RHEL 8: บทบาทผู้ดูแลระบบเทียบกับผู้ตรวจสอบ

ใน RHEL 8 มีฟังก์ชัน วิธีการ กระบวนการ หรือเครื่องมือที่เตรียมไว้เพื่อนำบทบาทผู้ดูแลระบบ/ผู้ปฏิบัติงานและผู้ตรวจสอบไปใช้ในลักษณะต่อไปนี้:

• ผู้ดูแลระบบ/ผู้ดำเนินการควรจะทำได้เกือบทุกอย่าง ยกเว้นการแก้ไข/ลบบันทึก
• ผู้ตรวจสอบควรสามารถอ่านทุกอย่างและลบบันทึกได้

ในการวิจัยของฉัน ฉันไม่พบคำแนะนำหรือแนวทางปฏิบัติที่ดีที่สุดสำหรับแนวคิดนี้ แต่ฉันคิดว่านี่อาจเป็นข้อกำหนดทั่วไปสำหรับระบบที่ต้องปฏิบัติตาม ISO 27001 ดังนั้นฉันจึงสงสัยว่าถ้ามีอยู่แล้ว บำรุงรักษาได้ วิธีแก้ไขเพื่อดำเนินการตามบทบาทดังกล่าวใน RHEL หรือหากสามารถทำได้เลย หรือถ้าเป็น (ตอนนี้) ไม่สามารถทำได้บน RHEL

AFAIK มีข้อกำหนดพร้อมสำหรับการแยกสิทธิ์ใน SELinux ในโหมด Multi Level Security ที่นี่ แต่ไม่มีอะไรที่เป็นประโยชน์และใช้งานได้จริงในทันที

เมื่อคุณต้องการป้องกันและแก้ไขไฟล์บันทึกและเส้นทางการตรวจสอบกับผู้ดูแลระบบที่เชื่อถือได้บนเซิร์ฟเวอร์ วิธีแก้ปัญหามักจะเป็นอย่างใดอย่างหนึ่ง:

• คัดลอกไฟล์บันทึกและแนวทางการตรวจสอบเหล่านั้นไปยังตำแหน่งที่ตั้งระยะไกล ซึ่งผู้ดูแลระบบเหล่านั้นไม่สามารถเข้าถึงได้เลยหรือเข้าถึงได้จำกัดเท่านั้น และตำแหน่งที่พวกเขาไม่ใช่ผู้ใช้ที่เชื่อถือได้
  กล่าวอีกนัยหนึ่ง: ผู้ตรวจสอบตั้งค่าและบำรุงรักษาเซิร์ฟเวอร์ syslog กลางและ/หรือตัวอย่างเช่น Splunk/ELK Stack หรือที่คล้ายกันซึ่งผู้ดูแลระบบรายอื่นไม่สามารถเข้าถึงได้ (หรือจะมีสิทธิ์เข้าถึงระดับผู้ใช้เท่านั้น) ดังนั้นจึงไม่ สามารถลบ/แก้ไขบันทึกได้ บันทึกแอปพลิเคชัน (สำคัญ) ทั้งหมดจะถูกคัดลอกไปที่นั่น
• เขียนบันทึกเหล่านั้นไปที่ สื่อหนอน - แม้ว่าในอดีตอาจได้รับความนิยมมากกว่าในปัจจุบัน