Immagine STIG Oracle Linux

L'immagine STIG di Oracle Linux è un'implementazione di Oracle Linux conforme al manuale STIG (Security Technical Implementation Guide).

Con l'immagine STIG, puoi configurare un'istanza Oracle Linux in Oracle Cloud Infrastructure che segue determinati standard e requisiti di sicurezza impostati dalla Defense Information Systems Agency (DISA).

Nota

Oracle aggiorna regolarmente l'immagine STIG di Oracle Linux con l'ultima errata di sicurezza. Il presente documento viene aggiornato ogni volta che il benchmark STIG viene modificato o quando le modifiche alle istruzioni di sicurezza richiedono una configurazione manuale dell'immagine. Per informazioni sulle modifiche specifiche apportate in ciascuna release, vedere Cronologia delle revisioni per l'immagine STIG di Oracle Linux.

Importante

Qualsiasi modifica apportata a un'istanza di immagine STIG di Oracle Linux (ad esempio l'installazione di altre applicazioni o la modifica delle impostazioni di configurazione) potrebbe influire sul livello di conformità. Dopo aver apportato eventuali modifiche, eseguire di nuovo la scansione dell'istanza per verificare la conformità. Vedere Rescansione di un'istanza per la conformità.

Cos'è uno STIG?

Una Security Technical Implementation Guide (STIG) è un documento scritto dalla Defense Information Systems Agency (DISA). Fornisce istruzioni sulla configurazione di un sistema per soddisfare i requisiti di sicurezza informatica per la distribuzione all'interno dei sistemi di rete IT del Dipartimento della Difesa (DoD). I requisiti STIG aiutano a proteggere la rete dalle minacce alla sicurezza informatica concentrandosi sulla sicurezza dell'infrastruttura e della rete per mitigare le vulnerabilità. La conformità agli STIG è un requisito per le agenzie DoD o per qualsiasi organizzazione che fa parte delle reti di informazioni DoD (DoDIN).

L'immagine STIG di Oracle Linux consente di automatizzare la conformità fornendo una versione protetta dell'immagine standard di Oracle Linux. L'immagine è indurita a seguire le linee guida STIG. Tuttavia, l'immagine non può soddisfare tutti i requisiti STIG e potrebbe richiedere ulteriori misure correttive manuali. Vedere Applicazione di misure correttive.

Scarica l'ultimo STIG

DISA fornisce aggiornamenti trimestrali alle STIG. Questa documentazione è stata creata utilizzando l'ultima STIG disponibile al momento della pubblicazione. Tuttavia, utilizzare sempre l'ultima STIG durante la valutazione del sistema.

Scarica la versione più recente su STIG https://public.cyber.mil/stigs/downloads/. Cercare Oracle Linux, quindi scaricare il file zip appropriato.

Se si desidera, utilizzare DISA STIG Viewer da https://public.cyber.mil/stigs/srg-stig-tools/. Quindi, importare il file xccdf.xml di STIG per visualizzare le regole STIG.

Come viene valutata la conformità STIG?

La valutazione della conformità spesso inizia con una scansione che utilizza uno strumento di verifica della conformità SCAP (Security Content Automation Protocol). Lo strumento utilizza un STIG (caricato in formato SCAP) per analizzare la sicurezza di un sistema. Tuttavia, lo strumento non sempre verifica tutte le regole all'interno di una STIG e alcune STIG potrebbero non avere versioni SCAP. In questi casi, un revisore deve controllare manualmente il sistema per la conformità passando attraverso le regole STIG non coperte dallo strumento.

Sono disponibili gli strumenti riportati di seguito per automatizzare la valutazione della conformità.

SCAP Compliance Checker (SCC): strumento sviluppato da DISA che può essere eseguito una valutazione utilizzando il benchmark DISA STIG o un profilo a monte OpenSCAP. Comunemente, il benchmark DISA STIG viene utilizzato per la scansione della conformità quando si utilizza lo strumento SCC.

Importante

Per eseguire la scansione dell'architettura Arm (aarch64), è necessario utilizzare SCC versione 5.5 o successiva.
OpenSCAP: utility open source disponibile tramite yum che può eseguire una valutazione utilizzando il benchmark DISA STIG o un profilo a monte OpenSCAP. Oracle Linux distribuisce un pacchetto SCAP Security Guide (SSG) contenente profili specifici delle release di sistema. Ad esempio, il file ssg-ol7-ds.xml del datastream SCAP fornito dal pacchetto SSG include il profilo DISA STIG per Oracle Linux 7. Uno dei vantaggi dell'utilizzo dello strumento OpenSCAP è che SSG fornisce script Bash o Ansible per automatizzare la correzione e portare il sistema a uno stato conforme.

Attenzione

La correzione automatica mediante gli script potrebbe causare la configurazione indesiderata del sistema o renderlo non funzionale. Eseguire il test degli script di risoluzione in un ambiente non di produzione.

Per informazioni sull'esecuzione degli strumenti di conformità e sulla generazione di un report di scansione, vedere Rescanning an Instance for Compliance.

Destinazioni di conformità

L'immagine STIG di Oracle Linux contiene misure correttive aggiuntive per le regole non risolte dal benchmark DISA STIG. Utilizza il profilo SSG "STIG" allineato a DISA STIG per Oracle Linux per estendere l'automazione sulle regole precedentemente non risolte e determinare la conformità rispetto a DISA STIG completo.

Con l'immagine vengono forniti due file della lista di controllo DISA STIG Viewer, basati sui risultati della scansione di SCC e OpenSCAP. La lista di controllo per il benchmark DISA STIG utilizza i risultati della scansione SCC, mentre la lista di controllo per il profilo SSG "STIG" utilizza i risultati della scansione OpenSCAP. Questi elenchi di controllo contengono commenti di Oracle per le aree dell'immagine che non soddisfano le linee guida. Vedere Uso dell'elenco di controllo per visualizzare le configurazioni aggiuntive.

Nota

I punteggi di conformità più elevati per il benchmark DISA STIG riflettono un ambito di regole più limitato rispetto a DISA STIG completo. Tuttavia, il profilo SSG "stig" rappresenta l'intero DISA STIG, fornendo una valutazione più completa della conformità dell'immagine.

Oracle Linux 8

Le immagini Oracle Linux 8 STIG seguono gli standard di sicurezza DISA e sono potenziate secondo lo standard DISA STIG di Oracle Linux 8. Per l'ultima versione di Oracle Linux 8 STIG Image, l'obiettivo di conformità è DISA STIG per Oracle Linux 8 Ver 1, Rel 10. Il pacchetto scap-security-guide (versione minima 0.1.73-1.0.1) disponibile tramite yum contiene il profilo SSG "STIG" allineato con DISA STIG per Oracle Linux 8 Ver 1, Rel 10.

Informazioni sulla conformità per le immagini STIG di Oracle Linux 8.10 settembre 2024:

Destinazione: profilo SSG "STIG" allineato con DISA STIG per Oracle Linux 8 versione 1, rel. 10

Punteggio conformità elenco di controllo per x86_64: 74,63%
Punteggio conformità elenco di controllo per aarch64: 74,55%

Destinazione: profilo di benchmark DISA STIG per Oracle Linux 8 versione 1 e Rel 8

Punteggio conformità elenco di controllo per x86_64: 80,57%
Punteggio conformità elenco di controllo per aarch64: 80,57%

Oracle Linux 7 (supporto esteso)

Le immagini Oracle Linux 7 STIG seguono gli standard di sicurezza DISA e sono potenziate secondo lo standard DISA STIG di Oracle Linux 7. Per l'ultima release di Oracle Linux 7 STIG Image, il target di conformità è passato a DISA STIG Ver 3, Rel 1. Il pacchetto scap-security-guide (versione minima 0.1.73-1.0.3) disponibile tramite yum contiene il profilo "STIG" SSG allineato con DISA STIG per Oracle Linux 7 Versione 3, Release 1.

Informazioni sulla conformità per le immagini STIG di Oracle Linux 7.9 febbraio 2025:

Destinazione: profilo SSG "STIG" allineato con DISA STIG per Oracle Linux 7 versione 3, rel. 1

Punteggio conformità elenco di controllo x86_64: 81,65%
Punteggio conformità elenco di controllo aarch64: 81,65%

Destinazione: profilo di benchmark DISA STIG per Oracle Linux 7 versione 3 e Rel 1

Punteggio conformità elenco di controllo x86_64: 91,71%
Punteggio conformità elenco di controllo aarch64: 91,71%

Nota

Lo standard STIG di DISA non ha subito cambiamenti significativi, se non la formulazione, tra Oracle Linux 7 Ver 3, Rel 1 e Oracle Linux 7 Ver 2, Rel 14. Per questo motivo, qualsiasi sistema conforme a Oracle Linux 7 Ver 2, Rel 14 è conforme anche a Oracle Linux 7 Ver 3, Rel 1.

Creazione e connessione a un'istanza

Vedere Creazione di un'istanza e Accesso a un'istanza.

Immagini disponibili:

Applicazione di misure correttive

L'immagine STIG Oracle Linux protetta non può essere configurata per tutte le linee guida consigliate. È necessario finalizzare manualmente tutte le configurazioni non incluse nell'istanza di immagine STIG di Oracle Linux.

Per ogni regola di sicurezza stabilita da DISA, vengono fornite le istruzioni per applicare la configurazione di sicurezza appropriata nel manuale Oracle Linux Security Technical Implementation Guide corrispondente.

Importante

Alcune modifiche all'immagine potrebbero influire sull'account Oracle Cloud Infrastructure predefinito dell'istanza. Se si decide di applicare una regola, esaminare le informazioni relative a ciascuna regola e i motivi dell'esclusione per comprendere appieno il potenziale impatto sull'istanza.

Uso dell'elenco di controllo per visualizzare ulteriori configurazioni

Utilizzare le liste di controllo fornite con l'immagine STIG di Oracle Linux per visualizzare ulteriori "Note di rilascio" in aree di guida non incluse nell'immagine, che potrebbero richiedere una configurazione aggiuntiva. Le note di rilascio identificano configurazioni aggiuntive che potrebbero influire sull'account Oracle Cloud Infrastructure predefinito delle istanze.

Accesso all'elenco di controllo

L'immagine Oracle Linux STIG include le liste di controllo DISA STIG Viewer sia per il benchmark DISA STIG che per il profilo "STIG" SCAP Security Guide (SSG) in linea con DISA STIG per Oracle Linux. Le liste di controllo si trovano nella directory /usr/share/xml/stig. Vedere Cronologia delle revisioni per il nome file specifico associato a ciascuna release.

OL<release>_SSG_STIG_<stig-version>_CHECKLIST_RELEASE.ckl: lista di controllo per DISA STIG per Oracle Linux utilizzando i risultati della scansione del profilo "STIG" SSG.
OL<release>_DISA_BENCHMARK_<stig-version>_CHECKLIST_RELEASE.ckl: lista di controllo per il benchmark DISA STIG per Oracle Linux utilizzando i risultati della scansione del profilo SCC Oracle_Linux_<release>_STIG.

