAP.
    2. Saisissez clear, puis le numéro correspondant au contenu SCAP importé.

      Dans l'exemple suivant, vous devez saisir 2 pour le contenu SCAP importé pour Oracle Linux 7. 

      SCC 5.4.2 Available SCAP Content                        [Version]  [Date]    
1.  [ ]  Mozilla_Firefox_RHEL                           005.003    2021-06-09
2.  [X]  OL-7                                           0.1.54     2021-09-23
3.  [ ]  Oracle_Linux_7_STIG                            002.004    2021-06-14
4.  [ ]  RHEL_6_STIG                                    002.002    2020-12-04
5.  [ ]  RHEL_7_STIG                                    003.004    2021-06-14
6.  [ ]  RHEL_8_STIG                                    001.002    2021-06-14
7.  [ ]  SLES_12_STIG                                   002.004    2021-06-14
    3. Saisissez 0 pour revenir au menu principal.
    4. Saisissez 2 pour configurer le profil SCAP.
    5. Saisissez 1 pour sélectionner le profil. Vérifiez que "stig" est sélectionné. 
      Available Profiles for OL-7

1.  [ ] no_profile_selected
2.  [X] stig
    6. Revenez au menu principal. Saisissez 9 pour enregistrer les modifications et effectuer une analyse sur le système.
      L'analyse peut prendre entre 25 et 30 minutes.

Historique des révisions de l'image STIG Oracle Linux

Oracle met régulièrement à jour l'image STIG Oracle Linux pour résoudre les problèmes de sécurité.

Si vous déployez une image STIG Oracle Linux plus ancienne, vous pouvez effectuer une analyse ultérieure pour rechercher les mises à jour trimestrielles régulières du STIG de la DISA. Pour plus d'informations, reportez-vous à Nouvelle analyse d'une instance pour en vérifier la conformité.

Oracle Linux 8 :

Oracle-Linux-8.10-STIG septembre 2024
Ces informations sont destinées à :
  • Oracle Linux-8.10-2024.08.20-STIG (pour x86_64)
  • Oracle Linux-8.10-aarch64-2024.08.20-STIG (pour aarch64)
Informations sur l'image
  • kernel-uek : 5.15.0-209.161.7.1.el8uek
  • Première version d'Oracle Linux 8.10 renforcée contre DISA STIG pour Oracle Linux 8 Ver 1, Rel 10.
  • Mise à jour des packages système vers les dernières versions disponibles, avec des correctifs de sécurité.
  • Autres résolutions de règle STIG appliquées à l'image, reportez-vous à Utilisation de la liste de contrôle pour afficher des configurations supplémentaires.
  • Fichiers de liste de contrôle dans /usr/share/xml/stig :
    • OL8_SSG_STIG_V1R10_CHECKLIST_RELEASE.ckl
    • OL8_DISA_BENCHMARK_V1R8_CHECKLIST_RELEASE.ckl
Informations de conformité

Cible : profil SSG "STIG" conforme au STIG de la DISA pour Oracle Linux 8 Ver 1, Rel 10.

  • Score de conformité de la liste de contrôle pour x86_64 : 74,63 %
  • Score de conformité de la liste de contrôle pour aarch64 : 74,55 %

Cible : STIG DISA pour le profil de référence Oracle Linux 8 Ver 1, Rel 8

  • Score de conformité de la liste de contrôle pour x86_64 : 80,57 %
  • Score de conformité de la liste de contrôle pour aarch64 : 80,57 %
Remarque

Les scores de conformité plus élevés pour l'évaluation STIG DISA reflètent une portée de règles plus limitée que l'ensemble de l'évaluation STIG DISA. Cependant, le profil SSG "stig" tient compte de l'ensemble du STIG DISA, fournissant une évaluation plus complète de la conformité de l'image.
Oracle-Linux-8.9-STIG janvier 2024
Ces informations sont destinées à :
  • Oracle Linux-8.9-2024.01.25-STIG (pour x86_64)
  • Oracle Linux-8.9-aarch64-2024.01.25-STIG (pour aarch64)
Informations sur l'image
  • kernel-uek : 5.15.0-202.135.2.el8uek
  • Première version d'Oracle Linux 8.9 renforcée contre DISA STIG pour Oracle Linux 8 Ver 1, Rel 8.
  • Mise à jour des packages système vers les dernières versions disponibles, avec des correctifs de sécurité.
  • Autres résolutions de règle STIG appliquées à l'image, reportez-vous à Utilisation de la liste de contrôle pour afficher des configurations supplémentaires.
  • Fichiers de liste de contrôle dans /usr/share/xml/stig :
    • OL8_SSG_STIG_V1R8_CHECKLIST_RELEASE.ckl
    • OL8_DISA_BENCHMARK_V1R7_CHECKLIST_RELEASE.ckl
Informations de conformité

Cible : profil SSG "STIG" conforme au STIG de la DISA pour Oracle Linux 8 Ver 1, Rel 8.

  • Score de conformité de la liste de contrôle pour x86_64 : 67,50 %
  • Score de conformité de la liste de contrôle pour aarch64 : 67,40 %

Cible : profil de référence de la DISA STIG pour Oracle Linux 8 version 1, version 7

  • Score de conformité de la liste de contrôle pour x86_64 : 78,92 %
  • Score de conformité de la liste de contrôle pour aarch64 : 78,92 %
Remarque

Les scores de conformité plus élevés pour l'évaluation STIG DISA reflètent une portée de règles plus limitée que l'ensemble de l'évaluation STIG DISA. Cependant, le profil SSG "stig" tient compte de l'ensemble du STIG DISA, fournissant une évaluation plus complète de la conformité de l'image.
Oracle-Linux-8.8-STIG juillet 2023
Ces informations sont destinées à :
  • Oracle Linux-8.8-2023.07.06-STIG (pour x86_64)
  • Oracle Linux-8.8-aarch64-2023.07.06-STIG (pour aarch64)
Informations sur l'image
  • kernel-uek : 5.15.0-102.110.5.1.el8uek
  • Première version d'Oracle Linux 8.8 renforcée contre DISA STIG pour Oracle Linux 8 Ver 1, Rel 6.
  • Mise à jour des packages système vers les dernières versions disponibles, avec des correctifs de sécurité.
  • Autres résolutions de règle STIG appliquées à l'image, reportez-vous à Utilisation de la liste de contrôle pour afficher des configurations supplémentaires.
  • Fichiers de liste de contrôle dans /usr/share/xml/stig :
    • OL8_SSG_STIG_V1R6_CHECKLIST_RELEASE.ckl
    • OL8_DISA_BENCHMARK_V1R5_CHECKLIST_RELEASE.ckl
Informations de conformité

Cible : profil SSG "STIG" conforme au STIG de la DISA pour Oracle Linux 8 Ver 1, Rel 6.

  • Score de conformité de la liste de contrôle pour x86_64 : 64,81 %
  • Score de conformité de la liste de contrôle pour aarch64 : 64,54 %

Cible : STIG DISA pour le profil de référence Oracle Linux 8 Ver 1, Rel 5

  • Score de conformité de la liste de contrôle pour x86_64 : 78,92 %
  • Score de conformité de la liste de contrôle pour aarch64 : 78,92 %
Remarque

Les scores de conformité plus élevés pour l'évaluation STIG DISA reflètent une portée de règles plus limitée que l'ensemble de l'évaluation STIG DISA. Cependant, le profil SSG "stig" tient compte de l'ensemble du STIG DISA, fournissant une évaluation plus complète de la conformité de l'image.
Oracle-Linux-8.7-STIG avril 2023
Ces informations sont destinées à :
  • Oracle Linux-8.7-2023.04.26-STIG (pour x86_64)
  • Oracle Linux-8.7-aarch64-2023.04.26-STIG (pour aarch64)
Informations sur l'image
  • kernel-uek : 5.15.0-100.96.32.el8uek
  • Première version d'Oracle Linux 8.7 renforcée contre DISA STIG pour Oracle Linux 8 Ver 1, Rel 5.
  • Mise à jour des packages système vers les dernières versions disponibles, avec des correctifs de sécurité.
  • Autres résolutions de règle STIG appliquées à l'image, reportez-vous à Utilisation de la liste de contrôle pour afficher des configurations supplémentaires.
  • Fichiers de liste de contrôle dans /usr/share/xml/stig :
    • OL8_SSG_STIG_V1R5_CHECKLIST_RELEASE.ckl
    • OL8_DISA_BENCHMARK_V1R4_CHECKLIST_RELEASE.ckl
Informations de conformité

Cible : profil SSG "STIG" conforme au STIG de la DISA pour Oracle Linux 8 Ver 1, Rel 5.

  • Score de conformité de la liste de contrôle pour x86_64 : 63,78 %
  • Score de conformité de la liste de contrôle pour aarch64 : 63,50 %

Cible : profil de référence de la DISA STIG pour Oracle Linux 8 version 1, version 4

  • Score de conformité de la liste de contrôle pour x86_64 : 79,25 %
  • Score de conformité de la liste de contrôle pour aarch64 : 79,25 %
Remarque

Les scores de conformité plus élevés pour l'évaluation STIG DISA reflètent une portée de règles plus limitée que l'ensemble de l'évaluation STIG DISA. Cependant, le profil SSG "stig" tient compte de l'ensemble du STIG DISA, fournissant une évaluation plus complète de la conformité de l'image.

