Oracle Cloud Infrastructure-Dokumentation

Oracle Linux STIG-Image

Das Oracle Linux STIG-Image ist eine Implementierung von Oracle Linux, die dem Security Technical Implementation Guide (STIG) folgt.

Das Oracle Linux STIG-Image wird über den Oracle Cloud Marketplace gestartet. Suchen Sie im Marketplace die Oracle Linux-STIG-Listen, und wählen Sie das Oracle Linux-STIG-Image mit dem Profil aus, das den Geschäftsanforderungen entspricht.

Mit dem STIG-Image wird eine Oracle Linux-Instanz in Oracle Cloud Infrastructure so konfiguriert, dass sie den von der Defense Information Systems Agency (DISA) festgelegten Sicherheitsstandards und -anforderungen entspricht.

Hinweis

Oracle aktualisiert das Oracle Linux STIG-Image regelmäßig mit den neuesten Sicherheitserrata. Dieses Dokument wird immer dann aktualisiert, wenn sich die STIG-Benchmark ändert oder wenn Änderungen an der Sicherheitsrichtlinie eine manuelle Konfiguration des Images erfordern. Spezifische Änderungen in den einzelnen Releases finden Sie unter Revisionshistorie für Oracle Linux STIG-Images.
Wichtig

Alle Änderungen an einer Oracle Linux STIG-Imageinstanz (wie die Installation anderer Anwendungen oder das Ändern der Konfigurationseinstellungen) können sich auf den Compliancescore auswirken. Nachdem Sie Änderungen vorgenommen haben, scannen Sie die Instanz erneut, um die Compliance zu bestätigen.

Über STIGs

Ein Security Technical Implementation Guide (STIG) ist ein Dokument der Defense Information Systems Agency (DISA). Es enthält Anleitungen zur Konfiguration eines Systems, um die Cybersicherheitsanforderungen für das Deployment innerhalb der IT-Netzwerksysteme des US-Verteidigungsministeriums (DoD) zu erfüllen. STIG-Anforderungen sichern das Netzwerk vor Cybersicherheitsbedrohungen, indem sie sich auf die Infrastruktur- und Netzwerksicherheit konzentrieren, um potenzielle Sicherheitslücken zu mindern. Die Einhaltung der STIGs ist eine Anforderung für DoD-Agenturen oder eine Organisation, die Teil der DoD-Informationsnetzwerke ist (DoDIN).

Das Oracle Linux-STIG-Image automatisiert die Compliance, indem eine gehärtete Version des Standard-Oracle Linux-Images bereitgestellt wird, die den STIG-Richtlinien entspricht. Für das ausgewählte Image ist jedoch möglicherweise weiterhin eine zusätzliche manuelle Korrektur erforderlich, um alle STIG-Anforderungen zu erfüllen.

Aktuellen STIG herunterladen

DISA bietet vierteljährliche Updates für STIG-Dokumente. Die von Oracle bereitgestellten Inhalte entsprechen den aktuellsten STIG-Dokumenten, die zum Zeitpunkt der Veröffentlichung verfügbar waren. Wir empfehlen, dass Sie die neuesten STIG-ZIP-Dateien herunterladen und befolgen, wenn Sie bereitgestellte Systeme auf Compliance prüfen.

Informationen zum Herunterladen der neuesten STIG-Dokumente finden Sie unter https://public.cyber.mil/stigs/downloads/. Suchen Sie nach Oracle Linux, und laden Sie dann die entsprechende ZIP-Datei herunter.

Verwenden Sie optional den unter https://public.cyber.mil/stigs/srg-stig-tools/ bereitgestellten DISA STIG Viewer. Importieren Sie anschließend die STIG-Datei xccdf.xml, um die STIG-Regeln anzuzeigen.

STIG-Compliance bewerten

Die Compliancebewertung beginnt häufig mit einem Scan mit einem SCAP-(Security Content Automation Protocol-)Complianceprüfungstool, das ein STIG (im SCAP-Format hochgeladen) verwendet, um die Sicherheit eines Systems zu analysieren. Für die vollständige Compliance-Abdeckung ist weiteres manuelles Auditing erforderlich, da SCAP-Tools nicht immer für jede Regel innerhalb eines STIGs getestet werden und einige STIGs möglicherweise nicht im SCAP-Format veröffentlicht wurden.

Die folgenden Tools stehen zur Automatisierung der Compliancebewertung zur Verfügung:

SCAP-Complianceprüfer (SCC)

Ein von DISA entwickeltes Tool, das eine Bewertung entweder mit der DISA STIG-Benchmark oder einem OpenSCAP-Upstreamprofil ausführen kann. Im Allgemeinen wird die DISA-STIG-Benchmark für Compliancescans verwendet, wenn das SCC-Tool genutzt wird.

