Wir verfügen über eine große Flotte von Red Hat 7/8-Systemen. Wir müssen sicherstellen, dass alle Systeme CIS-kompatibel sind.
Eine der Anforderungen besteht darin, die Überwachungsprotokolle nicht automatisch zu rotieren. Konfigurieren Sie dazu Folgendes:
max_log_file_action = keep_logs
Diese Einstellung füllt jedoch die Partition, in der die Protokolle gespeichert sind. Wir möchten die obige Einstellung konfigurieren, rotateaber dadurch wird das System nicht mehr kompatibel.
Ich versuche, einen Mechanismus zu finden, den andere in der Branche zum Rotieren von Prüfprotokollen verwenden.
Prost
Antwort1
Bei Sicherheitskontrollen gibt es keine Ja-oder-Nein-Sache. Überlegen Sie kritisch, welche drastischen Maßnahmen Sie ergreifen können, um sicherzustellen, dass keine Audit-Ereignisse verloren gehen. Werden Sie kreativ und wählen Sie alternative Kontrollmöglichkeiten.
CIS stellt nun offenbar Implementierungschecklisten hinter ein Kontaktformular. Eine alte Kopie fand ich unterCIS_Red_Hat_Enterprise_Linux_7_Benchmark_v2.2.0.pdfum Implementierungsdetails zu besprechen. Terminologie und Nummerierung können sich ändern, aber die Begründung ist größtenteils zeitlos.
4.1.1.3 Sicherstellen, dass Prüfprotokolle nicht automatisch gelöscht werden (bewertet) Anwendbarkeit des Profils:
- Ebene 2 – Server
- Ebene 2 - Arbeitsplatz
Beschreibung: Die Einstellung max_log_file_action bestimmt, wie mit der Überwachungsprotokolldatei verfahren wird, wenn diese die maximale Dateigröße erreicht. Der Wert keep_logs rotiert die Protokolle, löscht jedoch niemals alte Protokolle.
Begründung: In Hochsicherheitskontexten übersteigen die Vorteile der Pflege eines langen Prüfverlaufs die Kosten für die Speicherung des Prüfverlaufs.
Prüfung: Führen Sie den folgenden Befehl aus und überprüfen Sie, ob die Ausgabe übereinstimmt:
# grep max_log_file_action /etc/audit/auditd.conf max_log_file_action = keep_logsAbhilfe: Legen Sie den folgenden Parameter in /etc/audit/auditd.conf fest:
max_log_file_action = keep_logsCIS-Kontrollen: 6.3 Sicherstellen, dass Audit-Protokollierungssysteme nicht verlustbehaftet sind (z. B. Rotation/Archivierung)
Stellen Sie sicher, dass alle Systeme, die Protokolle speichern, über ausreichend Speicherplatz für die regelmäßig generierten Protokolle verfügen, sodass die Protokolldateien zwischen den Protokollrotationsintervallen nicht voll werden. Die Protokolle müssen regelmäßig archiviert und digital signiert werden.
Beachten Sie, dass in der Begründung von Hochsicherheitsumgebungen die Rede ist. Level 2, das meiner Meinung nachUmsetzungsgruppe 2in neuerer Terminologie. Dies ist für Situationen gedacht, in denen Sie es sich nicht leisten können, überhaupt irgendwelche Ereignisse zu verlieren, oder in denen die Auswirkungen aufgrund der Compliance-Umgebung oder anderer Risiken groß sind.
Eine sichere Vorgehensweise wäre, einen Protokolldatei-Archivierungsprozess alte Dateien erst löschen zu lassen, nachdem sie gesichert wurden. Natürlich können Sie Protokolldateien von Hosts löschen. Achten Sie jedoch darauf, dass ein Fehler bei der Archivierung nicht dazu führt, dass die Protokollrotation die Dateien vorzeitig löscht.
Achten Sie darauf, dass bei der Archivierung keine Prüfprotokolle geändert oder gelöscht werden. Signieren Sie Dateien, um deren Integrität zu bestätigen. Entfernen Sie Bearbeitungs- und Löschberechtigungen von Objektspeicherkonten. Erwägen Sie die Kaltspeicherung auf Bandmedien.
Diese Checkliste empfiehlt in manchen Situationen auch admin_space_left_action = halt. Ja, das bedeutet, dass das Prüfsystem den Host herunterfährt, wenn er sich nicht anmelden kann. Wenn Sie das aufgrund Ihrer Service-Level-Ziele entsetzt, müssen Sie möglicherweise noch einmal prüfen, ob dieses Maß an Paranoia für Ihre Umgebung angemessen ist.
Implementieren Sie außerdem ein zentrales System zur Protokollierung von Audits. Leiten Sie Ereignisse weiter oder sammeln Sie sie anderweitig in einem System mit viel Speicher. Einfacher zu sichern, abzufragen und aufzubewahren.
Was bietet mehr Sicherheit: eine zentrale Datenbank mit Daten für sechs Monate zur Abfrage und jahrelangen Sicherungskopien oder eine Flotte von Hosts, denen ständig der Speicherplatz ausgeht, weil jemand dachte, eine Checkliste verbiete das Löschen von Dateien?