Oracle Linux 7 (support étendu)

Oracle-Linux-7.9-STIG février 2025

Ces informations sont destinées à :

  • Oracle Linux-7.9-2025.02.06-STIG (pour x86_64)
  • Oracle Linux-7.9-aarch64-2025.02.06-STIG (pour aarch64)
Informations sur l'image
  • kernel-uek : 5.4.17-2136.339.5.1.el7uek (x86_64) et 5.4.17-2136.338.4.2 (aarch64)
  • Mise à jour des packages système vers les dernières versions disponibles, avec des correctifs de sécurité.
  • Canaux yum Extended Linux Support (ELS), ou référentiels, ajoutés à l'image x86_64.
  • La cible de conformité est le profil SSG conforme au STIG de la DISA pour Oracle Linux 7 version 3, version 1.
  • Version SSG minimale : scap-security-guide-0.1.73-1.0.3
  • Autres résolutions de règle STIG appliquées à l'image, reportez-vous à Utilisation de la liste de contrôle pour afficher des configurations supplémentaires.
  • Fichiers de liste de contrôle dans /usr/share/xml/stig :
    • OL7_SSG_STIG_V3R1_CHECKLIST_RELEASE.ckl
    • OL7_DISA_BENCHMARK_V3R1_CHECKLIST_RELEASE.ckl
Informations de conformité

Cible : profil SSG "STIG" conforme au STIG de la DISA pour Oracle Linux 7 version 3, version 1.

  • Score de conformité de la liste de contrôle x86_64 : 81,65 %
  • Score de conformité de la liste de contrôle aarch64 : 81,65 %

Cible : STIG de la DISA pour le profil de référence Oracle Linux 7 version 3, version 1

  • Score de conformité de la liste de contrôle x86_64 : 91,71 %
  • Score de conformité de la liste de contrôle aarch64 : 91,71 %
Remarque

La norme STIG de DISA n'a apporté aucune modification significative, autre que le libellé, entre Oracle Linux 7 Ver 3, Rel 1 et Oracle Linux 7 Ver 2, Rel 14. De ce fait, tout système compatible avec Oracle Linux 7 Ver 2, Rel 14 est également compatible avec Oracle Linux 7 Ver 3, Rel 1.
Remarque

Les scores de conformité plus élevés pour l'évaluation STIG DISA reflètent une portée de règles plus limitée que l'ensemble de l'évaluation STIG DISA. Cependant, le profil SSG "stig" tient compte de l'ensemble du STIG DISA, fournissant une évaluation plus complète de la conformité de l'image.
Oracle-Linux-7.9-STIG mai 2024

Ces informations sont destinées à :

  • Oracle Linux-7.9-2024.05.31-STIG (pour x86_64)
  • Oracle Linux-7.9-aarch64-2024.05.31-STIG (pour aarch64)
Informations sur l'image
  • kernel-uek : 5.4.17-2136.331.7.el7uek
  • Mise à jour des packages système vers les dernières versions disponibles, avec des correctifs de sécurité.
  • La cible de conformité est le profil SSG conforme au STIG de la DISA pour Oracle Linux 7 version 2, version 14.
  • Version minimale de SSG : scap-security-guide-0.1.72-2.0.1
  • Autres résolutions de règle STIG appliquées à l'image, reportez-vous à Utilisation de la liste de contrôle pour afficher des configurations supplémentaires.
  • Fichiers de liste de contrôle dans /usr/share/xml/stig :
    • OL7_SSG_STIG_V2R14_CHECKLIST_RELEASE.ckl
    • OL7_DISA_BENCHMARK_V1R14_CHECKLIST_RELEASE.ckl
Informations de conformité

Cible : profil SSG "STIG" conforme au STIG de la DISA pour Oracle Linux 7 version 2, version 14.

  • Score de conformité de la liste de contrôle x86_64 : 81,36 %
  • Score de conformité de la liste de contrôle aarch64 : 81,36 %

Cible : profil de référence de la DISA STIG pour Oracle Linux 7 version 2, version 14

  • Score de conformité de la liste de contrôle x86_64 : 91,77 %
  • Score de conformité de la liste de contrôle aarch64 : 91,77 %
Remarque

La norme STIG de DISA n'a apporté aucune modification significative, autre que le libellé, entre Oracle Linux 7 Ver 2, Rel 13 et Oracle Linux 7 Ver 2, Rel 14. De ce fait, tout système compatible avec Oracle Linux 7 Ver 2, Rel 13 est également compatible avec Oracle Linux 7 Ver 2, Rel 14.
Remarque

Les scores de conformité plus élevés pour l'évaluation STIG DISA reflètent une portée de règles plus limitée que l'ensemble de l'évaluation STIG DISA. Cependant, le profil SSG "STIG" tient compte de l'ensemble du STIG DISA, fournissant une évaluation plus complète de la conformité de l'image.
Oracle-Linux-7.9-STIG décembre 2023

Ces informations concernent :

  • Oracle Linux-7.9-2023.11.30-STIG (pour x86_64)
  • Oracle Linux-7.9-aarch64-2023.11.30-STIG (pour aarch64)
Informations sur l'image
  • kernel-uek : 5.4.17-2136.325.5.1.el7uek
  • Mise à jour des packages système vers les dernières versions disponibles, avec des correctifs de sécurité.
  • La cible de conformité est le profil SSG conforme au STIG de la DISA pour Oracle Linux 7 version 2, version 13.
  • Version minimale de SSG : scap-security-guide-0.1.69-1.0.1
  • Autres résolutions de règle STIG appliquées à l'image, reportez-vous à Utilisation de la liste de contrôle pour afficher des configurations supplémentaires.
  • Fichiers de liste de contrôle dans /usr/share/xml/stig :
    • OL7_SSG_STIG_V2R13_CHECKLIST_RELEASE.ckl
    • OL7_DISA_BENCHMARK_V1R13_CHECKLIST_RELEASE.ckl
Informations de conformité

Cible : profil SSG "STIG" conforme au STIG de la DISA pour Oracle Linux 7 version 2, version 13.

  • Score de conformité de la liste de contrôle x86_64 : 81,36 %
  • Score de conformité de la liste de contrôle aarch64 : 81,36 %

Cible : profil de référence de la DISA STIG pour Oracle Linux 7 version 2, version 13

  • Score de conformité de la liste de contrôle x86_64 : 91,71 %
  • Score de conformité de la liste de contrôle aarch64 : 91,71 %
Remarque

La norme STIG de DISA n'a apporté aucune modification significative, autre que le libellé, entre Oracle Linux 7 Ver 2, Rel 12 et Oracle Linux 7 Ver 2, Rel 13. De ce fait, tout système compatible avec Oracle Linux 7 Ver 2, Rel 12 est également compatible avec Oracle Linux 7 Ver 2, Rel 13.
Remarque

Les scores de conformité plus élevés pour le test d'évaluation DISA STIG reflètent une portée de règles plus limitée que le test d'évaluation DISA complet. Cependant, le profil SSG "STIG" rend compte de l'ensemble du STIG DISA, fournissant une évaluation plus complète de la conformité de l'image.
Oracle-Linux-7.9-STIG mai 2023

Ces informations concernent :

  • Oracle Linux-7.9-2023.05.31-STIG (pour x86_64)
  • Oracle Linux-7.9-aarch64-2023.05.31-STIG (pour aarch64)
Informations sur l'image
  • kernel-uek : 5.4.17-2136.319.1.3.el7uek
  • Mise à jour des packages système vers les dernières versions disponibles, avec des correctifs de sécurité.
  • La cible de conformité est passée au profil SSG conforme au STIG de la DISA pour Oracle Linux 7 version 2, version 11.
  • Autres résolutions de règle STIG appliquées à l'image, reportez-vous à Utilisation de la liste de contrôle pour afficher des configurations supplémentaires.
  • Fichiers de liste de contrôle dans /usr/share/xml/stig :
    • OL7_SSG_STIG_V2R11_CHECKLIST_RELEASE.ckl
    • OL7_DISA_BENCHMARK_V1R11_CHECKLIST_RELEASE.ckl
Informations de conformité

Cible : profil SSG "STIG" conforme au STIG de la DISA pour Oracle Linux 7 version 2, version 11.

  • Score de conformité de la liste de contrôle x86_64 : 81,36 %
  • Score de conformité de la liste de contrôle aarch64 : 81,36 %

Cible : profil de référence de la DISA STIG pour Oracle Linux 7 version 2, version 11

  • Score de conformité de la liste de contrôle x86_64 : 91,71 %
  • Score de conformité de la liste de contrôle aarch64 : 91,71 %
Remarque

Les scores de conformité plus élevés pour le test d'évaluation DISA STIG reflètent une portée de règles plus limitée que le test d'évaluation DISA complet. Cependant, le profil SSG "STIG" rend compte de l'ensemble du STIG DISA, fournissant une évaluation plus complète de la conformité de l'image.

Images plus anciennes

Oracle-Linux-7.9-aarch64-2022.08.29-STIG
  • kernel-uek : 5.4.17-2136.310.7.1.el7uek.aarch64
  • Mise à jour des packages système vers les dernières versions disponibles, avec des correctifs de sécurité.
  • Application d'autres résolutions de règle STIG à l'image. Reportez-vous à la section Additional Remediations.
  • Transition de conformité de la référence STIG Version 2, Release 4 de la DISA au profil SSG conforme au STIG de la DISA pour Oracle Linux 7 Version 2, Release 8.

Informations de conformité

  • Cible : profil SSG conforme au STIG de la DISA pour Oracle Linux 7 Version 2, Release 8.
  • OpenSCAP Score de conformité : 80.83%
Autres corrections

Pour chaque règle de sécurité établie par la DISA, vous trouverez des instructions permettant d'appliquer la configuration de sécurité appropriée dans le STIG (Security Technical Implementation Guide) pour Oracle Linux 7.

  1. Passez en revue le tableau qui suit et assurez-vous que vous comprenez les impacts potentiels sur l'instance si vous effectuez une correction.

