我们的基础架构小组中的一些人想要升级以开始利用 RHEL 6 中的新功能。过去,我依靠NSA 指南来保护 RHEL 5 和 CentOS 5 的安装。我觉得本指南非常宝贵。
有没有人有以类似方式保护 RHEL / CentOS 6 的经验?如果是这样,您利用了哪些资源(书面或咨询)?
我从一些同事那里听说,版本 6 在各个方面与版本 5 有很大不同,所以我不想在我们的安全性中留下巨大的漏洞,因为我没有充分考虑这些差异。
红帽自己的 RHEL 6 安全指南真的足够了吗?
是否有人会说,除非您有令人信服的功能原因,否则您应该推迟从 5 升级到 6,直到像 NSA 这样的组织能够针对您要保护的版本制定特定的指南?
感谢您提供的任何反馈,即使它会将我引导至更合适的论坛。
当涉及到诸如强化指南之类的东西时,RHEL 6 仍然被认为是相当新的。尽管看起来很可悲,但许多这类指南需要几个月或几年的时间才能制作出来。话虽如此,总的来说,对于您的目的,EL 5 和 EL 6 之间的差异应该是相当小的。当我开始支持 EL 6 时,我的大部分更改都是相当美观的。例如,确保使用 rsyslog 而不是 syslogd。由于 RedHat 制作了自己的指南,因此应该在那里处理很多特定于版本的工作。
不过,我建议您查看NSA 情况说明书,了解 RedHat 5和CIS 基准。一些细节可能会改变,但大部分核心工作应该翻译得很好。
我还建议查看这个相关问题:How to secure a dedicated linux server running a LAMP stack for Commercial E-commerce use
值得注意的是,截至 2012 年 6 月 2 日,互联网安全中心已经发布了Red Hat Enterprise Linux 6 Benchmark。
正确答案是 SNAC 是原始指南之一,适用于所有组织和个人。它在很大程度上被 USGCB RHEL 5 和 STIG 5 和 6 所基于的 NIST 规范所取代。您引用的强化指南是根据所有这些工作创建的。( http://blog-shawndwells.rhcloud.com/ ) CIS 基准是 STIG 的近乎完全相同的副本,未经许可引用原作者。