Documentação do Oracle Cloud Infrastructure

Imagem do Oracle Linux STIG

A Imagem do Oracle Linux STIG é uma implementação do Oracle Linux que segue o Security Technical Implementation Guide (STIG).

Com a imagem do STIG, você pode configurar uma instância do Oracle Linux 7 no Oracle Cloud Infrastructure que segue determinados padrões e requisitos de segurança definidos pela DISA (Defense Information Systems Agency).

Observação

A Oracle atualiza a Imagem do Oracle Linux STIG regularmente com os últimos relatórios de erros de segurança. Este documento é atualizado sempre que o benchmark do STIG é alterado ou quando alterações na orientação de segurança exigem configuração manual da imagem. Consulte Histórico de Revisão da Imagem do Oracle Linux STIG para ver as alterações específicas feitas em cada release.
Importante

Qualquer alteração feita em uma instância da Imagem do Oracle Linux STIG (como instalar outros aplicativos ou modificar as definições de configuração) pode afetar a pontuação de conformidade. Após fazer qualquer alteração, verifique novamente a conformidade da instância. Consulte Verificando Novamente a Conformidade de uma Instância.

O que é um STIG?

Um STIG (Security Technical Implementation Guide) é um documento escrito pela DISA (Defense Information Systems Agency). Ele fornece orientação sobre como configurar um sistema para atender aos requisitos de segurança cibernética para implantação nos sistemas de rede de TI do Departamento de Defesa (DoD). Os requisitos do STIG ajudam a proteger a rede contra ameaças de segurança cibernética, concentrando-se na infraestrutura e na segurança da rede para atenuar vulnerabilidades. A conformidade com o STIGs é um requisito para agências DoD ou qualquer organização que faça parte das redes de informações DoD (DoDIN).

A imagem do Oracle Linux STIG ajuda a automatizar a conformidade fornecendo uma versão protegida da imagem padrão do Oracle Linux. A imagem é protegida para seguir as diretrizes do STIG. No entanto, a imagem não pode atender a todos os requisitos do STIG e pode exigir correção manual adicional. Consulte Aplicando Remediações.

Download do STIG Mais Recente

A DISA fornece atualizações trimestrais para os STIGs. Esta documentação foi criada usando o STIG mais recente disponível no momento da publicação. No entanto, sempre use o STIG mais recente ao avaliar seu sistema.

Faça download do mais recente no STIG https://public.cyber.mil/stigs/downloads/. Procure o Oracle Linux e faça download do arquivo zip apropriado.

Opcionalmente, use o Visualizador de STIG da DISA em https://public.cyber.mil/stigs/srg-stig-tools/. Em seguida, importe no arquivo xccdf.xml do STIG para exibir as regras do STIG.

Como a Conformidade com o STIG é Avaliada?

A avaliação de conformidade geralmente começa com uma verificação usando uma ferramenta de verificação de conformidade com o SCAP (Security Content Automation Protocol). A ferramenta usa um STIG (transferido por upload no formato SCAP) para analisar a segurança de um sistema. No entanto, nem sempre a ferramenta testa todas as regras dentro de um STIG e alguns STIGs podem não ter versões de SCAP. Nesses casos, um auditor precisa verificar manualmente a conformidade do sistema, passando pelas regras do STIG não abrangidas pela ferramenta.

As seguintes ferramentas estão disponíveis para automatizar a avaliação de conformidade:

  • Verificador de Conformidade do SCAP (SCC) - Uma ferramenta desenvolvida pela DISA que pode executar uma avaliação usando o Benchmark DISA STIG ou um perfil de upstream OpenSCAP. Geralmente, o Benchmark DISA STIG é usado para verificação de conformidade ao usar a ferramenta SCC.

    Importante

    Para verificar a arquitetura Arm (aarch64), use o SCC versão 5.5 ou posterior.

  • OpenSCAP - Um utilitário de código-fonte aberto disponível por meio do yum que pode executar uma avaliação usando o Benchmark DISA STIG ou um perfil upstream OpenSCAP. O Oracle Linux distribui um pacote SSG (SCAP Security Guide) que contém perfis específicos da release do sistema. Por exemplo, o arquivo ssg-ol7-ds.xml do fluxo de dados SCAP fornecido pelo pacote SSG inclui o DISA STIG para o perfil do Oracle Linux 7. Uma vantagem em usar a ferramenta OpenSCAP é que o SSG fornece scripts Bash ou Ansible para automatizar a remediação e colocar o sistema em um estado compatível.

    Cuidado

    A correção automática usando scripts pode levar a uma configuração indesejada do sistema ou tornar um sistema não funcional. Teste os scripts de remediação em um ambiente que não seja de produção.

Consulte Verificando Novamente a Conformidade de uma Instância para obter informações sobre a execução das ferramentas de conformidade e a geração de um relatório de verificação.

Destinos de Conformidade

A imagem do Oracle Linux STIG contém correções adicionais para regras não tratadas pelo Benchmark DISA STIG. Use o perfil SSG "STIG" alinhado com o DISA STIG para Oracle Linux para estender a automação nas regras não abordadas anteriormente e determinar a conformidade com o DISA STIG completo.

Dois arquivos da lista de verificação DISA STIG Viewer são fornecidos com a imagem, que são baseados nos resultados da varredura do SCC e OpenSCAP. A lista de verificação para o Benchmark DISA STIG usa os resultados da verificação SCC, enquanto a lista de verificação para o perfil SSG "STIG" usa os resultados da verificação OpenSCAP. Essas listas de verificação contêm comentários da Oracle sobre áreas da imagem que não atendem à orientação. Consulte Usando a Lista de Verificação para Exibir Configurações Adicionais.
Observação

As pontuações de conformidade mais altas do Benchmark DISA STIG refletem um escopo de regras mais limitado em comparação com o DISA STIG completo. No entanto, o perfil "stig" do SSG é responsável pelo DISA STIG completo, fornecendo uma avaliação mais abrangente da conformidade da imagem.
Oracle Linux 8

As imagens do Oracle Linux 8 STIG seguem os padrões de segurança da DISA e são protegidas de acordo com o Oracle Linux 8 DISA STIG. Para a versão mais recente do Oracle Linux 8 STIG Image, o destino de conformidade é DISA STIG para Oracle Linux 8 Ver 1, Rel 10. O pacote scap-security-guide (versão mínima 0.1.73-1.0.1) disponível por meio do yum contém o perfil SSG "STIG" alinhado com o DISA STIG para Oracle Linux 8 Ver 1, Rel 10.

Informações de Conformidade para imagens STIG do Oracle Linux 8.10 de setembro de 2024:

Meta: perfil "STIG" do SSG alinhado com o DISA STIG para Oracle Linux 8 Ver 1, Rel 10

  • Pontuação de Conformidade da Lista de Verificação para x86_64: 74,63%
  • Pontuação de Conformidade da Lista de Verificação para aarch64: 74,55%

Destino: DISA STIG para perfil de Benchmark do Oracle Linux 8 Ver 1, Rel 8

  • Pontuação de Conformidade da Lista de Verificação para x86_64: 80,57%
  • Pontuação de Conformidade da Lista de Verificação para aarch64: 80,57%
Oracle Linux 7 (suporte estendido)

As imagens do Oracle Linux 7 STIG seguem os padrões de segurança da DISA e são protegidas de acordo com o Oracle Linux 7 DISA STIG. Para a versão mais recente da Imagem do Oracle Linux 7 STIG, o destino de conformidade fez a transição para o DISA STIG Ver 3, Rel 1. O pacote scap-security-guide (versão mínima 0.1.73-1.0.3) disponível por meio do yum contém o perfil SSG "STIG" alinhado com o DISA STIG para Oracle Linux 7 Versão 3, Versão 1.

Informações de Conformidade para imagens STIG do Oracle Linux 7.9 de fevereiro de 2025:

Destino: perfil "STIG" do SSG alinhado com o DISA STIG para Oracle Linux 7 Ver 3, Rel 1

  • Pontuação de Conformidade da Lista de Verificação x86_64: 81,65%
  • Pontuação de Conformidade da Lista de Verificação aarch64: 81,65%

Destino: Perfil do DISA STIG para Oracle Linux 7 Ver 3, Rel 1 Benchmark

  • Pontuação de Conformidade da Lista de Verificação x86_64: 91,71%
  • Pontuação de Conformidade da Lista de Verificação aarch64: 91,71%
Observação

O padrão STIG do DISA não teve alterações significativas, além de texto, entre o Oracle Linux 7 Ver 3, Rel 1 e o Oracle Linux 7 Ver 2, Rel 14. Por isso, qualquer sistema compatível com o Oracle Linux 7 Ver 2, Rel 14 também é compatível com o Oracle Linux 7 Ver 3, Rel 1.

Aplicando Remediações

A Imagem do Oracle Linux STIG reforçada não pode ser configurada de acordo com todas as orientações recomendadas. Finalize manualmente todas as configurações não incluídas na instância da Imagem do Oracle Linux STIG.

Para cada regra de segurança estabelecida pelo DISA, as instruções para aplicar a configuração de segurança apropriada são fornecidas no Oracle Linux Security Technical Implementation Guide correspondente.

Importante

Algumas alterações na imagem podem afetar a conta padrão do Oracle Cloud Infrastructure da instância. Se você decidir impor uma regra, estude as informações sobre cada regra e os motivos da exclusão para entender totalmente o possível impacto na instância.

Utilizando a Lista de Verificação para Visualizar Configurações Adicionais

Use as listas de verificação fornecidas com a imagem do Oracle Linux STIG para exibir "Notas da Release" adicionais em áreas de orientação não incluídas na imagem, que podem exigir configuração adicional. As notas da release identificam configurações adicionais que podem afetar a conta padrão do Oracle Cloud Infrastructure das instâncias.

Acessando a Lista de Verificação

A imagem do Oracle Linux STIG inclui listas de verificação do Visualizador DISA STIG para o perfil "STIG" DISA STIG Benchmark e SCAP Security Guide (SSG) alinhados com o DISA STIG para Oracle Linux. Essas listas de verificação estão localizadas no diretório /usr/share/xml/stig. Consulte Histórico de Revisões para obter o nome de arquivo específico associado a cada release.

  • OL<release>_SSG_STIG_<stig-version>_CHECKLIST_RELEASE.ckl - lista de verificação do DISA STIG para Oracle Linux usando os resultados da verificação de perfil "STIG" do SSG.
  • OL<release>_DISA_BENCHMARK_<stig-version>_CHECKLIST_RELEASE.ckl - lista de verificação do Benchmark DISA STIG para Oracle Linux usando os resultados da verificação de perfil Oracle_Linux_<release>_STIG do SCC.

