我們擁有大量 Red Hat 7/8 系統。我們要求確保所有系統均符合 CIS 標準。
要求之一是不要自動輪換審核日誌。即配置如下:
max_log_file_action = keep_logs
但是,此設定將填滿儲存日誌的分割區。我們希望將上述設定配置為,rotate但這將使系統不合規。
我正在嘗試尋找業內其他人用來輪換審核日誌的機制。
乾杯
答案1
安全控制不是一個是或否的問題。批判性地思考可以採取何種極端措施來確保不會失去任何審計事件。對替代控制發揮創意。
CIS 現在顯然將實施清單放在聯絡表單後面。在以下位置找到了舊副本CIS_Red_Hat_Enterprise_Linux_7_Benchmark_v2.2.0.pdf討論實施細節。術語和編號可能會發生變化,但推理在很大程度上是永恆的。
4.1.1.3 確保審核日誌不會自動刪除(評分) 設定檔適用性:
- 2 級 - 伺服器
- 2 級 - 工作站
說明: max_log_file_action 設定決定如何處理達到最大檔案大小的審核日誌檔案。 keep_logs 的值將輪換日誌,但永遠不會刪除舊日誌。
理由:在高安全性環境中,維護較長審核歷史記錄的好處超過了儲存審核歷史記錄的成本。
審核:執行以下命令並驗證輸出匹配:
# grep max_log_file_action /etc/audit/auditd.conf max_log_file_action = keep_logs補救措施:在 /etc/audit/auditd.conf 中設定以下參數:
max_log_file_action = keep_logsCIS 控制:6.3 確保稽核日誌系統不會遺失(即輪調/歸檔)
確保所有儲存日誌的系統都有足夠的儲存空間來儲存定期產生的日誌,以便日誌檔案不會在日誌輪替間隔期間填滿。必須定期對日誌進行歸檔和數位簽名。
請注意,其基本原理涉及高安全性環境。 2 級,我假設映射到實施組2用較新的術語來說。這適用於您根本無法承擔任何事件遺失、因合規環境或其他風險而造成嚴重影響的情況。
安全的做法是讓日誌檔案歸檔進程僅在備份舊檔案後刪除它們。當然,您可以從主機中刪除日誌檔案。但請注意,歸檔失敗不會導致日誌輪轉提前刪除檔案。
對於歸檔存儲,不要讓審核日誌被更改或刪除。簽署文件以確認其完整性。從物件儲存帳戶中刪除編輯和刪除權限。考慮在磁帶媒體上進行冷儲存。
這個清單在某些情況下也有建議admin_space_left_action = halt。是的,這意味著如果主機無法記錄,審核系統將關閉主機。如果您的服務等級目標讓您感到恐懼,您可能需要重新檢視這種偏執程度是否適合您的環境。
也實施集中審計日誌系統。在具有大量儲存的系統中轉發或以其他方式收集事件。更容易保護、查詢和保留。
哪個提供了更好的安全性:中央資料庫有 6 個月的資料可供查詢並備份多年,或者一組主機總是耗盡儲存空間,因為有人認為清單禁止刪除檔案?