Recentemente executei a verificação OpenScap Audit em uma máquina SLES 12 e o resultado parece ser falso positivo.
Por exemplo, para essas duas verificações:
1) Certifique-se de que o arquivo de log sudo exista - arquivo de log sudo
A descrição deste item menciona:
Um arquivo sudo de log personalizado pode ser configurado com a tag 'logfile'. Esta regra configura um arquivo de log personalizado sudo no local padrão sugerido pelo CIS, que usa /var/log/sudo.log.
Eu verifiquei no servidor e esta entrada já existe:
ldefra-s12d:~ # grep 'logfile' /etc/sudoers
Defaults logfile="/var/log/sudo.log"
nagios ALL=NOPASSWD: /sbin/multipath -l, /sbin/multipath -ll, /sbin/multipath -r, /sbin/lvs --segments, /usr/bin/salt-call -l quiet cmd.run uname -a, /usr/bin/salt-call -l quiet state.apply test\=true, /usr/bin/zypper --quiet update --dry-run --no-confirm --auto-agree-with-licenses, /usr/bin/yum --quiet check-update, /usr/bin/zypper install --details --dry-run -y TAneo, /usr/lib/nagios/plugins/check_logfiles, /usr/sbin/crm_mon, /usr/sbin/crm, /usr/sbin/iptables -L -n, /usr/lib/nagios/plugins/check_iptables.sh, /usr/bin/id, /usr/lib/nagios/plugins/check_highstate.py, /usr/lib/nagios/plugins/check_iptables.py
ldefra-s12d:~ #
Outro é este:
2) Limite a reutilização de senha
A descrição para isso é:
Não permita que os usuários reutilizem senhas recentes. Isso pode ser feito usando a opção Remember para os módulos PAM pam_pwhistory.
No arquivo /etc/pam.d/common-password, certifique-se de que os parâmetros Remember e use_authtok estejam presentes e que o valor do parâmetro Remember seja 5 ou superior. Por exemplo: requisito de senha pam_pwhistory.so ...existente_options... lembre-se=5 use_authtok O requisito DoD STIG é de 5 senhas.
No servidor, isso também está configurado:
ldefra-s12d:~ # grep remember /etc/pam.d/common-password
password required pam_pwhistory.so use_authtok remember=5 retry=3
Se for esse o caso, então por que a varredura produz resultados falso-positivos? Preciso editar algo do próprio arquivo/código de digitalização do openscap? Por favor, forneça uma solução para isso. Faz parte da prática regular de auditoria da minha empresa e ainda não tenho ideia de como resolver esse problema.
Responder1
O projeto Upstream para essas regras usadas pelo OpenSCAP éhttps://github.com/ComplianceAsCode/content.
Se você acredita que essas regras não estão funcionando conforme o esperado, seria ótimo registrar um problema no projeto para que os mantenedores do projeto e a comunidade possam investigar e melhorar as regras, se necessário.
O projeto é muito dinâmico e é provável que estas regras já tenham sido atualizadas entretanto.