Exibindo as Notas da Versão da Lista de Verificação

  1. Faça download da ferramenta DISA STIG Viewer em: https://public.cyber.mil/stigs/srg-stig-tools/
  2. Abra a ferramenta STIG Viewer.
  3. Em Lista de Verificação, selecione Abrir Lista de Verificação do Arquivo... e navegue até o arquivo da lista de verificação.
  4. Expanda o Painel de Filtro e adicione o seguinte filtro:
    • Deve coincidir: TODOS
    • Filtrar por: Palavra-chave
    • Tipo de filtro: Filtro Inclusivo (+)
    • Palavra-chave: Oracle Release Notes
  5. As notas de versão oferecem informações adicionais para as regras:
    • Aberto - Regras que foram excluídas ou consideradas fora do escopo.
      • Excluído - Regras que podem afetar a conta padrão do Oracle Cloud Infrastructure da instância e foram excluídas da correção para a Imagem STIG do Oracle Linux.
      • Fora do Escopo - Regras que estão fora do escopo para correção na versão atual, mas podem ser consideradas para correção em uma versão futura.
    • Não Aplicável - Regras que foram consideradas não aplicáveis à Imagem do STIG do Oracle Linux.
    • Não revisado - Regras que estão fora do escopo para correção na versão atual, mas podem ser consideradas para correção em uma versão futura.
  6. Para cada regra, certifique-se de entender totalmente as implicações para a instância antes de aplicar a correção.

Verificando Novamente a Conformidade de uma Instância

Use a ferramenta SCC ou OpenSCAP para verificar se a instância permanece em conformidade.

As alterações em uma instância da Imagem do Oracle Linux STIG (como instalar outros aplicativos ou adicionar novas definições de configuração) podem afetar a conformidade. Recomendamos a verificação para verificar se a instância está em conformidade após qualquer alteração. Além disso, pode ser necessário executar verificações subsequentes para ver se existem atualizações regulares trimestrais do DISA para o STIG .

Usando a Ferramenta OpenSCAP

A ferramenta OpenSCAP está disponível no Oracle Linux e é certificada pelo NIST (National Institute of Standards and Technologies).

  1. Acesse a sua instância da Imagem do Oracle Linux STIG.
  2. Instale o pacote openscap-scanner. 
    sudo yum install openscap-scanner
  3. Identifique o arquivo XCCDF ou de fluxo de dados a ser usado para a verificação.

    Para usar o perfil "stig" do SSG:

    1. Instale o pacote scap-security-guide. 
      sudo yum install scap-security-guide
    2. Localize o arquivo a ser usado para a verificação encontrada em /usr/share/xml/scap/ssg/content.
    Para usar o Benchmark DISA STIG do Oracle Linux:
    1. Vá para https://public.cyber.mil/stigs/downloads/".
    2. Procure o Oracle Linux e faça download do arquivo DISA STIG Benchmark apropriado.
    3. Descompacte o arquivo depois de baixá-lo.
  4. Para fazer uma verificação, execute o seguinte comando: 
    sudo oscap xccdf eval --profile profile-name \
--results=path-to-results.xml --oval-results \
--report=path-to-report.html \
--check-engine-results \
--stig-viewer=path-to-stig-viewer-report.xml \
path-to-xccdf-document

    Para obter outras opções que você pode usar com o comando oscap, consulte Using OpenSCAP to Scan for Vulnerabilities no Oracle® Linux 7: Security Guide e Oracle Linux 8: Using OpenSCAP for Security Compliance.

  5. Verifique o arquivo path-to-report.html para obter os resultados da avaliação.

Usando a Ferramenta SCC

A ferramenta SCC é a ferramenta oficial para verificar a conformidade governamental e pode ser usada para verificar uma instância da Imagem do Oracle Linux STIG.

Importante

Para verificar a arquitetura Arm (aarch64), use o SCC versão 5.5 ou posterior.

Para obter instruções sobre como usar a ferramenta SCC, consulte a tabela Ferramentas SCAP em https://public.cyber.mil/stigs/scap/.

  1. Obtenha a ferramenta SCC na tabela em https://public.cyber.mil/stigs/scap/.
  2. Instale a ferramenta. 
    unzip scc-5.4.2_rhel7_sles12-15_oracle-linux7_x86_64_bundle.zip
cd scc-5.4.2_rhel7_x86_64/
rpm -i scc-5.4.2.rhel7.x86_64.rpm
  3. Compactar o arquivo .xml de conteúdo SCAP antes de importar para a ferramenta SCC.

    Para o perfil "stig" do SSG:

    zip ssg_content.zip /usr/share/xml/scap/ssg/content/xml-document
/opt/scc/cscc -is ssg_content.zip

    Para o Benchmark DISA STIG do Oracle Linux:

    zip scap_content.zip path-to-disa-benchmark-xml-document
/opt/scc/cscc -is scap_content.zip
  4. Configure o SCC para verificar o conteúdo importado 
    /opt/scc/cscc --config
  5. Execute a verificação usando o menu de linha de comando:
    1. Digite 1 para configurar o conteúdo do SCAP.
    2. Insira clear e informe o número que corresponde ao conteúdo SCAP importado.

      No exemplo a seguir, digite 2 para o conteúdo SCAP importado para o Oracle Linux 7. 

      SCC 5.4.2 Available SCAP Content                        [Version]  [Date]    
1.  [ ]  Mozilla_Firefox_RHEL                           005.003    2021-06-09
2.  [X]  OL-7                                           0.1.54     2021-09-23
3.  [ ]  Oracle_Linux_7_STIG                            002.004    2021-06-14
4.  [ ]  RHEL_6_STIG                                    002.002    2020-12-04
5.  [ ]  RHEL_7_STIG                                    003.004    2021-06-14
6.  [ ]  RHEL_8_STIG                                    001.002    2021-06-14
7.  [ ]  SLES_12_STIG                                   002.004    2021-06-14
    3. Informe 0 para retornar ao menu principal.
    4. Digite 2 para configurar o perfil SCAP.
    5. Informe 1 para selecionar o perfil. Verifique se a opção "stig" está selecionada. 
      Available Profiles for OL-7

1.  [ ] no_profile_selected
2.  [X] stig
    6. Retorne ao menu principal. Insira 9 para salvar as alterações e realizar uma verificação no sistema.
      A verificação pode levar de 25 a 30 minutos.

Histórico de Revisão da Imagem Oracle Linux STIG

A Oracle atualiza a Imagem do Oracle Linux STIG regularmente para tratar problemas de segurança.

Se você estiver implantando uma Imagem do Oracle Linux STIG mais antiga, talvez queira fazer uma varredura subsequente para verificar se existem atualizações regulares trimestrais do DISA para o STIG. Consulte Verificando Novamente a Conformidade de uma Instância para obter mais informações.

Oracle Linux 8

Oracle-Linux-8.10-STIG Setembro de 2024
Estas informações são para:
  • Oracle Linux-8.10-2024.08.20-STIG (para x86_64)
  • Oracle Linux-8.10-aarch64-2024.08.20-STIG (para aarch64)
Informações da Imagem
  • kernel-uek: 5.15.0-209.161.7.1.el8uek
  • Primeira versão do Oracle Linux 8.10 reforçada com DISA STIG para Oracle Linux 8 Ver 1, Versão 10.
  • Atualizados os pacotes de sistema para as versões mais recentes disponíveis, com correções de segurança.
  • Remediações adicionais da regra STIG aplicadas à imagem. Consulte Usando a Lista de Verificação para Exibir Configurações Adicionais.
  • Arquivos de lista de verificação em /usr/share/xml/stig:
    • OL8_SSG_STIG_V1R10_CHECKLIST_RELEASE.ckl
    • OL8_DISA_BENCHMARK_V1R8_CHECKLIST_RELEASE.ckl
Informações de Conformidade

Meta: perfil "STIG" do SSG alinhado com o DISA STIG para Oracle Linux 8 Ver 1, Rel 10

  • Pontuação de Conformidade da Lista de Verificação para x86_64: 74,63%
  • Pontuação de Conformidade da Lista de Verificação para aarch64: 74,55%

Destino: DISA STIG para perfil de Benchmark do Oracle Linux 8 Ver 1, Rel 8

  • Pontuação de Conformidade da Lista de Verificação para x86_64: 80,57%
  • Pontuação de Conformidade da Lista de Verificação para aarch64: 80,57%
Observação

As pontuações de conformidade mais altas do Benchmark DISA STIG refletem um escopo de regras mais limitado em comparação com o DISA STIG completo. No entanto, o perfil "stig" do SSG é responsável pelo DISA STIG completo, fornecendo uma avaliação mais abrangente da conformidade da imagem.
Oracle-Linux-8.9-STIG Janeiro de 2024
Estas informações são para:
  • Oracle Linux-8.9-2024.01.25-STIG (para x86_64)
  • Oracle Linux-8.9-aarch64-2024.01.25-STIG (para aarch64)
Informações da Imagem
  • kernel-uek: 5.15.0-202.135.2.el8uek
  • Primeira versão do Oracle Linux 8.9 reforçada com DISA STIG para Oracle Linux 8 Ver 1, Versão 8.
  • Atualizados os pacotes de sistema para as versões mais recentes disponíveis, com correções de segurança.
  • Remediações adicionais da regra STIG aplicadas à imagem. Consulte Usando a Lista de Verificação para Exibir Configurações Adicionais.
  • Arquivos de lista de verificação em /usr/share/xml/stig:
    • OL8_SSG_STIG_V1R8_CHECKLIST_RELEASE.ckl
    • OL8_DISA_BENCHMARK_V1R7_CHECKLIST_RELEASE.ckl
Informações de Conformidade

Meta: perfil "STIG" SSG alinhado com DISA STIG para Oracle Linux 8 Ver 1, Rel 8

  • Pontuação de Conformidade da Lista de Verificação para x86_64: 67,50%
  • Pontuação de Conformidade da Lista de Verificação para aarch64: 67,40%

Destino: DISA STIG para o perfil do Oracle Linux 8 Ver 1, Rel 7 Benchmark

  • Pontuação de Conformidade da Lista de Verificação para x86_64: 78,92%
  • Pontuação de Conformidade da Lista de Verificação para aarch64: 78,92%
Observação

As pontuações de conformidade mais altas do Benchmark DISA STIG refletem um escopo de regras mais limitado em comparação com o DISA STIG completo. No entanto, o perfil "stig" do SSG é responsável pelo DISA STIG completo, fornecendo uma avaliação mais abrangente da conformidade da imagem.
Oracle-Linux-8.8-STIG Julho de 2023
Estas informações são para:
  • Oracle Linux-8.8-2023.07.06-STIG (para x86_64)
  • Oracle Linux-8.8-aarch64-2023.07.06-STIG (para aarch64)
Informações da Imagem
  • kernel-uek: 5.15.0-102.110.5.1.el8uek
  • Primeira versão do Oracle Linux 8.8 reforçada com DISA STIG para Oracle Linux 8 Ver 1, Versão 6.
  • Atualizados os pacotes de sistema para as versões mais recentes disponíveis, com correções de segurança.
  • Remediações adicionais da regra STIG aplicadas à imagem. Consulte Usando a Lista de Verificação para Exibir Configurações Adicionais.
  • Arquivos de lista de verificação em /usr/share/xml/stig:
    • OL8_SSG_STIG_V1R6_CHECKLIST_RELEASE.ckl
    • OL8_DISA_BENCHMARK_V1R5_CHECKLIST_RELEASE.ckl
Informações de Conformidade

Meta: perfil "STIG" do SSG alinhado com o DISA STIG para Oracle Linux 8 Ver 1, Rel 6

  • Pontuação de Conformidade da Lista de Verificação para x86_64: 64,81%
  • Pontuação de Conformidade da Lista de Verificação para aarch64: 64,54%

Destino: DISA STIG para perfil de Benchmark do Oracle Linux 8 Ver 1, Rel 5

  • Pontuação de Conformidade da Lista de Verificação para x86_64: 78,92%
  • Pontuação de Conformidade da Lista de Verificação para aarch64: 78,92%
Observação

