Score:0

การกำหนดค่าการตรวจสอบที่สอดคล้องกับ CIS บน Red Hat 7/8

ธง cn

เรามีระบบ Red Hat 7/8 จำนวนมาก เรามีข้อกำหนดเพื่อให้แน่ใจว่าระบบทั้งหมดเป็นไปตาม CIS

ข้อกำหนดข้อหนึ่งคือห้ามหมุนเวียนบันทึกการตรวจสอบโดยอัตโนมัติ นั่นคือ กำหนดค่าต่อไปนี้:

max_log_file_action = keep_logs

อย่างไรก็ตาม การตั้งค่านี้จะเติมพาร์ติชันที่เก็บบันทึก เราต้องการกำหนดค่าการตั้งค่าด้านบนเป็น หมุน แต่นั่นจะทำให้ระบบไม่เป็นไปตามข้อกำหนด

ฉันกำลังพยายามหากลไกที่คนอื่นๆ ในอุตสาหกรรมใช้ในการหมุนเวียนบันทึกการตรวจสอบ

ไชโย

4snok avatar
es flag
มันคือการควบคุม CIS ใด CIS มีเพียงข้อกำหนดสำหรับพาร์ติชันแยกต่างหากสำหรับบันทึก ตามที่ฉันจำได้
us flag
Rob
คุณอ่านข้อกำหนดถูกต้องหรือไม่? ส่วนที่ 8 ของการควบคุม CIS https://www.cisecurity.org/controls/cis-controls-navigator/ กล่าวถึงเฉพาะ *"เก็บบันทึกการตรวจสอบและบันทึกในขอบเขตที่จำเป็น"* ใน 8.5 และระบุเวลาการเก็บรักษา 8.10 อย่างชัดเจน - โดยที่ ด้วยการเก็บผลเชอร์รี่เพียงเล็กน้อย คุณสามารถทำได้: *เก็บประวัติการตรวจสอบไว้อย่างน้อยหนึ่งปี โดยมีเวลาอย่างน้อยสามเดือนสำหรับการวิเคราะห์ทันที"* และส่วนที่เหลือ *"เก็บถาวรหรือกู้คืนจากข้อมูลสำรอง"* - คุณไม่ 'ไม่จำเป็นต้องเก็บบันทึกไม่จำกัดจำนวนตลอดไปในระบบเอง
us flag
Rob
คนส่วนใหญ่จะทำการควบคุม CIS 8.9 *"รวบรวมและเก็บรักษาบันทึกการตรวจสอบไว้ที่ส่วนกลาง เท่าที่เป็นไปได้"*
Score:0
ธง cn

การควบคุมความปลอดภัยไม่ใช่สิ่งที่ใช่หรือไม่ใช่ คิดอย่างมีวิจารณญาณว่าคุณสามารถใช้มาตรการขั้นสูงสุดเพื่อให้แน่ใจว่าไม่มีเหตุการณ์การตรวจสอบใดสูญหายไป ใช้ความคิดสร้างสรรค์เกี่ยวกับการควบคุมทางเลือก

เห็นได้ชัดว่าตอนนี้ CIS วางรายการตรวจสอบการใช้งานไว้ด้านหลังแบบฟอร์มติดต่อ พบสำเนาเก่าที่ CIS_Red_Hat_Enterprise_Linux_7_Benchmark_v2.2.0.pdf เพื่อหารือเกี่ยวกับรายละเอียดการดำเนินการ คำศัพท์และลำดับเลขอาจเปลี่ยนแปลงได้ แต่การให้เหตุผลส่วนใหญ่ไม่มีวันหมดอายุ

4.1.1.3 ตรวจสอบให้แน่ใจว่าบันทึกการตรวจสอบไม่ถูกลบโดยอัตโนมัติ (ให้คะแนน) การบังคับใช้โปรไฟล์:

  • ระดับ 2 - เซิร์ฟเวอร์
  • ระดับ 2 - เวิร์กสเตชัน

คำอธิบาย: การตั้งค่า max_log_file_action กำหนดวิธีจัดการ ไฟล์บันทึกการตรวจสอบถึงขนาดไฟล์สูงสุด ค่าของ keep_logs จะหมุนเวียนบันทึก แต่ไม่เคยลบบันทึกเก่า