Visualizzazione delle note di rilascio dell'elenco di controllo

Scaricare lo strumento DISA STIG Viewer da: https://public.cyber.mil/stigs/srg-stig-tools/
Aprire lo strumento STIG Viewer.
In Lista di controllo selezionare Apri elenco di controllo da file e passare al file dell'elenco di controllo.
Espandere il pannello filtri e aggiungere il filtro seguente:
- Deve corrispondere: TUTTI
- Filtra per: Parola chiave
- Tipo di filtro: Filtro inclusivo (+)
- Parola chiave: Note di rilascio di Oracle
Le note di rilascio offrono informazioni aggiuntive per le regole.
- Apri: regole che sono state escluse o ritenute fuori ambito.
  - Escluso: regole che potrebbero influire sull'account Oracle Cloud Infrastructure predefinito dell'istanza e che sono state escluse dalla correzione per l'immagine STIG di Oracle Linux.
  - Non incluso nell'ambito: regole che non rientrano nell'ambito di applicazione delle misure correttive per la release corrente ma che potrebbero essere prese in considerazione per le misure correttive in una release futura.
- Non applicabile: regole ritenute non applicabili all'immagine STIG di Oracle Linux.
- Non revisionato: regole che non possono essere risolte nella release corrente ma che potrebbero essere prese in considerazione per la risoluzione in una release futura.
Per ogni regola, assicurarsi di comprendere appieno le implicazioni per l'istanza prima di applicare la misura correttiva.

Ripristino di un'istanza per la conformità

Utilizzare lo strumento SCC o OpenSCAP per eseguire la scansione dell'istanza per verificarne la conformità.

Le modifiche a un'istanza di immagine STIG di Oracle Linux (ad esempio l'installazione di altre applicazioni o l'aggiunta di nuove impostazioni di configurazione) possono influire sulla conformità. Si consiglia di eseguire la scansione per verificare che l'istanza sia conforme dopo eventuali modifiche. Inoltre, potrebbe essere necessario eseguire scansioni successive per verificare la presenza di aggiornamenti regolari e trimestrali di DISA STIG.

Uso dello strumento OpenSCAP

Lo strumento OpenSCAP è disponibile in Oracle Linux e certificato dal National Institute of Standards and Technologies (NIST).

Collegarsi all'istanza dell'immagine STIG di Oracle Linux.
Installare il pacchetto openscap-scanner.
```
sudo yum install openscap-scanner
```
Identificare il file XCCDF o datastream da utilizzare per la scansione.

Per utilizzare il profilo SSG "stig":
1. Installare il pacchetto scap-security-guide.
```
sudo yum install scap-security-guide
```
2. Individuare il file da utilizzare per la scansione trovato in /usr/share/xml/scap/ssg/content.
Per utilizzare il benchmark DISA STIG di Oracle Linux:
1. Passare a https://public.cyber.mil/stigs/downloads/".
2. Cercare Oracle Linux e scaricare il file di benchmark DISA STIG appropriato.
3. Estrarre il file dopo averlo scaricato.
Per eseguire una scansione, eseguire il comando seguente:
```
sudo oscap xccdf eval --profile profile-name \
--results=path-to-results.xml --oval-results \
--report=path-to-report.html \
--check-engine-results \
--stig-viewer=path-to-stig-viewer-report.xml \
path-to-xccdf-document
```
Per altre opzioni utilizzabili con il comando oscap, vedere Using OpenSCAP to Scan for Vulnerabilities in Oracle® Linux 7: Security Guide e Oracle Linux 8: Using OpenSCAP for Security Compliance.
Controllare i risultati della valutazione nel file path-to-report.html.

Uso dello strumento SCC

Lo strumento SCC è lo strumento ufficiale per il controllo della conformità governativa e può essere utilizzato per eseguire la scansione di un'istanza di immagine STIG Oracle Linux.

Importante

Per eseguire la scansione dell'architettura Arm (aarch64), è necessario utilizzare SCC versione 5.5 o successiva.

Per istruzioni sull'uso dello strumento SCC, vedere la tabella degli strumenti SCAP all'indirizzo https://public.cyber.mil/stigs/scap/.

Ottenere lo strumento SCC dalla tabella all'indirizzo https://public.cyber.mil/stigs/scap/.

Installare lo strumento.

unzip scc-5.4.2_rhel7_sles12-15_oracle-linux7_x86_64_bundle.zip
cd scc-5.4.2_rhel7_x86_64/
rpm -i scc-5.4.2.rhel7.x86_64.rpm

Comprimere il file .xml del contenuto SCAP prima di eseguire l'importazione nello strumento SCC.

Per il profilo SSG "stig":

zip ssg_content.zip /usr/share/xml/scap/ssg/content/xml-document
/opt/scc/cscc -is ssg_content.zip

Per il benchmark Oracle Linux DISA STIG:

zip scap_content.zip path-to-disa-benchmark-xml-document
/opt/scc/cscc -is scap_content.zip

Configura SCC da analizzare in base al contenuto importato
```
/opt/scc/cscc --config
```

Eseguire la scansione utilizzando il menu della riga di comando:

Immettere 1 per configurare il contenuto SCAP.

Immettere clear, quindi immettere il numero che corrisponde al contenuto SCAP importato.

Nell'esempio seguente, è possibile immettere 2 per il contenuto SCAP importato per Oracle Linux 7.

SCC 5.4.2 Available SCAP Content                        [Version]  [Date]    
1.  [ ]  Mozilla_Firefox_RHEL                           005.003    2021-06-09
2.  [X]  OL-7                                           0.1.54     2021-09-23
3.  [ ]  Oracle_Linux_7_STIG                            002.004    2021-06-14
4.  [ ]  RHEL_6_STIG                                    002.002    2020-12-04
5.  [ ]  RHEL_7_STIG                                    003.004    2021-06-14
6.  [ ]  RHEL_8_STIG                                    001.002    2021-06-14
7.  [ ]  SLES_12_STIG                                   002.004    2021-06-14

Immettere 0 per tornare al menu principale.
Immettere 2 per configurare il profilo SCAP.
Immettere 1 per selezionare il profilo. Verificare che sia selezionata l'opzione "stig".
```
Available Profiles for OL-7

1.  [ ] no_profile_selected
2.  [X] stig
```
Torna al menu principale. Immettere 9 per salvare le modifiche ed eseguire una scansione sul sistema.
La scansione potrebbe richiedere da 25 a 30 minuti.

Cronologia delle revisioni per l'immagine STIG di Oracle Linux

Oracle aggiorna regolarmente l'immagine STIG di Oracle Linux per risolvere i problemi di sicurezza.

Se stai distribuendo un'immagine STIG Oracle Linux precedente, potresti voler eseguire una scansione successiva per verificare la presenza di aggiornamenti DISA STIG regolari e trimestrali. Per ulteriori informazioni, vedere Rescansione di un'istanza per la conformità.

Oracle Linux 8

Oracle-Linux-8.10-STIG settembre 2024

Informazioni per:

Oracle Linux-8.10-2024.08.20-STIG (per x86_64)
Oracle Linux-8.10-aarch64-2024.08.20-STIG (per aarch64)

Informazioni sull'immagine

kernel-uek: 5.15.0-209.161.7.1.el8uek
Prima release di Oracle Linux 8.10 protetta contro DISA STIG per Oracle Linux 8 versione 1, versione 10.
Pacchetti di sistema aggiornati alle versioni più recenti disponibili con correzioni alla sicurezza.
Correzioni aggiuntive delle regole STIG applicate all'immagine. Vedere Utilizzo dell'elenco di controllo per visualizzare le configurazioni aggiuntive.
File della lista di controllo in /usr/share/xml/stig:
- OL8_SSG_STIG_V1R10_CHECKLIST_RELEASE.ckl
- OL8_DISA_BENCHMARK_V1R8_CHECKLIST_RELEASE.ckl

Informazioni sulla conformità

Destinazione: profilo SSG "STIG" allineato con DISA STIG per Oracle Linux 8 versione 1, rel. 10

Punteggio conformità elenco di controllo per x86_64: 74,63%
Punteggio conformità elenco di controllo per aarch64: 74,55%

Destinazione: profilo di benchmark DISA STIG per Oracle Linux 8 versione 1 e Rel 8

Punteggio conformità elenco di controllo per x86_64: 80,57%
Punteggio conformità elenco di controllo per aarch64: 80,57%

Oracle-Linux-8.9-STIG gennaio 2024

Informazioni per:

Oracle Linux-8.9-2024.01.25-STIG (per x86_64)
Oracle Linux-8.9-aarch64-2024.01.25-STIG (per aarch64)

Informazioni sull'immagine

kernel-uek: 5.15.0-202.135.2.el8uek
Prima release di Oracle Linux 8.9 protetta contro DISA STIG per Oracle Linux 8 versione 1, versione 8.
Pacchetti di sistema aggiornati alle versioni più recenti disponibili con correzioni alla sicurezza.
Correzioni aggiuntive delle regole STIG applicate all'immagine. Vedere Utilizzo dell'elenco di controllo per visualizzare le configurazioni aggiuntive.
File della lista di controllo in /usr/share/xml/stig:
- OL8_SSG_STIG_V1R8_CHECKLIST_RELEASE.ckl
- OL8_DISA_BENCHMARK_V1R7_CHECKLIST_RELEASE.ckl

Informazioni sulla conformità

Destinazione: profilo SSG "STIG" allineato con DISA STIG per Oracle Linux 8 versione 1, rel. 8

Punteggio conformità elenco di controllo per x86_64: 67,50%
Punteggio conformità elenco di controllo per aarch64: 67,40%

Destinazione: profilo di benchmark DISA STIG per Oracle Linux 8 versione 1 e Rel 7

Punteggio conformità elenco di controllo per x86_64: 78,92%
Punteggio conformità elenco di controllo per aarch64: 78,92%

Oracle-Linux-8.8-STIG luglio 2023

Informazioni per:

Oracle Linux-8.8-2023.07.06-STIG (per x86_64)
Oracle Linux-8.8-aarch64-2023.07.06-STIG (per aarch64)

Informazioni sull'immagine

kernel-uek: 5.15.0-102.110.5.1.el8uek
Prima release di Oracle Linux 8.8 protetta contro DISA STIG per Oracle Linux 8 versione 1, versione 6.
Pacchetti di sistema aggiornati alle versioni più recenti disponibili con correzioni alla sicurezza.
Correzioni aggiuntive delle regole STIG applicate all'immagine. Vedere Utilizzo dell'elenco di controllo per visualizzare le configurazioni aggiuntive.
File della lista di controllo in /usr/share/xml/stig:
- OL8_SSG_STIG_V1R6_CHECKLIST_RELEASE.ckl
- OL8_DISA_BENCHMARK_V1R5_CHECKLIST_RELEASE.ckl

Informazioni sulla conformità

Destinazione: profilo SSG "STIG" allineato con DISA STIG per Oracle Linux 8 versione 1, rel. 6

Punteggio conformità elenco di controllo per x86_64: 64,81%
Punteggio conformità elenco di controllo per aarch64: 64,54%

Destinazione: profilo di benchmark DISA STIG per Oracle Linux 8 versione 1 e Rel 5

Punteggio conformità elenco di controllo per x86_64: 78,92%
Punteggio conformità elenco di controllo per aarch64: 78,92%

Oracle-Linux-8.7-STIG - Aprile 2023

Informazioni per:

Oracle Linux-8.7-2023.04.26-STIG (per x86_64)
Oracle Linux-8.7-aarch64-2023.04.26-STIG (per aarch64)