As pontuações de conformidade mais altas do Benchmark DISA STIG refletem um escopo de regras mais limitado em comparação com o DISA STIG completo. No entanto, o perfil "stig" do SSG é responsável pelo DISA STIG completo, fornecendo uma avaliação mais abrangente da conformidade da imagem.
Oracle-Linux-8.7-STIG Abril de 2023
Estas informações são para:
  • Oracle Linux-8.7-2023.04.26-STIG (para x86_64)
  • Oracle Linux-8.7-aarch64-2023.04.26-STIG (para aarch64)
Informações da Imagem
  • kernel-uek: 5.15.0-100.96.32.el8uek
  • Primeira versão do Oracle Linux 8.7 reforçada com DISA STIG para Oracle Linux 8 Ver 1, Versão 5.
  • Atualizados os pacotes de sistema para as versões mais recentes disponíveis, com correções de segurança.
  • Remediações adicionais da regra STIG aplicadas à imagem. Consulte Usando a Lista de Verificação para Exibir Configurações Adicionais.
  • Arquivos de lista de verificação em /usr/share/xml/stig:
    • OL8_SSG_STIG_V1R5_CHECKLIST_RELEASE.ckl
    • OL8_DISA_BENCHMARK_V1R4_CHECKLIST_RELEASE.ckl
Informações de Conformidade

Meta: perfil "STIG" do SSG alinhado com o DISA STIG para Oracle Linux 8 Ver 1, Rel 5

  • Pontuação de Conformidade da Lista de Verificação para x86_64: 63,78%
  • Pontuação de Conformidade da Lista de Verificação para aarch64: 63,50%

Destino: DISA STIG para perfil do Oracle Linux 8 Ver 1, Rel 4 Benchmark

  • Pontuação de Conformidade da Lista de Verificação para x86_64: 79,25%
  • Pontuação de Conformidade da Lista de Verificação para aarch64: 79,25%
Observação

As pontuações de conformidade mais altas do Benchmark DISA STIG refletem um escopo de regras mais limitado em comparação com o DISA STIG completo. No entanto, o perfil "stig" do SSG é responsável pelo DISA STIG completo, fornecendo uma avaliação mais abrangente da conformidade da imagem.

Oracle Linux 7 (suporte estendido)

Oracle-Linux-7.9-STIG Fevereiro de 2025

Estas informações são para:

  • Oracle Linux-7.9-2025.02.06-STIG (para x86_64)
  • Oracle Linux-7.9-aarch64-2025.02.06-STIG (para aarch64)
Informações da Imagem
  • kernel-uek: 5.4.17-2136.339.5.1.el7uek (x86_64) e 5.4.17-2136.338.4.2 (aarch64)
  • Atualizados os pacotes de sistema para as versões mais recentes disponíveis, com correções de segurança.
  • Canais yum de Suporte Estendido ao Linux (ELS), ou repositórios, adicionados à imagem x86_64.
  • O destino da conformidade é o perfil SSG alinhado com o DISA STIG para Oracle Linux 7 Ver 3, Rel 1.
  • Versão mínima do SSG: scap-security-guide-0.1.73-1.0.3
  • Remediações adicionais da regra STIG aplicadas à imagem. Consulte Usando a Lista de Verificação para Exibir Configurações Adicionais.
  • Arquivos de lista de verificação em /usr/share/xml/stig:
    • OL7_SSG_STIG_V3R1_CHECKLIST_RELEASE.ckl
    • OL7_DISA_BENCHMARK_V3R1_CHECKLIST_RELEASE.ckl
Informações de Conformidade

Destino: perfil "STIG" do SSG alinhado com o DISA STIG para Oracle Linux 7 Ver 3, Rel 1

  • Pontuação de Conformidade da Lista de Verificação x86_64: 81,65%
  • Pontuação de Conformidade da Lista de Verificação aarch64: 81,65%

Destino: Perfil do DISA STIG para Oracle Linux 7 Ver 3, Rel 1 Benchmark

  • Pontuação de Conformidade da Lista de Verificação x86_64: 91,71%
  • Pontuação de Conformidade da Lista de Verificação aarch64: 91,71%
Observação

O padrão STIG do DISA não teve alterações significativas, além de texto, entre o Oracle Linux 7 Ver 3, Rel 1 e o Oracle Linux 7 Ver 2, Rel 14. Por isso, qualquer sistema compatível com o Oracle Linux 7 Ver 2, Rel 14 também é compatível com o Oracle Linux 7 Ver 3, Rel 1.
Observação

As pontuações de conformidade mais altas do Benchmark DISA STIG refletem um escopo de regras mais limitado em comparação com o DISA STIG completo. No entanto, o perfil "stig" do SSG é responsável pelo DISA STIG completo, fornecendo uma avaliação mais abrangente da conformidade da imagem.
Oracle-Linux-7.9-STIG Maio de 2024

Estas informações são para:

  • Oracle Linux-7.9-2024.05.31-STIG (para x86_64)
  • Oracle Linux-7.9-aarch64-2024.05.31-STIG (para aarch64)
Informações da Imagem
  • kernel-uek: 5.4.17-2136.331.7.el7uek
  • Atualizados os pacotes de sistema para as versões mais recentes disponíveis, com correções de segurança.
  • O destino da conformidade é o perfil SSG alinhado com o DISA STIG para Oracle Linux 7 Ver 2, Rel 14.
  • Versão mínima do SSG: scap-security-guide-0.1.72-2.0.1
  • Remediações adicionais da regra STIG aplicadas à imagem. Consulte Usando a Lista de Verificação para Exibir Configurações Adicionais.
  • Arquivos de lista de verificação em /usr/share/xml/stig:
    • OL7_SSG_STIG_V2R14_CHECKLIST_RELEASE.ckl
    • OL7_DISA_BENCHMARK_V1R14_CHECKLIST_RELEASE.ckl
Informações de Conformidade

Destino: perfil SSG "STIG" alinhado com o DISA STIG para Oracle Linux 7 Ver 2, Rel 14

  • Pontuação de Conformidade da Lista de Verificação x86_64: 81,36%
  • Pontuação de Conformidade da Lista de Verificação aarch64: 81,36%

Destino: DISA STIG para o perfil Oracle Linux 7 Ver 2, Rel 14 Benchmark

  • Pontuação de Conformidade da Lista de Verificação x86_64: 91,77%
  • Pontuação de Conformidade da Lista de Verificação aarch64: 91,77%
Observação

O padrão STIG do DISA não teve alterações significativas, além de texto, entre o Oracle Linux 7 Ver 2, Rel 13 e o Oracle Linux 7 Ver 2, Rel 14. Por isso, qualquer sistema compatível com o Oracle Linux 7 Ver 2, Rel 13 também é compatível com o Oracle Linux 7 Ver 2, Rel 14.
Observação

As pontuações de conformidade mais altas do Benchmark DISA STIG refletem um escopo de regras mais limitado em comparação com o DISA STIG completo. No entanto, o perfil "STIG" do SSG é responsável pelo DISA STIG completo, fornecendo uma avaliação mais abrangente da conformidade da imagem.
Oracle-Linux-7.9-STIG Dezembro de 2023

Estas informações são para:

  • Oracle Linux-7.9-2023.11.30-STIG (para x86_64)
  • Oracle Linux-7.9-aarch64-2023.11.30-STIG (para aarch64)
Informações da Imagem
  • kernel-uek: 5.4.17-2136.325.5.1.el7uek
  • Atualizados os pacotes de sistema para as versões mais recentes disponíveis, com correções de segurança.
  • O destino da conformidade é o perfil SSG alinhado com o DISA STIG para Oracle Linux 7 Ver 2, Rel 13.
  • Versão mínima do SSG: scap-security-guide-0.1.69-1.0.1
  • Remediações adicionais da regra STIG aplicadas à imagem. Consulte Usando a Lista de Verificação para Exibir Configurações Adicionais.
  • Arquivos de lista de verificação em /usr/share/xml/stig:
    • OL7_SSG_STIG_V2R13_CHECKLIST_RELEASE.ckl
    • OL7_DISA_BENCHMARK_V1R13_CHECKLIST_RELEASE.ckl
Informações de Conformidade

Destino: perfil SSG "STIG" alinhado com o DISA STIG para Oracle Linux 7 Ver 2, Rel 13

  • Pontuação de Conformidade da Lista de Verificação x86_64: 81,36%
  • Pontuação de Conformidade da Lista de Verificação aarch64: 81,36%

Destino: DISA STIG para o perfil Oracle Linux 7 Ver 2, Rel 13 Benchmark

  • Pontuação de Conformidade da Lista de Verificação x86_64: 91.71%
  • Pontuação de Conformidade da Lista de Verificação aarch64: 91.71%
Observação

O padrão STIG do DISA não teve alterações significativas, além de texto, entre o Oracle Linux 7 Ver 2, Rel 12 e o Oracle Linux 7 Ver 2, Rel 13. Por causa disso, qualquer sistema compatível com o Oracle Linux 7 Ver 2, a Versão 12 também é compatível com o Oracle Linux 7 Ver 2, Versão 13.
Observação

As pontuações de conformidade mais altas para o Benchmark DISA STIG refletem um escopo de regras mais limitado em comparação com o DISA STIG completo. No entanto, o perfil SSG "STIG" é responsável por todo o DISA STIG, proporcionando uma avaliação mais abrangente da conformidade da imagem.
Oracle-Linux-7.9-STIG Maio de 2023

Estas informações são para:

  • Oracle Linux-7.9-2023.05.31-STIG (para x86_64)
  • Oracle Linux-7.9-aarch64-2023.05.31-STIG (para aarch64)
Informações da Imagem
  • kernel-uek: 5.4.17-2136.319.1.3.el7uek
  • Atualizados os pacotes de sistema para as versões mais recentes disponíveis, com correções de segurança.
  • Destino de conformidade transferido para o perfil SSG alinhado com o DISA STIG para Oracle Linux 7 Ver 2, Rel 11.
  • Remediações adicionais da regra STIG aplicadas à imagem. Consulte Usando a Lista de Verificação para Exibir Configurações Adicionais.
  • Arquivos de lista de verificação em /usr/share/xml/stig:
    • OL7_SSG_STIG_V2R11_CHECKLIST_RELEASE.ckl
    • OL7_DISA_BENCHMARK_V1R11_CHECKLIST_RELEASE.ckl
Informações de Conformidade

Destino: perfil SSG "STIG" alinhado com o DISA STIG para Oracle Linux 7 Ver 2, Rel 11

  • Pontuação de Conformidade da Lista de Verificação x86_64: 81,36%
  • Pontuação de Conformidade da Lista de Verificação aarch64: 81,36%

Destino: DISA STIG para o perfil Oracle Linux 7 Ver 2, Rel 11 Benchmark

  • Pontuação de Conformidade da Lista de Verificação x86_64: 91.71%
  • Pontuação de Conformidade da Lista de Verificação aarch64: 91.71%
Observação

As pontuações de conformidade mais altas para o Benchmark DISA STIG refletem um escopo de regras mais limitado em comparação com o DISA STIG completo. No entanto, o perfil SSG "STIG" é responsável por todo o DISA STIG, proporcionando uma avaliação mais abrangente da conformidade da imagem.

