主机信息安全合规方法论之STIG(引言) – 作者:坚石网络空间安全

一、 主机安全在信息安全中的地位

主机安全,也就是操作系统安全(OS),在传统的纵深防御体系中,属于中间层次的安全。随着近20年web技术的快速发展,业内逐渐将安全重点放在了直接面向用户的Web安全方面,而不怎么关注主机安全。但作为系统的重要组成部分,如果主机安全受到破坏,倾巢之下无完卵,再谈应用安全也没什么意义了。所以主机安全也是需要重点关注的。

二、 如何做好主机安全

先说一个观点,做好主机安全是不容易的,根本原因在于,操作系统太过复杂,而复杂的系统基本上都不会是一个安全的系统的(这里是笔者比较认可的一个观点,就像比较IPv4和IPv6协议的安全一样,理论上IPv6是比IPv4安全的,然而如果再考虑配置协议的人员的能力,一个精通IPv4的工程师基本上是可以比一个IPv6的初学者要更安全一些的),而且复杂导致的相应安全加固也不好做,那么如何开始呢?

可以有两种工作思路,一种是安全事件驱动,也就是说发现安全问题了,就做对应的整改,例如系统SSH被人爆破了,那就改口令,系统中了永恒之蓝病毒了,就赶紧禁用445、139端口等,这种思路的问题在于,安全工作总是追着安全事件跑,措施后置,无法有效降低面临的安全风险。

另一种思路,安全措施前置,提前把安全措施做好,就能降低事件发生的概率了。这种思路比较好,难在我们应该做哪些安全加固?这时候就不妨参考一下其他人是怎么做的了——最佳实践。由此,STIG的作用就显现出来了

三、 STIG是什么?

STIG,全称为:Security Technical Implementation Guide,即安全技术实施指南,其是由美国的国防信息系统局(DISA)创建的一组规则、检查表和其他最佳实践。国防部根据这个指南,对相关产品进行检查,以确保系统符合国防部(DOD)规定的安全要求。

我们知道中国的政府系统需要满足国家网络安全等级保护的要求,而美国的联邦系统也同样有相关的要求,他们依据的为NIST SP800-53《 推荐的联邦信息系统安全控制措施》。而STIG就是指导进行SP800-53认证的检查手册。

鉴于美国国防部的高级定位,其出具的指南是具有相当的可信度的,而另一方面,由于国防部和联邦政府历来是美国计算机系统的采购大户,因而例如微软、甲骨文、Apple、RedHat等厂商也对STIG工作比较上心,官方出具了相关整改加固手册, 尤其是RedHat,在其安装镜像中直接内置了对STIG的支持,在系统安装时就可以确保操作系统满足SITG的要求。

四、STIG的内容 

上面说过STIG是一组规则、检查表和其他最佳实践,以RedHat的CentOS为例,其中共有245条要求,内容概括起来,覆盖了系统身份鉴别、登录管控、入侵和完整性保护、安全审计、网络安全、以及大量SSH加固等内容,而对于其中每条要,主要包括如下:

检查项,如:系统应配置系统禁用空口令通过身份认证

描述,如:此设置为SSH提供了额外的安全保证。即使在其他地方配置错误的情况(如PAM模块允许nullok),通过SSH进行远程登录仍将需要使用口令进行身份鉴别

检查命令和判定标准,如:使用命令grep nullok /etc/pam.d/system-auth /etc/pam.d/password-auth,查看是否有nullok输出,如果有,则不符合

整改方法,如:删除password-auth和system-auth中所有的“nullok”参数

五、 Github上开发的STIG检查脚本项目

由于STIG的广泛应用性,Github上有人专门制作了STIG的检查脚本,可以直接下载下来对自己的服务器进行检查,非常简单。这里贴上一个我在用的检查脚本:https://github.com/hardenedlinux/STIG-4-Debian

来源:freebuf.com 2021-02-04 17:47:42 by: 坚石网络空间安全

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论