Informazioni sull'immagine

kernel-uek: 5.15.0-100.96.32.el8uek
Prima release di Oracle Linux 8.7 protetta contro DISA STIG per Oracle Linux 8 versione 1, versione 5.
Pacchetti di sistema aggiornati alle versioni più recenti disponibili con correzioni alla sicurezza.
Correzioni aggiuntive delle regole STIG applicate all'immagine. Vedere Utilizzo dell'elenco di controllo per visualizzare le configurazioni aggiuntive.
File della lista di controllo in /usr/share/xml/stig:
- OL8_SSG_STIG_V1R5_CHECKLIST_RELEASE.ckl
- OL8_DISA_BENCHMARK_V1R4_CHECKLIST_RELEASE.ckl

Informazioni sulla conformità

Destinazione: profilo SSG "STIG" allineato con DISA STIG per Oracle Linux 8 versione 1, rel. 5

Punteggio conformità elenco di controllo per x86_64: 63,78%
Punteggio conformità elenco di controllo per aarch64: 63,50%

Destinazione: profilo di benchmark DISA STIG per Oracle Linux 8 versione 1 e Rel 4

Punteggio conformità elenco di controllo per x86_64: 79,25%
Punteggio conformità elenco di controllo per aarch64: 79,25%

Oracle Linux 7 (supporto esteso)

Oracle-Linux-7.9-STIG febbraio 2025

Informazioni per:

Oracle Linux-7.9-2025.02.06-STIG (per x86_64)
Oracle Linux-7.9-aarch64-2025.02.06-STIG (per aarch64)

Informazioni sull'immagine

kernel-uek: 5.4.17-2136.339.5.1.el7uek (x86_64) e 5.4.17-2136.338.4.2 (aarch64)
Pacchetti di sistema aggiornati alle versioni più recenti disponibili con correzioni alla sicurezza.
I canali yum Extended Linux Support (ELS), o repository, sono stati aggiunti all'immagine x86_64.
L'obiettivo di conformità è il profilo SSG allineato a DISA STIG per Oracle Linux 7 Ver 3, Rel 1.
Versione minima SSG: scap-security-guide-0.1.73-1.0.3
Correzioni aggiuntive delle regole STIG applicate all'immagine. Vedere Utilizzo dell'elenco di controllo per visualizzare le configurazioni aggiuntive.
File della lista di controllo in /usr/share/xml/stig:
- OL7_SSG_STIG_V3R1_CHECKLIST_RELEASE.ckl
- OL7_DISA_BENCHMARK_V3R1_CHECKLIST_RELEASE.ckl

Informazioni sulla conformità

Destinazione: profilo SSG "STIG" allineato con DISA STIG per Oracle Linux 7 versione 3, rel. 1

Punteggio conformità elenco di controllo x86_64: 81,65%
Punteggio conformità elenco di controllo aarch64: 81,65%

Destinazione: profilo di benchmark DISA STIG per Oracle Linux 7 versione 3 e Rel 1

Punteggio conformità elenco di controllo x86_64: 91,71%
Punteggio conformità elenco di controllo aarch64: 91,71%

Oracle-Linux-7.9-STIG - Maggio 2024

Queste informazioni sono disponibili per:

Oracle Linux-7.9-2024.05.31-STIG (per x86_64)
Oracle Linux-7.9-aarch64-2024.05.31-STIG (per aarch64)

Informazioni sull'immagine

kernel-uek: 5.4.17-2136.331.7.el7uek
Pacchetti di sistema aggiornati alle versioni più recenti disponibili con correzioni alla sicurezza.
L'obiettivo di conformità è il profilo SSG allineato a DISA STIG per Oracle Linux 7 Ver 2, Rel 14.
Versione minima SSG: scap-security-guide-0.1.72-2.0.1
Correzioni aggiuntive delle regole STIG applicate all'immagine. Vedere Utilizzo dell'elenco di controllo per visualizzare le configurazioni aggiuntive.
File della lista di controllo in /usr/share/xml/stig:
- OL7_SSG_STIG_V2R14_CHECKLIST_RELEASE.ckl
- OL7_DISA_BENCHMARK_V1R14_CHECKLIST_RELEASE.ckl

Informazioni sulla conformità

Destinazione: profilo SSG "STIG" allineato con DISA STIG per Oracle Linux 7 versione 2, rel. 14

Punteggio conformità elenco di controllo x86_64: 81,36%
Punteggio conformità elenco di controllo aarch64: 81,36%

Destinazione: profilo di benchmark DISA STIG per Oracle Linux 7 versione 2 e Rel 14

Punteggio conformità elenco di controllo x86_64: 91,77%
Punteggio conformità elenco di controllo aarch64: 91,77%

Nota

Lo standard STIG di DISA non ha subito cambiamenti significativi, se non la formulazione, tra Oracle Linux 7 versione 2, rel 13 e Oracle Linux 7 versione 2, rel 14. Per questo motivo, qualsiasi sistema conforme a Oracle Linux 7 versione 2, Rel 13 è conforme anche a Oracle Linux 7 versione 2, rel 14.

Nota

I punteggi di conformità più elevati per il benchmark DISA STIG riflettono un ambito di regole più limitato rispetto a DISA STIG completo. Tuttavia, il profilo SSG "STIG" rappresenta l'intero DISA STIG, fornendo una valutazione più completa della conformità dell'immagine.

Oracle-Linux-7.9-STIG dicembre 2023

Queste informazioni sono disponibili per:

Oracle Linux-7.9-2023.11.30-STIG (per x86_64)
Oracle Linux-7.9-aarch64-2023.11.30-STIG (per aarch64)

Informazioni sull'immagine

kernel-uek: 5.4.17-2136.325.5.1.el7uek
Pacchetti di sistema aggiornati alle versioni più recenti disponibili con correzioni alla sicurezza.
L'obiettivo di conformità è il profilo SSG allineato a DISA STIG per Oracle Linux 7 Ver 2, Rel 13.
Versione minima SSG: scap-security-guide-0.1.69-1.0.1
Correzioni aggiuntive delle regole STIG applicate all'immagine. Vedere Utilizzo dell'elenco di controllo per visualizzare le configurazioni aggiuntive.
File della lista di controllo in /usr/share/xml/stig:
- OL7_SSG_STIG_V2R13_CHECKLIST_RELEASE.ckl
- OL7_DISA_BENCHMARK_V1R13_CHECKLIST_RELEASE.ckl

Informazioni sulla conformità

Destinazione: profilo SSG "STIG" allineato con DISA STIG per Oracle Linux 7 versione 2, rel. 13

Punteggio conformità elenco di controllo x86_64: 81,36%
Punteggio conformità elenco di controllo aarch64: 81,36%

Destinazione: profilo di benchmark DISA STIG per Oracle Linux 7 versione 2 e Rel 13

Punteggio conformità elenco di controllo x86_64: 91,71%
Punteggio conformità elenco di controllo aarch64: 91,71%

Nota

Lo standard STIG di DISA non ha subito cambiamenti significativi, se non la formulazione, tra Oracle Linux 7 versione 2, rel 12 e Oracle Linux 7 versione 2, rel 13. Per questo motivo, qualsiasi sistema conforme a Oracle Linux 7 versione 2, Rel 12 è conforme anche a Oracle Linux 7 versione 2, rel 13.

Oracle-Linux-7.9-STIG - Maggio 2023

Informazioni per:

Oracle Linux-7.9-2023.05.31-STIG (per x86_64)
Oracle Linux-7.9-aarch64-2023.05.31-STIG (per aarch64)

Informazioni sull'immagine

kernel-uek: 5.4.17-2136.319.1.3.el7uek
Pacchetti di sistema aggiornati alle versioni più recenti disponibili con correzioni alla sicurezza.
Il target di conformità è passato al profilo SSG allineato con DISA STIG per Oracle Linux 7 Ver 2, Rel 11.
Correzioni aggiuntive delle regole STIG applicate all'immagine. Vedere Utilizzo dell'elenco di controllo per visualizzare le configurazioni aggiuntive.
File della lista di controllo in /usr/share/xml/stig:
- OL7_SSG_STIG_V2R11_CHECKLIST_RELEASE.ckl
- OL7_DISA_BENCHMARK_V1R11_CHECKLIST_RELEASE.ckl

Informazioni sulla conformità

Destinazione: profilo SSG "STIG" allineato con DISA STIG per Oracle Linux 7 versione 2, rel. 11

Punteggio conformità elenco di controllo x86_64: 81,36%
Punteggio conformità elenco di controllo aarch64: 81,36%

Destinazione: profilo di benchmark DISA STIG per Oracle Linux 7 versione 2 e Rel 11

Punteggio conformità elenco di controllo x86_64: 91,71%
Punteggio conformità elenco di controllo aarch64: 91,71%

Immagini più vecchie

Oracle-Linux-7.9-aarch64-2022.08.29-STIG

kernel-uek: 5.4.17-2136.310.7.1.el7uek.aarch64
Pacchetti di sistema aggiornati alle versioni più recenti disponibili con correzioni alla sicurezza.
Correzioni aggiuntive della regola STIG applicate all'immagine. Vedere Adeguamenti aggiuntivi.
Transizione alla conformità da DISA STIG Benchmark Ver 2, Rel 4 al profilo SSG allineato a DISA STIG per Oracle Linux 7 Ver 2, Rel 8.

Informazioni sulla conformità

Destinazione: profilo SSG allineato con DISA STIG per Oracle Linux 7 versione 2, rel. 8
OpenSCAP Livello di conformità: 80.83%

Misure correttive aggiuntive

Per ogni regola di sicurezza stabilita da DISA, sono disponibili le istruzioni per applicare la configurazione di sicurezza appropriata nel manuale Oracle Linux 7 Security Technical Implementation Guide.

Rivedere la tabella riportata di seguito e assicurarsi di aver compreso i potenziali impatti sull'istanza in caso di risoluzione.
Scarica l'STIG più recente da https://public.cyber.mil/stigs/downloads/ cercando Oracle Linux e selezionando una versione.
Scaricare lo strumento DISA STIG Viewer da: https://public.cyber.mil/stigs/srg-stig-tools/
Aprire il file xccdf.xml per STIG nel visualizzatore.
Per ogni regola della tabella che si desidera correggere, effettuare le operazioni riportate di seguito.
1. Cercare l'ID STIG della regola nella guida per andare alla sezione appropriata che spiega la regola, le vulnerabilità e i passi per la conformità alla regola.
2. Eseguire i passi di configurazione forniti.

La tabella riportata di seguito descrive le aree di guida non incluse nell'immagine STIG di Oracle Linux, che richiedono una configurazione aggiuntiva e richiama configurazioni aggiuntive che potrebbero influire sull'account Oracle Cloud Infrastructure predefinito dell'istanza.

Le regole contrassegnate come con supporto dell'automazione dispongono di automazione integrata per controllare i requisiti delle regole e applicare le misure correttive necessarie, se necessario. Qualsiasi regola senza supporto di automazione deve essere rivista manualmente da un utente di un sistema perché i controlli di automazione rispetto ai requisiti delle regole non sono supportati o non è disponibile alcuno script di risoluzione.


STIG-ID	Descrizione regola	Supporto automazione	Motivo esclusione
OL07-00-010050	Il sistema operativo Oracle Linux deve visualizzare l'avviso e il banner di consenso DoD obbligatori standard prima di concedere l'accesso locale o remoto al sistema tramite l'accesso utente della riga di comando.	Sì	Richiede il consenso dell'utente del Contratto di Avviso e Consenso DoD obbligatorio standard.
OL07-00-010230	È necessario configurare il sistema operativo Oracle Linux in modo che le password per i nuovi utenti siano limitate a una durata minima di 24 ore/1 giorno.	Sì	Impatto sull'account di login utente OPC predefinito configurato per l'accesso all'istanza di Oracle Cloud Infrastructure.
OL07-00-010240	È necessario configurare il sistema operativo Oracle Linux in modo che le password siano limitate a una durata minima di 24 ore/1 giorno.	Sì	Impatto sull'account di login utente OPC predefinito configurato per l'accesso all'istanza di Oracle Cloud Infrastructure.
OL07-00-010250	È necessario configurare il sistema operativo Oracle Linux in modo che le password per i nuovi utenti siano limitate a una durata massima di 60 giorni.	Sì	Impatto sull'account di login utente OPC predefinito configurato per l'accesso all'istanza di Oracle Cloud Infrastructure.
OL07-00-010260 ¹	È necessario configurare il sistema operativo Oracle Linux in modo che le password esistenti siano limitate a una durata massima di 60 giorni.	No	Impatto sull'account di login utente OPC predefinito configurato per l'accesso all'istanza di Oracle Cloud Infrastructure. Anche le regole di durata della password PAM influiscono sulle chiavi SSH. IMPORTANTE IMPATTO OCI: la limitazione delle password esistenti a una durata massima di 60 giorni può comportare il blocco irrecuperabile dell'account OPC dopo 60 giorni a seguito dell'impostazione senza password dell'account.
OL07-00-010320	Il sistema operativo Oracle Linux deve essere configurato per bloccare gli account per almeno 15 minuti dopo tre tentativi di accesso non riusciti in un intervallo di tempo di 15 minuti.	Sì	Impatto sull'account di login utente OPC predefinito configurato per l'accesso all'istanza di Oracle Cloud Infrastructure.
OL07-00-010330	Il sistema operativo Oracle Linux deve bloccare l'account associato dopo aver effettuato tre tentativi di accesso root non riusciti in un periodo di 15 minuti.	Sì	Impatto sull'account di login utente OPC predefinito configurato per l'accesso all'istanza di Oracle Cloud Infrastructure.
OL07-00-010340	È necessario configurare il sistema operativo Oracle Linux in modo che gli utenti debbano fornire una password per l'escalation dei privilegi.	Sì	Secondo lo schema predefinito di Oracle Cloud Infrastructure, `NOPASSWD` è impostato per OPC.
OL07-00-010342	Quando si utilizza il comando sudo, il sistema operativo Oracle Linux deve utilizzare la password dell'utente chiamante per l'escalation dei privilegi.	Sì	Impatto sull'account di login OPC predefinito.
OL07-00-010491 ¹	I sistemi operativi Oracle Linux versione 7.2 o successiva utilizzando l'interfaccia UEFI (Unified Extensible Firmware Interface) devono richiedere l'autenticazione al momento dell'avvio in modalità monoutente e di manutenzione.	No	Richiede la password GRUB 2 che non è possibile per l'immagine predefinita. IMPORTANTE IMPATTO OCI: l'implementazione di una password GRUB 2 introdurrebbe un prompt della password al boot dell'istanza.
OL07-00-010492	I sistemi operativi Oracle Linux versione 7.2 o successiva sottoposti a boot con UEFI (United Extensible Firmware Interface) devono avere un nome univoco per gli account superutenti grub quando si esegue il boot in modalità e manutenzione monoutente.	No	Richiede la modifica del nome utente privilegiato predefinito. Impatto sul boot di un superutente grub.
OL07-00-010500	Il sistema operativo Oracle Linux deve identificare in modo univoco e autenticare gli utenti dell'organizzazione (o i processi che agiscono per conto degli utenti dell'organizzazione) utilizzando l'autenticazione a più fattori.	Sì	L'autenticazione con più fattori non è configurata nell'immagine predefinita di Oracle Cloud Infrastructure.
OL07-00-020019	Il sistema operativo Oracle Linux deve implementare lo strumento Endpoint Security for Linux Threat Prevention.	No	Oracle Linux non viene distribuito con il software Virus Scan. È necessaria la configurazione utente.
OL07-00-020020	Il sistema operativo Oracle Linux deve impedire agli utenti non privilegiati di eseguire funzioni privilegiate per includere la disabilitazione, l'elusione o l'alterazione delle misure di sicurezza/contromisure implementate.	No	Richiede di ottenere un elenco specifico di utenti autorizzati dall'ISSO dell'utente.
OL07-00-020021	Il sistema operativo Oracle Linux deve limitare gli utenti SELinux ai ruoli conformi al privilegio minimo.	No	Richiede la revisione da parte di SA/ISSO di un utente per determinare la conformità del mapping dei ruoli SELinux.
OL07-00-020023	Il sistema operativo Oracle Linux deve elevare il contesto SELinux quando un amministratore chiama il comando sudo.	No	Impatto sull'account di login utente OPC predefinito configurato per l'accesso all'istanza di Oracle Cloud Infrastructure.
OL07-00-020030	Il sistema operativo Oracle Linux deve essere configurato in modo che uno strumento di integrità dei file verifichi almeno una volta alla settimana la configurazione del sistema operativo baseline.	Sì	AIDE o altre intrusioni rileva il sistema che dovrebbe essere configurato nell'immagine di destinazione.
OL07-00-020040	È necessario configurare il sistema operativo Oracle Linux in modo che il personale designato venga informato se le configurazioni della baseline vengono modificate in modo non autorizzato.	Sì	Richiede che AIDE rilevi il sistema da installare prima della configurazione.
OL07-00-020270	Il sistema operativo Oracle Linux non deve disporre di account non necessari.	No	Richiede di ottenere un elenco specifico di account di sistema autorizzati dall'ISSO dell'utente
OL07-00-020680	È necessario configurare il sistema operativo Oracle Linux in modo che tutti i file e le directory contenuti nelle directory home interattive locali dell'utente abbiano una modalità uguale o inferiore a 750 permissive.	No	Limita l'accesso alle autorizzazioni dei file ai servizi di sistema.
OL07-00-020720	Il sistema operativo Oracle Linux deve essere configurato in modo che tutti i percorsi di ricerca eseguibili dei file di inizializzazione degli utenti interattivi locali contengano solo i percorsi che risolvono la directory home degli utenti.	No	Impatto sull'accesso a file binari e utility utente.
OL07-00-021000	Il sistema operativo Oracle Linux deve essere configurato in modo che i file system contenenti le directory home utente vengano attivati per impedire l'esecuzione dei file con il setuid e il setgid bit impostato.	Sì	Impatto sull'accesso dell'utente all'esecuzione di file binari all'interno delle directory home.
OL07-00-021300	Il sistema operativo Oracle Linux deve disabilitare i dump core del kernel, a meno che non sia necessario.	Sì	Il servizio Kdump è necessario per scopi diagnostici in caso di crash del kernel generati dal sistema.
OL07-00-021350 ¹	Il sistema operativo Oracle Linux deve implementare una crittografia convalidata in base a NIST FIPS per i seguenti motivi: fornire firme digitali, generare hash crittografici e proteggere i dati che richiedono protezioni dei dati in archivio in conformità con le leggi federali applicabili, gli ordini esecutivi, le direttive, le politiche, le normative e gli standard.	No	Esclusione della riga di comando del kernel di salvataggio del parametro `fips=1`. IMPORTANTE IMPATTO OCI: l'aggiunta di `fips=1` alla cmdline del kernel di ripristino potrebbe causare il mancato avvio dell'istanza con un errore irreversibile.
OL07-00-021600	È necessario configurare il sistema operativo Oracle Linux in modo che lo strumento di integrità dei file sia configurato per la verifica delle liste di controllo dell'accesso (ACL, Access Control List).	Sì	Richiede che AIDE rilevi il sistema da installare prima della configurazione.
OL07-00-021610	Il sistema operativo Oracle Linux deve essere configurato in modo che lo strumento di integrità dei file sia configurato per verificare gli attributi estesi.	Sì	Richiede che AIDE rilevi il sistema da installare prima della configurazione.
OL07-00-021620	Il sistema operativo Oracle Linux deve utilizzare uno strumento di integrità dei file configurato per utilizzare gli hash crittografici approvati in FIPS 140-2 per convalidare il contenuto e le directory dei file.	Sì	Richiede che AIDE rilevi il sistema da installare prima della configurazione.
OL07-00-030010 ¹	Il sistema operativo Oracle Linux deve essere chiuso in caso di errore di elaborazione dell'audit, a meno che la disponibilità non costituisca un problema prioritario. Se la disponibilità è un problema, il sistema deve avvisare almeno il personale designato (System Administrator [SA] e Information System Security Officer [ISSO]) se si verifica un errore di elaborazione dell'audit.	Sì	L'impostazione predefinita del parametro `failure` è `1`, che invia solo informazioni al log del kernel relative all'errore invece di chiudere l'istanza. IMPORTANTE IMPACT OCI: l'impostazione del parametro `failure` su `2` provocherebbe un errore grave di sistema e la chiusura quando si verifica un errore di elaborazione dell'audit.
OL07-00-030201	Il sistema operativo Oracle Linux deve essere configurato in modo da scaricare i log di audit su un sistema o un supporto di storage diverso dal sistema da sottoporre a controllo.	No	La configurazione del plugin `au-remote` presume i dettagli del server remoto.
OL07-00-030300	Il sistema operativo Oracle Linux deve eseguire l'offload dei record di audit su uno o più sistemi diversi dal sistema sottoposto ad audit.	Sì	La configurazione del plugin `au-remote` presume i dettagli del server remoto.
OL07-00-030310	Il sistema operativo Oracle Linux deve cifrare il trasferimento dei record di audit scaricati su uno o più sistemi diversi dal sistema sottoposto ad audit.	Sì	La configurazione del plugin `au-remote` presume i dettagli del server remoto.
OL07-00-030320	È necessario configurare il sistema operativo Oracle Linux in modo che il sistema di controllo intraprenda l'azione appropriata quando il volume di storage di controllo è completo.	No	La configurazione del plugin `au-remote` presume i dettagli del server remoto.
OL07-00-030321	È necessario configurare il sistema operativo Oracle Linux in modo che il sistema di controllo intraprenda l'azione appropriata quando si verifica un errore durante l'invio dei record di controllo a un sistema remoto.	No	La configurazione del plugin `au-remote` presume i dettagli del server remoto.
OL07-00-031000	Il sistema operativo Oracle Linux deve inviare l'output rsyslog a un server di aggregazione dei log.	Sì	Richiede un server remoto per la trasmissione delle informazioni rsyslog.
OL07-00-032000	Il sistema operativo Oracle Linux deve utilizzare un programma di scansione dei virus.	No	Oracle Linux non viene distribuito con il software Virus Scan. È necessaria la configurazione utente.
OL07-00-040100	Il sistema operativo Oracle Linux deve essere configurato in modo da vietare o limitare l'uso di funzioni, porte, protocolli e/o servizi, come definito nelle valutazioni PPSM CLSA (Ports, Protocols, and Services Management Component Local Service Assessment) e delle vulnerabilità.	No	Richiede la revisione di porte, protocolli e/o servizi definiti dal CLSA PPSM di un utente.
OL07-00-040160	Il sistema operativo Oracle Linux deve essere configurato in modo che tutte le connessioni di rete associate a una sessione di comunicazione vengano interrotte al termine della sessione o dopo 15 minuti di inattività dell'utente al prompt dei comandi, ad eccezione dei requisiti di missione documentati e convalidati.	Sì	Può essere dannoso per i carichi di lavoro degli utenti.
OL07-00-040170	Il sistema operativo Oracle Linux deve visualizzare l'avviso e il banner di consenso DoD obbligatori standard immediatamente prima o come parte dei prompt di accesso remoto.	Sì	Richiede il consenso dell'utente del Contratto di Avviso e Consenso DoD obbligatorio standard.
OL07-00-040420	È necessario configurare il sistema operativo Oracle Linux in modo che i file di chiavi host private SSH abbiano la modalità 0600 o meno permissiva.	Sì	Modifica le autorizzazioni predefinite della chiave host privata SSH generate dal servizio del sistema.
OL07-00-040600	È necessario configurare almeno due name server per i sistemi operativi Oracle Linux che utilizzano la risoluzione DNS.	No	Oracle Cloud Infrastructure fornisce un server DNS ad alta disponibilità.
OL07-00-040710 ¹	Il sistema operativo Oracle Linux deve essere configurato in modo che le connessioni X remote siano disabilitate, a meno che non soddisfino requisiti di missione documentati e convalidati	Sì	Impatto sulla connettività della console seriale dell'istanza. IMPORTANTE IMPATTO OCI: la disabilitazione delle connessioni X remote potrebbe causare la mancata connessione alla console seriale dell'istanza OCI.
OL07-00-040711	Il daemon SSH del sistema operativo Oracle Linux deve impedire agli host remoti di connettersi alla visualizzazione proxy.	Sì	Impatto sull'accesso dell'utente alle istanze di Oracle Cloud Infrastructure.
OL07-00-040810	Il programma di controllo dell'accesso del sistema operativo Oracle Linux deve essere configurato in modo da concedere o negare l'accesso del sistema a host e servizi specifici.	No	Richiede la revisione di host e accesso ai servizi specifici. L'accesso deve essere consentito dal criterio di concessione dell'utente.
OL07-00-040820	Nel sistema operativo Oracle Linux non devono essere configurati tunnel IP non autorizzati.	No	Richiede la revisione da parte di SA/ISSO di un utente per determinare le connessioni tunnel IPSec autorizzate.
OL07-00-041002	Il sistema operativo Oracle Linux deve implementare l'autenticazione a più fattori per l'accesso agli account con privilegi tramite moduli di autenticazione collegabili (PAM, Pluggable Authentication Modules).	No	L'autenticazione con più fattori non è configurata nell'immagine predefinita di Oracle Cloud Infrastructure.
OL07-00-041003	Il sistema operativo Oracle Linux deve implementare il controllo dello stato del certificato per l'autenticazione PKI.	Sì	Controllo dello stato del certificato per l'autenticazione PKI non configurato nell'immagine predefinita di Oracle Cloud Infrastructure.