  2. Téléchargez le dernier STIG à partir du site https://public.cyber.mil/stigs/downloads/ en recherchant Oracle Linux et en sélectionnant une version.

  3. Téléchargez l'outil du visualiseur de STIG de la DISA à l'adresse suivante : https://public.cyber.mil/stigs/srg-stig-tools/
  4. Ouvrez le fichier xccdf.xml pour le STIG dans le visualiseur.

  5. Pour chaque règle du tableau ci-dessous que vous souhaitez corriger, procédez comme suit :

    1. Recherchez l'ID STIG de la règle dans le guide afin d'accéder à la section appropriée qui explique la règle, les vulnérabilités et les étapes à suivre pour se conformer à la règle.

    2. Suivez les étapes de configuration fournies.

Le tableau suivant décrit les aspects des directives qui ne sont pas inclus dans l'image STIG Oracle Linux et qui nécessitent une configuration supplémentaire, et alerte sur les configurations supplémentaires qui peuvent avoir une incidence sur le compte Oracle Cloud Infrastructure par défaut de l'instance.

Les règles marquées comme prenant en charge l'automatisation disposent d'une automatisation intégrée pour vérifier les exigences de règle et appliquer les résolutions requises, le cas échéant. Les règles sans prise en charge de l'automatisation doivent être examinées manuellement par un utilisateur sur un système car les vérifications d'automatisation selon les exigences de règle ne sont pas prises en charge ou aucun script de résolution n'est disponible.

ID STIG

Description de la règle

Prise en charge de l'automatisation

Motif de l'exclusion

OL07-00-010050 Le système d'exploitation Oracle Linux doit afficher la bannière de consentement et de mention obligatoire du département de la Défense des Etats-Unis avant d'accorder un accès local ou distant au système via une ouverture de session utilisateur à l'aide d'une ligne de commande. Oui Requiert le consentement de l'utilisateur pour l'accord de consentement et d'avis obligatoire du département de la défense.

OL07-00-010230

Le système d'exploitation Oracle Linux doit être configuré de sorte que les mots de passe des nouveaux utilisateurs soient limités à une durée de vie minimale de 24 heures/1 jour.

Oui

Affecte le compte de connexion utilisateur OPC par défaut configuré pour l'accès à l'instance Oracle Cloud Infrastructure.

OL07-00-010240

Le système d'exploitation Oracle Linux doit être configuré de sorte que les mots de passe soient limités à une durée de vie minimale de 24 heures/1 jour.

Oui

Affecte le compte de connexion utilisateur OPC par défaut configuré pour l'accès à l'instance Oracle Cloud Infrastructure.

OL07-00-010250

Le système d'exploitation Oracle Linux doit être configuré de sorte que les mots de passe des nouveaux utilisateurs soient limités à une durée de vie maximale de 60 jours.

Oui

Affecte le compte de connexion utilisateur OPC par défaut configuré pour l'accès à l'instance Oracle Cloud Infrastructure.

OL07-00-010260 1

Le système d'exploitation Oracle Linux doit être configuré de sorte que les mots de passe existants soient limités à une durée de vie maximale de 60 jours.

Non

Affecte le compte de connexion utilisateur OPC par défaut configuré pour l'accès à l'instance Oracle Cloud Infrastructure. Les règles de durée de vie des mots de passe PAM affectent également les clés SSH.

Incidence importante sur OCI : la restriction des mots de passe existants à une durée de vie maximale de 60 jours peut entraîner le verrouillage irrémédiable du compte OPC après 60 jours en raison du paramétrage sans mot de passe du compte.
OL07-00-010320 Le système d'exploitation Oracle Linux doit être configuré pour verrouiller les comptes pendant au moins 15 minutes après trois tentatives d'ouverture de session échoué dans un délai de 15 minutes. Oui Affecte le compte de connexion utilisateur OPC par défaut configuré pour l'accès à l'instance Oracle Cloud Infrastructure.
OL07-00-010330 Le système d'exploitation Oracle Linux doit verrouiller le compte associé après trois tentatives d'ouverture de session root infructueuses dans un délai de 15 minutes. Oui Affecte le compte de connexion utilisateur OPC par défaut configuré pour l'accès à l'instance Oracle Cloud Infrastructure.

OL07-00-010340

Le système d'exploitation Oracle Linux doit être configuré de sorte que les utilisateurs doivent fournir un mot de passe pour l'escalade des privilèges.

Oui

Selon le schéma Oracle Cloud Infrastructure par défaut , NOPASSWD est défini pour OPC.

OL07-00-010342

Le système d'exploitation Oracle Linux doit utiliser le mot de passe de l'utilisateur appelant pour l'escalade des privilèges lors de l'utilisation de la commande sudo.

Oui

Affecte le compte de connexion OPC par défaut.

OL07-00-010491 1

Lorsqu'ils utilisent l'interface UEFI (Unified Extensible Firmware Interface), les systèmes d'exploitation Oracle Linux version 7.2 ou ultérieure doivent exiger une authentification lors de l'initialisation en mode monoutilisateur et en mode de maintenance.

Non

Exige un mot de passe GRUB 2. Impossible pour l'image par défaut.

Incidence importante sur OCI : l'implémentation d'un mot de passe GRUB 2 génère une invite de mot de passe lors de l'initialisation de l'instance.
OL07-00-010492 Les systèmes d'exploitation Oracle Linux version 7.2 ou ultérieure initialisés avec UEFI (United Extensible Firmware Interface) doivent disposer d'un nom unique pour le compte des superutilisateurs GRUB lors de l'initialisation en mode monoutilisateur et de la maintenance. Non Requiert la modification du nom de superutilisateur par défaut. A une incidence sur l'initialisation du superutilisateur GRUB.
OL07-00-010500 Le système d'exploitation Oracle Linux doit identifier de manière unique et authentifier les utilisateurs organisationnels (ou les processus agissant pour le compte d'utilisateurs organisationnels) à l'aide de l'authentification à plusieurs facteurs. Oui L'authentification à plusieurs facteurs n'est pas configurée sur l'image Oracle Cloud Infrastructure par défaut.
OL07-00-020019 Le système d'exploitation Oracle Linux doit implémenter l'outil Endpoint Security for Linux Threat Prevention. Non Oracle Linux n'est pas fourni avec un logiciel de détection de virus. La configuration utilisateur est requise.
OL07-00-020020 Le système d'exploitation Oracle Linux doit empêcher les utilisateurs sans privilège d'exécuter des fonctions nécessitant des privilèges en incluant la désactivation, le contournement ou la modification des dispositifs de protection/contre-mesures de sécurité implémentés. Non Requiert l'obtention d'une liste spécifique d'utilisateurs autorisés auprès du responsable de la sécurité du système d'information de l'utilisateur.

OL07-00-020021

Le système d'exploitation Oracle Linux doit limiter les utilisateurs SELinux aux rôles appliquant le principle du moindre privilège.

 Non Requiert une vérification de la part de l'administrateur système ou du responsable de la sécurité du système d'information d'un utilisateur pour déterminer la conformité de la mise en correspondance des rôles SELinux.

OL07-00-020023

Le système d'exploitation Oracle Linux doit élever le contexte SELinux lorsqu'un administrateur appelle la commande sudo.

 Non

Affecte le compte de connexion utilisateur OPC par défaut configuré pour l'accès à l'instance Oracle Cloud Infrastructure.

OL07-00-020030

Le système d'exploitation Oracle Linux doit être configuré de sorte qu'un outil d'intégrité des fichiers vérifie la configuration de système d'exploitation de référence au moins une fois par semaine.

Oui

L'environnement AIDE ou tout autre système de détection des intrusions doit être configuré sur l'image cible.

OL07-00-020040 Le système d'exploitation Oracle Linux doit être configuré de sorte que le personnel désigné soit averti si les configurations de référence sont modifiées de manière non autorisée. Oui Requiert l'installation du système de détection AIDE avant la configuration.
OL07-00-020270 Le système d'exploitation Oracle Linux ne doit pas comporter de comptes inutiles. Non Requiert l'obtention d'une liste spécifique de comptes système autorisés auprès du responsable de la sécurité du système d'information de l'utilisateur.

OL07-00-020680

Le système d'exploitation Oracle Linux doit être configuré de sorte que tous les fichiers et répertoires contenus dans les répertoires de base des utilisateurs interactifs locaux aient un mode 750 ou moins permissif.

 Non

Limite l'accès aux droits d'accès de fichier aux services système.

OL07-00-020720

Le système d'exploitation Oracle Linux doit être configuré de sorte que tous les chemins de recherche exécutables des fichiers d'initialisation des utilisateurs interactifs locaux contiennent uniquement les chemins pointant vers le répertoire de base des utilisateurs.

 Non

A une incidence sur l'accès aux utilitaires et aux fichiers binaires utilisateur.
OL07-00-021000 Le système d'exploitation Oracle Linux doit être configuré de sorte que les systèmes de fichiers contenant des répertoires de base utilisateur soient montés pour empêcher l'exécution des fichiers avec les bits setuid et setgid définis. Oui A une incidence sur l'accès de l'utilisateur à l'exécution de fichiers binaires dans ses répertoires de base.
OL07-00-021300 Le système d'exploitation Oracle Linux doit désactiver les dumps noyau du noyau, sauf s'ils sont nécessaires. Oui Le service Kdump est nécessaire à des fins de diagnostic en cas de panne du noyau générée par le système.

OL07-00-021350 1

Le système d'exploitation Oracle Linux doit implémenter la cryptographie validée selon les normes FIPS du NIST aux fins suivantes : provisionner les signatures numériques, générer des hachages cryptographiques et protéger les données nécessitant une protection des données au repos conformément aux lois fédérales, aux décrets, aux directives, aux politiques, aux réglementations et aux normes applicables.

