Esta página ha sido traducida por una máquina.

Documentación de Oracle Cloud Infrastructure
Probar cuenta gratuita

Oracle Linux STIG Image

Oracle Linux STIG Image es una implantación de Oracle Linux que sigue la Security Technical Implementation Guide (STIG).

Con la imagen STIG, puede configurar una instancia de Oracle Linux en Oracle Cloud Infrastructure que cumpla determinados estándares de seguridad y requisitos definidos por la Agencia de Sistemas de la Información de Defensa (DISA).

Nota

Oracle actualiza Oracle Linux STIG Image regularmente con las últimas erratas de seguridad. Este documento se actualiza cada vez que cambia la referencia STIG o cuando los cambios en la guía de seguridad requieren la configuración manual de la imagen. Consulte Historial de revisiones para Oracle Linux STIG Image para conocer los cambios específicos realizados en cada versión.
Importante

Cualquier cambio que realice en una instancia de Oracle Linux STIG Image (como instalar otras aplicaciones o modificar los valores de configuración) puede afectar a la puntuación de conformidad. Después de realizar cambios, vuelva a analizar la instancia para comprobar que cumple los requisitos de conformidad. Consulte Nuevo análisis de una instancia para su conformidad.

¿Qué es una STIG?

Una STIG (Security Technical Implementation Guide, guía de implantación técnica de seguridad) es un documento redactado por la Agencia de Sistemas de la Información de Defensa (DISA). Proporciona orientación sobre la configuración de un sistema para cumplir con los requisitos de ciberseguridad para el despliegue en los sistemas de red de TI del Departamento de Defensa (DoD) de EE. UU. Los requisitos de STIG ayudan a proteger la red frente amenazas de ciberseguridad centrándose en la infraestructura y la seguridad de la red para mitigar las vulnerabilidades. El cumplimiento de las STIG es un requisito para las agencias DoD o cualquier organización que forme parte de las redes de información DoD (DoDIN).

La imagen STIG de Oracle Linux ayuda a automatizar la conformidad proporcionando una versión reforzada de la imagen estándar de Oracle Linux. La imagen se ha reforzado para seguir las directrices de STIG. Sin embargo, la imagen no puede cumplir con todos los requisitos de STIG y puede requerir una corrección manual adicional. Consulte Aplicación de correcciones.

Descarga de la STIG más reciente

DISA proporciona actualizaciones trimestrales de las STIG. Esta documentación se ha creado utilizando la STIG más reciente disponible en el momento de la publicación. Sin embargo, siempre debe utilizar la STIG más reciente al evaluar el sistema.

Descargue la versión más reciente de https://public.cyber.mil/stigs/downloads/ de STIG. Busque Oracle Linux y, a continuación, descargue el archivo zip adecuado.

Si lo desea, utilice el Visor de STIG de DISA de https://public.cyber.mil/stigs/srg-stig-tools/. A continuación, importe el archivo xccdf.xml de la STIG para ver las reglas de STIG.

¿Cómo se evalúa la conformidad con STIG?

La evaluación de conformidad suele comenzar con una exploración mediante una herramienta de comprobación de conformidad de Security Content Automation Protocol (SCAP). La herramienta utiliza una STIG (cargada en formato de SCAP) para analizar la seguridad de un sistema. Sin embargo, la herramienta no siempre prueba todas las reglas de una STIG y es posible que algunas STIG no tengan versiones de SCAP. En estos casos, un auditor debe comprobar la conformidad del sistema manualmente revisando las reglas de STIG que no cubre la herramienta.

Las siguientes herramientas están disponibles para automatizar la evaluación de conformidad:

  • SCAP Compliance Checker (SCC): herramienta desarrollada por DISA que puede ejecutar una evaluación utilizando DISA STIG Benchmark o un perfil ascendente OpenSCAP. Normalmente, DISA STIG Benchmark se utiliza para el análisis de conformidad cuando se utiliza la herramienta SCC.

    Importante

    Para explorar la arquitectura de Arm (aarch64), debe utilizar la versión 5.5 o posterior de SCC.

  • OpenSCAP: utilidad de código abierto disponible mediante yum que puede ejecutar una evaluación utilizando DISA STIG Benchmark o un perfil ascendente OpenSCAP. Oracle Linux distribuye un paquete de la Guía de seguridad de SCAP (SSG) que contiene perfiles específicos de la versión del sistema. Por ejemplo, el archivo ssg-ol7-ds.xml del flujo de datos SCAP que se proporciona en el paquete SSG incluye el perfil DISA STIG para el perfil de Oracle Linux 7. Una ventaja de utilizar la herramienta OpenSCAP es que SSG proporciona scripts de Bash o Ansible para automatizar la corrección y llevar el sistema a un estado compatible.