¹ La correzione di queste regole può avere un impatto significativo sull'accessibilità dei sistemi.

Log modifiche


STIG-ID	Descrizione regola	Motivo esclusione	Stato	commenti
OL07-00-010050	Il sistema operativo Oracle Linux deve visualizzare l'avviso e il banner di consenso DoD obbligatori standard prima di concedere l'accesso locale o remoto al sistema tramite l'accesso utente della riga di comando.	Richiede il consenso dell'utente del Contratto di Avviso e Consenso DoD obbligatorio standard.	Aggiunti	Aggiunto all'elenco di esclusione in V2R8
OL07-00-010320	Il sistema operativo Oracle Linux deve essere configurato per bloccare gli account per almeno 15 minuti dopo tre tentativi di accesso non riusciti in un intervallo di tempo di 15 minuti.	Impatto sull'account di login utente OPC predefinito configurato per l'accesso all'istanza di Oracle Cloud Infrastructure.	Aggiunti	Aggiunto all'elenco di esclusione in V2R8
OL07-00-010330	Il sistema operativo Oracle Linux deve bloccare l'account associato dopo aver effettuato tre tentativi di accesso root non riusciti in un periodo di 15 minuti.	Impatto sull'account di login utente OPC predefinito configurato per l'accesso all'istanza di Oracle Cloud Infrastructure.	Aggiunti	Aggiunto all'elenco di esclusione in V2R8
OL07-00-010492	I sistemi operativi Oracle Linux versione 7.2 o successiva sottoposti a boot con UEFI (United Extensible Firmware Interface) devono avere un nome univoco per gli account superutenti grub quando si esegue il boot in modalità e manutenzione monoutente.	Richiede la modifica se il nome utente privilegiato predefinito. Impatto sul boot di un superutente grub.	Aggiunti	Aggiunto all'elenco di esclusione in V2R8
OL07-00-010500	Il sistema operativo Oracle Linux deve identificare in modo univoco e autenticare gli utenti organizzativi (o i processi che agiscono per conto degli utenti organizzativi) utilizzando l'autenticazione a più fattori.	L'autenticazione a più fattori non è configurata nell'immagine predefinita di Oracle Cloud Infrastructure.	Aggiunti	Aggiunto all'elenco di esclusione in V2R8
OL07-00-020019	Il sistema operativo Oracle Linux deve implementare lo strumento Endpoint Security for Linux Threat Prevention.	Oracle Linux non viene distribuito con il software Virus Scan. È necessaria la configurazione utente.	Aggiunti	Aggiunto all'elenco di esclusione in V2R8
OL07-00-020020	Il sistema operativo Oracle Linux deve impedire agli utenti non privilegiati di eseguire funzioni privilegiate per includere la disabilitazione, l'elusione o l'alterazione delle misure di sicurezza/contromisure implementate.	Richiede di ottenere un elenco specifico di utenti autorizzati dall'ISSO dell'utente.	Aggiunti	Aggiunto all'elenco di esclusione in V2R8
OL07-00-020021	Il sistema operativo Oracle Linux deve limitare gli utenti SELinux ai ruoli conformi al privilegio minimo.	Richiede la revisione da parte di SA/ISSO di un utente per determinare la conformità del mapping dei ruoli SELinux.	Aggiunti	Aggiunto all'elenco di esclusione in V2R8
OL07-00-020023	Il sistema operativo Oracle Linux deve elevare il contesto SELinux quando un amministratore chiama il comando sudo.	Impatto sull'account di login utente OPC predefinito configurato per l'accesso all'istanza di Oracle Cloud Infrastructure.	Aggiunti	Aggiunto all'elenco di esclusione in V2R8
OL07-00-020040	È necessario configurare il sistema operativo Oracle Linux in modo che il personale designato venga informato se le configurazioni della baseline vengono modificate in modo non autorizzato.	Richiede che AIDE rilevi il sistema da installare prima della configurazione.	Aggiunti	Aggiunto all'elenco di esclusione in V2R8
OL07-00-020270	Il sistema operativo Oracle Linux non deve disporre di account non necessari.	Richiede di ottenere un elenco specifico di account di sistema autorizzati dall'ISSO dell'utente	Aggiunti	Aggiunto all'elenco di esclusione in V2R8
OL07-00-020680	È necessario configurare il sistema operativo Oracle Linux in modo che tutti i file e le directory contenuti nelle directory home interattive locali dell'utente abbiano una modalità uguale o inferiore a 750 permissive.	Limita l'accesso alle autorizzazioni dei file ai servizi di sistema.	Aggiunti	Aggiunto all'elenco di esclusione in V2R8
OL07-00-020720	Il sistema operativo Oracle Linux deve essere configurato in modo che tutti i percorsi di ricerca eseguibili dei file di inizializzazione degli utenti interattivi locali contengano solo i percorsi che risolvono la directory home degli utenti.	Impatto sull'accesso a file binari e utility utente.	Aggiunti	Aggiunto all'elenco di esclusione in V2R8
OL07-00-021000	Il sistema operativo Oracle Linux deve essere configurato in modo che i file system contenenti le directory home utente vengano attivati per impedire l'esecuzione dei file con il setuid e il setgid bit impostato.	Impatto sull'accesso dell'utente all'esecuzione di file binari all'interno delle directory home.	Aggiunti	Aggiunto all'elenco di esclusione in V2R8
OL07-00-021300	Il sistema operativo Oracle Linux deve disabilitare i dump core del kernel, a meno che non sia necessario.	Il servizio Kdump è necessario per scopi diagnostici in caso di crash del kernel generati dal sistema.	Aggiunti	Aggiunto all'elenco di esclusione in V2R8
OL07-00-021600	È necessario configurare il sistema operativo Oracle Linux in modo che lo strumento di integrità dei file sia configurato per la verifica delle liste di controllo dell'accesso (ACL, Access Control List).	Richiede che AIDE rilevi il sistema da installare prima della configurazione.	Aggiunti	Aggiunto all'elenco di esclusione in V2R8
OL07-00-021610	Il sistema operativo Oracle Linux deve essere configurato in modo che lo strumento di integrità dei file sia configurato per verificare gli attributi estesi.	Richiede che AIDE rilevi il sistema da installare prima della configurazione.	Aggiunti	Aggiunto all'elenco di esclusione in V2R8
OL07-00-021620	Il sistema operativo Oracle Linux deve utilizzare uno strumento di integrità dei file configurato per utilizzare gli hash crittografici approvati in FIPS 140-2 per convalidare il contenuto e le directory dei file.	Richiede che AIDE rilevi il sistema da installare prima della configurazione.	Aggiunti	Aggiunto all'elenco di esclusione in V2R8
OL07-00-031000	Il sistema operativo Oracle Linux deve inviare l'output rsyslog a un server di aggregazione dei log.	Richiede un server remoto per la trasmissione delle informazioni rsyslog.	Aggiunti	Aggiunto all'elenco di esclusione in V2R8
OL07-00-032000	Il sistema operativo Oracle Linux deve utilizzare un programma di scansione dei virus.	Oracle Linux non viene distribuito con il software Virus Scan. È necessaria la configurazione utente.	Aggiunti	Aggiunto all'elenco di esclusione in V2R8
OL07-00-040100	Il sistema operativo Oracle Linux deve essere configurato in modo da vietare o limitare l'uso di funzioni, porte, protocolli e/o servizi, come definito nelle valutazioni PPSM CLSA (Ports, Protocols, and Services Management Component Local Service Assessment) e delle vulnerabilità.	Richiede la revisione di porte, protocolli e/o servizi definiti dal CLSA PPSM di un utente.	Aggiunti	Aggiunto all'elenco di esclusione in V2R8
OL07-00-040160	Il sistema operativo Oracle Linux deve essere configurato in modo che tutte le connessioni di rete associate a una sessione di comunicazione vengano interrotte al termine della sessione o dopo 15 minuti di inattività dell'utente al prompt dei comandi, ad eccezione dei requisiti di missione documentati e convalidati.	Può essere dannoso per i carichi di lavoro degli utenti.	Aggiunti	Aggiunto all'elenco di esclusione in V2R8
OL07-00-040170	Il sistema operativo Oracle Linux deve visualizzare l'avviso e il banner di consenso DoD obbligatori standard immediatamente prima o come parte dei prompt di accesso remoto.	Richiede il consenso dell'utente del Contratto di Avviso e Consenso DoD obbligatorio standard.	Aggiunti	Aggiunto all'elenco di esclusione in V2R8
OL07-00-040420	È necessario configurare il sistema operativo Oracle Linux in modo che i file di chiavi host private SSH abbiano la modalità 0600 o meno permissiva.	Modifica le autorizzazioni predefinite della chiave host privata SSH generate dal servizio del sistema.	Aggiunti	Aggiunto all'elenco di esclusione in V2R8
OL07-00-040711	Il daemon SSH del sistema operativo Oracle Linux deve impedire agli host remoti di connettersi alla visualizzazione proxy.	Impatto sull'accesso dell'utente alle istanze di Oracle Cloud Infrastructure.	Aggiunti	Aggiunto all'elenco di esclusione in V2R8
OL07-00-040810	Il programma di controllo dell'accesso del sistema operativo Oracle Linux deve essere configurato in modo da concedere o negare l'accesso del sistema a host e servizi specifici.	Richiede la revisione di host e accesso ai servizi specifici. L'accesso deve essere consentito dal criterio di concessione dell'utente.	Aggiunti	Aggiunto all'elenco di esclusione in V2R8
OL07-00-040820	Nel sistema operativo Oracle Linux non devono essere configurati tunnel IP non autorizzati.	Richiede la revisione da parte di SA/ISSO di un utente per determinare le connessioni tunnel IPSec autorizzate.	Aggiunti	Aggiunto all'elenco di esclusione in V2R8

Oracle-Linux-7.9-aarch64-2021.10.08-STIG

L'immagine STIG di Oracle Linux Oracle-Linux-7.9-aarch64-2021.10.08-STIG è stata rilasciata il 16/12/2021.

