Estamos entusiasmados de lanzar el archivo de configuración de la Guía de Seguridad de Ubuntu para puntos de referencia CIS. Estos perfiles permitirán a los clientes endurecer automáticamente y auditar sus sistemas Ubuntu 24.04 LTS basados en puntos de referencia.
Comprender el endurecimiento
El endurecimiento del sistema es una medida preventiva y de seguridad necesaria para los sistemas de producción y las cargas de trabajo críticas. Es especialmente importante para industrias reguladas como la atención médica, las finanzas, las telecomunicaciones y el sector público.
El endurecimiento hace que la defensa sea más profunda al establecer la configuración y la configuración de configuración predeterminadas seguras. Estos ejemplos incluyen permitir privilegios mínimos, permitir una grabación y auditoría confiables, y ser consistente con las mejores prácticas en la industria de seguridad, como el Centro de Seguridad de Internet (CIS) Centro de referencia. CIS utiliza procesos de consenso para desarrollar puntos de referencia para proteger a las organizaciones de los ataques cibernéticos.
Nivel de configuración basado en cis
CI define varios archivos de configuración diferentes para endurecer el sistema operativo en función de su uso previsto. Ubuntu tiene dos tipos de archivos de configuración: uno para estaciones de trabajo (es decir, entornos de escritorio) y otro para servidores sin GUI. Cada categoría tiene dos niveles de endurecimiento.
El nivel 1 está diseñado para ser práctico y no afecta la operación o el rendimiento del sistema cuando sea posible. Para situaciones en las que la seguridad es crítica, aunque esto puede afectar negativamente la operación del sistema, por ejemplo, desarrollos adicionales en el nivel 2, por ejemplo, al aumentar el nivel de registro, lo que hace que funcione más lento o consume más espacio de almacenamiento. Para la mayoría de los usos, el nivel 1 debería proporcionar una buena postura de seguridad.
Guía de seguridad de Ubuntu
Hay cientos de reglas separadas en el punto de referencia, lo que hace que sea mucho tiempo para cualquiera que las implemente desde cero. Hemos creado herramientas de la Guía de Seguridad de Ubuntu (USG) para automatizar los aspectos de auditoría del endurecimiento (también conocido como remediación), así como puntos de referencia para simplificar y simplificar el proceso de cumplimiento.
Creamos un perfil endurecido personal para cuatro combinaciones de puntos de referencia de servidor y estación de trabajo, que están en el nivel 1 y 2.
Habilitar USG con Ubuntu Pro
Ubuntu Pro (suscripción de seguridad y cumplimiento de Enterprise Ready) se incluye Ubuntu Pro en el sencillo Ubuntu. Puede habilitar e instalar USG con el siguiente comando:
$ sudo pro enable usg
$ sudo apt install usg
La última versión de USG (24.04.1) contiene archivos de configuración cis.
auditoría
Para verificar el estado del sistema y ver cómo se acumula en los puntos de referencia, ejecute USG en modo de auditoría:
$ sudo usg audit cis_level1_server
reparar
Luego, para resolver cualquier problema resaltado por las auditorías y haga que el sistema cumpla con el punto de referencia, ejecute USG en modo FIX:
$ sudo usg fix cis_level1_server
Descripción general de endurecimiento personalizado
Cada sistema de TI es diferente, y cada sistema de TI tiene su propio propósito. Por lo tanto, los puntos de referencia de CIS son guías que proporcionan un conjunto de consejos generales y mejores prácticas que pueden usarse ampliamente, lo que significa que puede haber algunas reglas en su perfil que no coincidan con su propia configuración específica del sistema.
Esto es excelente: el punto de referencia está diseñado para ser una guía donde puede adaptar el perfil a sus necesidades específicas.
Para generar archivos a medida para la personalización, ejecute:
$ sudo usg generate-tailoring cis_level1_server tailoringfile.xml
Edite el archivo sastre para seleccionar las reglas que desea habilitar o personalizar, y luego use el archivo de corte para revisar o reparar el sistema:
$ sudo usg audit --tailoring-file tailoringfile.xml
Configuración de firewall y opciones de demonio de tiempo
El punto de referencia CIS le permite elegir entre 3 herramientas de configuración de firewall diferentes, todas las cuales están disponibles en Ubuntu: Nftables (Valor predeterminado para Ubuntu 24.04), iptables y UFW. Indique sus preferencias en el archivo de sastre configurando la variable XCCDF var_network_filtering_service.
También puede seleccionar la herramienta de sincronización de tiempo NTP que desea usar Systemd-Timesyncd (Predeterminado para Ubuntu 24.04) o Klínido. Establezca la variable var_timesync_service en el archivo sastre para seleccionar el demonio timessync para instalar y configurar.
Encuentra detalles en la página de hombres
Se deben ajustar varias reglas en el perfil de CIS de acuerdo con su configuración personal. Esto incluye servidores remotos de registro y auditoría, contraseñas de grub y varios otros detalles personalizados. Brindamos ayuda e información detallada en la página de hombres:
$ man usg-cis
en conclusión
El lanzamiento del CIS Benchmark de USG hará que Ubuntu 24.04 LTS (Noble Numbat) sea más fácil y rápido. Puede obtener más información al respecto al unirse al seminario web.
Si desea aprovechar USG, debe obtener una suscripción Ubuntu Pro. Pro, junto con los puntos de referencia de CIS, incluye nuestra solución integral de vulnerabilidad de seguridad de 10 años, así como parches de núcleo y cumplimiento de FIPS reiniciados.
Si desea obtener más información sobre USG o Ubuntu Pro, contáctenos.