Imagens mais antigas

Oracle-Linux-7.9-aarch64-2022.08.29-STIG
  • ponta do kernel: 5.4.17-2136.310.7.1.el7uek.aarch64
  • Atualizados os pacotes de sistema para as versões mais recentes disponíveis, com correções de segurança.
  • Remediações de regra STIG adicionais aplicadas à imagem. Consulte Correções Adicionais.
  • Transição de conformidade do DISA STIG Benchmark Ver 2, Rel 4 para o perfil SSG alinhado com o DISA STIG para Oracle Linux 7 Ver 2, Rel 8.

Informações de Conformidade

  • Destino: perfil SSG alinhado com o DISA STIG para Oracle Linux 7 Ver 2, Rel 8
  • OpenSCAP Pontuação de Conformidade: 80.83%
Remediações Adicionais

Para cada regra de segurança estabelecida pelo DISA, as instruções para aplicar a configuração de segurança apropriada são fornecidas no Oracle Linux 7 Security Technical Implementation Guide.

  1. Revise a tabela a seguir e certifique-se de entender os possíveis impactos na instância se você remediar.

  2. Faça download do STIG mais recente em https://public.cyber.mil/stigs/downloads/ pesquisando o Oracle Linux e selecionando uma versão.

  3. Faça download da Ferramenta Visualizador de STIG da DISA em: https://public.cyber.mil/stigs/srg-stig-tools/
  4. Abra o arquivo xccdf.xml do STIG no Visualizador.

  5. Para cada regra na tabela abaixo que você deseja corrigir, faça o seguinte:

    1. Procure o STIG-ID da regra no guia para ir até a seção apropriada que explica a regra, as vulnerabilidades e as etapas para cumprir a regra.

    2. Execute as etapas de configuração fornecidas.

A tabela a seguir descreve as áreas de orientação não incluídas na Imagem do Oracle Linux STIG, que exigem configuração adicional, e chama configurações adicionais que podem afetar a conta padrão do Oracle Cloud Infrastructure da instância.

As regras marcadas como tendo suporte à automação têm automação integrada para verificar os requisitos da regra e aplicar as remediações exigidas, se necessário. Todas as regras sem suporte à automação precisam ser revisadas manualmente por um usuário em um sistema porque as verificações de automação em relação aos requisitos de regra não são suportadas ou nenhum script de correção está disponível.

ID do STIG

Descrição da Regra

Suporte à Automação

Motivo da Exclusão

OL07-00-010050 O sistema operacional Oracle Linux deve exibir o Aviso e o Banner de Consentimento DoD Padrão Obrigatório antes de conceder acesso local ou remoto ao sistema por meio de um log-on de usuário da linha de comando. Sim Requer o consentimento do usuário do Aviso e Acordo de Consentimento DoD Padrão Obrigatório.

OL07-00-010230

O sistema operacional Oracle Linux deve ser configurado para que as senhas dos novos usuários sejam restritas a uma vida útil mínima de 24 horas/1 dia.

Sim

Afeta a conta de log-in do usuário do OPC padrão configurada para o acesso à instância do Oracle Cloud Infrastructure.

OL07-00-010240

O sistema operacional Oracle Linux deve ser configurado para que as senhas sejam restritas a uma vida útil mínima de 24 horas/1 dia.

Sim

Afeta a conta de log-in do usuário do OPC padrão configurada para o acesso à instância do Oracle Cloud Infrastructure.

OL07-00-010250

O sistema operacional Oracle Linux deve ser configurado para que as senhas dos novos usuários sejam restritas a uma vida útil máxima de 60 dias.

Sim

Afeta a conta de log-in do usuário do OPC padrão configurada para o acesso à instância do Oracle Cloud Infrastructure.

OL07-00-010260 1

O sistema operacional Oracle Linux deve ser configurado para que as senhas existentes sejam restritas a uma vida útil máxima de 60 dias.

Não

Afeta a conta de log-in do usuário do OPC padrão configurada para o acesso à instância do Oracle Cloud Infrastructure. As regras de vida útil da senha do PAM afetam também as chaves SSH.

IMPACTO IMPORTANTE NO OCI: A restrição das senhas existentes a um ciclo de vida máximo de 60 dias pode fazer com que a conta do OPC seja bloqueada de forma irrecuperável após 60 dias como resultado da definição sem senha da conta.
OL07-00-010320 O sistema operacional Oracle Linux deve ser configurado para bloquear contas por no mínimo 15 minutos após três tentativas de log-on malsucedidas em um período de 15 minutos. Sim Afeta a conta de log-in do usuário do OPC padrão configurada para o acesso à instância do Oracle Cloud Infrastructure.
OL07-00-010330 O sistema operacional Oracle Linux deve bloquear a conta associada após três tentativas malsucedidas de log-on raiz em um período de 15 minutos. Sim Afeta a conta de log-in do usuário do OPC padrão configurada para o acesso à instância do Oracle Cloud Infrastructure.

OL07-00-010340

O sistema operacional Oracle Linux deve ser configurado para que os usuários forneçam uma senha para escalação de privilégios.

Sim

De acordo com o esquema padrão do Oracle Cloud Infrastructure, NOPASSWD é definido para OPC.

OL07-00-010342

O sistema operacional Oracle Linux deve usar a senha do usuário que faz a chamada para escalação de privilégios ao usar o comando sudo.

Sim

Afeta a conta de log-in do OPC padrão.

OL07-00-010491 1

Os sistemas operacionais Oracle Linux versão 7.2 ou mais recente, usando a Unified Extensible Firmware Interface (UEFI), devem exigir autenticação no momento da inicialização nos modos usuário único e manutenção.

Não

Exige a senha do GRUB 2 que não é viável para a imagem padrão.

IMPACTO IMPORTANTE NO OCI: A implementação de uma senha GRUB 2 introduziria um prompt de senha na inicialização da instância.
OL07-00-010492 Os sistemas operacionais Oracle Linux versão 7.2 ou mais recente inicializados com a UEFI (United Extensible Firmware Interface) devem ter um nome exclusivo para a conta de superusuários grub ao inicializar em modo de usuário único e manutenção. Não Requer alteração do nome de superusuário padrão. Afeta a inicialização do superusuário grub.
OL07-00-010500 O sistema operacional Oracle Linux deve identificar e autenticar de forma exclusiva usuários organizacionais (ou processos que atuam em nome de usuários organizacionais) usando autenticação multifator. Sim A autenticação multifator não está configurada na imagem padrão do Oracle Cloud Infrastructure.
OL07-00-020019 O sistema operacional Oracle Linux deve implementar a ferramenta Endpoint Security for Linux Threat Prevention. Não O Oracle Linux não é fornecido com o Software de Verificação de Vírus. A Configuração do Usuário é necessária.
OL07-00-020020 O sistema operacional Oracle Linux deve impedir que usuários não privilegiados executem funções privilegiadas para incluir a desativação, a evasão ou a alteração de proteções/contramedidas de segurança implementadas. Não Requer obter uma lista específica de usuários autorizados do ISSO do usuário.

OL07-00-020021

O sistema operacional Oracle Linux deve limitar os usuários do SELinux às atribuições que estão em conformidade com o privilégio mínimo.

 Não Requer revisão de um SA/ISSO do usuário para determinar a conformidade de mapeamento de atribuição do SELinux.

OL07-00-020023

O sistema operacional Oracle Linux deve elevar o contexto do SELinux quando um administrador chama o comando sudo.

 Não

Afeta a conta de log-in do usuário do OPC padrão configurada para o acesso à instância do Oracle Cloud Infrastructure.

OL07-00-020030

O sistema operacional Oracle Linux deve ser configurado para que uma ferramenta de integridade de arquivos verifique a configuração do sistema operacional de linha de base pelo menos uma vez por semana.

Sim

O AIDE ou outra intrusão detecta que o sistema deve ser configurado na imagem de destino.

OL07-00-020040 O sistema operacional Oracle Linux deve ser configurado para que o pessoal designado seja notificado se as configurações de linha de base forem alteradas de forma não autorizada. Sim Requer que o AIDE detecte o sistema a ser instalado antes da configuração.
OL07-00-020270 O sistema operacional Oracle Linux não deve ter contas desnecessárias. Não Requer a obtenção de uma lista específica de contas de sistema autorizadas do ISSO do usuário

OL07-00-020680

O sistema operacional Oracle Linux deve ser configurado para que todos os arquivos e diretórios contidos nos diretórios home do usuário interativo local tenham um modo de 750 ou menos permissivo.

 Não

Restringe o acesso de permissão de arquivo aos serviços do sistema.

OL07-00-020720

O sistema operacional Oracle Linux deve ser configurado para que todos os caminhos de pesquisa executáveis dos arquivos de inicialização do usuário interativo local contenham somente caminhos que são resolvidos para o diretório home dos usuários.

 Não

Afeta o acesso a binários e utilitários do usuário.
OL07-00-021000 O sistema operacional Oracle Linux deve ser configurado para que os sistemas de arquivos que contêm diretórios home do usuário sejam montados para impedir que os arquivos com o conjunto de bits setuid e setgid sejam executados. Sim Afeta o acesso do usuário à execução de arquivos binários dentro de seus diretórios home.
OL07-00-021300 O sistema operacional Oracle Linux deve desativar os dumps de memória do Kernel somente se necessário. Sim O serviço Kdump é necessário para fins de diagnóstico em caso de falhas de kernel geradas pelo sistema.

OL07-00-021350 1

O sistema operacional Oracle Linux deve implementar a criptografia NIST validada por FIPS para provisionar assinaturas digitais, gerar hashes criptográficos e proteger dados que exigem proteção de dados em repouso de acordo com as leis federais, Decretos, diretivas, políticas, regulamentações e padrões aplicáveis.

Não

Resgate a exclusão do cmdline do kernel do parâmetro fips=1.

IMPACTO IMPORTANTE NO OCI: A adição de fips=1 ao cmdline do kernel de resgate pode resultar na falha na inicialização da instância com um Erro Fatal.
OL07-00-021600 O sistema operacional Oracle Linux deve ser configurado para que a ferramenta de integridade de arquivos seja configurada para verificar as ACLs (Listas de Controle de Acesso). Sim Requer que o AIDE detecte o sistema a ser instalado antes da configuração.
OL07-00-021610 O sistema operacional Oracle Linux deve ser configurado para que a ferramenta de integridade de arquivos seja configurada para verificar atributos estendidos. Sim Requer que o AIDE detecte o sistema a ser instalado antes da configuração.
OL07-00-021620 O sistema operacional Oracle Linux deve usar uma ferramenta de integridade de arquivos que é configurada para usar hashes criptográficos aprovados pelo FIPS 140-2 para validar conteúdo e diretórios de arquivos. Sim Requer que o AIDE detecte o sistema a ser instalado antes da configuração.

OL07-00-030010 1

O sistema operacional Oracle Linux deverá ser desligado após uma falha no processamento de auditoria, a menos que a disponibilidade seja uma preocupação fundamental. Se a disponibilidade for uma preocupação, o sistema deverá alertar a equipe designada (Administrador do Sistema [SA] e Administrador de Segurança do Sistema de Informação [ISSO] no mínimo) se ocorrer uma falha no processamento de auditoria.

Sim

A definição padrão do parâmetro failure é 1, que só envia informações ao log do kernel com relação à falha, em vez de fazer shutdown da instância.