Informazioni immagine

5.4.17-2102.205.7.3.el7uek.aarch64 UEK versione kernel R6.
Prima release di Oracle Linux STIG Image basata sull'architettura Arm (aarch64).
Versioni più recenti dei pacchetti di sistema Oracle Linux 7.9, con correzioni della sicurezza.

Informazioni sulla conformità

Destinazione: benchmark Oracle Linux 7 DISA STIG - Ver 2, Rel 4.
OpenSCAP livello di conformità: 89.44%.

Oracle-Linux-7.9-2022.08.29-STIG

Informazioni immagine

kernel-uek: 5.4.17-2136.310.7.1.el7uek.x86_64
Pacchetti di sistema aggiornati alle versioni più recenti disponibili con correzioni alla sicurezza.
Correzioni aggiuntive della regola STIG applicate all'immagine. Vedere Adeguamenti aggiuntivi.
Transizione alla conformità da DISA STIG Benchmark Ver 2, Rel 4 al profilo SSG allineato a DISA STIG per Oracle Linux 7 Ver 2, Rel 8.

Informazioni sulla conformità

Destinazione: profilo SSG allineato con DISA STIG per Oracle Linux 7 versione 2, rel 8.
OpenSCAP Livello di conformità: 80.76%
Punteggio di conformità SCC: 80.77%

Misure correttive aggiuntive

Rivedere la tabella riportata di seguito e assicurarsi di aver compreso i potenziali impatti sull'istanza in caso di risoluzione.
Scarica l'STIG più recente da https://public.cyber.mil/stigs/downloads/ cercando Oracle Linux e selezionando una versione.
Scaricare lo strumento DISA STIG Viewer da: https://public.cyber.mil/stigs/srg-stig-tools/
Aprire il file xccdf.xml per STIG nel visualizzatore.
Per ogni regola della tabella che si desidera correggere, effettuare le operazioni riportate di seguito.
1. Cercare l'ID STIG della regola nella guida per andare alla sezione appropriata che spiega la regola, le vulnerabilità e i passi per la conformità alla regola.
2. Eseguire i passi di configurazione forniti.


STIG-ID	Descrizione regola	Supporto automazione	Motivo esclusione
OL07-00-010050	Il sistema operativo Oracle Linux deve visualizzare l'avviso e il banner di consenso DoD obbligatori standard prima di concedere l'accesso locale o remoto al sistema tramite l'accesso utente della riga di comando.	Sì	Richiede il consenso dell'utente del Contratto di Avviso e Consenso DoD obbligatorio standard.
OL07-00-010230	È necessario configurare il sistema operativo Oracle Linux in modo che le password per i nuovi utenti siano limitate a una durata minima di 24 ore/1 giorno.	Sì	Impatto sull'account di login utente OPC predefinito configurato per l'accesso all'istanza di Oracle Cloud Infrastructure.
OL07-00-010240	È necessario configurare il sistema operativo Oracle Linux in modo che le password siano limitate a una durata minima di 24 ore/1 giorno.	Sì	Impatto sull'account di login utente OPC predefinito configurato per l'accesso all'istanza di Oracle Cloud Infrastructure.
OL07-00-010250	È necessario configurare il sistema operativo Oracle Linux in modo che le password per i nuovi utenti siano limitate a una durata massima di 60 giorni.	Sì	Impatto sull'account di login utente OPC predefinito configurato per l'accesso all'istanza di Oracle Cloud Infrastructure.
OL07-00-010260 ¹	È necessario configurare il sistema operativo Oracle Linux in modo che le password esistenti siano limitate a una durata massima di 60 giorni.	No	Impatto sull'account di login utente OPC predefinito configurato per l'accesso all'istanza di Oracle Cloud Infrastructure. Anche le regole di durata della password PAM influiscono sulle chiavi SSH. IMPORTANTE IMPATTO OCI: la limitazione delle password esistenti a una durata massima di 60 giorni può comportare il blocco irrecuperabile dell'account OPC dopo 60 giorni a seguito dell'impostazione senza password dell'account.
OL07-00-010320	Il sistema operativo Oracle Linux deve essere configurato per bloccare gli account per almeno 15 minuti dopo tre tentativi di accesso non riusciti in un intervallo di tempo di 15 minuti.	Sì	Impatto sull'account di login utente OPC predefinito configurato per l'accesso all'istanza di Oracle Cloud Infrastructure.
OL07-00-010330	Il sistema operativo Oracle Linux deve bloccare l'account associato dopo aver effettuato tre tentativi di accesso root non riusciti in un periodo di 15 minuti.	Sì	Impatto sull'account di login utente OPC predefinito configurato per l'accesso all'istanza di Oracle Cloud Infrastructure.
OL07-00-010340	È necessario configurare il sistema operativo Oracle Linux in modo che gli utenti debbano fornire una password per l'escalation dei privilegi.	Sì	Secondo lo schema predefinito di Oracle Cloud Infrastructure, `NOPASSWD` è impostato per OPC.
OL07-00-010342	Quando si utilizza il comando sudo, il sistema operativo Oracle Linux deve utilizzare la password dell'utente chiamante per l'escalation dei privilegi.	Sì	Impatto sull'account di login OPC predefinito.
OL07-00-010491 ¹	I sistemi operativi Oracle Linux versione 7.2 o successiva utilizzando l'interfaccia UEFI (Unified Extensible Firmware Interface) devono richiedere l'autenticazione al momento dell'avvio in modalità monoutente e di manutenzione.	No	Richiede la password GRUB 2 che non è possibile per l'immagine predefinita. IMPORTANTE IMPATTO OCI: l'implementazione di una password GRUB 2 introdurrebbe un prompt della password al boot dell'istanza.
OL07-00-010492	I sistemi operativi Oracle Linux versione 7.2 o successiva sottoposti a boot con UEFI (United Extensible Firmware Interface) devono avere un nome univoco per gli account superutenti grub quando si esegue il boot in modalità e manutenzione monoutente.	No	Richiede la modifica del nome utente privilegiato predefinito. Impatto sul boot di un superutente grub.
OL07-00-010500	Il sistema operativo Oracle Linux deve identificare in modo univoco e autenticare gli utenti dell'organizzazione (o i processi che agiscono per conto degli utenti dell'organizzazione) utilizzando l'autenticazione a più fattori.	Sì	L'autenticazione con più fattori non è configurata nell'immagine predefinita di Oracle Cloud Infrastructure.
OL07-00-020019	Il sistema operativo Oracle Linux deve implementare lo strumento Endpoint Security for Linux Threat Prevention.	No	Oracle Linux non viene distribuito con il software Virus Scan. È necessaria la configurazione utente.
OL07-00-020020	Il sistema operativo Oracle Linux deve impedire agli utenti non privilegiati di eseguire funzioni privilegiate per includere la disabilitazione, l'elusione o l'alterazione delle misure di sicurezza/contromisure implementate.	No	Richiede di ottenere un elenco specifico di utenti autorizzati dall'ISSO dell'utente.
OL07-00-020021	Il sistema operativo Oracle Linux deve limitare gli utenti SELinux ai ruoli conformi al privilegio minimo.	No	Richiede la revisione da parte di SA/ISSO di un utente per determinare la conformità del mapping dei ruoli SELinux.
OL07-00-020023	Il sistema operativo Oracle Linux deve elevare il contesto SELinux quando un amministratore chiama il comando sudo.	No	Impatto sull'account di login utente OPC predefinito configurato per l'accesso all'istanza di Oracle Cloud Infrastructure.
OL07-00-020030	Il sistema operativo Oracle Linux deve essere configurato in modo che uno strumento di integrità dei file verifichi almeno una volta alla settimana la configurazione del sistema operativo baseline.	Sì	AIDE o altre intrusioni rileva il sistema che dovrebbe essere configurato nell'immagine di destinazione.
OL07-00-020040	È necessario configurare il sistema operativo Oracle Linux in modo che il personale designato venga informato se le configurazioni della baseline vengono modificate in modo non autorizzato.	Sì	Richiede che AIDE rilevi il sistema da installare prima della configurazione.
OL07-00-020270	Il sistema operativo Oracle Linux non deve disporre di account non necessari.	No	Richiede di ottenere un elenco specifico di account di sistema autorizzati dall'ISSO dell'utente
OL07-00-020680	È necessario configurare il sistema operativo Oracle Linux in modo che tutti i file e le directory contenuti nelle directory home interattive locali dell'utente abbiano una modalità uguale o inferiore a 750 permissive.	No	Limita l'accesso alle autorizzazioni dei file ai servizi di sistema.