Non

Exclusion du paramètre fips=1 de la ligne de commande du noyau de secours.

Incidence importante sur OCI : l'ajout de fips=1 à la ligne de commande du noyau de secours peut entraîner l'échec de l'initialisation de l'instance avec une erreur fatale.
OL07-00-021600 Le système d'exploitation Oracle Linux doit être configuré de sorte que l'outil d'intégrité des fichiers soit configuré pour vérifier les listes de contrôle d'accès. Oui Requiert l'installation du système de détection AIDE avant la configuration.
OL07-00-021610 Le système d'exploitation Oracle Linux doit être configuré de sorte que l'outil d'intégrité des fichiers soit configuré pour vérifier les attributs étendus. Oui Requiert l'installation du système de détection AIDE avant la configuration.
OL07-00-021620 Le système d'exploitation Oracle Linux doit utiliser un outil d'intégrité des fichiers configuré de façon à se servir de hachages cryptographiques approuvés par la norme FIPS 140-2 pour valider les répertoires et le contenu des fichiers. Oui Requiert l'installation du système de détection AIDE avant la configuration.

OL07-00-030010 1

Le système d'exploitation Oracle Linux doit s'arrêter en cas d'échec du traitement d'audit, sauf si la disponibilité est un problème majeur. Si la disponibilité est un problème, le système doit avertir le personnel désigné (administrateur système et responsable de la sécurité du système d'information au minimum) en cas d'échec du traitement d'audit.

Oui

Le paramètre failure est défini par défaut sur la valeur 1, qui envoie uniquement des informations concernant l'échec au journal du noyau au lieu d'arrêter l'instance.

Incidence importante sur OCI : si vous définissez le paramètre failure sur 2, le système panique et s'arrête en cas d'échec du traitement d'audit.

OL07-00-030201

Le système d'exploitation Oracle Linux doit être configuré pour décharger les journaux d'audit sur un système ou support de stockage différent de celui du système audité.

 Non

La configuration du module d'extension au-remote présuppose les détails du serveur distant.

OL07-00-030300

Le système d'exploitation Oracle Linux doit décharger les enregistrements d'audit sur un système ou support différent de celui du système audité.

Oui

La configuration du module d'extension au-remote présuppose les détails du serveur distant.

OL07-00-030310

Le système d'exploitation Oracle Linux doit crypter le transfert des enregistrements d'audit déchargés sur un système ou support différent de celui du système audité.

Oui

La configuration du module d'extension au-remote présuppose les détails du serveur distant.

OL07-00-030320

Le système d'exploitation Oracle Linux doit être configuré de sorte que le système d'audit prenne les mesures appropriées lorsque le volume de stockage d'audit est plein.

Non

La configuration du module d'extension au-remote présuppose les détails du serveur distant.

OL07-00-030321

Le système d'exploitation Oracle Linux doit être configuré de sorte que le système d'audit prenne les mesures appropriées lorsqu'une erreur survient lors de l'envoi d'enregistrements d'audit à un système distant.

Non

La configuration du module d'extension au-remote présuppose les détails du serveur distant.

OL07-00-031000 Le système d'exploitation Oracle Linux doit envoyer la sortie rsyslog à un serveur d'agrégation de journaux. Oui Requiert un serveur distant pour transmettre les informations rsyslog.
OL07-00-032000 Le système d'exploitation Oracle Linux doit utiliser un programme de détection de virus. Non Oracle Linux n'est pas fourni avec un logiciel de détection de virus. La configuration utilisateur est requise.
OL07-00-040100 Le système d'exploitation Oracle Linux doit être configuré pour interdire ou restreindre l'utilisation de fonctions, ports, protocoles et/ou services, comme défini dans le processus PPSM CLSA (Ports, Protocols, and Services Management Component Local Service Assessment) et les évaluations de vulnérabilité. Non Requiert la vérification des ports, protocoles et/ou services tels que définis par le PPSM CLSA d'un utilisateur.
OL07-00-040160 Le système d'exploitation Oracle Linux doit être configuré de sorte que toutes les connexions réseau associées à une session de communication soient interrompues à la fin de la session ou après 15 minutes d'inactivité de l'utilisateur à l'invite de commande, sauf pour répondre aux exigences de mission documentées et validées. Oui Peut perturber les charges globales des utilisateurs.
OL07-00-040170 Le système d'exploitation Oracle Linux doit afficher la bannière de consentement et de mention obligatoire du département de la Défense des Etats-Unis immédiatement avant les invites d'ouverture de session avec accès distant, ou dans le cadre de celles-ci. Oui Requiert le consentement de l'utilisateur pour l'accord de consentement et d'avis obligatoire du département de la défense.

OL07-00-040420

Le système d'exploitation Oracle Linux doit être configuré de sorte que les fichiers de clés d'hôte privé SSH aient le mode 0600 ou un mode moins permissif.

 Oui Modifie les droits d'accès par défaut de la clé d'hôte privé SSH générée par le service système.

OL07-00-040600

Au moins deux serveurs de noms doivent être configurés pour les systèmes d'exploitation Oracle Linux à l'aide de la résolution DNS.

Non

Oracle Cloud Infrastructure fournit un serveur DNS hautement disponible.

OL07-00-040710 1

Le système d'exploitation Oracle Linux doit être configuré de sorte que les connexions X distantes soient désactivées, à moins de répondre aux exigences de mission validées et documentées.

Oui

Affecte la connectivité à la console série de l'instance.

Incidence importante sur OCI : la désactivation des connexions X distantes peut entraîner l'échec de la connexion à la console série de l'instance OCI.
OL07-00-040711 Le démon SSH du système d'exploitation Oracle Linux doit empêcher les hôtes distants de se connecter à l'affichage du proxy. Oui A une incidence sur l'accès de l'utilisateur aux instances Oracle Cloud Infrastructure.

OL07-00-040810

Le programme de contrôle d'accès du système d'exploitation Oracle Linux doit être configuré pour accorder ou refuser au système l'accès à des hôtes et services spécifiques.

 Non Requiert la vérification de l'accès à des hôtes et services spécifiques. L'accès doit être autorisé par la stratégie d'octroi de l'utilisateur.

OL07-00-040820

Aucun tunnel IP non autorisé ne doit être configuré sur le système d'exploitation Oracle Linux.

 Non Requiert une vérification de la part de l'administrateur système ou du responsable de la sécurité du système d'information d'un utilisateur pour déterminer les connexions de tunnel IPSec autorisées.

OL07-00-041002

Le système d'exploitation Oracle Linux doit implémenter l'authentification à plusieurs facteurs pour l'accès à des comptes dotés de privilèges via des modules d'authentification enfichables (PAM).

Non

L'authentification à plusieurs facteurs n'est pas configurée sur l'image Oracle Cloud Infrastructure par défaut.

OL07-00-041003

Le système d'exploitation Oracle Linux doit implémenter la vérification du statut du certificat pour l'authentification par PKI.

Oui

La vérification du statut du certificat pour l'authentification par PKI n'est pas configurée sur l'image Oracle Cloud Infrastructure par défaut.

1 La correction de ces règles peut avoir un impact significatif sur l'accessibilité des systèmes.

Journal des modifications

ID STIG

Description de la règle

Motif de l'exclusion

Statut Commentaires
OL07-00-010050 Le système d'exploitation Oracle Linux doit afficher la bannière de consentement et de mention obligatoire du département de la Défense des Etats-Unis avant d'accorder un accès local ou distant au système via une ouverture de session utilisateur à l'aide d'une ligne de commande. Requiert le consentement de l'utilisateur pour l'accord de consentement et d'avis obligatoire du département de la défense. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-010320 Le système d'exploitation Oracle Linux doit être configuré pour verrouiller les comptes pendant au moins 15 minutes après trois tentatives d'ouverture de session échoué dans un délai de 15 minutes. Affecte le compte de connexion utilisateur OPC par défaut configuré pour l'accès à l'instance Oracle Cloud Infrastructure. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-010330 Le système d'exploitation Oracle Linux doit verrouiller le compte associé après trois tentatives d'ouverture de session root infructueuses dans un délai de 15 minutes. Affecte le compte de connexion utilisateur OPC par défaut configuré pour l'accès à l'instance Oracle Cloud Infrastructure. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-010492 Les systèmes d'exploitation Oracle Linux version 7.2 ou ultérieure initialisés avec UEFI (United Extensible Firmware Interface) doivent disposer d'un nom unique pour le compte des superutilisateurs GRUB lors de l'initialisation en mode monoutilisateur et de la maintenance. Requiert la modification du nom de superutilisateur par défaut. A une incidence sur l'initialisation du superutilisateur GRUB. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-010500 Le système d'exploitation Oracle Linux doit identifier de manière unique et authentifier les utilisateurs organisationnels (ou les processus agissant pour le compte d'utilisateurs organisationnels) à l'aide de l'authentification à plusieurs facteurs. L'authentification à plusieurs facteurs n'est pas configurée sur l'image Oracle Cloud Infrastructure par défaut. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-020019 Le système d'exploitation Oracle Linux doit implémenter l'outil Endpoint Security for Linux Threat Prevention. Oracle Linux n'est pas fourni avec un logiciel de détection de virus. La configuration utilisateur est requise. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-020020 Le système d'exploitation Oracle Linux doit empêcher les utilisateurs sans privilège d'exécuter des fonctions nécessitant des privilèges en incluant la désactivation, le contournement ou la modification des dispositifs de protection/contre-mesures de sécurité implémentés. Requiert l'obtention d'une liste spécifique d'utilisateurs autorisés auprès du responsable de la sécurité du système d'information de l'utilisateur. Ajoutée Ajouté à la liste d'exclusion dans V2R8

OL07-00-020021

Le système d'exploitation Oracle Linux doit limiter les utilisateurs SELinux aux rôles appliquant le principle du moindre privilège.

