最近、SLES 12 マシンで OpenScap Audit スキャンを実行しましたが、結果は誤検知のようです。
たとえば、次の 2 つのチェックの場合:
1) sudo ログファイルが存在することを確認する - sudo ログファイル
この商品の説明には以下が記載されています:
カスタム ログ sudo ファイルは、「logfile」タグを使用して設定できます。このルールは、CIS によって提案されたデフォルトの場所 (/var/log/sudo.log を使用) に sudo カスタム ログ ファイルを設定します。
サーバーにチェックインしたところ、このエントリはすでに存在しています:
ldefra-s12d:~ # grep 'logfile' /etc/sudoers
Defaults logfile="/var/log/sudo.log"
nagios ALL=NOPASSWD: /sbin/multipath -l, /sbin/multipath -ll, /sbin/multipath -r, /sbin/lvs --segments, /usr/bin/salt-call -l quiet cmd.run uname -a, /usr/bin/salt-call -l quiet state.apply test\=true, /usr/bin/zypper --quiet update --dry-run --no-confirm --auto-agree-with-licenses, /usr/bin/yum --quiet check-update, /usr/bin/zypper install --details --dry-run -y TAneo, /usr/lib/nagios/plugins/check_logfiles, /usr/sbin/crm_mon, /usr/sbin/crm, /usr/sbin/iptables -L -n, /usr/lib/nagios/plugins/check_iptables.sh, /usr/bin/id, /usr/lib/nagios/plugins/check_highstate.py, /usr/lib/nagios/plugins/check_iptables.py
ldefra-s12d:~ #
もう一つはこれです:
2) パスワードの再利用を制限する
これの説明は次のとおりです:
ユーザーが最近使用したパスワードを再利用できないようにします。これは、pam_pwhistory PAM モジュールの remember オプションを使用することで実現できます。
ファイル /etc/pam.d/common-password で、remember パラメータと use_authtok パラメータが存在し、remember パラメータの値が 5 以上であることを確認します。例: password requisite pam_pwhistory.so ...existing_options... remember=5 use_authtok DoD STIG 要件は 5 つのパスワードです。
サーバーでは、これも次のように構成されます:
ldefra-s12d:~ # grep remember /etc/pam.d/common-password
password required pam_pwhistory.so use_authtok remember=5 retry=3
この場合、スキャンで誤検知の結果が生成される理由は何でしょうか? Openscap スキャン ファイル/コード自体を編集する必要がありますか? 解決策を教えてください。これは私の会社の定期的な監査業務の一部ですが、この問題を解決する方法がまだわかりません。
答え1
OpenSCAPが使用するこれらのルールのアップストリームプロジェクトはhttps://github.com/ComplianceAsCode/コンテンツ。
これらのルールが期待どおりに機能していないと思われる場合は、プロジェクト内で問題を提出して、プロジェクトの管理者とコミュニティが必要に応じてルールを調査し、改善できるようにしてください。
このプロジェクトは非常に動的であり、その間にこれらのルールがすでに更新されている可能性もあります。