IMPACTO IMPORTANTE NO OCI: A definição do parâmetro failure como 2 resultaria em pane e shutdown do sistema quando uma falha no processamento de auditoria ocorresse.

OL07-00-030201

O sistema operacional Oracle Linux deve ser configurado para descarregar logs de auditoria em um sistema ou mídia de armazenamento distinto do sistema que está sendo auditado.

 Não

A configuração do plug-in au-remote presume os detalhes do servidor remoto.

OL07-00-030300

O sistema operacional Oracle Linux deve descarregar os registros de auditoria em outro sistema ou mídia que não seja do sistema que está sendo auditado.

Sim

A configuração do plug-in au-remote presume os detalhes do servidor remoto.

OL07-00-030310

O sistema operacional Oracle Linux deve criptografar a transferência de registros de auditoria descarregados em outro sistema ou mídia que não seja do sistema que está sendo auditado.

Sim

A configuração do plug-in au-remote presume os detalhes do servidor remoto.

OL07-00-030320

O sistema operacional Oracle Linux deve ser configurado para que o sistema de auditoria execute a ação apropriada quando o volume de armazenamento de auditoria estiver cheio.

Não

A configuração do plug-in au-remote presume os detalhes do servidor remoto.

OL07-00-030321

O sistema operacional Oracle Linux deve ser configurado para que o sistema de auditoria execute a ação apropriada quando ocorrer um erro ao enviar registros de auditoria para um sistema remoto.

Não

A configuração do plug-in au-remote presume os detalhes do servidor remoto.

OL07-00-031000 O sistema operacional Oracle Linux deve enviar a saída rsyslog para um servidor de agregação de logs. Sim Requer um servidor remoto para transmitir informações de rsyslog.
OL07-00-032000 O sistema operacional Oracle Linux deve usar um programa de verificação de vírus. Não O Oracle Linux não é fornecido com o Software de Verificação de Vírus. A Configuração do Usuário é necessária.
OL07-00-040100 O sistema operacional Oracle Linux deve ser configurado para proibir ou restringir o uso de funções, portas, protocolos e/ou serviços, conforme definido na PPSM CLSA (Ports, Protocols, and Services Management Component Local Service Assessment) e avaliações de vulnerabilidade. Não Requer revisão de portas, protocolos e/ou serviços conforme definido pela CLSA PPSM de um usuário.
OL07-00-040160 O sistema operacional Oracle Linux deve ser configurado para que todas as conexões de rede associadas a uma sessão de comunicação sejam encerradas no final da sessão ou após 15 minutos de inatividade do usuário em um prompt de comando, exceto para atender a requisitos de missão documentados e validados. Sim Pode ser prejudicial para as cargas de trabalho do usuário.
OL07-00-040170 O sistema operacional Oracle Linux deve exibir o Aviso Padrão Obrigatório DoD e o Banner de Consentimento imediatamente antes ou como parte dos prompts de log-on de acesso remoto. Sim Requer o consentimento do usuário do Aviso e Acordo de Consentimento DoD Padrão Obrigatório.

OL07-00-040420

O sistema operacional Oracle Linux deve ser configurado para que os arquivos de chave do host privado SSH tenham o modo 0600 ou menos permissivo.

 Sim Altera as permissões padrão da chave de host privada SSH geradas pelo serviço do sistema.

OL07-00-040600

Pelo menos dois servidores de nome devem ser configurados para os sistemas operacionais Oracle Linux que usam a resolução de DNS.

Não

O Oracle Cloud Infrastructure oferece um servidor DNS de alta disponibilidade.

OL07-00-040710 1

O sistema operacional Oracle Linux deve ser configurado para que as conexões X remotas sejam desativadas, a menos que os requisitos de missão documentados e validados sejam atendidos

Sim

Afeta a conectividade da console serial da instância.

IMPACTO IMPORTANTE NO OCI: A desativação de conexões X remotas pode resultar em falha na conexão com a console serial da instância do OCI.
OL07-00-040711 O daemon SSH do sistema operacional Oracle Linux deve impedir que hosts remotos estabeleçam conexão com a exibição do proxy. Sim Afeta o acesso do usuário às instâncias do Oracle Cloud Infrastructure.

OL07-00-040810

O programa de controle de acesso do sistema operacional Oracle Linux deve ser configurado para conceder ou negar acesso do sistema a hosts e serviços específicos.

 Não Requer revisão de hosts e acesso a serviços específicos. O acesso deve ser permitido pela política de concessão do usuário.

OL07-00-040820

O sistema operacional Oracle Linux não deve ter túneis IP não autorizados configurados.

 Não Requer revisão de um SA/ISSO do usuário para determinar conexões de Túnel IPSec autorizadas.

OL07-00-041002

O sistema operacional Oracle Linux deve implementar a autenticação multifator para acesso a contas privilegiadas por meio dos módulos de autenticação plugáveis (PAM).

Não

A autenticação multifator não está configurada na imagem padrão do Oracle Cloud Infrastructure.

OL07-00-041003

O sistema operacional Oracle Linux deve implementar a verificação do status do certificado para autenticação de PKI.

Sim

Verificação de status do certificado para autenticação de PKI não configurada na imagem padrão do Oracle Cloud Infrastructure.

1 A correção dessas regras pode ter um impacto significativo na acessibilidade dos sistemas.

Changelog

ID do STIG

Descrição da Regra

Motivo da Exclusão

Status Comentários
OL07-00-010050 O sistema operacional Oracle Linux deve exibir o Aviso e o Banner de Consentimento DoD Padrão Obrigatório antes de conceder acesso local ou remoto ao sistema por meio de um log-on de usuário da linha de comando. Requer o consentimento do usuário do Aviso e Acordo de Consentimento DoD Padrão Obrigatório. Adicionado Adicionado à lista de exclusão em V2R8
OL07-00-010320 O sistema operacional Oracle Linux deve ser configurado para bloquear contas por no mínimo 15 minutos após três tentativas de log-on malsucedidas em um período de 15 minutos. Afeta a conta de log-in do usuário do OPC padrão configurada para o acesso à instância do Oracle Cloud Infrastructure. Adicionado Adicionado à lista de exclusão em V2R8
OL07-00-010330 O sistema operacional Oracle Linux deve bloquear a conta associada após três tentativas malsucedidas de log-on raiz em um período de 15 minutos. Afeta a conta de log-in do usuário do OPC padrão configurada para o acesso à instância do Oracle Cloud Infrastructure. Adicionado Adicionado à lista de exclusão em V2R8
OL07-00-010492 Os sistemas operacionais Oracle Linux versão 7.2 ou mais recente inicializados com a UEFI (United Extensible Firmware Interface) devem ter um nome exclusivo para a conta de superusuários grub ao inicializar em modo de usuário único e manutenção. Requer alteração se for o nome do superusuário padrão. Afeta a inicialização do superusuário grub. Adicionado Adicionado à lista de exclusão em V2R8
OL07-00-010500 O sistema operacional Oracle Linux deve identificar e autenticar de forma exclusiva usuários organizacionais (ou processos que atuam em nome de usuários organizacionais) usando autenticação multifator. A autenticação multifator não está configurada na imagem padrão do Oracle Cloud Infrastructure. Adicionado Adicionado à lista de exclusão em V2R8
OL07-00-020019 O sistema operacional Oracle Linux deve implementar a ferramenta Endpoint Security for Linux Threat Prevention. O Oracle Linux não é fornecido com o Software de Verificação de Vírus. A Configuração do Usuário é necessária. Adicionado Adicionado à lista de exclusão em V2R8
OL07-00-020020 O sistema operacional Oracle Linux deve impedir que usuários não privilegiados executem funções privilegiadas para incluir a desativação, a evasão ou a alteração de proteções/contramedidas de segurança implementadas. Requer obter uma lista específica de usuários autorizados do ISSO do usuário. Adicionado Adicionado à lista de exclusão em V2R8

OL07-00-020021

O sistema operacional Oracle Linux deve limitar os usuários do SELinux às atribuições que estão em conformidade com o privilégio mínimo.

 Requer revisão de um SA/ISSO do usuário para determinar a conformidade de mapeamento de atribuição do SELinux. Adicionado Adicionado à lista de exclusão em V2R8

OL07-00-020023

O sistema operacional Oracle Linux deve elevar o contexto do SELinux quando um administrador chama o comando sudo.

Afeta a conta de log-in do usuário do OPC padrão configurada para o acesso à instância do Oracle Cloud Infrastructure.

 Adicionado Adicionado à lista de exclusão em V2R8
OL07-00-020040 O sistema operacional Oracle Linux deve ser configurado para que o pessoal designado seja notificado se as configurações de linha de base forem alteradas de forma não autorizada. Requer que o AIDE detecte o sistema a ser instalado antes da configuração. Adicionado Adicionado à lista de exclusão em V2R8
OL07-00-020270 O sistema operacional Oracle Linux não deve ter contas desnecessárias. Requer a obtenção de uma lista específica de contas de sistema autorizadas do ISSO do usuário Adicionado Adicionado à lista de exclusão em V2R8

OL07-00-020680

O sistema operacional Oracle Linux deve ser configurado para que todos os arquivos e diretórios contidos nos diretórios home do usuário interativo local tenham um modo de 750 ou menos permissivo.

Restringe o acesso de permissão de arquivo aos serviços do sistema.

Adicionado Adicionado à lista de exclusão em V2R8

OL07-00-020720

O sistema operacional Oracle Linux deve ser configurado para que todos os caminhos de pesquisa executáveis dos arquivos de inicialização do usuário interativo local contenham somente caminhos que são resolvidos para o diretório home dos usuários.

Afeta o acesso a binários e utilitários do usuário.

 Adicionado Adicionado à lista de exclusão em V2R8
OL07-00-021000 O sistema operacional Oracle Linux deve ser configurado para que os sistemas de arquivos que contêm diretórios home do usuário sejam montados para impedir que os arquivos com o conjunto de bits setuid e setgid sejam executados. Afeta o acesso do usuário à execução de arquivos binários dentro de seus diretórios home. Adicionado Adicionado à lista de exclusão em V2R8
OL07-00-021300 O sistema operacional Oracle Linux deve desativar os dumps de memória do Kernel somente se necessário. O serviço Kdump é necessário para fins de diagnóstico em caso de falhas de kernel geradas pelo sistema. Adicionado Adicionado à lista de exclusão em V2R8
OL07-00-021600 O sistema operacional Oracle Linux deve ser configurado para que a ferramenta de integridade de arquivos seja configurada para verificar as ACLs (Listas de Controle de Acesso). Requer que o AIDE detecte o sistema a ser instalado antes da configuração. Adicionado Adicionado à lista de exclusão em V2R8
OL07-00-021610 O sistema operacional Oracle Linux deve ser configurado para que a ferramenta de integridade de arquivos seja configurada para verificar atributos estendidos. Requer que o AIDE detecte o sistema a ser instalado antes da configuração. Adicionado Adicionado à lista de exclusão em V2R8
OL07-00-021620 O sistema operacional Oracle Linux deve usar uma ferramenta de integridade de arquivos que é configurada para usar hashes criptográficos aprovados pelo FIPS 140-2 para validar conteúdo e diretórios de arquivos. Requer que o AIDE detecte o sistema a ser instalado antes da configuração. Adicionado Adicionado à lista de exclusão em V2R8
OL07-00-031000 O sistema operacional Oracle Linux deve enviar a saída rsyslog para um servidor de agregação de logs. Requer um servidor remoto para transmitir informações de rsyslog. Adicionado Adicionado à lista de exclusão em V2R8
OL07-00-032000 O sistema operacional Oracle Linux deve usar um programa de verificação de vírus. O Oracle Linux não é fornecido com o Software de Verificação de Vírus. A Configuração do Usuário é necessária. Adicionado Adicionado à lista de exclusão em V2R8
OL07-00-040100 O sistema operacional Oracle Linux deve ser configurado para proibir ou restringir o uso de funções, portas, protocolos e/ou serviços, conforme definido na PPSM CLSA (Ports, Protocols, and Services Management Component Local Service Assessment) e avaliações de vulnerabilidade. Requer revisão de portas, protocolos e/ou serviços conforme definido pela CLSA PPSM de um usuário. Adicionado Adicionado à lista de exclusão em V2R8
OL07-00-040160 O sistema operacional Oracle Linux deve ser configurado para que todas as conexões de rede associadas a uma sessão de comunicação sejam encerradas no final da sessão ou após 15 minutos de inatividade do usuário em um prompt de comando, exceto para atender a requisitos de missão documentados e validados. Pode ser prejudicial para as cargas de trabalho do usuário. Adicionado Adicionado à lista de exclusão em V2R8
OL07-00-040170 O sistema operacional Oracle Linux deve exibir o Aviso Padrão Obrigatório DoD e o Banner de Consentimento imediatamente antes ou como parte dos prompts de log-on de acesso remoto. Requer o consentimento do usuário do Aviso e Acordo de Consentimento DoD Padrão Obrigatório. Adicionado Adicionado à lista de exclusão em V2R8

