Puncte:0

Configurație auditd conformă CIS pe Red Hat 7/8

drapel cn

Avem o flotă mare de sisteme Red Hat 7/8. Avem o cerință de a ne asigura că toate sistemele sunt conforme CIS.

Una dintre cerințe este să nu rotiți automat jurnalele de audit. Adică configurați următoarele:

max_log_file_action = păstrați jurnalele

Cu toate acestea, această setare va umple partiția în care sunt stocate jurnalele. Dorim să configuram setarea de mai sus la roti dar asta va face ca sistemul să nu fie conform.

Încerc să găsesc mecanismul pe care alții din industrie îl folosesc pentru a roti jurnalele de audit.

Noroc

4snok avatar
drapel es
ce control CSI este? CIS avea doar o cerință pentru o partiție separată pentru jurnal, după cum îmi amintesc.
drapel us
Rob
Citiți corect cerințele? Secțiunea 8 din controalele CIS https://www.cisecurity.org/controls/cis-controls-navigator/ menționează numai * „păstrați jurnalele de audit și înregistrările în măsura în care este necesar”* în 8.5 și explică timpii de păstrare 8.10 - unde cu puțină alegere, puteți face și: *Păstrați istoricul urmăririi de audit timp de cel puțin un an, cu un minim de trei luni imediat disponibil pentru analiză"* și restul *"arhivat sau restaurabil din backup"* - nu Nu este nevoie să păstrați cantități nelimitate de jurnale pentru totdeauna pe sistemul însuși
drapel us
Rob
Majoritatea oamenilor vor face controlul CIS 8.9 *„Centralizează, în măsura posibilului, colectarea și păstrarea jurnalelor de audit”*
Puncte:0
drapel cn

Controalele de securitate nu sunt un lucru da sau nu. Gândiți-vă critic la cât de extremă puteți lua pentru a vă asigura că nu se pierde niciun eveniment de audit. Fiți creativ în privința controalelor alternative.

Se pare că CIS pune acum liste de verificare a implementării în spatele unui formular de contact. Am găsit o copie veche la CIS_Red_Hat_Enterprise_Linux_7_Benchmark_v2.2.0.pdf pentru a discuta detaliile de implementare. Terminologia și numerotarea se pot schimba, dar raționamentul este în cea mai mare parte atemporal.

4.1.1.3 Asigurați-vă că jurnalele de audit nu sunt șterse automat (notat) Aplicabilitatea profilului:

  • Nivelul 2 - Server
  • Nivelul 2 - Stație de lucru

Descriere: setarea max_log_file_action determină modul de tratare fișierul jurnal de audit atingând dimensiunea maximă a fișierului. O valoare pentru keep_logs va roti jurnalele, dar nu va șterge niciodată jurnalele vechi.

Motivație: În contexte de înaltă securitate, beneficiile menținerii a istoricul lung de audit depășește costul stocării istoricului de audit.

Audit: rulați următoarea comandă și verificați potrivirile rezultatelor:

# grep max_log_file_action /etc/audit/auditd.conf
max_log_file_action = păstrați jurnalele

Remediere: Setați următorul parametru în /etc/audit/auditd.conf:

max_log_file_action = păstrați jurnalele

Controale CIS: 6.3 Asigurați-vă că sistemele de înregistrare a auditului nu sunt supuse pierderii (adică rotație/arhivă)

Asigurați-vă că toate sistemele care stochează jurnalele au spațiu de stocare adecvat pentru jurnalele generate în mod regulat, astfel încât fișierele de jurnal să nu fie umpleți între intervalele de rotație a buștenilor. Jurnalele trebuie arhivate și semnat digital periodic.

Rețineți că rațiunea vorbește despre medii de înaltă securitate. Nivelul 2, căruia presupun că este hărți grupa de implementare 2 într-o terminologie mai nouă. Acest lucru este pentru situațiile în care nu vă permiteți să pierdeți niciun eveniment, un impact ridicat din cauza mediului de conformitate sau a altor riscuri.

Un lucru sigur de făcut ar fi să lăsați un proces de arhivare a fișierelor jurnal să ștergă fișierele vechi, numai după ce au fost făcute copii de rezervă. Desigur, puteți șterge fișierele jurnal de pe gazde. Dar aveți grijă ca un eșec în arhivare să nu aibă ca rezultat ștergerea rapidă a fișierelor prin rotația jurnalului.

Pentru stocarea arhivelor, nu lăsați jurnalele de audit să fie modificate sau șterse. Semnează fișierele pentru a le confirma integritatea. Eliminați permisiunile de editare și ștergere din conturile de stocare a obiectelor. Luați în considerare stocarea la rece pe suporturi de bandă.

Această listă de verificare în unele situații recomandă, de asemenea admin_space_left_action = oprire. Da, asta înseamnă că sistemul de audit va închide gazda dacă nu se poate înregistra. Dacă acest lucru vă îngrozește din cauza obiectivelor dvs. de nivel de serviciu, poate fi necesar să reexaminați dacă acest nivel de paranoia este potrivit pentru mediul dvs.

De asemenea, implementați un sistem centralizat de înregistrare a auditului. Redirecționați sau colectați în alt mod evenimente într-un sistem cu o cantitate mare de stocare. Mai ușor de securizat, interogat și reținut.

Care oferă o securitate mai bună: o bază de date centrală cu 6 luni de date gata de a fi interogate și ani pentru copii de rezervă sau o flotă de gazde care rămâne mereu fără spațiu de stocare pentru că cineva a crezut că o listă de verificare interzice ștergerea fișierelor?

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.