ISO 27001 や PCI DSS などのセキュリティ標準を満たす、Ubuntu サーバー強化の完全なドキュメントはありますか。
答え1
Ubuntu サーバーの強化に関する公式ドキュメントは知りませんが、次のドキュメントが参考になると思います。
NIST (米国国立標準技術研究所) は、*nix システムのセキュリティを確保する方法に関するガイドラインを公開しています。これは、大手企業 (国防総省、陸軍など) が出発点として使用しているものです。
こちらもご覧くださいSANS研究所論文。 このリストも良い経験則です。
Nessus、OpenVAS、その他の脆弱性スキャナーなどのツールを使用して、シャットダウンする必要があるポートとサービスを把握することもできます。
の国家脆弱性データベースソフトウェア構成を相互参照するのにも適したサイトです。
ISO 27001 への準拠を目指す場合、ISO にはこの種の事項に関するドキュメントとチェックリストがあるはずです (ただし、確認するのは大変です)。
あまりに一般的すぎる内容で申し訳ありませんが、お役に立てれば幸いです。
答え2
上記の回答は素晴らしいものですが、私が個人的に好むのは、次の場所にある CIS Debian Hardening Guide です。http://benchmarks.cisecurity.org/en-us/?route=downloads.show.single.debian.100
答え3
利用されている強化ガイドは数多くありますが、多くのフレームワークが参考にしている業界標準は、特にインターネット セキュリティ センター (CIS) が発行している CIS ベンチマークである PCI-DSS です。CIS ガイドラインは、Windows、Linux、AIX などのオペレーティング システムに関するガイダンスを提供するだけでなく、Apache、MySQL、Oracle、Weblogic、SQL Server、IIS など、それらが実行する多くのサービスに関する強化ガイドラインも提供しています。市販のツールも、スキャン製品を使用して脆弱性とセキュリティのチェックを行う際にプラグインを活用します。ネットワークの IDS/IPS、ホストの HIDS など、さまざまなタスクのためにロードするセキュリティ固有の項目もあります。構成や不正な変更を検出したり、異常なアクティビティがないかログを解析して確認したりするためにインストールされるツールです。私は過去 20 年以上サーバーの構築と強化に携わってきたので、より詳細な質問があれば、喜んでお答えします。