RHEL 8: Rolul administrator vs. auditor

Pe RHEL 8, există funcții, metode, procese sau instrumente pregătite pentru implementarea rolurilor de administrator/operator și auditor în următorul mod:

• Un administrator/operator ar trebui să poată face aproape orice, cu excepția modificării/ștergerii jurnalelor
• Un auditor ar trebui să fie capabil să citească totul și să șteargă jurnalele

În cercetarea mea, nu am găsit indicii sau bune practici pentru acest concept. Dar îmi imaginez că aceasta ar putea fi o cerință comună pentru sistemele care trebuie să respecte ISO 27001. Deci mă întreb dacă există deja întreținută soluții pentru a implementa astfel de roluri pe RHEL sau dacă se poate realiza deloc sau dacă acest lucru este (în prezent) pur și simplu nu este fezabil pe RHEL.

AFAIK există câteva prevederi gata făcute pentru separarea privilegiilor în SELinux în modul de securitate pe mai multe niveluri Aici dar nimic imediat util și practic.

Atunci când trebuie să protejați și să protejați fișierele jurnal și pistele de audit împotriva administratorilor de încredere de pe un server, soluția este aproape întotdeauna:

• copiați acele fișiere jurnal și piste de audit într-o locație de la distanță unde acei administratori nu au acces deloc sau doar acces limitat și unde nu sunt utilizatori de încredere.
  Cu alte cuvinte: auditorul instalează și întreține un server syslog central și/sau, de exemplu, o stivă Splunk/ELK sau similar la care ceilalți administratori nu au acces (sau vor avea doar acces la nivel de utilizator) și, prin urmare, nu vor să poată șterge/modifica înregistrările. Toate jurnalele (critice) ale aplicațiilor sunt copiate acolo.
• scrie acele jurnale la Media WORM - deși este posibil să fi fost mult mai popular în trecut decât este astăzi