เหตุผล: ในบริบทความปลอดภัยสูง ประโยชน์ของการรักษา ประวัติการตรวจสอบที่ยาวนานเกินค่าใช้จ่ายในการจัดเก็บประวัติการตรวจสอบ

ตรวจสอบ: รันคำสั่งต่อไปนี้และตรวจสอบผลลัพธ์ที่ตรงกัน:

# grep max_log_file_action /etc/audit/auditd.conf
max_log_file_action = keep_logs

การแก้ไข: ตั้งค่าพารามิเตอร์ต่อไปนี้ใน /etc/audit/auditd.conf:

max_log_file_action = keep_logs

การควบคุม CIS: 6.3 ตรวจสอบให้แน่ใจว่าระบบการบันทึกการตรวจสอบไม่อยู่ภายใต้การสูญหาย (เช่น การหมุนเวียน/การเก็บถาวร)

ตรวจสอบให้แน่ใจว่าระบบทั้งหมดที่จัดเก็บบันทึกมีพื้นที่จัดเก็บเพียงพอ สำหรับบันทึกที่สร้างขึ้นเป็นประจำ ดังนั้นไฟล์บันทึกจะไม่ เติมระหว่างช่วงเวลาการหมุนบันทึก บันทึกจะต้องถูกเก็บถาวรและ เซ็นชื่อแบบดิจิทัลเป็นระยะ

โปรดทราบว่าเหตุผลพูดถึงสภาพแวดล้อมที่มีความปลอดภัยสูง ระดับ 2 ซึ่งฉันถือว่าแผนที่เป็น กลุ่มดำเนินการ 2 ในคำศัพท์ที่ใหม่กว่า สิ่งนี้มีไว้สำหรับสถานการณ์ที่คุณไม่สามารถจะสูญเสียเหตุการณ์ใด ๆ ได้เลย ผลกระทบสูงเนื่องจากสภาพแวดล้อมที่ปฏิบัติตามกฎระเบียบหรือความเสี่ยงอื่น ๆ

สิ่งที่ควรทำอย่างปลอดภัยคือให้กระบวนการเก็บถาวรไฟล์บันทึกลบไฟล์เก่า หลังจากที่สำรองข้อมูลแล้วเท่านั้น แน่นอน คุณสามารถลบไฟล์บันทึกจากโฮสต์ได้ แต่โปรดระวังว่าความล้มเหลวในการเก็บถาวรจะไม่ส่งผลให้การหมุนเวียนบันทึกลบไฟล์ก่อนกำหนด

สำหรับพื้นที่จัดเก็บเอกสารสำคัญ อย่าให้บันทึกการตรวจสอบถูกแก้ไขหรือลบ ลงชื่อไฟล์เพื่อยืนยันความสมบูรณ์ ลบสิทธิ์แก้ไขและลบออกจากบัญชีที่เก็บข้อมูลวัตถุ พิจารณาการเก็บรักษาความเย็นบนสื่อเทป

รายการตรวจสอบนี้แนะนำในบางสถานการณ์ด้วย admin_space_left_action = หยุด. ใช่ หมายความว่าระบบการตรวจสอบจะปิดโฮสต์หากไม่สามารถเข้าสู่ระบบได้ หากสิ่งนี้ทำให้คุณหวาดผวาเนื่องจากวัตถุประสงค์ระดับบริการของคุณ คุณอาจต้องตรวจสอบอีกครั้งว่าความหวาดระแวงในระดับนี้เหมาะสมกับสภาพแวดล้อมของคุณหรือไม่

ใช้ระบบการบันทึกการตรวจสอบแบบรวมศูนย์ ส่งต่อหรือรวบรวมเหตุการณ์ในระบบที่มีพื้นที่เก็บข้อมูลจำนวนมาก รักษาความปลอดภัย สอบถาม และเก็บรักษาได้ง่ายขึ้น

ข้อใดให้การรักษาความปลอดภัยที่ดีกว่า: ฐานข้อมูลกลางที่มีข้อมูล 6 เดือนพร้อมให้สอบถามและสำรองข้อมูลนานหลายปี หรือโฮสต์จำนวนมากมักไม่มีพื้นที่จัดเก็บเพราะมีคนคิดว่ารายการตรวจสอบห้ามลบไฟล์

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา