Gibt es für RHEL 8 vorbereitete Funktionen, Methoden, Prozesse oder Tools, um Administrator-/Operator- und Auditor-Rollen wie folgt zu implementieren:
- Ein Administrator/Bediener sollte fast alles tun können, außer Protokolle ändern/löschen
- Ein Prüfer sollte alles lesen und Protokolle löschen können
Bei meiner Recherche habe ich keine Hinweise oder Best Practices für dieses Konzept gefunden. Ich kann mir aber vorstellen, dass dies eine gängige Anforderung für Systeme sein könnte, die ISO 27001 entsprechen sollen. Ich frage mich also, ob es bereitswartbarLösungen zur Implementierung solcher Rollen auf RHEL oder ob dies überhaupt erreicht werden kann oder ob dies (momentan) auf RHEL einfach nicht machbar.
Antwort1
Soweit ich weiß, gibt es in SELinux im Multi-Level-Security-Modus bereits Vorkehrungen für die Privilegientrennung.Hieraber nichts unmittelbar Nützliches und Praktisches.
Wenn Sie Protokolldateien und Prüfpfade vor den vertrauenswürdigen Administratoren auf einem Server schützen und gegen Manipulation schützen müssen, lautet die Lösung fast immer:
- Kopieren Sie diese Protokolldateien und Prüfpfade an einen Remote-Speicherort, auf den diese Administratoren keinen oder nur eingeschränkten Zugriff haben und wo sie keine vertrauenswürdigen Benutzer sind.
Mit anderen Worten: Der Prüfer richtet einen zentralen Syslog-Server und/oder beispielsweise einen Splunk/ELK-Stack oder ähnliches ein und verwaltet ihn, auf den die anderen Administratoren keinen Zugriff haben (oder nur auf Benutzerebene Zugriff haben) und daher die Datensätze nicht löschen/ändern können. Alle (kritischen) Anwendungsprotokolle werden dorthin kopiert. - Schreiben Sie diese Protokolle inWORM-Medien- obwohl das früher vielleicht viel beliebter war als heute