Temos uma grande frota de sistemas Red Hat 7/8. Temos a obrigação de garantir que todos os sistemas sejam compatíveis com CIS.
Um dos requisitos é não alternar automaticamente os logs de auditoria. Ou seja, configure o seguinte:
max_log_file_action = keep_logs
No entanto, esta configuração preencherá a partição onde os logs estão armazenados. Queremos definir a configuração acima, rotatemas isso tornará o sistema não compatível.
Estou tentando encontrar um mecanismo que outras pessoas do setor estejam usando para alternar os logs de auditoria.
Saúde
Responder1
Os controles de segurança não são uma questão de sim ou não. Pense criticamente sobre até que ponto você pode tomar medidas extremas para garantir que nenhum evento de auditoria seja perdido. Seja criativo sobre controles alternativos.
Aparentemente, o CIS agora coloca listas de verificação de implementação atrás de um formulário de contato. Encontrei uma cópia antiga emCIS_Red_Hat_Enterprise_Linux_7_Benchmark_v2.2.0.pdfpara discutir detalhes de implementação. A terminologia e a numeração podem mudar, mas o raciocínio é, em sua maior parte, atemporal.
4.1.1.3 Garantir que os logs de auditoria não sejam excluídos automaticamente (pontuação) Aplicabilidade do perfil:
- Nível 2 - Servidor
- Nível 2 – Estação de Trabalho
Descrição: a configuração max_log_file_action determina como lidar com o arquivo de log de auditoria atingindo o tamanho máximo de arquivo. Um valor de keep_logs irá girar os logs, mas nunca excluirá os logs antigos.
Justificativa: Em contextos de alta segurança, os benefícios de manter um histórico de auditoria longo excedem o custo de armazenar o histórico de auditoria.
Auditoria: execute o seguinte comando e verifique as correspondências de saída:
# grep max_log_file_action /etc/audit/auditd.conf max_log_file_action = keep_logsCorreção: defina o seguinte parâmetro em /etc/audit/auditd.conf:
max_log_file_action = keep_logsControles CIS: 6.3 Garantir que os sistemas de registro de auditoria não estejam sujeitos a perdas (ou seja, rotação/arquivamento)
Certifique-se de que todos os sistemas que armazenam logs tenham espaço de armazenamento adequado para os logs gerados regularmente, para que os arquivos de log não fiquem cheios entre os intervalos de rotação de log. Os logs devem ser arquivados e assinados digitalmente periodicamente.
Observe que a justificativa fala sobre ambientes de alta segurança. Nível 2, que presumo mapeia paragrupo de implementação 2na terminologia mais recente. Isto é para situações em que você não pode se dar ao luxo de perder nenhum evento, de alto impacto devido ao ambiente de conformidade ou outros riscos.
Uma coisa segura a fazer seria permitir que um processo de arquivamento de arquivos de log exclua arquivos antigos, somente após o backup deles. Claro que você pode excluir arquivos de log dos hosts. Mas tome cuidado para que uma falha no arquivamento não resulte na rotação do log e na exclusão antecipada dos arquivos.
Para o armazenamento de arquivos, não permita que os logs de auditoria sejam alterados ou excluídos. Assine os arquivos para confirmar sua integridade. Remova permissões de edição e exclusão de contas de armazenamento de objetos. Considere o armazenamento frio em mídia de fita.
Esta lista de verificação em algumas situações também recomenda admin_space_left_action = halt. Sim, isso significa que o sistema de auditoria desligará o host se não conseguir registrar. Se isso o deixa horrorizado devido aos seus objetivos de nível de serviço, talvez seja necessário reexaminar se esse nível de paranóia é apropriado para o seu ambiente.
Implemente também um sistema centralizado de registro de auditoria. Encaminhe ou colete eventos em um sistema com uma grande quantidade de armazenamento. Mais fácil de proteger, consultar e reter.
O que oferece melhor segurança: um banco de dados central com 6 meses de dados prontos para serem consultados e anos de backup, ou uma frota de hosts sempre ficando sem armazenamento porque alguém pensou que uma lista de verificação proibia a exclusão de arquivos?