    Atención

    La corrección automática mediante scripts puede dar lugar a una configuración del sistema no deseada o hacer que un sistema no funcione. Pruebe los scripts de corrección en un entorno no de producción.

Consulte Nuevo análisis de una instancia para su conformidad para obtener información sobre la ejecución de las herramientas de conformidad y la generación de un informe de exploración.

Objetivos de conformidad

La imagen de STIG de Oracle Linux contiene soluciones adicionales para reglas no tratadas por la referencia DISA STIG. Utilice el perfil "STIG" de SSG alineado con DISA STIG para Oracle Linux a fin de ampliar la automatización de las reglas no abordadas anteriormente y determinar la conformidad con la DISA STIG completa.

Se proporcionan dos archivos de lista de comprobación de DISA STIG Viewer con la imagen, que se basan en los resultados de análisis de SCC y OpenSCAP. La lista de comprobación de DISA STIG Benchmark utiliza los resultados de exploración de SCC, mientras que la lista de comprobación del perfil "STIG" de SSG utiliza los resultados de exploración OpenSCAP. Estas listas de control contienen comentarios de Oracle para áreas de la imagen que no cumplen con las directrices. Consulte Using the Checklist to View Additional Configurations.
Nota

Las puntuaciones de conformidad más altas para la referencia DISA STIG reflejan un ámbito de reglas más limitado en comparación con la STIG DISA completa. Sin embargo, el perfil SSG "stig" representa el DISA STIG completo, proporcionando una evaluación más completa del cumplimiento de la imagen.
Oracle Linux 8

Las imágenes de Oracle Linux 8 STIG siguen los estándares de seguridad de DISA y se refuerzan de acuerdo con Oracle Linux 8 DISA STIG. Para la última versión de Oracle Linux 8 STIG Image, el destino de cumplimiento es DISA STIG para Oracle Linux 8 Ver 1, versión 10. El paquete scap-security-guide (versión mínima 0.1.73-1.0.1) disponible a través de yum contiene el perfil "STIG" de SSG alineado con DISA STIG para Oracle Linux 8 Ver 1, Rel 10.

Información de cumplimiento para imágenes STIG de Oracle Linux 8.10 de septiembre de 2024:

Destino: perfil "STIG" de SSG alineado con la STIG de DISA para Oracle Linux 8 Ver 1, Rel 10

  • Puntuación de conformidad de lista de comprobación para x86_64: 74,63%
  • Puntuación de conformidad de lista de comprobación para aarch64: 74,55%

Target: DISA STIG for Oracle Linux 8 Ver 1, Rel 8 Benchmark profile

  • Puntuación de conformidad de lista de comprobación para x86_64: 80,57%
  • Puntuación de conformidad de lista de comprobación para aarch64: 80,57%
Oracle Linux 7 (soporte extendido)

Las imágenes de Oracle Linux 7 STIG siguen los estándares de seguridad de DISA y se refuerzan de acuerdo con Oracle Linux 7 DISA STIG. Para la última versión de Oracle Linux 7 STIG Image, el destino de conformidad pasó a la versión 3 de DISA STIG, versión 1. El paquete scap-security-guide (versión mínima 0.1.73-1.0.3) disponible a través de yum contiene el perfil SSG "STIG" alineado con DISA STIG para Oracle Linux 7 versión 3, versión 1.

Información de cumplimiento para imágenes STIG de Oracle Linux 7.9 de febrero de 2025:

Destino: perfil "STIG" de SSG alineado con la STIG de DISA para Oracle Linux 7 Ver 3, Rel 1

  • Puntuación de conformidad de lista de comprobación x86_64: 81,65%
  • Puntuación de conformidad de lista de comprobación aarch64: 81,65%

Destino: STIG de DISA para el perfil de referencia de Oracle Linux 7 Ver 3, Rel 1

  • Puntuación de conformidad de lista de comprobación x86_64: 91,71 %
  • Puntuación de conformidad de lista de comprobación aarch64: 91,71 %
Nota

El estándar STIG de DISA no tuvo cambios significativos, aparte de la redacción, entre Oracle Linux 7 Ver 3, Rel 1 y Oracle Linux 7 Ver 2, Rel 14. Debido a esto, cualquier sistema compatible con Oracle Linux 7 Ver 2, Versión 14 también es compatible con Oracle Linux 7 Ver 3, Versión 1.