OL07-00-020720	Il sistema operativo Oracle Linux deve essere configurato in modo che tutti i percorsi di ricerca eseguibili dei file di inizializzazione degli utenti interattivi locali contengano solo i percorsi che risolvono la directory home degli utenti.	No	Impatto sull'accesso a file binari e utility utente.
OL07-00-021000	Il sistema operativo Oracle Linux deve essere configurato in modo che i file system contenenti le directory home utente vengano attivati per impedire l'esecuzione dei file con il setuid e il setgid bit impostato.	Sì	Impatto sull'accesso dell'utente all'esecuzione di file binari all'interno delle directory home.
OL07-00-021300	Il sistema operativo Oracle Linux deve disabilitare i dump core del kernel, a meno che non sia necessario.	Sì	Il servizio Kdump è necessario per scopi diagnostici in caso di crash del kernel generati dal sistema.
OL07-00-021350 ¹	Il sistema operativo Oracle Linux deve implementare una crittografia convalidata in base a NIST FIPS per i seguenti motivi: fornire firme digitali, generare hash crittografici e proteggere i dati che richiedono protezioni dei dati in archivio in conformità con le leggi federali applicabili, gli ordini esecutivi, le direttive, le politiche, le normative e gli standard.	No	Esclusione della riga di comando del kernel di salvataggio del parametro `fips=1`. IMPORTANTE IMPATTO OCI: l'aggiunta di `fips=1` alla cmdline del kernel di ripristino potrebbe causare il mancato avvio dell'istanza con un errore irreversibile.
OL07-00-021600	È necessario configurare il sistema operativo Oracle Linux in modo che lo strumento di integrità dei file sia configurato per la verifica delle liste di controllo dell'accesso (ACL, Access Control List).	Sì	Richiede che AIDE rilevi il sistema da installare prima della configurazione.
OL07-00-021610	Il sistema operativo Oracle Linux deve essere configurato in modo che lo strumento di integrità dei file sia configurato per verificare gli attributi estesi.	Sì	Richiede che AIDE rilevi il sistema da installare prima della configurazione.
OL07-00-021620	Il sistema operativo Oracle Linux deve utilizzare uno strumento di integrità dei file configurato per utilizzare gli hash crittografici approvati in FIPS 140-2 per convalidare il contenuto e le directory dei file.	Sì	Richiede che AIDE rilevi il sistema da installare prima della configurazione.
OL07-00-030010 ¹	Il sistema operativo Oracle Linux deve essere chiuso in caso di errore di elaborazione dell'audit, a meno che la disponibilità non costituisca un problema prioritario. Se la disponibilità è un problema, il sistema deve avvisare almeno il personale designato (System Administrator [SA] e Information System Security Officer [ISSO]) se si verifica un errore di elaborazione dell'audit.	Sì	L'impostazione predefinita del parametro `failure` è `1`, che invia solo informazioni al log del kernel relative all'errore invece di chiudere l'istanza. IMPORTANTE IMPACT OCI: l'impostazione del parametro `failure` su `2` provocherebbe un errore grave di sistema e la chiusura quando si verifica un errore di elaborazione dell'audit.
OL07-00-030201	Il sistema operativo Oracle Linux deve essere configurato in modo da scaricare i log di audit su un sistema o un supporto di storage diverso dal sistema da sottoporre a controllo.	No	La configurazione del plugin `au-remote` presume i dettagli del server remoto.
OL07-00-030300	Il sistema operativo Oracle Linux deve eseguire l'offload dei record di audit su uno o più sistemi diversi dal sistema sottoposto ad audit.	Sì	La configurazione del plugin `au-remote` presume i dettagli del server remoto.
OL07-00-030310	Il sistema operativo Oracle Linux deve cifrare il trasferimento dei record di audit scaricati su uno o più sistemi diversi dal sistema sottoposto ad audit.	Sì	La configurazione del plugin `au-remote` presume i dettagli del server remoto.
OL07-00-030320	È necessario configurare il sistema operativo Oracle Linux in modo che il sistema di controllo intraprenda l'azione appropriata quando il volume di storage di controllo è completo.	No	La configurazione del plugin `au-remote` presume i dettagli del server remoto.
OL07-00-030321	È necessario configurare il sistema operativo Oracle Linux in modo che il sistema di controllo intraprenda l'azione appropriata quando si verifica un errore durante l'invio dei record di controllo a un sistema remoto.	No	La configurazione del plugin `au-remote` presume i dettagli del server remoto.
OL07-00-031000	Il sistema operativo Oracle Linux deve inviare l'output rsyslog a un server di aggregazione dei log.	Sì	Richiede un server remoto per la trasmissione delle informazioni rsyslog.
OL07-00-032000	Il sistema operativo Oracle Linux deve utilizzare un programma di scansione dei virus.	No	Oracle Linux non viene distribuito con il software Virus Scan. È necessaria la configurazione utente.
OL07-00-040100	Il sistema operativo Oracle Linux deve essere configurato in modo da vietare o limitare l'uso di funzioni, porte, protocolli e/o servizi, come definito nelle valutazioni PPSM CLSA (Ports, Protocols, and Services Management Component Local Service Assessment) e delle vulnerabilità.	No	Richiede la revisione di porte, protocolli e/o servizi definiti dal CLSA PPSM di un utente.
OL07-00-040160	Il sistema operativo Oracle Linux deve essere configurato in modo che tutte le connessioni di rete associate a una sessione di comunicazione vengano interrotte al termine della sessione o dopo 15 minuti di inattività dell'utente al prompt dei comandi, ad eccezione dei requisiti di missione documentati e convalidati.	Sì	Può essere dannoso per i carichi di lavoro degli utenti.
OL07-00-040170	Il sistema operativo Oracle Linux deve visualizzare l'avviso e il banner di consenso DoD obbligatori standard immediatamente prima o come parte dei prompt di accesso remoto.	Sì	Richiede il consenso dell'utente del Contratto di Avviso e Consenso DoD obbligatorio standard.
OL07-00-040420	È necessario configurare il sistema operativo Oracle Linux in modo che i file di chiavi host private SSH abbiano la modalità 0600 o meno permissiva.	Sì	Modifica le autorizzazioni predefinite della chiave host privata SSH generate dal servizio del sistema.
OL07-00-040600	È necessario configurare almeno due name server per i sistemi operativi Oracle Linux che utilizzano la risoluzione DNS.	No	Oracle Cloud Infrastructure fornisce un server DNS ad alta disponibilità.
OL07-00-040710 ¹	Il sistema operativo Oracle Linux deve essere configurato in modo che le connessioni X remote siano disabilitate, a meno che non soddisfino requisiti di missione documentati e convalidati	Sì	Impatto sulla connettività della console seriale dell'istanza. IMPORTANTE IMPATTO OCI: la disabilitazione delle connessioni X remote potrebbe causare la mancata connessione alla console seriale dell'istanza OCI.
OL07-00-040711	Il daemon SSH del sistema operativo Oracle Linux deve impedire agli host remoti di connettersi alla visualizzazione proxy.	Sì	Impatto sull'accesso dell'utente alle istanze di Oracle Cloud Infrastructure.
OL07-00-040810	Il programma di controllo dell'accesso del sistema operativo Oracle Linux deve essere configurato in modo da concedere o negare l'accesso del sistema a host e servizi specifici.	No	Richiede la revisione di host e accesso ai servizi specifici. L'accesso deve essere consentito dal criterio di concessione dell'utente.
OL07-00-040820	Nel sistema operativo Oracle Linux non devono essere configurati tunnel IP non autorizzati.	No	Richiede la revisione da parte di SA/ISSO di un utente per determinare le connessioni tunnel IPSec autorizzate.
OL07-00-041002	Il sistema operativo Oracle Linux deve implementare l'autenticazione a più fattori per l'accesso agli account con privilegi tramite moduli di autenticazione collegabili (PAM, Pluggable Authentication Modules).	No	L'autenticazione con più fattori non è configurata nell'immagine predefinita di Oracle Cloud Infrastructure.
OL07-00-041003	Il sistema operativo Oracle Linux deve implementare il controllo dello stato del certificato per l'autenticazione PKI.	Sì	Controllo dello stato del certificato per l'autenticazione PKI non configurato nell'immagine predefinita di Oracle Cloud Infrastructure.

