数据库系统的安全技术实施指南 (STIG) 工具
本文介绍了使用 Oracle Linux 7 预配的数据库系统的 STIG 工具(Python 脚本)。
安全技术实施指南 (Security Technical Implementation Guide,STIG) 是美国国防信息系统局 (Defense Information Systems Agency,DISA) 编写的文档,该文档提供有关配置系统以符合在国防部 (DoD) IT 网络系统中部署的网络安全标准的指导。STIG 要求通过专注于基础设施和网络安全来缓解漏洞,帮助保护网络免受网络安全威胁。
STIG 工具是 Python 脚本,用于确保 DISA 的 Oracle Linux 7 STIG 的安全合规性。该工具:
- 使数据库系统的基本映像符合 Oracle Linux 7 STIG,
- 将某些 STIG 规则嵌入到系统中,在需要满足安全合规性要求时可以在预配后激活,
-
对嵌入式规则进行分类,使您能够查看和监视以下类别中的规则:
- 基本映像中包括的静态规则,
- 预配后根据需要激活的 DoD 规则,以满足美国需求。国防部合规标准,以及
- 在需要时预配后激活的运行时规则,供所有需要加强数据库系统安全性的用户(包括美国以外的用户)使用。国防部 ),
- 提供回退功能,使您能够将数据库系统回退到没有脚本进行配置修改的状态,并且
- 提供合规性检查功能,使您可以查看数据库系统成功传递了多少规则。
获取 STIG 工具
所有新预配的数据库系统都提供了 STIG 工具。在数据库系统节点上的以下 OS 目录位置提供了 STIG 工具:/opt/oracle/dcs/bin/dbcsstig
STIG 工具的更新版本可从 Oracle Technology Network (OTN) 下载。更新数据库系统代理时,还会提供 STIG 工具的更新版本。
使用 STIG 工具
对 STIG 工具使用以下语法:
dbcsstig --<operation><category>
例如:
dbcsstig --fix dod
Command Reference
操作
表 - 工序
操作参数 | 定义 |
---|---|
--check, -c |
检查是否符合指定类别中包含的规则。 |
--fix, -f |
对指定类别中包括的规则应用修复。 |
--rollback, -rb |
回滚由 STIG 工具实施的系统配置更改。 |
--version, -v |
提供 STIG 工具脚本的版本信息。 |
--help, -h |
提供命令行帮助信息。 |
规则类别
表 - 规则类别
类别参数 | 定义 |
---|---|
static |
指定数据库系统基本映像中包含的规则。 |
dod |
指定遵守 DISA 的 Oracle Linux 7 STIG 所需的规则。 |
runtime |
指定在预配一般安全强化后激活的规则。 |
all |
指定所有规则。 |