Aplicación de correcciones

La instancia de Oracle Linux STIG Image reforzada no se puede configurar para todas las instrucciones recomendadas. Debe finalizar manualmente las configuraciones no incluidas en la instancia de Oracle Linux STIG Image.

Para cada regla de seguridad que haya establecido DISA, se proporcionan instrucciones para aplicar la configuración de seguridad adecuada en la Oracle Linux Security Technical Implementation Guide correspondiente.

Importante

Algunos cambios en la imagen podrían afectar a la cuenta de Oracle Cloud Infrastructure por defecto de la instancia. Si decide aplicar una regla, estudie la información sobre cada regla y los motivos de la exclusión para comprender completamente el impacto potencial en la instancia.

Uso de la Lista de Control para Ver Configuraciones Adicionales

Utilice las listas de comprobación proporcionadas con la imagen STIG de Oracle Linux para ver las "Notas de la versión" adicionales en áreas de orientación no incluidas en la imagen, lo que puede requerir una configuración adicional. Las notas de la versión identifican configuraciones adicionales que pueden afectar a la cuenta de Oracle Cloud Infrastructure por defecto de las instancias.

Acceso a la lista de control

La imagen de Oracle Linux STIG incluye listas de comprobación de DISA STIG Viewer para el perfil "STIG" de DISA STIG Benchmark y SCAP Security Guide (SSG) alineado con DISA STIG para Oracle Linux. Estas listas de comprobación se encuentran en el directorio /usr/share/xml/stig. Consulte Historial de revisiones para conocer el nombre de archivo específico asociado a cada versión.

  • OL<release>_SSG_STIG_<stig-version>_CHECKLIST_RELEASE.ckl: lista de comprobación para DISA STIG para Oracle Linux mediante los resultados de exploración de perfil "STIG" de SSG.
  • OL<release>_DISA_BENCHMARK_<stig-version>_CHECKLIST_RELEASE.ckl: lista de comprobación para DISA STIG Benchmark para Oracle Linux mediante los resultados de exploración de perfil Oracle_Linux_<release>_STIG de SCC.

Visualización de las notas de la versión de la lista de comprobación

  1. Descargue la herramienta Visor de STIG de DISA de: https://public.cyber.mil/stigs/srg-stig-tools/
  2. Abra la herramienta STIG Viewer.
  3. En Lista de comprobación, seleccione Abrir lista de comprobación desde archivo... y navegue hasta el archivo de lista de comprobación.
  4. Amplíe el panel de filtros y agregue el siguiente filtro:
    • Debe coincidir: ALL
    • Filtrar por: Palabra clave
    • Tipo de filtro: Filtro inclusivo (+)
    • Palabra clave: Notas de la versión de Oracle
  5. Las notas de la versión ofrecen información adicional sobre las reglas:
    • Abierto: reglas que se han excluido o que se han considerado fuera del ámbito.
      • Excluidas: reglas que pueden afectar a la cuenta de Oracle Cloud Infrastructure por defecto de la instancia y que se han excluido de la solución para Oracle Linux STIG Image.
      • Fuera de alcance: reglas que están fuera del alcance para la solución en la versión actual, pero que se pueden considerar para la solución en una versión futura.
    • Not Applicable: reglas que se han considerado no aplicables a Oracle Linux STIG Image.
    • No revisado: reglas que están fuera del alcance para la solución en la versión actual, pero que podrían considerarse para la solución en una versión futura.
  6. Para cada regla, asegúrese de comprender completamente las implicaciones para la instancia antes de aplicar la solución.

Nuevo análisis de una instancia para su conformidad

Utilice la herramienta SCC o OpenSCAP para explorar la instancia y verificar que sigue siendo compatible.

Los cambios en una instancia de Oracle Linux STIG Image (como la instalación de otras aplicaciones o la adición de nuevos valores de configuración) pueden afectar a la conformidad. Recomendamos el análisis para comprobar que la instancia sea compatible después de realizar cambios. Además, es posible que necesite realizar análisis posteriores para comprobar si hay actualizaciones periódicas de DISA STIG trimestrales.

Uso de la herramienta OpenSCAP

La herramienta OpenSCAP está disponible en Oracle Linux y está certificada por el Instituto Nacional de Estándares y Tecnologías (NIST).

  1. Conéctese a la instancia de Oracle Linux STIG Image.
  2. Instale el paquete openscap-scanner. 
    sudo yum install openscap-scanner
  3. Identifique el archivo XCCDF o de flujo de datos que se va a utilizar para el análisis.

