Контроль безопасности — это не вопрос «да» или «нет». Критически подумайте о том, какие крайние меры вы можете предпринять, чтобы гарантировать, что никакие события аудита не будут потеряны. Подойдите творчески к альтернативным элементам управления.
Очевидно, CIS теперь размещает контрольные списки реализации за контактной формой. Нашел старый экземпляр CIS_Red_Hat_Enterprise_Linux_7_Benchmark_v2.2.0.pdf для обсуждения деталей реализации. Терминология и нумерация могут измениться, но рассуждения по большей части неподвластны времени.
4.1.1.3 Убедитесь, что журналы аудита не удаляются автоматически (с оценкой) Профиль Применимость:
- Уровень 2 - Сервер
- Уровень 2 - Рабочая станция
Описание: Параметр max_log_file_action определяет, как обрабатывать
файл журнала аудита достигает максимального размера. Значение keep_logs
будет чередовать журналы, но никогда не удалять старые журналы.
Обоснование: в условиях высокой безопасности преимущества поддержки
длинная история аудита превышает стоимость хранения истории аудита.
Аудит: выполните следующую команду и проверьте совпадения выходных данных:
# grep max_log_file_action /etc/audit/auditd.conf
max_log_file_action = keep_logs
Исправление: Установите следующий параметр в /etc/audit/auditd.conf:
max_log_file_action = keep_logs
Контроль СНГ:
6.3 Убедитесь, что системы регистрации аудита не могут быть утеряны (например, ротация/архивирование)
Убедитесь, что все системы, в которых хранятся журналы, имеют достаточно места для хранения.
для журналов, создаваемых на регулярной основе, чтобы файлы журналов не
заполняются между интервалами ротации журнала. Журналы должны быть заархивированы и
цифровой подписью на периодической основе.
Обратите внимание, что в обосновании говорится о средах с высоким уровнем безопасности. Уровень 2, который, как я предполагаю, соответствует группа реализации 2 в более новой терминологии. Это для ситуаций, когда вы не можете позволить себе потерять какие-либо события, сильное влияние из-за среды соответствия или других рисков.
Безопаснее всего было бы позволить процессу архивации файла журнала удалять старые файлы только после их резервного копирования. Конечно, вы можете удалить файлы журналов с хостов. Но позаботьтесь о том, чтобы сбой в архивировании не привел к преждевременному удалению файлов при ротации журналов.
Для архивного хранилища не позволяйте изменять или удалять журналы аудита. Подпишите файлы, чтобы подтвердить их целостность. Удалите разрешения на редактирование и удаление из учетных записей хранения объектов. Рассмотрим холодное хранение на ленточных носителях.
Этот контрольный список в некоторых ситуациях также рекомендует admin_space_left_action = остановить. Да, это означает, что система аудита отключит хост, если он не сможет войти в систему. Если это пугает вас из-за целей вашего уровня обслуживания, вам, возможно, придется пересмотреть, подходит ли этот уровень паранойи для вашей среды.
Также внедрите централизованную систему регистрации аудита. Пересылать или иным образом собирать события в системе с большим объемом памяти. Легче защищать, запрашивать и сохранять.
Что обеспечивает лучшую безопасность: центральная база данных с данными за 6 месяцев, готовыми к запросу, и годами резервного копирования, или группа хостов, на которых всегда заканчивается место для хранения, потому что кто-то подумал, что контрольный список запрещает удаление файлов?
