การควบคุมความปลอดภัยไม่ใช่สิ่งที่ใช่หรือไม่ใช่ คิดอย่างมีวิจารณญาณว่าคุณสามารถใช้มาตรการขั้นสูงสุดเพื่อให้แน่ใจว่าไม่มีเหตุการณ์การตรวจสอบใดสูญหายไป ใช้ความคิดสร้างสรรค์เกี่ยวกับการควบคุมทางเลือก
เห็นได้ชัดว่าตอนนี้ CIS วางรายการตรวจสอบการใช้งานไว้ด้านหลังแบบฟอร์มติดต่อ พบสำเนาเก่าที่ CIS_Red_Hat_Enterprise_Linux_7_Benchmark_v2.2.0.pdf เพื่อหารือเกี่ยวกับรายละเอียดการดำเนินการ คำศัพท์และลำดับเลขอาจเปลี่ยนแปลงได้ แต่การให้เหตุผลส่วนใหญ่ไม่มีวันหมดอายุ
4.1.1.3 ตรวจสอบให้แน่ใจว่าบันทึกการตรวจสอบไม่ถูกลบโดยอัตโนมัติ (ให้คะแนน) การบังคับใช้โปรไฟล์:
- ระดับ 2 - เซิร์ฟเวอร์
- ระดับ 2 - เวิร์กสเตชัน
คำอธิบาย: การตั้งค่า max_log_file_action กำหนดวิธีจัดการ
ไฟล์บันทึกการตรวจสอบถึงขนาดไฟล์สูงสุด ค่าของ keep_logs
จะหมุนเวียนบันทึก แต่ไม่เคยลบบันทึกเก่า
เหตุผล: ในบริบทความปลอดภัยสูง ประโยชน์ของการรักษา
ประวัติการตรวจสอบที่ยาวนานเกินค่าใช้จ่ายในการจัดเก็บประวัติการตรวจสอบ
ตรวจสอบ: รันคำสั่งต่อไปนี้และตรวจสอบผลลัพธ์ที่ตรงกัน:
# grep max_log_file_action /etc/audit/auditd.conf
max_log_file_action = keep_logs
การแก้ไข: ตั้งค่าพารามิเตอร์ต่อไปนี้ใน /etc/audit/auditd.conf:
max_log_file_action = keep_logs
การควบคุม CIS:
6.3 ตรวจสอบให้แน่ใจว่าระบบการบันทึกการตรวจสอบไม่อยู่ภายใต้การสูญหาย (เช่น การหมุนเวียน/การเก็บถาวร)
ตรวจสอบให้แน่ใจว่าระบบทั้งหมดที่จัดเก็บบันทึกมีพื้นที่จัดเก็บเพียงพอ
สำหรับบันทึกที่สร้างขึ้นเป็นประจำ ดังนั้นไฟล์บันทึกจะไม่
เติมระหว่างช่วงเวลาการหมุนบันทึก บันทึกจะต้องถูกเก็บถาวรและ
เซ็นชื่อแบบดิจิทัลเป็นระยะ
โปรดทราบว่าเหตุผลพูดถึงสภาพแวดล้อมที่มีความปลอดภัยสูง ระดับ 2 ซึ่งฉันถือว่าแผนที่เป็น กลุ่มดำเนินการ 2 ในคำศัพท์ที่ใหม่กว่า สิ่งนี้มีไว้สำหรับสถานการณ์ที่คุณไม่สามารถจะสูญเสียเหตุการณ์ใด ๆ ได้เลย ผลกระทบสูงเนื่องจากสภาพแวดล้อมที่ปฏิบัติตามกฎระเบียบหรือความเสี่ยงอื่น ๆ
สิ่งที่ควรทำอย่างปลอดภัยคือให้กระบวนการเก็บถาวรไฟล์บันทึกลบไฟล์เก่า หลังจากที่สำรองข้อมูลแล้วเท่านั้น แน่นอน คุณสามารถลบไฟล์บันทึกจากโฮสต์ได้ แต่โปรดระวังว่าความล้มเหลวในการเก็บถาวรจะไม่ส่งผลให้การหมุนเวียนบันทึกลบไฟล์ก่อนกำหนด
สำหรับพื้นที่จัดเก็บเอกสารสำคัญ อย่าให้บันทึกการตรวจสอบถูกแก้ไขหรือลบ ลงชื่อไฟล์เพื่อยืนยันความสมบูรณ์ ลบสิทธิ์แก้ไขและลบออกจากบัญชีที่เก็บข้อมูลวัตถุ พิจารณาการเก็บรักษาความเย็นบนสื่อเทป
รายการตรวจสอบนี้แนะนำในบางสถานการณ์ด้วย admin_space_left_action = หยุด
. ใช่ หมายความว่าระบบการตรวจสอบจะปิดโฮสต์หากไม่สามารถเข้าสู่ระบบได้ หากสิ่งนี้ทำให้คุณหวาดผวาเนื่องจากวัตถุประสงค์ระดับบริการของคุณ คุณอาจต้องตรวจสอบอีกครั้งว่าความหวาดระแวงในระดับนี้เหมาะสมกับสภาพแวดล้อมของคุณหรือไม่
ใช้ระบบการบันทึกการตรวจสอบแบบรวมศูนย์ ส่งต่อหรือรวบรวมเหตุการณ์ในระบบที่มีพื้นที่เก็บข้อมูลจำนวนมาก รักษาความปลอดภัย สอบถาม และเก็บรักษาได้ง่ายขึ้น
ข้อใดให้การรักษาความปลอดภัยที่ดีกว่า: ฐานข้อมูลกลางที่มีข้อมูล 6 เดือนพร้อมให้สอบถามและสำรองข้อมูลนานหลายปี หรือโฮสต์จำนวนมากมักไม่มีพื้นที่จัดเก็บเพราะมีคนคิดว่ารายการตรวจสอบห้ามลบไฟล์