Estoy investigando el fortalecimiento del sistema operativo y parece que hay una variedad de guías de configuración recomendadas. Me doy cuenta de que los diferentes proveedores de configuración ofrecen diferentes ofertas por sistema operativo, pero supongamos (por conveniencia) que estamos hablando de Linux. Considera lo siguiente:
¿Hay diferencias obvias entre estos que podrían obligar a alguien a elegir uno sobre los otros?
Actualización: 2014-11-19
Algunos contextos adicionales, envíos por respuesta que solicitaron detalles adicionales:
- No tengo el requisito de endurecerme contra un punto de referencia o una guía dada, simplemente estoy tratando de entender las mejores prácticas actuales que se utilizan en la industria & gobierno. Sin embargo, planeo convertir mis hallazgos en un trabajo de investigación para la clase.
- No seré auditado, excepto por aquellos que lean mi artículo.
- Es posible que mi profesor y un par de estudiantes estén familiarizados con el proceso de auditoría, pero espero que mi trabajo sea accesible para todos. Me gustaría escribir sobre cómo usar una herramienta para escanear automáticamente un sistema según algunas pautas o la base de datos de vulnerabilidades. Soy bastante nuevo en esta área, pero estoy investigando OpenSCAP y OpenVAS . OpenSCAP parece más accesible que OpenVAS, y parece estar escrito para probar contra los estándares NIST . No estoy seguro de qué NIST son probados por OpenSCAP, pero agregaré las pautas de NIST a mi lista de guías para tener en cuenta.
- Tate Hansen sugirió usar Nessus para escanear , sin embargo, me gustaría atenerme estrictamente a las aplicaciones de código abierto para satisfacer mis necesidades para esta investigación.
- Una subpregunta, parece que la guía de estándares de NIST para el endurecimiento es SP 800 -123 y SCAP es simplemente un formato (XML?) Para herramientas para realizar y comunicar análisis de un sistema. ¿Es correcto?