Contamos con una gran flota de sistemas Red Hat 7/8. Tenemos el requisito de asegurarnos de que todos los sistemas cumplan con CIS.
Uno de los requisitos es no rotar automáticamente los registros de auditoría. Es decir configurar lo siguiente:
max_log_file_action = keep_logs
Sin embargo, esta configuración llenará la partición donde se almacenan los registros. Queremos configurar la configuración anterior, rotatepero eso hará que el sistema no sea compatible.
Estoy tratando de encontrar un mecanismo que otros en la industria estén utilizando para rotar los registros de auditoría.
Salud
Respuesta1
Los controles de seguridad no son una cosa de sí o no. Piense críticamente en qué medidas extremas puede tomar para garantizar que no se pierdan eventos de auditoría. Sea creativo con los controles alternativos.
Aparentemente, CIS ahora incluye listas de verificación de implementación detrás de un formulario de contacto. Encontré una copia antigua enCIS_Red_Hat_Enterprise_Linux_7_Benchmark_v2.2.0.pdfpara discutir los detalles de implementación. La terminología y la numeración pueden cambiar, pero el razonamiento es en su mayor parte atemporal.
4.1.1.3 Garantizar que los registros de auditoría no se eliminen automáticamente (puntuado) Aplicabilidad del perfil:
- Nivel 2 - Servidor
- Nivel 2 - Estación de trabajo
Descripción: La configuración max_log_file_action determina cómo manejar el archivo de registro de auditoría que alcanza el tamaño máximo de archivo. Un valor de keep_logs rotará los registros pero nunca eliminará los registros antiguos.
Justificación: en contextos de alta seguridad, los beneficios de mantener un historial de auditoría extenso superan el costo de almacenar el historial de auditoría.
Auditoría: ejecute el siguiente comando y verifique las coincidencias de salida:
# grep max_log_file_action /etc/audit/auditd.conf max_log_file_action = keep_logsSolución: establezca el siguiente parámetro en /etc/audit/auditd.conf:
max_log_file_action = keep_logsControles CIS: 6.3 Garantizar que los sistemas de registro de auditoría no estén sujetos a pérdidas (es decir, rotación/archivo)
Asegúrese de que todos los sistemas que almacenan registros tengan espacio de almacenamiento adecuado para los registros generados periódicamente, de modo que los archivos de registro no se llenen entre los intervalos de rotación de registros. Los registros deben archivarse y firmarse digitalmente periódicamente.
Tenga en cuenta que el fundamento habla de entornos de alta seguridad. Nivel 2, que supongo que se asigna agrupo de implementación 2en terminología más nueva. Esto es para situaciones en las que no puede darse el lujo de perder ningún evento, de alto impacto debido al entorno de cumplimiento u otros riesgos.
Lo más seguro sería permitir que un proceso de archivado de archivos de registro elimine los archivos antiguos, sólo después de realizar una copia de seguridad de ellos. Por supuesto, puedes eliminar archivos de registro de los hosts. Pero tenga cuidado de que una falla en el archivado no provoque que la rotación de registros elimine archivos antes de tiempo.
Para el almacenamiento de archivos, no permita que se modifiquen ni eliminen los registros de auditoría. Firme archivos para confirmar su integridad. Elimine los permisos de edición y eliminación de las cuentas de almacenamiento de objetos. Considere el almacenamiento en frío en cintas.
Esta lista de verificación también recomienda en algunas situaciones admin_space_left_action = halt. Sí, esto significa que el sistema de auditoría cerrará el host si no puede iniciar sesión. Si esto le horroriza debido a sus objetivos de nivel de servicio, es posible que deba reexaminar si este nivel de paranoia es apropiado para su entorno.
Implemente también un sistema de registro de auditoría centralizado. Reenviar o recopilar eventos en un sistema con una gran cantidad de almacenamiento. Más fácil de asegurar, consultar y retener.
¿Qué proporciona mejor seguridad: una base de datos central con 6 meses de datos listos para ser consultados y años de respaldo, o una flota de hosts que siempre se queda sin almacenamiento porque alguien pensó que una lista de verificación prohibía eliminar archivos?