Имеются ли в RHEL 8 подготовленные функции, методы, процессы или инструменты для реализации ролей администратора/оператора и аудитора следующим образом:
- Администратор/оператор должен иметь возможность делать практически все, кроме изменения/удаления журналов.
- Аудитор должен иметь возможность читать все и удалять журналы.
В моем исследовании я не нашел никаких намеков или лучших практик для этой концепции. Но я предполагаю, что это может быть общим требованием для систем, которые должны соответствовать ISO 27001. Поэтому я задаюсь вопросом, есть ли ужеремонтопригодныйрешения для реализации таких ролей на RHEL или если это вообще возможно или если это (в настоящее время) просто невозможно на RHEL.
решение1
Насколько мне известно, в SELinux в режиме многоуровневой безопасности уже есть готовые положения для разделения привилегий.здесьно ничего сразу полезного и практичного.
Если вам необходимо защитить и защитить от несанкционированного доступа файлы журналов и контрольные следы от доверенных администраторов на сервере, то решение почти всегда заключается в следующем:
- копировать эти файлы журналов и аудиторские следы в удаленное местоположение, куда эти администраторы не имеют доступа вообще или имеют ограниченный доступ и где они не являются доверенными пользователями.
Другими словами: аудитор устанавливает и поддерживает центральный сервер syslog и/или, например, Splunk/ELK Stack или аналогичный, к которому другие администраторы не имеют доступа (или будут иметь только доступ на уровне пользователя) и, следовательно, не смогут удалять/изменять записи. Все (критические) журналы приложений копируются туда. - запишите эти журналы вWORM-медиа- хотя в прошлом это могло быть гораздо популярнее, чем сегодня