Рейтинг:0

Конфигурация аудита, совместимая с CIS, в Red Hat 7/8

флаг cn

У нас большой парк систем Red Hat 7/8. У нас есть требование убедиться, что все системы соответствуют требованиям СНГ.

Одним из требований является отказ от автоматической ротации журналов аудита. То есть настроить следующее:

max_log_file_action = keep_logs

Однако этот параметр заполнит раздел, в котором хранятся журналы. Мы хотим настроить вышеуказанный параметр на вращать но это сделает систему несовместимой.

Я пытаюсь найти механизм, который другие в отрасли используют для ротации журналов аудита.

Ваше здоровье

4snok avatar
флаг es
какой контроль СНГ это? Насколько я помню, в CIS требовался только отдельный раздел для логов.
флаг us
Rob
Вы правильно читаете требования? Раздел 8 средств управления CIS https://www.cisecurity.org/controls/cis-controls-navigator/ упоминает только *"сохранять журналы аудита и записи в необходимом объеме"* в 8.5 и уточняет сроки хранения 8.10 - где с небольшим количеством вишни вы также можете сделать: * Хранить журнал аудита в течение как минимум одного года, при этом как минимум три месяца сразу доступны для анализа "*, а остальные *" заархивированы или восстановлены из резервной копии" * - вы не не нужно постоянно хранить неограниченное количество журналов в самой системе
флаг us
Rob
Большинство людей будет выполнять контроль CIS 8.9 * «Насколько это возможно, централизуйте сбор и хранение журналов аудита» *
Рейтинг:0
флаг cn

Контроль безопасности — это не вопрос «да» или «нет». Критически подумайте о том, какие крайние меры вы можете предпринять, чтобы гарантировать, что никакие события аудита не будут потеряны. Подойдите творчески к альтернативным элементам управления.

Очевидно, CIS теперь размещает контрольные списки реализации за контактной формой. Нашел старый экземпляр CIS_Red_Hat_Enterprise_Linux_7_Benchmark_v2.2.0.pdf для обсуждения деталей реализации. Терминология и нумерация могут измениться, но рассуждения по большей части неподвластны времени.

4.1.1.3 Убедитесь, что журналы аудита не удаляются автоматически (с оценкой) Профиль Применимость:

  • Уровень 2 - Сервер
  • Уровень 2 - Рабочая станция

Описание: Параметр max_log_file_action определяет, как обрабатывать файл журнала аудита достигает максимального размера. Значение keep_logs будет чередовать журналы, но никогда не удалять старые журналы.

Обоснование: в условиях высокой безопасности преимущества поддержки длинная история аудита превышает стоимость хранения истории аудита.

Аудит: выполните следующую команду и проверьте совпадения выходных данных:

# grep max_log_file_action /etc/audit/auditd.conf
max_log_file_action = keep_logs

Исправление: Установите следующий параметр в /etc/audit/auditd.conf:

max_log_file_action = keep_logs

Контроль СНГ: 6.3 Убедитесь, что системы регистрации аудита не могут быть утеряны (например, ротация/архивирование)

Убедитесь, что все системы, в которых хранятся журналы, имеют достаточно места для хранения. для журналов, создаваемых на регулярной основе, чтобы файлы журналов не заполняются между интервалами ротации журнала. Журналы должны быть заархивированы и цифровой подписью на периодической основе.

Обратите внимание, что в обосновании говорится о средах с высоким уровнем безопасности. Уровень 2, который, как я предполагаю, соответствует группа реализации 2 в более новой терминологии. Это для ситуаций, когда вы не можете позволить себе потерять какие-либо события, сильное влияние из-за среды соответствия или других рисков.

Безопаснее всего было бы позволить процессу архивации файла журнала удалять старые файлы только после их резервного копирования. Конечно, вы можете удалить файлы журналов с хостов. Но позаботьтесь о том, чтобы сбой в архивировании не привел к преждевременному удалению файлов при ротации журналов.

Для архивного хранилища не позволяйте изменять или удалять журналы аудита. Подпишите файлы, чтобы подтвердить их целостность. Удалите разрешения на редактирование и удаление из учетных записей хранения объектов. Рассмотрим холодное хранение на ленточных носителях.

Этот контрольный список в некоторых ситуациях также рекомендует admin_space_left_action = остановить. Да, это означает, что система аудита отключит хост, если он не сможет войти в систему. Если это пугает вас из-за целей вашего уровня обслуживания, вам, возможно, придется пересмотреть, подходит ли этот уровень паранойи для вашей среды.

Также внедрите централизованную систему регистрации аудита. Пересылать или иным образом собирать события в системе с большим объемом памяти. Легче защищать, запрашивать и сохранять.

Что обеспечивает лучшую безопасность: центральная база данных с данными за 6 месяцев, готовыми к запросу, и годами резервного копирования, или группа хостов, на которых всегда заканчивается место для хранения, потому что кто-то подумал, что контрольный список запрещает удаление файлов?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.