 Requiert une vérification de la part de l'administrateur système ou du responsable de la sécurité du système d'information d'un utilisateur pour déterminer la conformité de la mise en correspondance des rôles SELinux. Ajoutée Ajouté à la liste d'exclusion dans V2R8

OL07-00-020023

Le système d'exploitation Oracle Linux doit élever le contexte SELinux lorsqu'un administrateur appelle la commande sudo.

Affecte le compte de connexion utilisateur OPC par défaut configuré pour l'accès à l'instance Oracle Cloud Infrastructure.

 Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-020040 Le système d'exploitation Oracle Linux doit être configuré de sorte que le personnel désigné soit averti si les configurations de référence sont modifiées de manière non autorisée. Requiert l'installation du système de détection AIDE avant la configuration. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-020270 Le système d'exploitation Oracle Linux ne doit pas comporter de comptes inutiles. Requiert l'obtention d'une liste spécifique de comptes système autorisés auprès du responsable de la sécurité du système d'information de l'utilisateur. Ajoutée Ajouté à la liste d'exclusion dans V2R8

OL07-00-020680

Le système d'exploitation Oracle Linux doit être configuré de sorte que tous les fichiers et répertoires contenus dans les répertoires de base des utilisateurs interactifs locaux aient un mode 750 ou moins permissif.

Limite l'accès aux droits d'accès de fichier aux services système.

Ajoutée Ajouté à la liste d'exclusion dans V2R8

OL07-00-020720

Le système d'exploitation Oracle Linux doit être configuré de sorte que tous les chemins de recherche exécutables des fichiers d'initialisation des utilisateurs interactifs locaux contiennent uniquement les chemins pointant vers le répertoire de base des utilisateurs.

A une incidence sur l'accès aux utilitaires et aux fichiers binaires utilisateur.

 Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-021000 Le système d'exploitation Oracle Linux doit être configuré de sorte que les systèmes de fichiers contenant des répertoires de base utilisateur soient montés pour empêcher l'exécution des fichiers avec les bits setuid et setgid définis. A une incidence sur l'accès de l'utilisateur à l'exécution de fichiers binaires dans ses répertoires de base. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-021300 Le système d'exploitation Oracle Linux doit désactiver les dumps noyau du noyau, sauf s'ils sont nécessaires. Le service Kdump est nécessaire à des fins de diagnostic en cas de panne du noyau générée par le système. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-021600 Le système d'exploitation Oracle Linux doit être configuré de sorte que l'outil d'intégrité des fichiers soit configuré pour vérifier les listes de contrôle d'accès. Requiert l'installation du système de détection AIDE avant la configuration. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-021610 Le système d'exploitation Oracle Linux doit être configuré de sorte que l'outil d'intégrité des fichiers soit configuré pour vérifier les attributs étendus. Requiert l'installation du système de détection AIDE avant la configuration. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-021620 Le système d'exploitation Oracle Linux doit utiliser un outil d'intégrité des fichiers configuré de façon à se servir de hachages cryptographiques approuvés par la norme FIPS 140-2 pour valider les répertoires et le contenu des fichiers. Requiert l'installation du système de détection AIDE avant la configuration. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-031000 Le système d'exploitation Oracle Linux doit envoyer la sortie rsyslog à un serveur d'agrégation de journaux. Requiert un serveur distant pour transmettre les informations rsyslog. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-032000 Le système d'exploitation Oracle Linux doit utiliser un programme de détection de virus. Oracle Linux n'est pas fourni avec un logiciel de détection de virus. La configuration utilisateur est requise. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-040100 Le système d'exploitation Oracle Linux doit être configuré pour interdire ou restreindre l'utilisation de fonctions, ports, protocoles et/ou services, comme défini dans le processus PPSM CLSA (Ports, Protocols, and Services Management Component Local Service Assessment) et les évaluations de vulnérabilité. Requiert la vérification des ports, protocoles et/ou services tels que définis par le PPSM CLSA d'un utilisateur. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-040160 Le système d'exploitation Oracle Linux doit être configuré de sorte que toutes les connexions réseau associées à une session de communication soient interrompues à la fin de la session ou après 15 minutes d'inactivité de l'utilisateur à l'invite de commande, sauf pour répondre aux exigences de mission documentées et validées. Peut perturber les charges globales des utilisateurs. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-040170 Le système d'exploitation Oracle Linux doit afficher la bannière de consentement et de mention obligatoire du département de la Défense des Etats-Unis immédiatement avant les invites d'ouverture de session avec accès distant, ou dans le cadre de celles-ci. Requiert le consentement de l'utilisateur pour l'accord de consentement et d'avis obligatoire du département de la défense. Ajoutée Ajouté à la liste d'exclusion dans V2R8

OL07-00-040420

Le système d'exploitation Oracle Linux doit être configuré de sorte que les fichiers de clés d'hôte privé SSH aient le mode 0600 ou un mode moins permissif.

 Modifie les droits d'accès par défaut de la clé d'hôte privé SSH générée par le service système. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-040711 Le démon SSH du système d'exploitation Oracle Linux doit empêcher les hôtes distants de se connecter à l'affichage du proxy. A une incidence sur l'accès de l'utilisateur aux instances Oracle Cloud Infrastructure. Ajoutée Ajouté à la liste d'exclusion dans V2R8

OL07-00-040810

Le programme de contrôle d'accès du système d'exploitation Oracle Linux doit être configuré pour accorder ou refuser au système l'accès à des hôtes et services spécifiques.

 Requiert la vérification de l'accès à des hôtes et services spécifiques. L'accès doit être autorisé par la stratégie d'octroi de l'utilisateur. Ajoutée Ajouté à la liste d'exclusion dans V2R8

OL07-00-040820

Aucun tunnel IP non autorisé ne doit être configuré sur le système d'exploitation Oracle Linux.

 Requiert une vérification de la part de l'administrateur système ou du responsable de la sécurité du système d'information d'un utilisateur pour déterminer les connexions de tunnel IPSec autorisées. Ajoutée Ajouté à la liste d'exclusion dans V2R8
Oracle-Linux-7.9-aarch64-2021.10.08-STIG

L'image STIG Oracle Linux Oracle-Linux-7.9-aarch64-2021.10.08-STIG a été publiée le 16/12/2021.

Informations sur l'image

  • Version du noyau UEK R6 5.4.17-2102.205.7.3.el7uek.aarch64.

  • Première version de l'image STIG Oracle Linux basée sur l'architecture Arm (aarch64).

  • Dernières versions des packages système Oracle Linux 7.9, avec des correctifs de sécurité.

Informations de conformité

  • Cible : référence STIG Oracle Linux 7 de la DISA - Version 2, Release 4.

  • Score de conformité OpenSCAP : 89,44 %.

Oracle-Linux-7.9-2022.08.29-STIG

Informations sur l'image

  • kernel-uek : 5.4.17-2136.310.7.1.el7uek.x86_64
  • Mise à jour des packages système vers les dernières versions disponibles, avec des correctifs de sécurité.
  • Application d'autres résolutions de règle STIG à l'image. Reportez-vous à la section Additional Remediations.
  • Transition de conformité de la référence STIG Version 2, Release 4 de la DISA au profil SSG conforme au STIG de la DISA pour Oracle Linux 7 Version 2, Release 8.

Informations de conformité

  • Cible : profil SSG conforme au STIG de la DISA pour Oracle Linux 7 Version 2, Release 8.
  • OpenSCAP Score de conformité : 80.76%
  • Score de conformité SCC : 80.77%
Autres corrections

Pour chaque règle de sécurité établie par la DISA, vous trouverez des instructions permettant d'appliquer la configuration de sécurité appropriée dans le STIG (Security Technical Implementation Guide) pour Oracle Linux 7.

  1. Passez en revue le tableau qui suit et assurez-vous que vous comprenez les impacts potentiels sur l'instance si vous effectuez une correction.

  2. Téléchargez le dernier STIG à partir du site https://public.cyber.mil/stigs/downloads/ en recherchant Oracle Linux et en sélectionnant une version.

  3. Téléchargez l'outil du visualiseur de STIG de la DISA à l'adresse suivante : https://public.cyber.mil/stigs/srg-stig-tools/
  4. Ouvrez le fichier xccdf.xml pour le STIG dans le visualiseur.

  5. Pour chaque règle du tableau ci-dessous que vous souhaitez corriger, procédez comme suit :

    1. Recherchez l'ID STIG de la règle dans le guide afin d'accéder à la section appropriée qui explique la règle, les vulnérabilités et les étapes à suivre pour se conformer à la règle.

    2. Suivez les étapes de configuration fournies.

Le tableau suivant décrit les aspects des directives qui ne sont pas inclus dans l'image STIG Oracle Linux et qui nécessitent une configuration supplémentaire, et alerte sur les configurations supplémentaires qui peuvent avoir une incidence sur le compte Oracle Cloud Infrastructure par défaut de l'instance.

Les règles marquées comme prenant en charge l'automatisation disposent d'une automatisation intégrée pour vérifier les exigences de règle et appliquer les résolutions requises, le cas échéant. Les règles sans prise en charge de l'automatisation doivent être examinées manuellement par un utilisateur sur un système car les vérifications d'automatisation selon les exigences de règle ne sont pas prises en charge ou aucun script de résolution n'est disponible.

