Recientemente ejecuté el análisis de OpenScap Audit en una máquina SLES 12 y el resultado parece ser falso positivo.
Por ejemplo, para estos dos controles:
1) Asegúrese de que exista el archivo de registro sudo: archivo de registro sudo
La descripción de este artículo menciona:
Se puede configurar un archivo sudo de registro personalizado con la etiqueta 'logfile'. Esta regla configura un archivo de registro personalizado sudo en la ubicación predeterminada sugerida por CIS, que usa /var/log/sudo.log.
He verificado el servidor y esta entrada ya existe:
ldefra-s12d:~ # grep 'logfile' /etc/sudoers
Defaults logfile="/var/log/sudo.log"
nagios ALL=NOPASSWD: /sbin/multipath -l, /sbin/multipath -ll, /sbin/multipath -r, /sbin/lvs --segments, /usr/bin/salt-call -l quiet cmd.run uname -a, /usr/bin/salt-call -l quiet state.apply test\=true, /usr/bin/zypper --quiet update --dry-run --no-confirm --auto-agree-with-licenses, /usr/bin/yum --quiet check-update, /usr/bin/zypper install --details --dry-run -y TAneo, /usr/lib/nagios/plugins/check_logfiles, /usr/sbin/crm_mon, /usr/sbin/crm, /usr/sbin/iptables -L -n, /usr/lib/nagios/plugins/check_iptables.sh, /usr/bin/id, /usr/lib/nagios/plugins/check_highstate.py, /usr/lib/nagios/plugins/check_iptables.py
ldefra-s12d:~ #
Otro es este:
2) Limitar la reutilización de contraseñas
La descripción de esto es:
No permita que los usuarios reutilicen contraseñas recientes. Esto se puede lograr utilizando la opción recordar para los módulos PAM pam_pwhistory.
En el archivo /etc/pam.d/common-password, asegúrese de que los parámetros recordar y use_authtok estén presentes y que el valor del parámetro recordar sea 5 o mayor. Por ejemplo: requisito de contraseña pam_pwhistory.so ...opciones_existentes... recuerde=5 use_authtok El requisito STIG del Departamento de Defensa es 5 contraseñas.
En el servidor también se configura esto:
ldefra-s12d:~ # grep remember /etc/pam.d/common-password
password required pam_pwhistory.so use_authtok remember=5 retry=3
Si este es el caso, ¿por qué la exploración produce resultados falsos positivos? ¿Necesito editar algo desde el archivo/código de escaneo de OpenScap? Por favor proporcione una solución para esto. Es parte de la práctica habitual de auditoría de mi empresa y todavía no tengo idea de cómo resolver este problema.
Respuesta1
El proyecto Upstream para estas reglas utilizadas por OpenSCAP eshttps://github.com/ComplianceAsCode/content.
Si cree que estas reglas no funcionan como se esperaba, sería fantástico presentar un problema allí en el proyecto para que los mantenedores del proyecto y la comunidad puedan investigar y mejorar las reglas si es necesario.
El proyecto es muy dinámico y es posible que estas reglas ya se hayan actualizado mientras tanto.