No RHEL 8, existem funções, métodos, processos ou ferramentas preparados para implementar funções de administrador/operador e auditor da seguinte forma:
- Um administrador/operador deve ser capaz de fazer quase tudo, exceto modificar/excluir logs
- Um auditor deve ser capaz de ler tudo e excluir logs
Na minha pesquisa, não encontrei nenhuma dica ou prática recomendada para esse conceito. Mas imagino que este possa ser um requisito comum para sistemas que devem cumprir a ISO 27001. Então estou me perguntando, se já existemsustentávelsoluções para implementar tais funções no RHEL ou se isso pode ser realizado ou se for (atualmente) simplesmente não é viável no RHEL.
Responder1
AFAIK, existem algumas disposições prontas para separação de privilégios no SELinux no modo Multi Level Securityaquimas nada imediatamente útil e prático.
Quando você precisa proteger e tornar invioláveis arquivos de log e trilhas de auditoria contra administradores confiáveis em um servidor, a solução é quase sempre:
- copie esses arquivos de log e trilhas de auditoria para um local remoto onde esses administradores não tenham acesso algum ou apenas tenham acesso limitado e onde não sejam usuários confiáveis.
Em outras palavras: o auditor configura e mantém um servidor syslog central e/ou, por exemplo, um Splunk/ELK Stack ou similar onde os outros administradores não têm acesso (ou terão acesso apenas no nível do usuário) e, portanto, não ser capaz de excluir/modificar os registros. Todos os logs de aplicativos (críticos) são copiados lá. - escreva esses logs paraMídia WORM- embora isso possa ter sido muito mais popular no passado do que é hoje