최근 SLES 12 시스템에서 OpenScap Audit 스캔을 실행했는데 결과가 위양성인 것 같습니다.
예를 들어 다음 두 가지 검사의 경우:
1) sudo 로그 파일이 있는지 확인 - sudo 로그 파일
이 항목에 대한 설명은 다음과 같습니다.
사용자 정의 로그 sudo 파일은 'logfile' 태그를 사용하여 구성할 수 있습니다. 이 규칙은 /var/log/sudo.log를 사용하는 CIS에서 제안한 기본 위치에 sudo 사용자 정의 로그 파일을 구성합니다.
서버를 체크인했는데 이 항목이 이미 존재합니다.
ldefra-s12d:~ # grep 'logfile' /etc/sudoers
Defaults logfile="/var/log/sudo.log"
nagios ALL=NOPASSWD: /sbin/multipath -l, /sbin/multipath -ll, /sbin/multipath -r, /sbin/lvs --segments, /usr/bin/salt-call -l quiet cmd.run uname -a, /usr/bin/salt-call -l quiet state.apply test\=true, /usr/bin/zypper --quiet update --dry-run --no-confirm --auto-agree-with-licenses, /usr/bin/yum --quiet check-update, /usr/bin/zypper install --details --dry-run -y TAneo, /usr/lib/nagios/plugins/check_logfiles, /usr/sbin/crm_mon, /usr/sbin/crm, /usr/sbin/iptables -L -n, /usr/lib/nagios/plugins/check_iptables.sh, /usr/bin/id, /usr/lib/nagios/plugins/check_highstate.py, /usr/lib/nagios/plugins/check_iptables.py
ldefra-s12d:~ #
또 다른 하나는 이것입니다 :
2) 비밀번호 재사용 제한
이에 대한 설명은 다음과 같습니다.
사용자가 최근 비밀번호를 재사용하는 것을 허용하지 않습니다. 이는 pam_pwhistory PAM 모듈의 Remember 옵션을 사용하여 수행할 수 있습니다.
/etc/pam.d/common-password 파일에서 Remember 및 use_authtok 매개변수가 존재하는지, Remember 매개변수 값이 5 이상인지 확인하십시오. 예: 비밀번호 필수 pam_pwhistory.so ...existing_options... Remember=5 use_authtok DoD STIG 요구 사항은 5개의 비밀번호입니다.
서버에서는 다음과 같이 구성됩니다.
ldefra-s12d:~ # grep remember /etc/pam.d/common-password
password required pam_pwhistory.so use_authtok remember=5 retry=3
그렇다면 스캔에서 위양성 결과가 나오는 이유는 무엇입니까? Openscap 스캐닝 파일/코드 자체에서 무언가를 편집해야 합니까? 이에 대한 해결책을 제시해주세요. 이는 우리 회사의 정기 감사 업무의 일부인데, 아직 이 문제를 해결하는 방법에 대한 단서가 없습니다.
답변1
OpenSCAP에서 사용하는 이러한 규칙에 대한 업스트림 프로젝트는 다음과 같습니다.https://github.com/ComplianceAsCode/content.
이러한 규칙이 예상대로 작동하지 않는다고 생각되면 프로젝트 유지관리자와 커뮤니티가 필요한 경우 규칙을 조사하고 개선할 수 있도록 프로젝트에 문제를 제출하는 것이 좋습니다.
이 프로젝트는 매우 역동적이므로 해당 규칙이 이미 업데이트되었을 가능성이 높습니다.