Los puntos de referencia de CIS tienen cientos de recomendaciones de configuración, por lo que reforzar y auditar manualmente un sistema Linux puede ser tedioso. Todos los administradores de sistemas que necesitan adherirse a este punto de referencia quieren que este proceso sea fácil de usar y automatizar. ¿porqué es eso? La configuración manual de una cantidad tan grande de reglas puede generar errores, errores que pueden conducir no solo a problemas funcionales, sino también a brechas de seguridad.De hecho, una de las principales razones de las brechas de seguridad en los últimos años se debe a la mala configuración, según Investigación de violación de datos de Verizon.
Presentemos las Pautas de seguridad de Ubuntu (USG). La Guía de seguridad de Ubuntu es una nueva herramienta disponible en Ubuntu 20.04 LTS que facilita la automatización y mejora en gran medida la usabilidad del fortalecimiento y la auditoría con CIS, al tiempo que permite la personalización para entornos específicos. En el resto de este blog, cubriremos casos de uso clave, como el cumplimiento, la auditoría y la personalización de CIS.
Tabla de Contenidos
El principal beneficio, o ¿por qué debería importarme?
Al observar cómo los auditores y administradores de los sistemas Ubuntu usan nuestras herramientas de cumplimiento de CIS existentes, identificamos varios puntos en los que se podría mejorar su flujo de trabajo. La siguiente lista resume los principales puntos débiles para los flujos de trabajo de auditoría y cumplimiento que aborda la Guía de seguridad de Ubuntu.
Uso de la guía de seguridad de Ubuntu
- Puede personalizar (personalizar) los perfiles de CIS; elija qué reglas de CIS seguir.
- Puede seleccionar versiones específicas de las líneas base de CIS, es decir, las actualizaciones de herramientas no necesitan interrumpir los análisis programados para versiones específicas de la línea base.
- Los equipos pueden estandarizar los perfiles almacenándolos en una ubicación cableada, evitando que diferentes personas escaneen o se adhieran accidentalmente a diferentes perfiles o versiones.
- La misma experiencia se aplica ya sea escaneando puntos de referencia CIS, DISA-STIG o cualquier otro perfil que se proporcione en el futuro.
- Por último, pero no menos importante, utiliza una interfaz coherente en todas las versiones de Ubuntu.
Ahora profundicemos en cómo usar la Guía de seguridad de Ubuntu.
Cómo instalar la guía de seguridad de Ubuntu
La Guía de seguridad de Ubuntu está disponible mediante suscripción. Después de adjuntar la suscripción en su sistema Ubuntu, instale USG con el siguiente comando:
$ sudo apt update
$ sudo apt install ubuntu-advantage-tools
$ sudo ua enable usg
$ sudo apt install usgCómo auditar el sistema
Al momento de escribir este artículo, el punto de referencia de CIS para Ubuntu 20.04 LTS es «CIS Ubuntu Linux 20.04 LTS Benchmark v1.0.0». Usaremos USG y evaluaremos nuestro sistema usando los siguientes comandos.
$ sudo usg audit cis_level1_serverEsto generará un informe colocado en /var/lib/usg junto con los resultados de la auditoría. El informe HTML contiene una lista de reglas exitosas y fallidas, como se muestra en la imagen a continuación.
Qué es»servidor_nivel1_cis«¿Opciones de línea de comandos que usamos? Nombre del archivo de configuración USG utilizado para la auditoría. Estos archivos de configuración corresponden a archivos de configuración CIS, reforzados para estaciones de trabajo y sistemas de servidor, los niveles más altos indican más reglas para reducir aún más los ataques en la cara del sistema, pero a costa de disponibilidad reducida.
| nombre de archivo USG | Introducción correspondiente de la CEI |
| cis_nivel1_estación de trabajo | Perfil de estación de trabajo de nivel 1 |
| servidor_nivel1_cis | Perfil de servidor de nivel 1 |
| cis_nivel2_estación de trabajo | Perfil de estación de trabajo de nivel 2 |
| servidor_nivel2_cis | Perfil de servidor de nivel 2 |
Cómo modificar el sistema para el cumplimiento
Usar USG para modificar un sistema para cumplir con los puntos de referencia de CIS es tan fácil como el siguiente comando.
$ sudo usg fix cis_level1_servereso es todo. ¡Realizar una auditoría después de un reinicio mostrará que el nivel de cumplimiento ha aumentado significativamente!
Cómo crear un perfil personalizado basado en CIS
Cumplir con los puntos de referencia no es una tarea de todo o nada. Cada entorno es diferente, y las opciones que se consideran nicho en un lugar pueden ser esenciales en otro. Por lo tanto, USG permite personalizar perfiles y eliminar reglas innecesarias, así como personalizar reglas con múltiples opciones disponibles.
Puede usar archivos personalizados para personalizar los archivos de configuración como se muestra a continuación.
1. Genere un archivo de recorte:
$ sudo usg generate-tailoring stig ./tailor.xml
2. Edite el archivo personalizado y verifique las reglas que se muestran como comentarios. Por ejemplo, para configurar un servidor de auditoría remoto (regla UBTU-20-010216), busque el siguiente texto:
por reemplazo «seleccionar = verdadero» y»seleccionar = falso«, ya no forzamos la desactivación del sistema de archivos jffs2.
3. Auditoría utilizando el nuevo archivo personalizado:
$ sudo usg audit
4. Repare el sistema con el nuevo archivo personalizado:
$ sudo usg fix
en conclusión
Adherirse manualmente a los perfiles de seguridad es una tarea tediosa y compleja que es propensa a errores. La Guía de seguridad de Ubuntu (USG) brinda simplicidad e incorpora la experiencia de varios equipos que trabajan en el cumplimiento. Admite la auditoría, la corrección y la personalización de los sistemas con opciones mínimas de línea de comandos, al tiempo que permite la configuración de cumplimiento de todo el sistema para una fácil administración por parte de diferentes personas en el equipo de DevOps. La herramienta usg está disponible en Ubuntu 20.04 con Ubuntu Advantage o Ubuntu Pro. Hay muchas formas de lograr el cumplimiento con el punto de referencia CIS, algunas más fáciles que otras. Las Pautas de seguridad de Ubuntu son la forma en que Ubuntu logra el cumplimiento al proporcionar una interfaz nativa de Linux familiar, basada en Tecnología OpenSCAP¡Le invitamos a considerar darle una oportunidad! Puede encontrar documentación más detallada en nuestra página de documentación.