ID STIG

Description de la règle

Prise en charge de l'automatisation

Motif de l'exclusion

OL07-00-010050 Le système d'exploitation Oracle Linux doit afficher la bannière de consentement et de mention obligatoire du département de la Défense des Etats-Unis avant d'accorder un accès local ou distant au système via une ouverture de session utilisateur à l'aide d'une ligne de commande. Oui Requiert le consentement de l'utilisateur pour l'accord de consentement et d'avis obligatoire du département de la défense.

OL07-00-010230

Le système d'exploitation Oracle Linux doit être configuré de sorte que les mots de passe des nouveaux utilisateurs soient limités à une durée de vie minimale de 24 heures/1 jour.

Oui

Affecte le compte de connexion utilisateur OPC par défaut configuré pour l'accès à l'instance Oracle Cloud Infrastructure.

OL07-00-010240

Le système d'exploitation Oracle Linux doit être configuré de sorte que les mots de passe soient limités à une durée de vie minimale de 24 heures/1 jour.

Oui

Affecte le compte de connexion utilisateur OPC par défaut configuré pour l'accès à l'instance Oracle Cloud Infrastructure.

OL07-00-010250

Le système d'exploitation Oracle Linux doit être configuré de sorte que les mots de passe des nouveaux utilisateurs soient limités à une durée de vie maximale de 60 jours.

Oui

Affecte le compte de connexion utilisateur OPC par défaut configuré pour l'accès à l'instance Oracle Cloud Infrastructure.

OL07-00-010260 1

Le système d'exploitation Oracle Linux doit être configuré de sorte que les mots de passe existants soient limités à une durée de vie maximale de 60 jours.

Non

Affecte le compte de connexion utilisateur OPC par défaut configuré pour l'accès à l'instance Oracle Cloud Infrastructure. Les règles de durée de vie des mots de passe PAM affectent également les clés SSH.

Incidence importante sur OCI : la restriction des mots de passe existants à une durée de vie maximale de 60 jours peut entraîner le verrouillage irrémédiable du compte OPC après 60 jours en raison du paramétrage sans mot de passe du compte.
OL07-00-010320 Le système d'exploitation Oracle Linux doit être configuré pour verrouiller les comptes pendant au moins 15 minutes après trois tentatives d'ouverture de session échoué dans un délai de 15 minutes. Oui Affecte le compte de connexion utilisateur OPC par défaut configuré pour l'accès à l'instance Oracle Cloud Infrastructure.
OL07-00-010330 Le système d'exploitation Oracle Linux doit verrouiller le compte associé après trois tentatives d'ouverture de session root infructueuses dans un délai de 15 minutes. Oui Affecte le compte de connexion utilisateur OPC par défaut configuré pour l'accès à l'instance Oracle Cloud Infrastructure.

OL07-00-010340

Le système d'exploitation Oracle Linux doit être configuré de sorte que les utilisateurs doivent fournir un mot de passe pour l'escalade des privilèges.

Oui

Selon le schéma Oracle Cloud Infrastructure par défaut , NOPASSWD est défini pour OPC.

OL07-00-010342

Le système d'exploitation Oracle Linux doit utiliser le mot de passe de l'utilisateur appelant pour l'escalade des privilèges lors de l'utilisation de la commande sudo.

Oui

Affecte le compte de connexion OPC par défaut.

OL07-00-010491 1

Lorsqu'ils utilisent l'interface UEFI (Unified Extensible Firmware Interface), les systèmes d'exploitation Oracle Linux version 7.2 ou ultérieure doivent exiger une authentification lors de l'initialisation en mode monoutilisateur et en mode de maintenance.

Non

Exige un mot de passe GRUB 2. Impossible pour l'image par défaut.

Incidence importante sur OCI : l'implémentation d'un mot de passe GRUB 2 génère une invite de mot de passe lors de l'initialisation de l'instance.
OL07-00-010492 Les systèmes d'exploitation Oracle Linux version 7.2 ou ultérieure initialisés avec UEFI (United Extensible Firmware Interface) doivent disposer d'un nom unique pour le compte des superutilisateurs GRUB lors de l'initialisation en mode monoutilisateur et de la maintenance. Non Requiert la modification du nom de superutilisateur par défaut. A une incidence sur l'initialisation du superutilisateur GRUB.
OL07-00-010500 Le système d'exploitation Oracle Linux doit identifier de manière unique et authentifier les utilisateurs organisationnels (ou les processus agissant pour le compte d'utilisateurs organisationnels) à l'aide de l'authentification à plusieurs facteurs. Oui L'authentification à plusieurs facteurs n'est pas configurée sur l'image Oracle Cloud Infrastructure par défaut.
OL07-00-020019 Le système d'exploitation Oracle Linux doit implémenter l'outil Endpoint Security for Linux Threat Prevention. Non Oracle Linux n'est pas fourni avec un logiciel de détection de virus. La configuration utilisateur est requise.
OL07-00-020020 Le système d'exploitation Oracle Linux doit empêcher les utilisateurs sans privilège d'exécuter des fonctions nécessitant des privilèges en incluant la désactivation, le contournement ou la modification des dispositifs de protection/contre-mesures de sécurité implémentés. Non Requiert l'obtention d'une liste spécifique d'utilisateurs autorisés auprès du responsable de la sécurité du système d'information de l'utilisateur.

OL07-00-020021

Le système d'exploitation Oracle Linux doit limiter les utilisateurs SELinux aux rôles appliquant le principle du moindre privilège.

 Non Requiert une vérification de la part de l'administrateur système ou du responsable de la sécurité du système d'information d'un utilisateur pour déterminer la conformité de la mise en correspondance des rôles SELinux.

OL07-00-020023

Le système d'exploitation Oracle Linux doit élever le contexte SELinux lorsqu'un administrateur appelle la commande sudo.

 Non

Affecte le compte de connexion utilisateur OPC par défaut configuré pour l'accès à l'instance Oracle Cloud Infrastructure.

OL07-00-020030

Le système d'exploitation Oracle Linux doit être configuré de sorte qu'un outil d'intégrité des fichiers vérifie la configuration de système d'exploitation de référence au moins une fois par semaine.

Oui

L'environnement AIDE ou tout autre système de détection des intrusions doit être configuré sur l'image cible.

OL07-00-020040 Le système d'exploitation Oracle Linux doit être configuré de sorte que le personnel désigné soit averti si les configurations de référence sont modifiées de manière non autorisée. Oui Requiert l'installation du système de détection AIDE avant la configuration.
OL07-00-020270 Le système d'exploitation Oracle Linux ne doit pas comporter de comptes inutiles. Non Requiert l'obtention d'une liste spécifique de comptes système autorisés auprès du responsable de la sécurité du système d'information de l'utilisateur.

OL07-00-020680

Le système d'exploitation Oracle Linux doit être configuré de sorte que tous les fichiers et répertoires contenus dans les répertoires de base des utilisateurs interactifs locaux aient un mode 750 ou moins permissif.

 Non

Limite l'accès aux droits d'accès de fichier aux services système.

OL07-00-020720

Le système d'exploitation Oracle Linux doit être configuré de sorte que tous les chemins de recherche exécutables des fichiers d'initialisation des utilisateurs interactifs locaux contiennent uniquement les chemins pointant vers le répertoire de base des utilisateurs.

 Non

A une incidence sur l'accès aux utilitaires et aux fichiers binaires utilisateur.
OL07-00-021000 Le système d'exploitation Oracle Linux doit être configuré de sorte que les systèmes de fichiers contenant des répertoires de base utilisateur soient montés pour empêcher l'exécution des fichiers avec les bits setuid et setgid définis. Oui A une incidence sur l'accès de l'utilisateur à l'exécution de fichiers binaires dans ses répertoires de base.
OL07-00-021300 Le système d'exploitation Oracle Linux doit désactiver les dumps noyau du noyau, sauf s'ils sont nécessaires. Oui Le service Kdump est nécessaire à des fins de diagnostic en cas de panne du noyau générée par le système.

OL07-00-021350 1

Le système d'exploitation Oracle Linux doit implémenter la cryptographie validée selon les normes FIPS du NIST aux fins suivantes : provisionner les signatures numériques, générer des hachages cryptographiques et protéger les données nécessitant une protection des données au repos conformément aux lois fédérales, aux décrets, aux directives, aux politiques, aux réglementations et aux normes applicables.

Non

Exclusion du paramètre fips=1 de la ligne de commande du noyau de secours.

Incidence importante sur OCI : l'ajout de fips=1 à la ligne de commande du noyau de secours peut entraîner l'échec de l'initialisation de l'instance avec une erreur fatale.
OL07-00-021600 Le système d'exploitation Oracle Linux doit être configuré de sorte que l'outil d'intégrité des fichiers soit configuré pour vérifier les listes de contrôle d'accès. Oui Requiert l'installation du système de détection AIDE avant la configuration.
OL07-00-021610 Le système d'exploitation Oracle Linux doit être configuré de sorte que l'outil d'intégrité des fichiers soit configuré pour vérifier les attributs étendus. Oui Requiert l'installation du système de détection AIDE avant la configuration.
OL07-00-021620 Le système d'exploitation Oracle Linux doit utiliser un outil d'intégrité des fichiers configuré de façon à se servir de hachages cryptographiques approuvés par la norme FIPS 140-2 pour valider les répertoires et le contenu des fichiers. Oui Requiert l'installation du système de détection AIDE avant la configuration.

OL07-00-030010 1

Le système d'exploitation Oracle Linux doit s'arrêter en cas d'échec du traitement d'audit, sauf si la disponibilité est un problème majeur. Si la disponibilité est un problème, le système doit avertir le personnel désigné (administrateur système et responsable de la sécurité du système d'information au minimum) en cas d'échec du traitement d'audit.

Oui

Le paramètre failure est défini par défaut sur la valeur 1, qui envoie uniquement des informations concernant l'échec au journal du noyau au lieu d'arrêter l'instance.

Incidence importante sur OCI : si vous définissez le paramètre failure sur 2, le système panique et s'arrête en cas d'échec du traitement d'audit.

OL07-00-030201

Le système d'exploitation Oracle Linux doit être configuré pour décharger les journaux d'audit sur un système ou support de stockage différent de celui du système audité.

 Non

La configuration du module d'extension au-remote présuppose les détails du serveur distant.

OL07-00-030300

Le système d'exploitation Oracle Linux doit décharger les enregistrements d'audit sur un système ou support différent de celui du système audité.

Oui

La configuration du module d'extension au-remote présuppose les détails du serveur distant.

OL07-00-030310

Le système d'exploitation Oracle Linux doit crypter le transfert des enregistrements d'audit déchargés sur un système ou support différent de celui du système audité.

Oui

La configuration du module d'extension au-remote présuppose les détails du serveur distant.

OL07-00-030320

Le système d'exploitation Oracle Linux doit être configuré de sorte que le système d'audit prenne les mesures appropriées lorsque le volume de stockage d'audit est plein.

Non

La configuration du module d'extension au-remote présuppose les détails du serveur distant.

OL07-00-030321

Le système d'exploitation Oracle Linux doit être configuré de sorte que le système d'audit prenne les mesures appropriées lorsqu'une erreur survient lors de l'envoi d'enregistrements d'audit à un système distant.

Non

La configuration du module d'extension au-remote présuppose les détails du serveur distant.

OL07-00-031000 Le système d'exploitation Oracle Linux doit envoyer la sortie rsyslog à un serveur d'agrégation de journaux. Oui Requiert un serveur distant pour transmettre les informations rsyslog.
OL07-00-032000 Le système d'exploitation Oracle Linux doit utiliser un programme de détection de virus. Non Oracle Linux n'est pas fourni avec un logiciel de détection de virus. La configuration utilisateur est requise.
OL07-00-040100 Le système d'exploitation Oracle Linux doit être configuré pour interdire ou restreindre l'utilisation de fonctions, ports, protocoles et/ou services, comme défini dans le processus PPSM CLSA (Ports, Protocols, and Services Management Component Local Service Assessment) et les évaluations de vulnérabilité. Non Requiert la vérification des ports, protocoles et/ou services tels que définis par le PPSM CLSA d'un utilisateur.
OL07-00-040160 Le système d'exploitation Oracle Linux doit être configuré de sorte que toutes les connexions réseau associées à une session de communication soient interrompues à la fin de la session ou après 15 minutes d'inactivité de l'utilisateur à l'invite de commande, sauf pour répondre aux exigences de mission documentées et validées. Oui Peut perturber les charges globales des utilisateurs.
OL07-00-040170 Le système d'exploitation Oracle Linux doit afficher la bannière de consentement et de mention obligatoire du département de la Défense des Etats-Unis immédiatement avant les invites d'ouverture de session avec accès distant, ou dans le cadre de celles-ci. Oui Requiert le consentement de l'utilisateur pour l'accord de consentement et d'avis obligatoire du département de la défense.

OL07-00-040420

Le système d'exploitation Oracle Linux doit être configuré de sorte que les fichiers de clés d'hôte privé SSH aient le mode 0600 ou un mode moins permissif.

 Oui Modifie les droits d'accès par défaut de la clé d'hôte privé SSH générée par le service système.

OL07-00-040600

Au moins deux serveurs de noms doivent être configurés pour les systèmes d'exploitation Oracle Linux à l'aide de la résolution DNS.

Non

Oracle Cloud Infrastructure fournit un serveur DNS hautement disponible.

OL07-00-040710 1

Le système d'exploitation Oracle Linux doit être configuré de sorte que les connexions X distantes soient désactivées, à moins de répondre aux exigences de mission validées et documentées.

Oui

Affecte la connectivité à la console série de l'instance.

Incidence importante sur OCI : la désactivation des connexions X distantes peut entraîner l'échec de la connexion à la console série de l'instance OCI.
OL07-00-040711 Le démon SSH du système d'exploitation Oracle Linux doit empêcher les hôtes distants de se connecter à l'affichage du proxy. Oui A une incidence sur l'accès de l'utilisateur aux instances Oracle Cloud Infrastructure.

OL07-00-040810

Le programme de contrôle d'accès du système d'exploitation Oracle Linux doit être configuré pour accorder ou refuser au système l'accès à des hôtes et services spécifiques.

 Non Requiert la vérification de l'accès à des hôtes et services spécifiques. L'accès doit être autorisé par la stratégie d'octroi de l'utilisateur.

OL07-00-040820

Aucun tunnel IP non autorisé ne doit être configuré sur le système d'exploitation Oracle Linux.

 Non Requiert une vérification de la part de l'administrateur système ou du responsable de la sécurité du système d'information d'un utilisateur pour déterminer les connexions de tunnel IPSec autorisées.

OL07-00-041002

Le système d'exploitation Oracle Linux doit implémenter l'authentification à plusieurs facteurs pour l'accès à des comptes dotés de privilèges via des modules d'authentification enfichables (PAM).

Non

L'authentification à plusieurs facteurs n'est pas configurée sur l'image Oracle Cloud Infrastructure par défaut.

OL07-00-041003

Le système d'exploitation Oracle Linux doit implémenter la vérification du statut du certificat pour l'authentification par PKI.

Oui

La vérification du statut du certificat pour l'authentification par PKI n'est pas configurée sur l'image Oracle Cloud Infrastructure par défaut.

1 La correction de ces règles peut avoir un impact significatif sur l'accessibilité des systèmes.

Journal des modifications

ID STIG

Description de la règle

Motif de l'exclusion

Statut Commentaires
OL07-00-010050 Le système d'exploitation Oracle Linux doit afficher la bannière de consentement et de mention obligatoire du département de la Défense des Etats-Unis avant d'accorder un accès local ou distant au système via une ouverture de session utilisateur à l'aide d'une ligne de commande. Requiert le consentement de l'utilisateur pour l'accord de consentement et d'avis obligatoire du département de la défense. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-010320 Le système d'exploitation Oracle Linux doit être configuré pour verrouiller les comptes pendant au moins 15 minutes après trois tentatives d'ouverture de session échoué dans un délai de 15 minutes. Affecte le compte de connexion utilisateur OPC par défaut configuré pour l'accès à l'instance Oracle Cloud Infrastructure. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-010330 Le système d'exploitation Oracle Linux doit verrouiller le compte associé après trois tentatives d'ouverture de session root infructueuses dans un délai de 15 minutes. Affecte le compte de connexion utilisateur OPC par défaut configuré pour l'accès à l'instance Oracle Cloud Infrastructure. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-010492 Les systèmes d'exploitation Oracle Linux version 7.2 ou ultérieure initialisés avec UEFI (United Extensible Firmware Interface) doivent disposer d'un nom unique pour le compte des superutilisateurs GRUB lors de l'initialisation en mode monoutilisateur et de la maintenance. Requiert la modification du nom de superutilisateur par défaut. A une incidence sur l'initialisation du superutilisateur GRUB. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-010500 Le système d'exploitation Oracle Linux doit identifier de manière unique et authentifier les utilisateurs organisationnels (ou les processus agissant pour le compte d'utilisateurs organisationnels) à l'aide de l'authentification à plusieurs facteurs. L'authentification à plusieurs facteurs n'est pas configurée sur l'image Oracle Cloud Infrastructure par défaut. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-020019 Le système d'exploitation Oracle Linux doit implémenter l'outil Endpoint Security for Linux Threat Prevention. Oracle Linux n'est pas fourni avec un logiciel de détection de virus. La configuration utilisateur est requise. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-020020 Le système d'exploitation Oracle Linux doit empêcher les utilisateurs sans privilège d'exécuter des fonctions nécessitant des privilèges en incluant la désactivation, le contournement ou la modification des dispositifs de protection/contre-mesures de sécurité implémentés. Requiert l'obtention d'une liste spécifique d'utilisateurs autorisés auprès du responsable de la sécurité du système d'information de l'utilisateur. Ajoutée Ajouté à la liste d'exclusion dans V2R8

OL07-00-020021

Le système d'exploitation Oracle Linux doit limiter les utilisateurs SELinux aux rôles appliquant le principle du moindre privilège.

 Requiert une vérification de la part de l'administrateur système ou du responsable de la sécurité du système d'information d'un utilisateur pour déterminer la conformité de la mise en correspondance des rôles SELinux. Ajoutée Ajouté à la liste d'exclusion dans V2R8

OL07-00-020023

Le système d'exploitation Oracle Linux doit élever le contexte SELinux lorsqu'un administrateur appelle la commande sudo.

Affecte le compte de connexion utilisateur OPC par défaut configuré pour l'accès à l'instance Oracle Cloud Infrastructure.

 Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-020040 Le système d'exploitation Oracle Linux doit être configuré de sorte que le personnel désigné soit averti si les configurations de référence sont modifiées de manière non autorisée. Requiert l'installation du système de détection AIDE avant la configuration. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-020270 Le système d'exploitation Oracle Linux ne doit pas comporter de comptes inutiles. Requiert l'obtention d'une liste spécifique de comptes système autorisés auprès du responsable de la sécurité du système d'information de l'utilisateur. Ajoutée Ajouté à la liste d'exclusion dans V2R8

OL07-00-020680

Le système d'exploitation Oracle Linux doit être configuré de sorte que tous les fichiers et répertoires contenus dans les répertoires de base des utilisateurs interactifs locaux aient un mode 750 ou moins permissif.

Limite l'accès aux droits d'accès de fichier aux services système.

