En RHEL 8, ¿hay funciones, métodos, procesos o herramientas preparados para implementar roles de administrador/operador y auditor de la siguiente manera?
- Un administrador/operador debería poder hacer casi todo excepto modificar/eliminar registros
- Un auditor debería poder leer todo y eliminar registros.
En mi investigación, no encontré ninguna sugerencia ni mejores prácticas para este concepto. Pero me imagino que este podría ser un requisito común para los sistemas que deben cumplir con la norma ISO 27001. Así que me pregunto si ya existenmanteniblesoluciones para implementar tales roles en RHEL o si se puede lograr o si esto es (actualmente) simplemente no es factible en RHEL.
Respuesta1
AFAIK, existen algunas disposiciones ya preparadas para la separación de privilegios en SELinux en modo de seguridad multinivelaquípero nada inmediatamente útil y práctico.
Cuando necesita proteger y proteger los archivos de registro y las pistas de auditoría contra los administradores confiables en un servidor, la solución casi siempre es:
- copie esos archivos de registro y pistas de auditoría a una ubicación remota donde esos administradores no tengan acceso en absoluto o solo tengan acceso limitado y donde no sean usuarios confiables.
En otras palabras: el auditor configura y mantiene un servidor syslog central y/o, por ejemplo, un Splunk/ELK Stack o similar al que los otros administradores no tienen acceso (o solo tendrán acceso a nivel de usuario) y, por lo tanto, no tendrán acceso. poder eliminar/modificar los registros. Todos los registros de aplicaciones (críticos) se copian allí. - escribir esos registros aMedios de gusano- aunque puede que haya sido mucho más popular en el pasado que hoy