Wichtig

Um die Arm-Architektur (aarch64) zu scannen, müssen Sie die SCC-Version 5.5 oder neuer verwenden.
OpenSCAP

Ein Open-Source-Utility, das über Oracle Linux-Softwarekanäle bereitgestellt wird und eine Bewertung mit der DISA STIG-Benchmark oder einem OpenSCAP-Upstreamprofil ausführen kann. Oracle Linux verteilt ein SCAP Security Guide-(SSG-)Package mit spezifischen Profilen für Systemreleases. Beispiel: Die vom SSG-Package bereitgestellte SCAP-Datastream-ssg-ol7-ds.xml-Datei enthält das DISA-STIG für das Oracle Linux 7-Profil. Ein Vorteil bei der Verwendung des OpenSCAP-Tools ist, dass die SSG Skripte bereitstellt, um das Korrekturverfahren zu automatisieren und das System in einen konformen Status zu versichern.

Achtung

Die automatische Korrektur mithilfe von Skripten kann zu einer unerwünschten Systemkonfiguration führen oder dazu, dass ein System nicht mehr funktioniert. Testen Sie die Korrekturskripte in einer Nicht-Produktions-Umgebung.

Informationen zum Ausführen der Compliancetools und Generieren eines Scanberichts finden Sie unter Instanz erneut auf Compliance scannen.

Complianceziele

Das Oracle Linux STIG-Image enthält zusätzliche Korrekturen für Regeln, die nicht von der DISA STIG-Benchmark adressiert werden. Verwenden Sie das SSG-Profil "STIG", das auf DISA STIG für Oracle Linux ausgerichtet ist, um die Automatisierung der nicht adressierten Regeln zu erweitern und die Systemcompliance im Vergleich zum vollständigen DISA STIG zu bestätigen.

Das Bild enthält zwei DISA STIG Viewer-Checklistendateien, die auf den Scanergebnissen von SCC und OpenSCAP basieren. Die Checkliste für die DISA STIG-Benchmark verwendet die SCC-Scanergebnisse, während die Checkliste für das SSG-Profil "STIG" die OpenSCAP-Scanergebnisse verwendet. Diese Checklisten enthalten Kommentare von Oracle für Bildbereiche, die nicht den Vorgaben entsprechen. Siehe Weitere Konfigurationen mit der Checkliste anzeigen.

Hinweis

Die größeren Compliance-Scores für den DISA STIG Benchmark spiegeln einen begrenzteren Regelumfang im Vergleich zum kompletten DISA STIG wider. Das SSG-Profil "STIG" macht jedoch den gesamten DISA STIG aus und bietet eine umfassendere Bewertung der STIG-Compliance eines Bildes.

Oracle Linux 8

Oracle Linux 8 STIG-Images folgen den DISA-Sicherheitsstandards und werden gemäß Oracle Linux 8 DISA STIG gehärtet. Für das neueste Oracle Linux 8 STIG-Imagerelease ist das Complianceziel DISA STIG für Oracle Linux 8 Ver 2, Rel 4. Das scap-security-guide-Package (mindestens 0.1.76-1.0.3), das über Oracle Linux-Softwarekanäle bereitgestellt wird, enthält das SSG-Profil "STIG", das auf DISA STIG für Oracle Linux 8 Ver 2, Rel 4 ausgerichtet ist.

Complianceinformationen für Oracle Linux 8.10 Juni 2025 STIG-Images:

Ziel: SSG-Profil entsprechend DISA STIG für Oracle Linux 8 Ver 2, Rel 4

  • Checklisten-Compliance-Score für x86_64: 79,94%
  • Checklisten-Compliance-Score für aarch64: 79,87%

Ziel: DISA STIG für Oracle Linux 8 Ver 2, Rel 4 Benchmark-Profil

  • Checklisten-Compliance-Score für x86_64: 84,26%
  • Checklisten-Compliance-Score für aarch64: 84,26%

Oracle Linux 7 (erweiterter Support)

Oracle Linux 7-STIG-Images folgen den DISA-Sicherheitsstandards und werden gemäß Oracle Linux 7 DISA STIG gehärtet. Für das neueste Oracle Linux 7 STIG-Imagerelease ist das Complianceziel auf DISA STIG Ver 3, Rel 1 übergegangen. Das scap-security-guide-Package (mindestens 0.1.73-1.0.3), das über Oracle Linux-Softwarekanäle bereitgestellt wird, enthält das SSG-Profil "STIG", das auf DISA STIG für Oracle Linux 7 Version 3, Release 1 ausgerichtet ist.

Complianceinformationen für Oracle Linux 7.9 Februar 2025 STIG-Images:

Ziel: SSG-Profil entsprechend DISA STIG für Oracle Linux 7 Ver 3, Rel 1

  • Checklisten-Compliance-Score x86_64: 81,65%
  • Checklisten-Compliance-Score aarch64: 81,65%

Ziel: DISA STIG für Oracle Linux 7 Ver 3, Rel 1 Benchmark-Profil

  • Checklisten-Compliance-Score x86_64: 91,71%
  • Checklisten-Compliance-Score aarch64: 91,71%
Hinweis

Der STIG-Standard von DISA hatte außer dem Wortlaut keine wesentlichen Änderungen zwischen Oracle Linux 7 Ver 3, Rel 1 und Oracle Linux 7 Ver 2, Rel 14. Aus diesem Grund ist jedes System, das mit Oracle Linux 7 Ver 2, Rel 14 konform ist, auch mit Oracle Linux 7 Ver 3, Rel 1 konform.