OL07-00-040420

O sistema operacional Oracle Linux deve ser configurado para que os arquivos de chave do host privado SSH tenham o modo 0600 ou menos permissivo.

 Altera as permissões padrão da chave de host privada SSH geradas pelo serviço do sistema. Adicionado Adicionado à lista de exclusão em V2R8
OL07-00-040711 O daemon SSH do sistema operacional Oracle Linux deve impedir que hosts remotos estabeleçam conexão com a exibição do proxy. Afeta o acesso do usuário às instâncias do Oracle Cloud Infrastructure. Adicionado Adicionado à lista de exclusão em V2R8

OL07-00-040810

O programa de controle de acesso do sistema operacional Oracle Linux deve ser configurado para conceder ou negar acesso do sistema a hosts e serviços específicos.

 Requer revisão de hosts e acesso a serviços específicos. O acesso deve ser permitido pela política de concessão do usuário. Adicionado Adicionado à lista de exclusão em V2R8

OL07-00-040820

O sistema operacional Oracle Linux não deve ter túneis IP não autorizados configurados.

 Requer revisão de um SA/ISSO do usuário para determinar conexões de Túnel IPSec autorizadas. Adicionado Adicionado à lista de exclusão em V2R8
Oracle-Linux-7.9-aarch64-2021.10.08-STIG

A Imagem do Oracle Linux STIGOracle-Linux-7.9-aarch64-2021.10.08-STIG foi lançada em 16/12/2021.

Informações da Imagem

  • Versão do kernel 5.4.17-2102.205.7.3.el7uek.aarch64 UEK R6.

  • Primeira versão da Imagem do Oracle Linux STIG com base na arquitetura Arm (aarch64).

  • Versões mais recentes dos pacotes de sistema do Oracle Linux 7.9, com correções de segurança.

Informações de Conformidade

  • Destino: Oracle Linux 7 DISA STIG Benchmark - Ver 2, Rel 4.

  • Pontuação de conformidade do OpenSCAP: 89,44%.

Oracle-Linux-7.9-2022.08.29-STIG

Informações da Imagem

  • kernel-uek: 5.4.17-2136.310.7.1.el7uek.x86_64
  • Atualizados os pacotes de sistema para as versões mais recentes disponíveis, com correções de segurança.
  • Remediações de regra STIG adicionais aplicadas à imagem. Consulte Correções Adicionais.
  • Transição de conformidade do DISA STIG Benchmark Ver 2, Rel 4 para o perfil SSG alinhado com o DISA STIG para Oracle Linux 7 Ver 2, Rel 8.

Informações de Conformidade

  • Destino: perfil SSG alinhado com o DISA STIG para Oracle Linux 7 Ver 2, Rel 8.
  • OpenSCAP Pontuação de Conformidade: 80.76%
  • Classificação de Conformidade do SCC: 80.77%
Remediações Adicionais

Para cada regra de segurança estabelecida pelo DISA, as instruções para aplicar a configuração de segurança apropriada são fornecidas no Oracle Linux 7 Security Technical Implementation Guide.

  1. Revise a tabela a seguir e certifique-se de entender os possíveis impactos na instância se você remediar.

  2. Faça download do STIG mais recente em https://public.cyber.mil/stigs/downloads/ pesquisando o Oracle Linux e selecionando uma versão.

  3. Faça download da Ferramenta Visualizador de STIG da DISA em: https://public.cyber.mil/stigs/srg-stig-tools/
  4. Abra o arquivo xccdf.xml do STIG no Visualizador.

  5. Para cada regra na tabela abaixo que você deseja corrigir, faça o seguinte:

    1. Procure o STIG-ID da regra no guia para ir até a seção apropriada que explica a regra, as vulnerabilidades e as etapas para cumprir a regra.

    2. Execute as etapas de configuração fornecidas.

A tabela a seguir descreve as áreas de orientação não incluídas na Imagem do Oracle Linux STIG, que exigem configuração adicional, e chama configurações adicionais que podem afetar a conta padrão do Oracle Cloud Infrastructure da instância.

As regras marcadas como tendo suporte à automação têm automação integrada para verificar os requisitos da regra e aplicar as remediações exigidas, se necessário. Todas as regras sem suporte à automação precisam ser revisadas manualmente por um usuário em um sistema porque as verificações de automação em relação aos requisitos de regra não são suportadas ou nenhum script de correção está disponível.

ID do STIG

Descrição da Regra

Suporte à Automação

Motivo da Exclusão

OL07-00-010050 O sistema operacional Oracle Linux deve exibir o Aviso e o Banner de Consentimento DoD Padrão Obrigatório antes de conceder acesso local ou remoto ao sistema por meio de um log-on de usuário da linha de comando. Sim Requer o consentimento do usuário do Aviso e Acordo de Consentimento DoD Padrão Obrigatório.

OL07-00-010230

O sistema operacional Oracle Linux deve ser configurado para que as senhas dos novos usuários sejam restritas a uma vida útil mínima de 24 horas/1 dia.

Sim

Afeta a conta de log-in do usuário do OPC padrão configurada para o acesso à instância do Oracle Cloud Infrastructure.

OL07-00-010240

O sistema operacional Oracle Linux deve ser configurado para que as senhas sejam restritas a uma vida útil mínima de 24 horas/1 dia.

Sim

Afeta a conta de log-in do usuário do OPC padrão configurada para o acesso à instância do Oracle Cloud Infrastructure.

OL07-00-010250

O sistema operacional Oracle Linux deve ser configurado para que as senhas dos novos usuários sejam restritas a uma vida útil máxima de 60 dias.

Sim

Afeta a conta de log-in do usuário do OPC padrão configurada para o acesso à instância do Oracle Cloud Infrastructure.

OL07-00-010260 1

O sistema operacional Oracle Linux deve ser configurado para que as senhas existentes sejam restritas a uma vida útil máxima de 60 dias.

Não

Afeta a conta de log-in do usuário do OPC padrão configurada para o acesso à instância do Oracle Cloud Infrastructure. As regras de vida útil da senha do PAM afetam também as chaves SSH.

IMPACTO IMPORTANTE NO OCI: A restrição das senhas existentes a um ciclo de vida máximo de 60 dias pode fazer com que a conta do OPC seja bloqueada de forma irrecuperável após 60 dias como resultado da definição sem senha da conta.
OL07-00-010320 O sistema operacional Oracle Linux deve ser configurado para bloquear contas por no mínimo 15 minutos após três tentativas de log-on malsucedidas em um período de 15 minutos. Sim Afeta a conta de log-in do usuário do OPC padrão configurada para o acesso à instância do Oracle Cloud Infrastructure.
OL07-00-010330 O sistema operacional Oracle Linux deve bloquear a conta associada após três tentativas malsucedidas de log-on raiz em um período de 15 minutos. Sim Afeta a conta de log-in do usuário do OPC padrão configurada para o acesso à instância do Oracle Cloud Infrastructure.

OL07-00-010340

O sistema operacional Oracle Linux deve ser configurado para que os usuários forneçam uma senha para escalação de privilégios.

Sim

De acordo com o esquema padrão do Oracle Cloud Infrastructure, NOPASSWD é definido para OPC.

OL07-00-010342

O sistema operacional Oracle Linux deve usar a senha do usuário que faz a chamada para escalação de privilégios ao usar o comando sudo.

Sim

Afeta a conta de log-in do OPC padrão.

OL07-00-010491 1

Os sistemas operacionais Oracle Linux versão 7.2 ou mais recente, usando a Unified Extensible Firmware Interface (UEFI), devem exigir autenticação no momento da inicialização nos modos usuário único e manutenção.

Não

Exige a senha do GRUB 2 que não é viável para a imagem padrão.

IMPACTO IMPORTANTE NO OCI: A implementação de uma senha GRUB 2 introduziria um prompt de senha na inicialização da instância.
OL07-00-010492 Os sistemas operacionais Oracle Linux versão 7.2 ou mais recente inicializados com a UEFI (United Extensible Firmware Interface) devem ter um nome exclusivo para a conta de superusuários grub ao inicializar em modo de usuário único e manutenção. Não Requer alteração do nome de superusuário padrão. Afeta a inicialização do superusuário grub.
OL07-00-010500 O sistema operacional Oracle Linux deve identificar e autenticar de forma exclusiva usuários organizacionais (ou processos que atuam em nome de usuários organizacionais) usando autenticação multifator. Sim A autenticação multifator não está configurada na imagem padrão do Oracle Cloud Infrastructure.
OL07-00-020019 O sistema operacional Oracle Linux deve implementar a ferramenta Endpoint Security for Linux Threat Prevention. Não O Oracle Linux não é fornecido com o Software de Verificação de Vírus. A Configuração do Usuário é necessária.
OL07-00-020020 O sistema operacional Oracle Linux deve impedir que usuários não privilegiados executem funções privilegiadas para incluir a desativação, a evasão ou a alteração de proteções/contramedidas de segurança implementadas. Não Requer obter uma lista específica de usuários autorizados do ISSO do usuário.

OL07-00-020021

O sistema operacional Oracle Linux deve limitar os usuários do SELinux às atribuições que estão em conformidade com o privilégio mínimo.

 Não Requer revisão de um SA/ISSO do usuário para determinar a conformidade de mapeamento de atribuição do SELinux.

OL07-00-020023

O sistema operacional Oracle Linux deve elevar o contexto do SELinux quando um administrador chama o comando sudo.

 Não

Afeta a conta de log-in do usuário do OPC padrão configurada para o acesso à instância do Oracle Cloud Infrastructure.

OL07-00-020030

O sistema operacional Oracle Linux deve ser configurado para que uma ferramenta de integridade de arquivos verifique a configuração do sistema operacional de linha de base pelo menos uma vez por semana.

