各位前輩大家好 :D
因為案子的關係,目前須將所有sever、工作站導入GCB(Ubuntu)。
有上網去查了行政院資安會針對liunx的GCB規範,發現目前只有針對Red Hat Enterprise Linux 5去做導入,查不到針對Ubuntu去做GCB的規範。
想請問有這方面的經驗的人有用Ubuntu導入過gcb嗎?
或是大家都用上述的Red Hat Enterprise Linux 5去規範Ubuntu?
這樣是不是會有些規則是在Ubuntu不適用的情況?
再麻煩各位大大提供意見了~ 感謝q_q
已邀請的邦友 {{ invite_list.length }}/5
剛剛去查了一下,就算RH也沒有直接套的方案啊。
只能照指引去做。
指引出到RH 8
https://download.nccst.nat.gov.tw/attachfilegcb/TWGCB-01-008_Red%20Hat%20Enterprise%20Linux%208%E6%94%BF%E5%BA%9C%E7%B5%84%E6%85%8B%E5%9F%BA%E6%BA%96%E8%AA%AA%E6%98%8E%E6%96%87%E4%BB%B6v1.0_1100924.pdf
RH5都已經放在放棄支援的選項了...這要我當主辦你乙方跟我說現在要用RH5架我一定K你到死。XD
ubuntu預設沒有selinux所以相關的沒有辦法去做(selinux要編譯核心模組,另外還要套件有支援)。如果系統不對外或安全等級要求沒那麼高,我想SELinux是可以考慮放棄的。
如果甲方可以溝通,可以考慮照指引盡量做,然後沒有做到的請甲方寫在GCB的套用例外上陳核。GCB不是完全硬性規定,要過評鑑的話,允許例外但必須做表列,畢竟有些加密選項一關,老系統直接死掉。
如果不能溝通,就找RH base重做吧。
附帶一提,公家機關在資訊這塊我很少看到可以溝通的甲方的,科科。
居然有 for RH8 的
先不說技服中心弄這到底要幹嘛
我比較好奇這到底有誰會去套這個
我自己佈當然不管這個,但是花錢請廠商來我一定寫要符合這個啊。XD
好啦,說正經的,資安處每年都會查5個政府機關,沒佈GCB一定是會被寫上去的。加上很多單位承辦也不一定是資訊本科,就算是本科也不一定搞得懂GCB這塊,所以這幾年其實很多機關都會要求要符合。
而且GCB在微軟系統就真的有做到簡單安裝。
只是linux這部分技服中心也是半放棄的狀態,政府機關你要他會用linux架站的就已經夠稀少了。
其實重點還是我說的「GCB不是完全硬性規定,要過評鑑的話,允許例外但必須做表列」,證明你有想佈但是技術上有問題而且經單位核准留有紀錄,那是可以當成可接受風險留下的。
iThome鐵人賽
看影片追技術