¹ La correzione di queste regole può avere un impatto significativo sull'accessibilità dei sistemi.

Log modifiche


STIG-ID	Descrizione regola	Motivo esclusione	Stato	commenti
OL07-00-010050	Il sistema operativo Oracle Linux deve visualizzare l'avviso e il banner di consenso DoD obbligatori standard prima di concedere l'accesso locale o remoto al sistema tramite l'accesso utente della riga di comando.	Richiede il consenso dell'utente del Contratto di Avviso e Consenso DoD obbligatorio standard.	Aggiunti	Aggiunto all'elenco di esclusione in V2R8
OL07-00-010320	Il sistema operativo Oracle Linux deve essere configurato per bloccare gli account per almeno 15 minuti dopo tre tentativi di accesso non riusciti in un intervallo di tempo di 15 minuti.	Impatto sull'account di login utente OPC predefinito configurato per l'accesso all'istanza di Oracle Cloud Infrastructure.	Aggiunti	Aggiunto all'elenco di esclusione in V2R8
OL07-00-010330	Il sistema operativo Oracle Linux deve bloccare l'account associato dopo aver effettuato tre tentativi di accesso root non riusciti in un periodo di 15 minuti.	Impatto sull'account di login utente OPC predefinito configurato per l'accesso all'istanza di Oracle Cloud Infrastructure.	Aggiunti	Aggiunto all'elenco di esclusione in V2R8
OL07-00-010492	I sistemi operativi Oracle Linux versione 7.2 o successiva sottoposti a boot con UEFI (United Extensible Firmware Interface) devono avere un nome univoco per gli account superutenti grub quando si esegue il boot in modalità e manutenzione monoutente.	Richiede la modifica se il nome utente privilegiato predefinito. Impatto sul boot di un superutente grub.	Aggiunti	Aggiunto all'elenco di esclusione in V2R8
OL07-00-010500	Il sistema operativo Oracle Linux deve identificare in modo univoco e autenticare gli utenti organizzativi (o i processi che agiscono per conto degli utenti organizzativi) utilizzando l'autenticazione a più fattori.	L'autenticazione a più fattori non è configurata nell'immagine predefinita di Oracle Cloud Infrastructure.	Aggiunti	Aggiunto all'elenco di esclusione in V2R8
OL07-00-020019	Il sistema operativo Oracle Linux deve implementare lo strumento Endpoint Security for Linux Threat Prevention.	Oracle Linux non viene distribuito con il software Virus Scan. È necessaria la configurazione utente.	Aggiunti	Aggiunto all'elenco di esclusione in V2R8
OL07-00-020020	Il sistema operativo Oracle Linux deve impedire agli utenti non privilegiati di eseguire funzioni privilegiate per includere la disabilitazione, l'elusione o l'alterazione delle misure di sicurezza/contromisure implementate.	Richiede di ottenere un elenco specifico di utenti autorizzati dall'ISSO dell'utente.	Aggiunti	Aggiunto all'elenco di esclusione in V2R8
OL07-00-020021	Il sistema operativo Oracle Linux deve limitare gli utenti SELinux ai ruoli conformi al privilegio minimo.	Richiede la revisione da parte di SA/ISSO di un utente per determinare la conformità del mapping dei ruoli SELinux.	Aggiunti	Aggiunto all'elenco di esclusione in V2R8
OL07-00-020023	Il sistema operativo Oracle Linux deve elevare il contesto SELinux quando un amministratore chiama il comando sudo.	Impatto sull'account di login utente OPC predefinito configurato per l'accesso all'istanza di Oracle Cloud Infrastructure.	Aggiunti	Aggiunto all'elenco di esclusione in V2R8
OL07-00-020040	È necessario configurare il sistema operativo Oracle Linux in modo che il personale designato venga informato se le configurazioni della baseline vengono modificate in modo non autorizzato.	Richiede che AIDE rilevi il sistema da installare prima della configurazione.	Aggiunti	Aggiunto all'elenco di esclusione in V2R8
OL07-00-020270	Il sistema operativo Oracle Linux non deve disporre di account non necessari.	Richiede di ottenere un elenco specifico di account di sistema autorizzati dall'ISSO dell'utente	Aggiunti	Aggiunto all'elenco di esclusione in V2R8
OL07-00-020680	È necessario configurare il sistema operativo Oracle Linux in modo che tutti i file e le directory contenuti nelle directory home interattive locali dell'utente abbiano una modalità uguale o inferiore a 750 permissive.	Limita l'accesso alle autorizzazioni dei file ai servizi di sistema.	Aggiunti	Aggiunto all'elenco di esclusione in V2R8
OL07-00-020720	Il sistema operativo Oracle Linux deve essere configurato in modo che tutti i percorsi di ricerca eseguibili dei file di inizializzazione degli utenti interattivi locali contengano solo i percorsi che risolvono la directory home degli utenti.	Impatto sull'accesso a file binari e utility utente.	Aggiunti	Aggiunto all'elenco di esclusione in V2R8
OL07-00-021000	Il sistema operativo Oracle Linux deve essere configurato in modo che i file system contenenti le directory home utente vengano attivati per impedire l'esecuzione dei file con il setuid e il setgid bit impostato.	Impatto sull'accesso dell'utente all'esecuzione di file binari all'interno delle directory home.	Aggiunti	Aggiunto all'elenco di esclusione in V2R8
OL07-00-021300	Il sistema operativo Oracle Linux deve disabilitare i dump core del kernel, a meno che non sia necessario.	Il servizio Kdump è necessario per scopi diagnostici in caso di crash del kernel generati dal sistema.	Aggiunti	Aggiunto all'elenco di esclusione in V2R8
OL07-00-021600	È necessario configurare il sistema operativo Oracle Linux in modo che lo strumento di integrità dei file sia configurato per la verifica delle liste di controllo dell'accesso (ACL, Access Control List).	Richiede che AIDE rilevi il sistema da installare prima della configurazione.	Aggiunti	Aggiunto all'elenco di esclusione in V2R8
OL07-00-021610	Il sistema operativo Oracle Linux deve essere configurato in modo che lo strumento di integrità dei file sia configurato per verificare gli attributi estesi.	Richiede che AIDE rilevi il sistema da installare prima della configurazione.	Aggiunti	Aggiunto all'elenco di esclusione in V2R8
OL07-00-021620	Il sistema operativo Oracle Linux deve utilizzare uno strumento di integrità dei file configurato per utilizzare gli hash crittografici approvati in FIPS 140-2 per convalidare il contenuto e le directory dei file.	Richiede che AIDE rilevi il sistema da installare prima della configurazione.	Aggiunti	Aggiunto all'elenco di esclusione in V2R8
OL07-00-031000	Il sistema operativo Oracle Linux deve inviare l'output rsyslog a un server di aggregazione dei log.	Richiede un server remoto per la trasmissione delle informazioni rsyslog.	Aggiunti	Aggiunto all'elenco di esclusione in V2R8
OL07-00-032000	Il sistema operativo Oracle Linux deve utilizzare un programma di scansione dei virus.	Oracle Linux non viene distribuito con il software Virus Scan. È necessaria la configurazione utente.	Aggiunti	Aggiunto all'elenco di esclusione in V2R8
OL07-00-040100	Il sistema operativo Oracle Linux deve essere configurato in modo da vietare o limitare l'uso di funzioni, porte, protocolli e/o servizi, come definito nelle valutazioni PPSM CLSA (Ports, Protocols, and Services Management Component Local Service Assessment) e delle vulnerabilità.	Richiede la revisione di porte, protocolli e/o servizi definiti dal CLSA PPSM di un utente.	Aggiunti	Aggiunto all'elenco di esclusione in V2R8
OL07-00-040160	Il sistema operativo Oracle Linux deve essere configurato in modo che tutte le connessioni di rete associate a una sessione di comunicazione vengano interrotte al termine della sessione o dopo 15 minuti di inattività dell'utente al prompt dei comandi, ad eccezione dei requisiti di missione documentati e convalidati.	Può essere dannoso per i carichi di lavoro degli utenti.	Aggiunti	Aggiunto all'elenco di esclusione in V2R8
OL07-00-040170	Il sistema operativo Oracle Linux deve visualizzare l'avviso e il banner di consenso DoD obbligatori standard immediatamente prima o come parte dei prompt di accesso remoto.	Richiede il consenso dell'utente del Contratto di Avviso e Consenso DoD obbligatorio standard.	Aggiunti	Aggiunto all'elenco di esclusione in V2R8
OL07-00-040420	È necessario configurare il sistema operativo Oracle Linux in modo che i file di chiavi host private SSH abbiano la modalità 0600 o meno permissiva.	Modifica le autorizzazioni predefinite della chiave host privata SSH generate dal servizio del sistema.	Aggiunti	Aggiunto all'elenco di esclusione in V2R8
OL07-00-040711	Il daemon SSH del sistema operativo Oracle Linux deve impedire agli host remoti di connettersi alla visualizzazione proxy.	Impatto sull'accesso dell'utente alle istanze di Oracle Cloud Infrastructure.	Aggiunti	Aggiunto all'elenco di esclusione in V2R8
OL07-00-040810	Il programma di controllo dell'accesso del sistema operativo Oracle Linux deve essere configurato in modo da concedere o negare l'accesso del sistema a host e servizi specifici.	Richiede la revisione di host e accesso ai servizi specifici. L'accesso deve essere consentito dal criterio di concessione dell'utente.	Aggiunti	Aggiunto all'elenco di esclusione in V2R8
OL07-00-040820	Nel sistema operativo Oracle Linux non devono essere configurati tunnel IP non autorizzati.	Richiede la revisione da parte di SA/ISSO di un utente per determinare le connessioni tunnel IPSec autorizzate.	Aggiunti	Aggiunto all'elenco di esclusione in V2R8

Oracle-Linux-7.9-2021.07.27-STIG

L'immagine Oracle Linux STIG Oracle-Linux-7.9-2021.07.27-STIG è stata rilasciata il 10/8/2021.

Le seguenti note relative all'aggiornamento sono in confronto alla release Oracle-Linux-7.9-2021.03.02-STIG precedente.

Aggiornamenti immagine

kernel-uek: 5.4.17-2102.203.6.el7uek.x86_64 versione del kernel Unbreakable Enterprise Kernel Release 6 (UEK R6), con una correzione per CVE-2021-33909.
Pacchetti di sistema Oracle Linux 7.9 aggiornati alle versioni più recenti disponibili, con correzioni della sicurezza.

Aggiornamenti conformità

Destinazione: versione di riferimento Oracle Linux7 Benchmark DISA STIG - Ver 2, Rel 4.
Livello di conformità SCC: 89.44%.

Modifiche apportate all'ultima immagine STIG.

La tabella seguente descrive le modifiche apportate nella release Oracle-Linux-7.9-2021.07.27-STIG.

Nota

Gli aggiornamenti per questa release si riflettono anche in Oracle Linux 7 Additional Configurations, che descrive le aree nell'immagine più recente che richiedono la configurazione manuale. Vedere questa sezione per informazioni importanti che possono essere applicate alle regole elencate nella tabella riportata di seguito.


STIG-ID	Descrizione regola	Motivo esclusione	Stato	commenti
OL07-00-010090	Per il sistema operativo Oracle Linux deve essere installato il pacchetto schermata.	Impatto sull'account di login utente OPC (Oracle Public Cloud) predefinito configurato per l'accesso all'istanza di Oracle Cloud Infrastructure.	rimosso	Rimosso dalla lista di esclusione in V2R4
OL07-00-021350	Il sistema operativo Oracle Linux deve implementare una crittografia convalidata in base a NIST FIPS per i seguenti motivi: fornire firme digitali, generare hash crittografici e proteggere i dati che richiedono protezioni dei dati in archivio in conformità con le leggi federali applicabili, gli ordini esecutivi, le direttive, le politiche, le normative e gli standard.	Esclusione della riga di comando del kernel di salvataggio del parametro `fips=1`.	Aggiunti	Rimosso dalla lista di esclusione in V2R4 Importante: l'aggiunta di `fips=1` alla riga di comando del kernel di ripristino potrebbe causare il mancato avvio dell'istanza con un errore irreversibile.
OL07-00-030200	Il sistema operativo Oracle Linux deve essere configurato per utilizzare il plugin au-remote.	La configurazione del plugin `au-remote` presume i dettagli del server remoto.	rimosso	Rimosso dalla lista di esclusione in V2R4
OL07-00-030201	Il sistema operativo Oracle Linux deve essere configurato in modo da ridurre il carico dei log di controllo di un sistema o di un supporto di storage diverso dal sistema da sottoporre a controllo.	La configurazione del plugin `au-remote` presume i dettagli del server remoto.	Data aggiornamento	Titolo della regola modificato in V2R4
OL07-00-040600	Per i sistemi operativi Oracle Linux che utilizzano la risoluzione DNS, è necessario configurare almeno due name server.	L'immagine ONSR (Oracle National Security Regions) fornisce un solo host DNS affidabile.	Data aggiornamento	Titolo della regola modificato in V2R4
OL07-00-041001	Il sistema operativo Oracle Linux deve disporre dei pacchetti necessari per l'autenticazione a più fattori installati.	L'autenticazione con più fattori non è configurata nell'immagine predefinita di Oracle Cloud Infrastructure.	rimosso	Rimosso dalla lista di esclusione in V2R4 Fisso sull'immagine: installato `pam_pkcs11 package` sull'istanza.
OL07-00-040710	Il sistema operativo Oracle Linux deve essere configurato in modo che le connessioni X remote siano disabilitate, a meno che non soddisfino requisiti di missione documentati e convalidati	Impatto sulla connettività della console seriale dell'istanza.	Aggiunti	Aggiunto all'elenco di esclusione in V2R4
OL07-00-010342	Quando si utilizza il comando sudo, il sistema operativo Oracle Linux deve utilizzare la password dell'utente chiamante per l'escalation dei privilegi.	Impatto sull'account di login OPC predefinito.	Aggiunti	Aggiunto all'elenco di esclusione in V2R4

Oracle-Linux-7.9-2021.03.02-STIG

L'immagine Oracle Linux STIG Oracle-Linux-7.9-2021.03.02-STIG è stata rilasciata il 3/10/2021.

Informazioni immagine

5.4.17-2036.103.3.1.el7uek.x86_64 UEK versione kernel R6.
Versioni più recenti dei pacchetti di sistema Oracle Linux 7.9, con correzioni della sicurezza.

Informazioni sulla conformità

Destinazione: versione di benchmark Oracle Linux 7 DISA STIG Benchmark - Ver 1, Rel 2.
Livello di conformità SCC: 89.44%.

Ulteriori informazioni

Utilizzare queste risorse per ulteriori informazioni sull'immagine STIG di Oracle Linux.

Risorsa Web del Dipartimento della Difesa all'indirizzo https://public.cyber.mil/.

Per i cataloghi DISA STIG e SCAP, vedere le seguenti risorse:
- Catalogo STIG all'indirizzo https://public.cyber.mil/stigs/.
- Catalogo SCAP all'indirizzo https://public.cyber.mil/stigs/scap/.

Documentazione di Oracle Cloud Infrastructure

Immagine STIG Oracle Linux

Cos'è uno STIG?

Scarica l'ultimo STIG

Come viene valutata la conformità STIG?

Destinazioni di conformità

Creazione e connessione a un'istanza

Applicazione di misure correttive

Uso dell'elenco di controllo per visualizzare ulteriori configurazioni

Accesso all'elenco di controllo

Visualizzazione delle note di rilascio dell'elenco di controllo

Ripristino di un'istanza per la conformità

Uso dello strumento OpenSCAP

Uso dello strumento SCC

Cronologia delle revisioni per l'immagine STIG di Oracle Linux

Oracle Linux 8

Oracle Linux 7 (supporto esteso)

Immagini più vecchie

Misure correttive aggiuntive

Log modifiche

Misure correttive aggiuntive

Log modifiche

Ulteriori informazioni