zurück zum Artikel

NSA veröffentlicht Automatisierungstool zur Systemsicherheit

NSA veröffentlicht Automatisierungstool zur Systemsicherheit

Mit SIMP hat die NSA einen Betriebssystem-Aufsatz zum Härten von RHEL und CentOS entwickelt, den sie nun unter der Apache-Lizenz freigibt.

Zum automatisierten Einrichten sicherer Systeme hatte die NSA das Ruby-Programm SIMP (System Integrity Management Platform) entwickelt, nun will sie es als Open Source anderen zur Verfügung stellen. SIMP ist ein Aufsatz für Red Hat Enterprise Linux (RHEL) und das Community Enterprise Operating System (CentOS) und deshalb ausschließlich auf die Linux-Distributionen aus dem Hause Red Hat ausgelegt.

Es übernimmt und automatisiert das Einrichten und Konfigurieren der Systeme so weit wie möglich und überwacht die Einhaltung der Sicherheitsvorgaben, lässt sich aber durch die Ruby-Skripte anpassen. Für Multi-Host-Konfigurationen verwendet es Puppet - 2.7.13 oder höher. Für die Benutzerverwaltung setzt es auf OpenLDAP. Darüber hinaus benötigt es den Domain Name Server Bind 9, ISC DHCP, PXELinux, Apache IPtables, Auditd, AIDE (Advanced Intrusion Detection Environment), Rsyslog Version 3+, TFTP (Trivial File Transfer Protocol), YUM (Yellowdog Updater, Modified), RedHat Kickstart und das X.509-Key-Management.

Vom Systemverwalter verlangt es Kentnisse aller dieser System und Dienste, einschließlich Erfahrung an der Kommandozeile, da es keine GUI bietet. Für Anpassungen oder um die erweiterten Fähigkeiten von Puppet zu nutzen, sind Ruby-Kenntnisse unabdinglich.

Als Sicherheitsrichtlinien verwendet SIMP die Guidelines des SCAP Security Guide Project [1] (SSG), das auf das Security Content Automation Protocol (SCAP [2]) des NIST (National Institute of Standards and Technology) fußt. Das Projekt bietet derzeit Leitfäden und Validierungsmechanismen für RHEL 5, 6 und 7, Fedora, Java (JRE), Chromium, Firefox, OpenStack, JBoss Enterprise Application Server 5 (JBoss EAP5), JBossFuse6 und Webmin. Ein Toolkit zum Umgang mit den SCAP-Dokumenten bietet das Projekt OpenSCAP [3].

Erste Teile des Codes sind bereits unter die Apache-Lizenz 2.0 gestellt und auf Github [4] veröffentlicht. Die SIMP-Version 4.2.0 [5] setzt auf die RHEL- und CentOS-Version 6.6 auf, die SIMP-Version 5.1.0 [6] auf RHEL und CentOS 7.1. Der Fortschritt der Veröffentlichung lässt sich auf der beim Jira- und Confluence-Anbieter Atlassian gehosteten SIMP Development Homepage [7] verfolgen. (sun [8])


URL dieses Artikels:
http://www.heise.de/-2750959

Links in diesem Artikel:
[1] https://fedorahosted.org/scap-security-guide/
[2] http://scap.nist.gov/index.html
[3] http://open-scap.org/page/Main_Page
[4] https://github.com/NationalSecurityAgency/SIMP
[5] https://simp-project.atlassian.net/secure/attachment/10100/v4_simp_guide_jj_071015.pdf
[6] https://simp-project.atlassian.net/secure/attachment/10101/v5simp_guide_jj_071015.pdf
[7] https://simp-project.atlassian.net/wiki/display/SD/SIMP+Development+Home
[8] mailto:sun@ix.de