iT邦幫忙

0

有關Ubuntu導入GCB問題

  • 分享至 

  • xImage

各位前輩大家好 :D

因為案子的關係,目前須將所有sever、工作站導入GCB(Ubuntu)。

有上網去查了行政院資安會針對liunx的GCB規範,發現目前只有針對Red Hat Enterprise Linux 5去做導入,查不到針對Ubuntu去做GCB的規範。

想請問有這方面的經驗的人有用Ubuntu導入過gcb嗎?

或是大家都用上述的Red Hat Enterprise Linux 5去規範Ubuntu?

這樣是不是會有些規則是在Ubuntu不適用的情況?

再麻煩各位大大提供意見了~ 感謝q_q

看更多先前的討論...收起先前的討論...
好問題,追蹤等解答
mathewkl iT邦高手 1 級 ‧ 2021-12-10 08:54:28 檢舉
照著規範套看看或者基底直接改Red Hat (先幫你QQ
harrytsai iT邦新手 1 級 ‧ 2021-12-10 09:47:15 檢舉
老實說:剛剛看了一下規範,基本上只要使用者不是管理者身分,根本其他那些設定一點意義都沒有,因為使用者沒有權限
froce iT邦大師 1 級 ‧ 2021-12-10 09:52:21 檢舉
>老實說:剛剛看了一下規範,基本上只要使用者不是管理者身分,根本其他那些設定一點意義都沒有,因為使用者沒有權限

你不能保證沒有攻擊者找的到零日的提權攻擊啊,這又不是沒前例。
題外話
在 linux 上可以裝 open-pbis 就可以讓 linux 入 AD 網域
並可以支援 GPO 不過可以做到什麼就不清楚了
froce iT邦大師 1 級 ‧ 2021-12-10 16:22:50 檢舉
> 在 linux 上可以裝 open-pbis 就可以讓 linux 入 AD 網域

...我之前還在winbind設定搞半天。
setsuna iT邦新手 1 級 ‧ 2021-12-11 16:40:20 檢舉
你為什麼不直接問技服中心? 網友如果跟你說可以,但技服卻告訴你不行,那你套是不套?
GCB是專版專用的,不同版本本來就不用套。我不建議你硬上。
如果你不放心就直接問技服,他們的答案才是你真正要的。
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 個回答

1
froce
iT邦大師 1 級 ‧ 2021-12-10 09:24:27

剛剛去查了一下,就算RH也沒有直接套的方案啊。
只能照指引去做。

指引出到RH 8
https://download.nccst.nat.gov.tw/attachfilegcb/TWGCB-01-008_Red%20Hat%20Enterprise%20Linux%208%E6%94%BF%E5%BA%9C%E7%B5%84%E6%85%8B%E5%9F%BA%E6%BA%96%E8%AA%AA%E6%98%8E%E6%96%87%E4%BB%B6v1.0_1100924.pdf
RH5都已經放在放棄支援的選項了...這要我當主辦你乙方跟我說現在要用RH5架我一定K你到死。XD

ubuntu預設沒有selinux所以相關的沒有辦法去做(selinux要編譯核心模組,另外還要套件有支援)。如果系統不對外或安全等級要求沒那麼高,我想SELinux是可以考慮放棄的。

如果甲方可以溝通,可以考慮照指引盡量做,然後沒有做到的請甲方寫在GCB的套用例外上陳核。GCB不是完全硬性規定,要過評鑑的話,允許例外但必須做表列,畢竟有些加密選項一關,老系統直接死掉。
如果不能溝通,就找RH base重做吧。

附帶一提,公家機關在資訊這塊我很少看到可以溝通的甲方的,科科。

居然有 for RH8 的
先不說技服中心弄這到底要幹嘛
我比較好奇這到底有誰會去套這個

froce iT邦大師 1 級 ‧ 2021-12-10 16:21:04 檢舉

我自己佈當然不管這個,但是花錢請廠商來我一定寫要符合這個啊。XD

好啦,說正經的,資安處每年都會查5個政府機關,沒佈GCB一定是會被寫上去的。加上很多單位承辦也不一定是資訊本科,就算是本科也不一定搞得懂GCB這塊,所以這幾年其實很多機關都會要求要符合。
而且GCB在微軟系統就真的有做到簡單安裝。

只是linux這部分技服中心也是半放棄的狀態,政府機關你要他會用linux架站的就已經夠稀少了。

其實重點還是我說的「GCB不是完全硬性規定,要過評鑑的話,允許例外但必須做表列」,證明你有想佈但是技術上有問題而且經單位核准留有紀錄,那是可以當成可接受風險留下的。

我要發表回答

立即登入回答