RHEL 8: роль администратора и аудитора

В RHEL 8 есть готовые функции, методы, процессы или инструменты для реализации ролей администратора/оператора и аудитора следующим образом:

• Администратор/оператор должен иметь возможность делать почти все, кроме изменения/удаления журналов.
• Аудитор должен иметь возможность читать все и удалять журналы

В своем исследовании я не нашел никаких намеков или лучших практик для этой концепции. Но я предполагаю, что это может быть общим требованием для систем, которые должны соответствовать ISO 27001. Так что мне интересно, если уже есть ремонтопригодный решения для реализации таких ролей в RHEL, или если это вообще возможно, или если это (В настоящее время) просто невозможно на RHEL.

Насколько я знаю, есть несколько готовых положений для разделения привилегий в SELinux в режиме многоуровневой безопасности. здесь но ничего сразу полезного и практичного.

Когда вам нужно защитить и защитить от несанкционированного доступа файлы журналов и журналы аудита от доверенных администраторов на сервере, решение почти всегда одно из следующих:

• скопируйте эти файлы журналов и контрольные журналы в удаленное место, где эти администраторы не имеют доступа вообще или имеют только ограниченный доступ и где они не являются доверенными пользователями.
  Другими словами: аудитор устанавливает и поддерживает центральный сервер системного журнала и/или, например, стек Splunk/ELK или аналогичный, к которому другие администраторы не имеют доступа (или будут иметь доступ только на уровне пользователя) и, следовательно, не будут иметь возможность удалять/изменять записи. Туда копируются все (критические) журналы приложений.
• записать эти журналы в СМИ червя - хотя, возможно, в прошлом это было намного популярнее, чем сегодня