OpenScap-Scanergebnisse sind falsch-positiv

OpenScap-Scanergebnisse sind falsch-positiv

Ich habe kürzlich den OpenScap Audit-Scan auf einer SLES 12-Maschine ausgeführt und das Ergebnis scheint ein falsch-positives Ergebnis zu sein.

Z. B. für diese beiden Prüfungen:

1) Stellen Sie sicher, dass die Sudo-Protokolldatei vorhanden ist - sudo logfile

Die Beschreibung dieses Artikels lautet:

Mit dem Tag „logfile“ kann eine benutzerdefinierte Sudo-Protokolldatei konfiguriert werden. Diese Regel konfiguriert eine benutzerdefinierte Sudo-Protokolldatei am von CIS vorgeschlagenen Standardspeicherort, der /var/log/sudo.log verwendet.

Ich habe den Server eingecheckt und dieser Eintrag existiert bereits:

ldefra-s12d:~ # grep 'logfile' /etc/sudoers
Defaults logfile="/var/log/sudo.log"
nagios ALL=NOPASSWD: /sbin/multipath -l, /sbin/multipath -ll, /sbin/multipath -r, /sbin/lvs --segments, /usr/bin/salt-call -l quiet cmd.run uname -a, /usr/bin/salt-call -l quiet state.apply test\=true, /usr/bin/zypper --quiet update --dry-run --no-confirm --auto-agree-with-licenses, /usr/bin/yum --quiet check-update, /usr/bin/zypper install --details --dry-run -y TAneo, /usr/lib/nagios/plugins/check_logfiles, /usr/sbin/crm_mon, /usr/sbin/crm, /usr/sbin/iptables -L -n, /usr/lib/nagios/plugins/check_iptables.sh, /usr/bin/id, /usr/lib/nagios/plugins/check_highstate.py, /usr/lib/nagios/plugins/check_iptables.py
ldefra-s12d:~ #

Ein anderes ist dieses:

2) Beschränken Sie die Wiederverwendung von Passwörtern

Die Beschreibung hierzu lautet:

Erlauben Sie Benutzern nicht, aktuelle Passwörter wiederzuverwenden. Dies lässt sich durch die Verwendung der Option „Remember“ für die PAM-Module pam_pwhistory erreichen.

Stellen Sie sicher, dass in der Datei /etc/pam.d/common-password die Parameter „remember“ und „use_authtok“ vorhanden sind und dass der Wert für den Parameter „remember“ 5 oder höher ist. Beispiel: password requisite pam_pwhistory.so ...existing_options... remember=5 use_authtok Die DoD STIG-Anforderung sind 5 Passwörter.

Im Server ist außerdem folgendes konfiguriert:

ldefra-s12d:~ # grep remember /etc/pam.d/common-password
password        required        pam_pwhistory.so   use_authtok remember=5 retry=3

Wenn dies der Fall ist, warum liefert der Scan dann falsch-positive Ergebnisse? Muss ich etwas an der OpenScap-Scandatei/dem OpenScap-Scancode selbst bearbeiten? Bitte stellen Sie eine Lösung dafür bereit. Dies ist Teil der regelmäßigen Prüfpraxis meines Unternehmens und ich habe immer noch keine Ahnung, wie ich dieses Problem lösen kann.

Antwort1

Das Upstream-Projekt für diese von OpenSCAP verwendeten Regeln isthttps://github.com/ComplianceAsCode/content.

Wenn Sie der Meinung sind, dass diese Regeln nicht wie erwartet funktionieren, wäre es gut, dort im Projekt ein Problem zu melden, damit die Projektbetreuer und die Community die Regeln untersuchen und bei Bedarf verbessern können.

Das Projekt ist sehr dynamisch und es ist möglich, dass diese Regeln in der Zwischenzeit bereits aktualisiert wurden.

verwandte Informationen