我最近在 SLES 12 機器上執行 OpenScap Audit 掃描,結果似乎是誤報。
例如這兩項檢查:
1) 確保 sudo 日誌檔案存在 - sudo logfile
該商品的描述提到:
可以使用“logfile”標籤配置自訂日誌 sudo 檔案。此規則在 CIS 建議的預設位置配置 sudo 自訂日誌文件,該位置使用 /var/log/sudo.log。
我已經檢查了伺服器,並且該條目已經存在:
ldefra-s12d:~ # grep 'logfile' /etc/sudoers
Defaults logfile="/var/log/sudo.log"
nagios ALL=NOPASSWD: /sbin/multipath -l, /sbin/multipath -ll, /sbin/multipath -r, /sbin/lvs --segments, /usr/bin/salt-call -l quiet cmd.run uname -a, /usr/bin/salt-call -l quiet state.apply test\=true, /usr/bin/zypper --quiet update --dry-run --no-confirm --auto-agree-with-licenses, /usr/bin/yum --quiet check-update, /usr/bin/zypper install --details --dry-run -y TAneo, /usr/lib/nagios/plugins/check_logfiles, /usr/sbin/crm_mon, /usr/sbin/crm, /usr/sbin/iptables -L -n, /usr/lib/nagios/plugins/check_iptables.sh, /usr/bin/id, /usr/lib/nagios/plugins/check_highstate.py, /usr/lib/nagios/plugins/check_iptables.py
ldefra-s12d:~ #
另一種是這樣的:
2) 限制密碼重複使用
對此的描述是:
不允許使用者重複使用最近使用的密碼。這可以透過使用 pam_pwhistory PAM 模組的記住選項來完成。
在檔案 /etc/pam.d/common-password 中,確保存在參數 Remember 和 use_authtok,且 Remember 參數的值為 5 或更大。例如:password Requirement pam_pwhistory.so ...existing_options... Remember=5 use_authtok DoD STIG 要求是 5 個密碼。
在伺服器中,也進行了設定:
ldefra-s12d:~ # grep remember /etc/pam.d/common-password
password required pam_pwhistory.so use_authtok remember=5 retry=3
如果是這樣,那麼為什麼掃描會產生假陽性結果呢?我需要從 openscap 掃描檔案/程式碼本身編輯某些內容嗎?請為此提供解決方案。這是我公司定期審計實務的一部分,我仍然不知道如何解決這個問題。
答案1
OpenSCAP 使用的這些規則的上游專案是https://github.com/ComplianceAsCode/content。
如果您認為這些規則沒有按預期工作,最好在專案中提出問題,以便專案維護人員和社群可以在必要時調查和改進規則。
該專案非常活躍,這些規則很可能已經同時更新。