Sim

O AIDE ou outra intrusão detecta que o sistema deve ser configurado na imagem de destino.

OL07-00-020040 O sistema operacional Oracle Linux deve ser configurado para que o pessoal designado seja notificado se as configurações de linha de base forem alteradas de forma não autorizada. Sim Requer que o AIDE detecte o sistema a ser instalado antes da configuração.
OL07-00-020270 O sistema operacional Oracle Linux não deve ter contas desnecessárias. Não Requer a obtenção de uma lista específica de contas de sistema autorizadas do ISSO do usuário

OL07-00-020680

O sistema operacional Oracle Linux deve ser configurado para que todos os arquivos e diretórios contidos nos diretórios home do usuário interativo local tenham um modo de 750 ou menos permissivo.

 Não

Restringe o acesso de permissão de arquivo aos serviços do sistema.

OL07-00-020720

O sistema operacional Oracle Linux deve ser configurado para que todos os caminhos de pesquisa executáveis dos arquivos de inicialização do usuário interativo local contenham somente caminhos que são resolvidos para o diretório home dos usuários.

 Não

Afeta o acesso a binários e utilitários do usuário.
OL07-00-021000 O sistema operacional Oracle Linux deve ser configurado para que os sistemas de arquivos que contêm diretórios home do usuário sejam montados para impedir que os arquivos com o conjunto de bits setuid e setgid sejam executados. Sim Afeta o acesso do usuário à execução de arquivos binários dentro de seus diretórios home.
OL07-00-021300 O sistema operacional Oracle Linux deve desativar os dumps de memória do Kernel somente se necessário. Sim O serviço Kdump é necessário para fins de diagnóstico em caso de falhas de kernel geradas pelo sistema.

OL07-00-021350 1

O sistema operacional Oracle Linux deve implementar a criptografia NIST validada por FIPS para provisionar assinaturas digitais, gerar hashes criptográficos e proteger dados que exigem proteção de dados em repouso de acordo com as leis federais, Decretos, diretivas, políticas, regulamentações e padrões aplicáveis.

Não

Resgate a exclusão do cmdline do kernel do parâmetro fips=1.

IMPACTO IMPORTANTE NO OCI: A adição de fips=1 ao cmdline do kernel de resgate pode resultar na falha na inicialização da instância com um Erro Fatal.
OL07-00-021600 O sistema operacional Oracle Linux deve ser configurado para que a ferramenta de integridade de arquivos seja configurada para verificar as ACLs (Listas de Controle de Acesso). Sim Requer que o AIDE detecte o sistema a ser instalado antes da configuração.
OL07-00-021610 O sistema operacional Oracle Linux deve ser configurado para que a ferramenta de integridade de arquivos seja configurada para verificar atributos estendidos. Sim Requer que o AIDE detecte o sistema a ser instalado antes da configuração.
OL07-00-021620 O sistema operacional Oracle Linux deve usar uma ferramenta de integridade de arquivos que é configurada para usar hashes criptográficos aprovados pelo FIPS 140-2 para validar conteúdo e diretórios de arquivos. Sim Requer que o AIDE detecte o sistema a ser instalado antes da configuração.

OL07-00-030010 1

O sistema operacional Oracle Linux deverá ser desligado após uma falha no processamento de auditoria, a menos que a disponibilidade seja uma preocupação fundamental. Se a disponibilidade for uma preocupação, o sistema deverá alertar a equipe designada (Administrador do Sistema [SA] e Administrador de Segurança do Sistema de Informação [ISSO] no mínimo) se ocorrer uma falha no processamento de auditoria.

Sim

A definição padrão do parâmetro failure é 1, que só envia informações ao log do kernel com relação à falha, em vez de fazer shutdown da instância.

IMPACTO IMPORTANTE NO OCI: A definição do parâmetro failure como 2 resultaria em pane e shutdown do sistema quando uma falha no processamento de auditoria ocorresse.

OL07-00-030201

O sistema operacional Oracle Linux deve ser configurado para descarregar logs de auditoria em um sistema ou mídia de armazenamento distinto do sistema que está sendo auditado.

 Não

A configuração do plug-in au-remote presume os detalhes do servidor remoto.

OL07-00-030300

O sistema operacional Oracle Linux deve descarregar os registros de auditoria em outro sistema ou mídia que não seja do sistema que está sendo auditado.

Sim

A configuração do plug-in au-remote presume os detalhes do servidor remoto.

OL07-00-030310

O sistema operacional Oracle Linux deve criptografar a transferência de registros de auditoria descarregados em outro sistema ou mídia que não seja do sistema que está sendo auditado.

Sim

A configuração do plug-in au-remote presume os detalhes do servidor remoto.

OL07-00-030320

O sistema operacional Oracle Linux deve ser configurado para que o sistema de auditoria execute a ação apropriada quando o volume de armazenamento de auditoria estiver cheio.

Não

A configuração do plug-in au-remote presume os detalhes do servidor remoto.

OL07-00-030321

O sistema operacional Oracle Linux deve ser configurado para que o sistema de auditoria execute a ação apropriada quando ocorrer um erro ao enviar registros de auditoria para um sistema remoto.

Não

A configuração do plug-in au-remote presume os detalhes do servidor remoto.

OL07-00-031000 O sistema operacional Oracle Linux deve enviar a saída rsyslog para um servidor de agregação de logs. Sim Requer um servidor remoto para transmitir informações de rsyslog.
OL07-00-032000 O sistema operacional Oracle Linux deve usar um programa de verificação de vírus. Não O Oracle Linux não é fornecido com o Software de Verificação de Vírus. A Configuração do Usuário é necessária.
OL07-00-040100 O sistema operacional Oracle Linux deve ser configurado para proibir ou restringir o uso de funções, portas, protocolos e/ou serviços, conforme definido na PPSM CLSA (Ports, Protocols, and Services Management Component Local Service Assessment) e avaliações de vulnerabilidade. Não Requer revisão de portas, protocolos e/ou serviços conforme definido pela CLSA PPSM de um usuário.
OL07-00-040160 O sistema operacional Oracle Linux deve ser configurado para que todas as conexões de rede associadas a uma sessão de comunicação sejam encerradas no final da sessão ou após 15 minutos de inatividade do usuário em um prompt de comando, exceto para atender a requisitos de missão documentados e validados. Sim Pode ser prejudicial para as cargas de trabalho do usuário.
OL07-00-040170 O sistema operacional Oracle Linux deve exibir o Aviso Padrão Obrigatório DoD e o Banner de Consentimento imediatamente antes ou como parte dos prompts de log-on de acesso remoto. Sim Requer o consentimento do usuário do Aviso e Acordo de Consentimento DoD Padrão Obrigatório.

OL07-00-040420

O sistema operacional Oracle Linux deve ser configurado para que os arquivos de chave do host privado SSH tenham o modo 0600 ou menos permissivo.

 Sim Altera as permissões padrão da chave de host privada SSH geradas pelo serviço do sistema.

OL07-00-040600

Pelo menos dois servidores de nome devem ser configurados para os sistemas operacionais Oracle Linux que usam a resolução de DNS.

Não

O Oracle Cloud Infrastructure oferece um servidor DNS de alta disponibilidade.

OL07-00-040710 1

O sistema operacional Oracle Linux deve ser configurado para que as conexões X remotas sejam desativadas, a menos que os requisitos de missão documentados e validados sejam atendidos

Sim

Afeta a conectividade da console serial da instância.

IMPACTO IMPORTANTE NO OCI: A desativação de conexões X remotas pode resultar em falha na conexão com a console serial da instância do OCI.
OL07-00-040711 O daemon SSH do sistema operacional Oracle Linux deve impedir que hosts remotos estabeleçam conexão com a exibição do proxy. Sim Afeta o acesso do usuário às instâncias do Oracle Cloud Infrastructure.

OL07-00-040810

O programa de controle de acesso do sistema operacional Oracle Linux deve ser configurado para conceder ou negar acesso do sistema a hosts e serviços específicos.

 Não Requer revisão de hosts e acesso a serviços específicos. O acesso deve ser permitido pela política de concessão do usuário.

OL07-00-040820

O sistema operacional Oracle Linux não deve ter túneis IP não autorizados configurados.

 Não Requer revisão de um SA/ISSO do usuário para determinar conexões de Túnel IPSec autorizadas.

OL07-00-041002

O sistema operacional Oracle Linux deve implementar a autenticação multifator para acesso a contas privilegiadas por meio dos módulos de autenticação plugáveis (PAM).

Não

A autenticação multifator não está configurada na imagem padrão do Oracle Cloud Infrastructure.

OL07-00-041003

O sistema operacional Oracle Linux deve implementar a verificação do status do certificado para autenticação de PKI.

Sim

Verificação de status do certificado para autenticação de PKI não configurada na imagem padrão do Oracle Cloud Infrastructure.

1 A correção dessas regras pode ter um impacto significativo na acessibilidade dos sistemas.

Changelog

ID do STIG

Descrição da Regra

Motivo da Exclusão

Status Comentários
OL07-00-010050 O sistema operacional Oracle Linux deve exibir o Aviso e o Banner de Consentimento DoD Padrão Obrigatório antes de conceder acesso local ou remoto ao sistema por meio de um log-on de usuário da linha de comando. Requer o consentimento do usuário do Aviso e Acordo de Consentimento DoD Padrão Obrigatório. Adicionado Adicionado à lista de exclusão em V2R8
OL07-00-010320 O sistema operacional Oracle Linux deve ser configurado para bloquear contas por no mínimo 15 minutos após três tentativas de log-on malsucedidas em um período de 15 minutos. Afeta a conta de log-in do usuário do OPC padrão configurada para o acesso à instância do Oracle Cloud Infrastructure. Adicionado Adicionado à lista de exclusão em V2R8
OL07-00-010330 O sistema operacional Oracle Linux deve bloquear a conta associada após três tentativas malsucedidas de log-on raiz em um período de 15 minutos. Afeta a conta de log-in do usuário do OPC padrão configurada para o acesso à instância do Oracle Cloud Infrastructure. Adicionado Adicionado à lista de exclusão em V2R8
OL07-00-010492 Os sistemas operacionais Oracle Linux versão 7.2 ou mais recente inicializados com a UEFI (United Extensible Firmware Interface) devem ter um nome exclusivo para a conta de superusuários grub ao inicializar em modo de usuário único e manutenção. Requer alteração se for o nome do superusuário padrão. Afeta a inicialização do superusuário grub. Adicionado Adicionado à lista de exclusão em V2R8
OL07-00-010500 O sistema operacional Oracle Linux deve identificar e autenticar de forma exclusiva usuários organizacionais (ou processos que atuam em nome de usuários organizacionais) usando autenticação multifator. A autenticação multifator não está configurada na imagem padrão do Oracle Cloud Infrastructure. Adicionado Adicionado à lista de exclusão em V2R8
OL07-00-020019 O sistema operacional Oracle Linux deve implementar a ferramenta Endpoint Security for Linux Threat Prevention. O Oracle Linux não é fornecido com o Software de Verificação de Vírus. A Configuração do Usuário é necessária. Adicionado Adicionado à lista de exclusão em V2R8
OL07-00-020020 O sistema operacional Oracle Linux deve impedir que usuários não privilegiados executem funções privilegiadas para incluir a desativação, a evasão ou a alteração de proteções/contramedidas de segurança implementadas. Requer obter uma lista específica de usuários autorizados do ISSO do usuário. Adicionado Adicionado à lista de exclusão em V2R8

OL07-00-020021

O sistema operacional Oracle Linux deve limitar os usuários do SELinux às atribuições que estão em conformidade com o privilégio mínimo.

