Недавно я запустил сканирование OpenScap Audit на машине SLES 12, и результат, похоже, оказался ложноположительным.
Например, для этих двух проверок:
1) Убедитесь, что файл журнала sudo существует - sudo logfile
В описании этого товара указано:
Пользовательский файл журнала sudo может быть настроен с помощью тега 'logfile'. Это правило настраивает пользовательский файл журнала sudo в расположении по умолчанию, предложенном CIS, которое использует /var/log/sudo.log.
Я проверил сервер, и эта запись уже существует:
ldefra-s12d:~ # grep 'logfile' /etc/sudoers
Defaults logfile="/var/log/sudo.log"
nagios ALL=NOPASSWD: /sbin/multipath -l, /sbin/multipath -ll, /sbin/multipath -r, /sbin/lvs --segments, /usr/bin/salt-call -l quiet cmd.run uname -a, /usr/bin/salt-call -l quiet state.apply test\=true, /usr/bin/zypper --quiet update --dry-run --no-confirm --auto-agree-with-licenses, /usr/bin/yum --quiet check-update, /usr/bin/zypper install --details --dry-run -y TAneo, /usr/lib/nagios/plugins/check_logfiles, /usr/sbin/crm_mon, /usr/sbin/crm, /usr/sbin/iptables -L -n, /usr/lib/nagios/plugins/check_iptables.sh, /usr/bin/id, /usr/lib/nagios/plugins/check_highstate.py, /usr/lib/nagios/plugins/check_iptables.py
ldefra-s12d:~ #
Еще один пример:
2) Ограничьте повторное использование паролей
Описание для этого:
Не разрешайте пользователям повторно использовать последние пароли. Это можно сделать, используя опцию запоминания для модулей PAM pam_pwhistory.
В файле /etc/pam.d/common-password убедитесь, что параметры remember и use_authtok присутствуют, и что значение параметра remember равно 5 или больше. Например: password tribute pam_pwhistory.so ...existing_options... remember=5 use_authtok Требование DoD STIG — 5 паролей.
На сервере это также настраивается:
ldefra-s12d:~ # grep remember /etc/pam.d/common-password
password required pam_pwhistory.so use_authtok remember=5 retry=3
Если это так, то почему сканирование дает ложноположительные результаты? Нужно ли мне что-то редактировать в файле/коде сканирования openscap? Пожалуйста, предоставьте решение для этого. Это часть регулярной аудиторской практики моей компании, и я до сих пор не имею ни малейшего понятия, как решить эту проблему.
решение1
Проект Upstream для этих правил, используемых OpenSCAP, —https://github.com/ComplianceAsCode/content.
Если вы считаете, что эти правила не работают так, как ожидалось, было бы здорово сообщить об этом в проекте, чтобы разработчики проекта и сообщество могли изучить проблему и при необходимости улучшить правила.
Проект очень динамичен, и вполне вероятно, что эти правила уже были обновлены за это время.