    Para utilizar el perfil SSG "stig":

    1. Instale el paquete scap-security-guide. 
      sudo yum install scap-security-guide
    2. Localice el archivo que desea utilizar para el análisis encontrado en /usr/share/xml/scap/ssg/content.
    Para utilizar la referencia de Oracle Linux DISA STIG:
    1. Vaya a https://public.cyber.mil/stigs/downloads/".
    2. Busque Oracle Linux y descargue el archivo de referencia DISA STIG adecuado.
    3. Descomprima el archivo después de descargarlo.
  4. Para realizar una exploración, ejecute el siguiente comando: 
    sudo oscap xccdf eval --profile profile-name \
--results=path-to-results.xml --oval-results \
--report=path-to-report.html \
--check-engine-results \
--stig-viewer=path-to-stig-viewer-report.xml \
path-to-xccdf-document

    Para conocer otras opciones que puede utilizar con el comando oscap, consulte la sección sobre el uso de OpenSCAP para buscar vulnerabilidades en Oracle® Linux 7: Security Guide y Oracle Linux 8: Using OpenSCAP for Security Compliance.

  5. Consulte el archivo path-to-report.html para ver los resultados de la evaluación.

Uso de la herramienta SCC

La herramienta SCC es la herramienta oficial para comprobar la conformidad por parte del gobierno y se puede utilizar para analizar una instancia de Oracle Linux STIG Image.

Importante

Para explorar la arquitectura de Arm (aarch64), debe utilizar la versión 5.5 o posterior de SCC.

Para obtener instrucciones sobre el uso de la herramienta SCC, consulte la tabla de herramientas de SCAP en https://public.cyber.mil/stigs/scap/.

  1. Obtenga la herramienta SCC de la tabla ubicada en https://public.cyber.mil/stigs/scap/.
  2. Instale la herramienta. 
    unzip scc-5.4.2_rhel7_sles12-15_oracle-linux7_x86_64_bundle.zip
cd scc-5.4.2_rhel7_x86_64/
rpm -i scc-5.4.2.rhel7.x86_64.rpm
  3. Comprima el archivo .xml de contenido de SCAP antes de realizar la importación en la herramienta SCC.

    Para el perfil SSG "stig":

    zip ssg_content.zip /usr/share/xml/scap/ssg/content/xml-document
/opt/scc/cscc -is ssg_content.zip

    Para la referencia de DISA STIG de Oracle Linux:

    zip scap_content.zip path-to-disa-benchmark-xml-document
/opt/scc/cscc -is scap_content.zip
  4. Configure SCC para que realice una exploración del contenido importado 
    /opt/scc/cscc --config
  5. Realice la exploración utilizando el menú de la línea de comandos:
    1. Introduzca 1 para configurar el contenido de SCAP.
    2. Introduzca clear y, a continuación, introduzca el número que coincida con el contenido de SCAP importado.

      En el siguiente ejemplo, debe introducir 2 para el contenido de SCAP importado para Oracle Linux 7. 

      SCC 5.4.2 Available SCAP Content                        [Version]  [Date]    
1.  [ ]  Mozilla_Firefox_RHEL                           005.003    2021-06-09
2.  [X]  OL-7                                           0.1.54     2021-09-23
3.  [ ]  Oracle_Linux_7_STIG                            002.004    2021-06-14
4.  [ ]  RHEL_6_STIG                                    002.002    2020-12-04
5.  [ ]  RHEL_7_STIG                                    003.004    2021-06-14
6.  [ ]  RHEL_8_STIG                                    001.002    2021-06-14
7.  [ ]  SLES_12_STIG                                   002.004    2021-06-14
    3. Introduzca 0 para volver al menú principal.
    4. Introduzca 2 para configurar el perfil de SCAP.
    5. Introduzca 1 para seleccionar el perfil. Verifique que "stig" está seleccionado. 
      Available Profiles for OL-7

1.  [ ] no_profile_selected
2.  [X] stig
    6. Vuelva al menú principal. Introduzca 9 para guardar los cambios y realizar una exploración en el sistema.
      La exploración puede tardar entre 25 y 30 minutos.

Historial de revisiones para Oracle Linux STIG Image

Oracle actualiza Oracle Linux STIG Image con regularidad para abordar los problemas de seguridad.

Si está desplegando una versión de Oracle Linux STIG Image anterior, es posible que desee realizar un análisis posterior para comprobar si hay actualizaciones de DISA STIG trimestrales y regulares. Consulte Nuevo análisis de una instancia para su conformidad para obtener más información.

Oracle Linux 8

Oracle Linux 7 (soporte extendido)

Imágenes más antiguas

¿Le ha resultado útil este artículo?