 Requer revisão de um SA/ISSO do usuário para determinar a conformidade de mapeamento de atribuição do SELinux. Adicionado Adicionado à lista de exclusão em V2R8

OL07-00-020023

O sistema operacional Oracle Linux deve elevar o contexto do SELinux quando um administrador chama o comando sudo.

Afeta a conta de log-in do usuário do OPC padrão configurada para o acesso à instância do Oracle Cloud Infrastructure.

 Adicionado Adicionado à lista de exclusão em V2R8
OL07-00-020040 O sistema operacional Oracle Linux deve ser configurado para que o pessoal designado seja notificado se as configurações de linha de base forem alteradas de forma não autorizada. Requer que o AIDE detecte o sistema a ser instalado antes da configuração. Adicionado Adicionado à lista de exclusão em V2R8
OL07-00-020270 O sistema operacional Oracle Linux não deve ter contas desnecessárias. Requer a obtenção de uma lista específica de contas de sistema autorizadas do ISSO do usuário Adicionado Adicionado à lista de exclusão em V2R8

OL07-00-020680

O sistema operacional Oracle Linux deve ser configurado para que todos os arquivos e diretórios contidos nos diretórios home do usuário interativo local tenham um modo de 750 ou menos permissivo.

Restringe o acesso de permissão de arquivo aos serviços do sistema.

Adicionado Adicionado à lista de exclusão em V2R8

OL07-00-020720

O sistema operacional Oracle Linux deve ser configurado para que todos os caminhos de pesquisa executáveis dos arquivos de inicialização do usuário interativo local contenham somente caminhos que são resolvidos para o diretório home dos usuários.

Afeta o acesso a binários e utilitários do usuário.

 Adicionado Adicionado à lista de exclusão em V2R8
OL07-00-021000 O sistema operacional Oracle Linux deve ser configurado para que os sistemas de arquivos que contêm diretórios home do usuário sejam montados para impedir que os arquivos com o conjunto de bits setuid e setgid sejam executados. Afeta o acesso do usuário à execução de arquivos binários dentro de seus diretórios home. Adicionado Adicionado à lista de exclusão em V2R8
OL07-00-021300 O sistema operacional Oracle Linux deve desativar os dumps de memória do Kernel somente se necessário. O serviço Kdump é necessário para fins de diagnóstico em caso de falhas de kernel geradas pelo sistema. Adicionado Adicionado à lista de exclusão em V2R8
OL07-00-021600 O sistema operacional Oracle Linux deve ser configurado para que a ferramenta de integridade de arquivos seja configurada para verificar as ACLs (Listas de Controle de Acesso). Requer que o AIDE detecte o sistema a ser instalado antes da configuração. Adicionado Adicionado à lista de exclusão em V2R8
OL07-00-021610 O sistema operacional Oracle Linux deve ser configurado para que a ferramenta de integridade de arquivos seja configurada para verificar atributos estendidos. Requer que o AIDE detecte o sistema a ser instalado antes da configuração. Adicionado Adicionado à lista de exclusão em V2R8
OL07-00-021620 O sistema operacional Oracle Linux deve usar uma ferramenta de integridade de arquivos que é configurada para usar hashes criptográficos aprovados pelo FIPS 140-2 para validar conteúdo e diretórios de arquivos. Requer que o AIDE detecte o sistema a ser instalado antes da configuração. Adicionado Adicionado à lista de exclusão em V2R8
OL07-00-031000 O sistema operacional Oracle Linux deve enviar a saída rsyslog para um servidor de agregação de logs. Requer um servidor remoto para transmitir informações de rsyslog. Adicionado Adicionado à lista de exclusão em V2R8
OL07-00-032000 O sistema operacional Oracle Linux deve usar um programa de verificação de vírus. O Oracle Linux não é fornecido com o Software de Verificação de Vírus. A Configuração do Usuário é necessária. Adicionado Adicionado à lista de exclusão em V2R8
OL07-00-040100 O sistema operacional Oracle Linux deve ser configurado para proibir ou restringir o uso de funções, portas, protocolos e/ou serviços, conforme definido na PPSM CLSA (Ports, Protocols, and Services Management Component Local Service Assessment) e avaliações de vulnerabilidade. Requer revisão de portas, protocolos e/ou serviços conforme definido pela CLSA PPSM de um usuário. Adicionado Adicionado à lista de exclusão em V2R8
OL07-00-040160 O sistema operacional Oracle Linux deve ser configurado para que todas as conexões de rede associadas a uma sessão de comunicação sejam encerradas no final da sessão ou após 15 minutos de inatividade do usuário em um prompt de comando, exceto para atender a requisitos de missão documentados e validados. Pode ser prejudicial para as cargas de trabalho do usuário. Adicionado Adicionado à lista de exclusão em V2R8
OL07-00-040170 O sistema operacional Oracle Linux deve exibir o Aviso Padrão Obrigatório DoD e o Banner de Consentimento imediatamente antes ou como parte dos prompts de log-on de acesso remoto. Requer o consentimento do usuário do Aviso e Acordo de Consentimento DoD Padrão Obrigatório. Adicionado Adicionado à lista de exclusão em V2R8

OL07-00-040420

O sistema operacional Oracle Linux deve ser configurado para que os arquivos de chave do host privado SSH tenham o modo 0600 ou menos permissivo.

 Altera as permissões padrão da chave de host privada SSH geradas pelo serviço do sistema. Adicionado Adicionado à lista de exclusão em V2R8
OL07-00-040711 O daemon SSH do sistema operacional Oracle Linux deve impedir que hosts remotos estabeleçam conexão com a exibição do proxy. Afeta o acesso do usuário às instâncias do Oracle Cloud Infrastructure. Adicionado Adicionado à lista de exclusão em V2R8

OL07-00-040810

O programa de controle de acesso do sistema operacional Oracle Linux deve ser configurado para conceder ou negar acesso do sistema a hosts e serviços específicos.

 Requer revisão de hosts e acesso a serviços específicos. O acesso deve ser permitido pela política de concessão do usuário. Adicionado Adicionado à lista de exclusão em V2R8

OL07-00-040820

O sistema operacional Oracle Linux não deve ter túneis IP não autorizados configurados.

 Requer revisão de um SA/ISSO do usuário para determinar conexões de Túnel IPSec autorizadas. Adicionado Adicionado à lista de exclusão em V2R8
Oracle-Linux-7.9-2021.07.27-STIG

A Imagem do Oracle Linux STIG Oracle-Linux-7.9-2021.07.27-STIG foi lançada em 10/08/2021.

As observações a seguir sobre a atualização são comparadas à release anterior Oracle-Linux-7.9-2021.03.02-STIG.

Atualizações de imagem

  • kernel-uek: 5.4.17-2102.203.6.el7uek.x86_64 Versão do kernel Unbreakable Enterprise Kernel Release 6 (UEK R6), com uma correção para CVE-2021-33909.

  • Atualizados os pacotes de sistema do Oracle Linux 7.9 para as versões mais recentes disponíveis, com correções de segurança.

Atualizações de Conformidade

  • Destino: Versão de benchmark Oracle Linux7 DISA STIG Benchmark - Ver 2, Rel 4.

  • Pontuação de conformidade do SCC: 89,44%.

  • Alterações feitas na imagem mais recente do STIG.

    A tabela a seguir descreve as alterações feitas na release Oracle-Linux-7.9-2021.07.27-STIG.

    Observação

    As atualizações dessa release também são refletidas em Configurações Adicionais do Oracle Linux 7, que descreve as áreas na imagem mais recente que exigem configuração manual. Consulte esta seção para obter informações importantes que podem se aplicar às regras listadas na tabela a seguir.

    ID do STIG

    Descrição da Regra

    Motivo da Exclusão

    Status

    Comentários

    OL07-00-010090

    O sistema operacional Oracle Linux deve ter o pacote de telas instalado.

    Afeta a conta de log-in de usuário padrão do Oracle Public Cloud (OPC) configurada para acesso à instância do Oracle Cloud Infrastructure.

    Removido

    Removido da lista de exclusão em V2R4

    OL07-00-021350

    O sistema operacional Oracle Linux deve implementar a criptografia NIST validada por FIPS para provisionar assinaturas digitais, gerar hashes criptográficos e proteger dados que exigem proteção de dados em repouso de acordo com as leis federais, Decretos, diretivas, políticas, regulamentações e padrões aplicáveis.

    Resgate a exclusão do cmdline do kernel do parâmetro fips=1.

    Adicionado

    Removido da lista de exclusão em V2R4

    Importante: A adição de fips=1 ao cmdline do kernel de resgate pode resultar na falha na inicialização da instância com um Erro fatal.

    OL07-00-030200

    O sistema operacional Oracle Linux deve ser configurado para usar o plug-in au-remote.

    A configuração do plug-in au-remote presume os detalhes do servidor remoto.

    Removido

    Removido da lista de exclusão em V2R4

    OL07-00-030201

    O sistema operacional Oracle Linux deve ser configurado para descarregar logs de auditoria em outro sistema ou mídia de armazenamento que não seja do sistema que está sendo auditado.

    A configuração do plug-in au-remote presume os detalhes do servidor remoto.

    Atualizado

    Título da regra alterado na V2R4

    OL07-00-040600

    Para sistemas operacionais Oracle Linux que estão usando a resolução de DNS, pelo menos dois servidores de nome devem ser configurados.

    A imagem do ONSR (Oracle National Security Regions) fornece apenas um host de DNS confiável.

    Atualizado

    Título da regra alterado na V2R4

    OL07-00-041001

    O sistema operacional Oracle Linux deve ter os pacotes necessários para a autenticação multifator instalada.

    A autenticação multifator não está configurada na imagem padrão do Oracle Cloud Infrastructure.

    Removido

    Removido da lista de exclusão em V2R4

    Corrigido na imagem: Instalado pam_pkcs11 package na instância.

    OL07-00-040710

    O sistema operacional Oracle Linux deve ser configurado para que as conexões X remotas sejam desativadas, a menos que os requisitos de missão documentados e validados sejam atendidos

    Afeta a conectividade da console serial da instância.

    Adicionado

    		Adicionado à lista de exclusão em V2R4

    OL07-00-010342

    O sistema operacional Oracle Linux deve usar a senha do usuário que faz a chamada para escalação de privilégios ao usar o comando sudo.

    Afeta a conta de log-in do OPC padrão.

    Adicionado

    Adicionado à lista de exclusão em V2R4
Oracle-Linux-7.9-2021.03.02-STIG

A Imagem do Oracle Linux STIG Oracle-Linux-7.9-2021.03.02-STIG foi lançada em 10/03/2021.

Informações da Imagem

  • Versão do kernel 5.4.17-2036.103.3.1.el7uek.x86_64 UEK R6.

  • Versões mais recentes dos pacotes de sistema do Oracle Linux 7.9, com correções de segurança.

Informações de Conformidade

  • Destino: Versão de benchmark Oracle Linux 7 DISA STIG Benchmark - Ver 1, Rel 2.

  • Pontuação de conformidade do SCC: 89,44%.