Ajoutée Ajouté à la liste d'exclusion dans V2R8

OL07-00-020720

Le système d'exploitation Oracle Linux doit être configuré de sorte que tous les chemins de recherche exécutables des fichiers d'initialisation des utilisateurs interactifs locaux contiennent uniquement les chemins pointant vers le répertoire de base des utilisateurs.

A une incidence sur l'accès aux utilitaires et aux fichiers binaires utilisateur.

 Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-021000 Le système d'exploitation Oracle Linux doit être configuré de sorte que les systèmes de fichiers contenant des répertoires de base utilisateur soient montés pour empêcher l'exécution des fichiers avec les bits setuid et setgid définis. A une incidence sur l'accès de l'utilisateur à l'exécution de fichiers binaires dans ses répertoires de base. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-021300 Le système d'exploitation Oracle Linux doit désactiver les dumps noyau du noyau, sauf s'ils sont nécessaires. Le service Kdump est nécessaire à des fins de diagnostic en cas de panne du noyau générée par le système. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-021600 Le système d'exploitation Oracle Linux doit être configuré de sorte que l'outil d'intégrité des fichiers soit configuré pour vérifier les listes de contrôle d'accès. Requiert l'installation du système de détection AIDE avant la configuration. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-021610 Le système d'exploitation Oracle Linux doit être configuré de sorte que l'outil d'intégrité des fichiers soit configuré pour vérifier les attributs étendus. Requiert l'installation du système de détection AIDE avant la configuration. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-021620 Le système d'exploitation Oracle Linux doit utiliser un outil d'intégrité des fichiers configuré de façon à se servir de hachages cryptographiques approuvés par la norme FIPS 140-2 pour valider les répertoires et le contenu des fichiers. Requiert l'installation du système de détection AIDE avant la configuration. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-031000 Le système d'exploitation Oracle Linux doit envoyer la sortie rsyslog à un serveur d'agrégation de journaux. Requiert un serveur distant pour transmettre les informations rsyslog. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-032000 Le système d'exploitation Oracle Linux doit utiliser un programme de détection de virus. Oracle Linux n'est pas fourni avec un logiciel de détection de virus. La configuration utilisateur est requise. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-040100 Le système d'exploitation Oracle Linux doit être configuré pour interdire ou restreindre l'utilisation de fonctions, ports, protocoles et/ou services, comme défini dans le processus PPSM CLSA (Ports, Protocols, and Services Management Component Local Service Assessment) et les évaluations de vulnérabilité. Requiert la vérification des ports, protocoles et/ou services tels que définis par le PPSM CLSA d'un utilisateur. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-040160 Le système d'exploitation Oracle Linux doit être configuré de sorte que toutes les connexions réseau associées à une session de communication soient interrompues à la fin de la session ou après 15 minutes d'inactivité de l'utilisateur à l'invite de commande, sauf pour répondre aux exigences de mission documentées et validées. Peut perturber les charges globales des utilisateurs. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-040170 Le système d'exploitation Oracle Linux doit afficher la bannière de consentement et de mention obligatoire du département de la Défense des Etats-Unis immédiatement avant les invites d'ouverture de session avec accès distant, ou dans le cadre de celles-ci. Requiert le consentement de l'utilisateur pour l'accord de consentement et d'avis obligatoire du département de la défense. Ajoutée Ajouté à la liste d'exclusion dans V2R8

OL07-00-040420

Le système d'exploitation Oracle Linux doit être configuré de sorte que les fichiers de clés d'hôte privé SSH aient le mode 0600 ou un mode moins permissif.

 Modifie les droits d'accès par défaut de la clé d'hôte privé SSH générée par le service système. Ajoutée Ajouté à la liste d'exclusion dans V2R8
OL07-00-040711 Le démon SSH du système d'exploitation Oracle Linux doit empêcher les hôtes distants de se connecter à l'affichage du proxy. A une incidence sur l'accès de l'utilisateur aux instances Oracle Cloud Infrastructure. Ajoutée Ajouté à la liste d'exclusion dans V2R8

OL07-00-040810

Le programme de contrôle d'accès du système d'exploitation Oracle Linux doit être configuré pour accorder ou refuser au système l'accès à des hôtes et services spécifiques.

 Requiert la vérification de l'accès à des hôtes et services spécifiques. L'accès doit être autorisé par la stratégie d'octroi de l'utilisateur. Ajoutée Ajouté à la liste d'exclusion dans V2R8

OL07-00-040820

Aucun tunnel IP non autorisé ne doit être configuré sur le système d'exploitation Oracle Linux.

 Requiert une vérification de la part de l'administrateur système ou du responsable de la sécurité du système d'information d'un utilisateur pour déterminer les connexions de tunnel IPSec autorisées. Ajoutée Ajouté à la liste d'exclusion dans V2R8
Oracle-Linux-7.9-2021.07.27-STIG

L'image STIG Oracle Linux Oracle-Linux-7.9-2021.07.27-STIG a été publiée le 10/08/2021.

Les notes suivantes sur la mise à jour ont été établies par rapport à la version Oracle-Linux-7.9-2021.03.02-STIG précédente.

Mises à jour d'image

  • Version du noyau Unbreakable Enterprise Kernel Release 6 (UEK R6) kernel-uek: 5.4.17-2102.203.6.el7uek.x86_64, avec un correctif pour CVE-2021-33909.

  • Mise à jour des packages système Oracle Linux 7.9 vers les dernières versions disponibles, avec des correctifs de sécurité.

Mises à jour de conformité

  • Cible : référence STIG Oracle Linux7 de la DISA - Version 2, Version 4.

  • Score de conformité SCC : 89,44 %.

  • Modifications apportées à la dernière image STIG.

    Le tableau suivant décrit les modifications apportées à la version Oracle-Linux-7.9-2021.07.27-STIG.

    Remarque

    Les mises à jour de cette version sont également indiquées dans Configurations supplémentaires d'Oracle Linux 7, qui décrit les aspects nécessitant une configuration manuelle dans la dernière image. Reportez-vous à cette section pour obtenir des informations importantes pouvant s'appliquer aux règles répertoriées dans le tableau suivant.

    ID STIG

    Description de la règle

    Motif de l'exclusion

    Statut

    Commentaires

    OL07-00-010090

    Le package d'écran doit être installé sur le système d'exploitation Oracle Linux.

    Affecte le compte de connexion utilisateur Oracle Public Cloud (OPC) par défaut configuré pour l'accès à l'instance Oracle Cloud Infrastructure.

    Enlevée

    Retiré de la liste d'exclusion dans V2R4

    OL07-00-021350

    Le système d'exploitation Oracle Linux doit implémenter la cryptographie validée selon les normes FIPS du NIST aux fins suivantes : provisionner les signatures numériques, générer des hachages cryptographiques et protéger les données nécessitant une protection des données au repos conformément aux lois fédérales, aux décrets, aux directives, aux politiques, aux réglementations et aux normes applicables.

    Exclusion du paramètre fips=1 de la ligne de commande du noyau de secours.

    Ajoutée

    Retiré de la liste d'exclusion dans V2R4

    Important : l'ajout de fips=1 à la ligne de commande du noyau de secours peut entraîner l'échec de l'initialisation de l'instance avec une erreur fatale.

    OL07-00-030200

    Le système d'exploitation Oracle Linux doit être configuré pour utiliser le module d'extension au-remote.

    La configuration du module d'extension au-remote présuppose les détails du serveur distant.

    Enlevée

    Retiré de la liste d'exclusion dans V2R4

    OL07-00-030201

    Le système d'exploitation Oracle Linux doit être configuré pour décharger les journaux d'audit sur un système ou support de stockage différent de celui du système audité.

    La configuration du module d'extension au-remote présuppose les détails du serveur distant.

    Mise à jour

    Titre de règle modifié dans V2R4

    OL07-00-040600

    Pour les systèmes d'exploitation Oracle Linux utilisant la résolution DNS, au moins deux serveurs de noms doivent être configurés.

    L'image Oracle National Security Region (ONSR) fournit un seul hôte DNS fiable.

    Mise à jour

    Titre de règle modifié dans V2R4

    OL07-00-041001

    Les packages requis pour l'authentification à plusieurs facteurs doivent être installés sur le système d'exploitation Oracle Linux.

    L'authentification à plusieurs facteurs n'est pas configurée sur l'image Oracle Cloud Infrastructure par défaut.

    Enlevée

    Retiré de la liste d'exclusion dans V2R4

    Corrigé sur l'image : pam_pkcs11 package installé sur l'instance.

    OL07-00-040710

    Le système d'exploitation Oracle Linux doit être configuré de sorte que les connexions X distantes soient désactivées, à moins de répondre aux exigences de mission validées et documentées.

    Affecte la connectivité à la console série de l'instance.

    Ajoutée

    		Ajouté à la liste d'exclusion dans V2R4

    OL07-00-010342

    Le système d'exploitation Oracle Linux doit utiliser le mot de passe de l'utilisateur appelant pour l'escalade des privilèges lors de l'utilisation de la commande sudo.

    Affecte le compte de connexion OPC par défaut.

    Ajoutée

    Ajouté à la liste d'exclusion dans V2R4
Oracle-Linux-7.9-2021.03.02-STIG

L'image STIG Oracle Linux Oracle-Linux-7.9-2021.03.02-STIG a été publiée le 10/03/2021.

Informations sur l'image

  • Version du noyau UEK R6 5.4.17-2036.103.3.1.el7uek.x86_64.

  • Dernières versions des packages système Oracle Linux 7.9, avec des correctifs de sécurité.

Informations de conformité

  • Cible : référence STIG Oracle Linux 7 de la DISA - Version 1, Release 2.

  • Score de conformité SCC : 89,44 %.