当社には Red Hat 7/8 システムの大規模な群があり、すべてのシステムが CIS に準拠していることを確認する必要があります。
要件の 1 つは、監査ログを自動的にローテーションしないことです。つまり、次のように構成します。
max_log_file_action = keep_logs
ただし、この設定により、ログが保存されるパーティションがいっぱいになります。 上記の設定を構成したいのですrotateが、そうするとシステムが非準拠になります。
業界の他の人が監査ログをローテーションするために使用しているメカニズムを見つけようとしています。
乾杯
答え1
セキュリティ制御は、イエスかノーかの問題ではありません。監査イベントが失われないようにするために、どの程度の対策を講じることができるかを慎重に検討してください。代替制御について創造的に考えてください。
CISはどうやら実装チェックリストを連絡フォームの後ろに置いたようです。古いコピーが見つかりました。CIS_Red_Hat_Enterprise_Linux_7_ベンチマーク_v2.2.0.pdf実装の詳細について説明します。用語と番号は変更される可能性がありますが、その根拠は大部分が時代を超越したものです。
4.1.1.3 監査ログが自動的に削除されないようにする(スコア付き)プロファイルの適用範囲:
- レベル 2 - サーバー
- レベル 2 - ワークステーション
説明: max_log_file_action 設定は、最大ファイル サイズに達した監査ログ ファイルの処理方法を決定します。keep_logs の値はログをローテーションしますが、古いログは削除しません。
理由: セキュリティが重視される状況では、長い監査履歴を維持することによるメリットが、監査履歴を保存するコストを上回ります。
監査: 次のコマンドを実行し、出力が一致することを確認します。
# grep max_log_file_action /etc/audit/auditd.conf max_log_file_action = keep_logs修復: /etc/audit/auditd.conf で次のパラメータを設定します。
max_log_file_action = keep_logsCIS コントロール: 6.3 監査ログ システムが失われないようにする (つまり、ローテーション/アーカイブ)
ログを保存するすべてのシステムに、定期的に生成されるログを保存するための十分なストレージ スペースがあることを確認し、ログ ローテーション間隔の間にログ ファイルがいっぱいにならないようにします。ログは定期的にアーカイブし、デジタル署名する必要があります。
理論的根拠は、高度なセキュリティ環境について言及していることに注意してください。レベル2は、実装グループ2新しい用語では、これは、コンプライアンス環境やその他のリスクにより、イベントを一切失うことが許されない状況、大きな影響がある場合に該当します。
安全な方法は、ログ ファイルのアーカイブ プロセスで古いファイルを削除し、バックアップした後でのみ削除することです。もちろん、ホストからログ ファイルを削除することもできます。ただし、アーカイブの失敗によってログ ローテーションによってファイルが早期に削除されないように注意してください。
アーカイブ ストレージでは、監査ログの変更や削除を許可しないでください。整合性を確認するためにファイルに署名します。オブジェクト ストレージ アカウントから編集および削除の権限を削除します。テープ メディアでのコールド ストレージを検討してください。
このチェックリストでは、状況によっては も推奨していますadmin_space_left_action = halt。はい、これは、ログを記録できない場合、監査システムがホストをシャットダウンすることを意味します。サービス レベルの目標からすると、これが恐ろしいことである場合、このレベルの偏執狂が環境に適しているかどうかを再検討する必要があるかもしれません。
また、集中型の監査ログ システムも実装します。大量のストレージを備えたシステムでイベントを転送または収集します。セキュリティ保護、クエリ、および保持が容易になります。
どちらがより良いセキュリティを提供しますか? 6 か月分のデータを照会する準備ができており、何年もバックアップされている中央データベースと、チェックリストでファイルの削除が禁止されていると誰かが考えたために常にストレージが不足しているホスト群のどちらでしょうか?