เรามีระบบ Red Hat 7/8 จำนวนมาก เรามีข้อกำหนดเพื่อให้แน่ใจว่าระบบทั้งหมดเป็นไปตาม CIS
ข้อกำหนดข้อหนึ่งคือห้ามหมุนเวียนบันทึกการตรวจสอบโดยอัตโนมัติ นั่นคือ กำหนดค่าต่อไปนี้:
max_log_file_action = keep_logs
อย่างไรก็ตาม การตั้งค่านี้จะเติมพาร์ติชันที่เก็บบันทึก เราต้องการกำหนดค่าการตั้งค่าด้านบนเป็น หมุน แต่นั่นจะทำให้ระบบไม่เป็นไปตามข้อกำหนด
ฉันกำลังพยายามหากลไกที่คนอื่นๆ ในอุตสาหกรรมใช้ในการหมุนเวียนบันทึกการตรวจสอบ
ไชโย
การควบคุมความปลอดภัยไม่ใช่สิ่งที่ใช่หรือไม่ใช่ คิดอย่างมีวิจารณญาณว่าคุณสามารถใช้มาตรการขั้นสูงสุดเพื่อให้แน่ใจว่าไม่มีเหตุการณ์การตรวจสอบใดสูญหายไป ใช้ความคิดสร้างสรรค์เกี่ยวกับการควบคุมทางเลือก
เห็นได้ชัดว่าตอนนี้ CIS วางรายการตรวจสอบการใช้งานไว้ด้านหลังแบบฟอร์มติดต่อ พบสำเนาเก่าที่ CIS_Red_Hat_Enterprise_Linux_7_Benchmark_v2.2.0.pdf เพื่อหารือเกี่ยวกับรายละเอียดการดำเนินการ คำศัพท์และลำดับเลขอาจเปลี่ยนแปลงได้ แต่การให้เหตุผลส่วนใหญ่ไม่มีวันหมดอายุ
4.1.1.3 ตรวจสอบให้แน่ใจว่าบันทึกการตรวจสอบไม่ถูกลบโดยอัตโนมัติ (ให้คะแนน) การบังคับใช้โปรไฟล์:
- ระดับ 2 - เซิร์ฟเวอร์
- ระดับ 2 - เวิร์กสเตชัน
คำอธิบาย: การตั้งค่า max_log_file_action กำหนดวิธีจัดการ ไฟล์บันทึกการตรวจสอบถึงขนาดไฟล์สูงสุด ค่าของ keep_logs จะหมุนเวียนบันทึก แต่ไม่เคยลบบันทึกเก่า
เหตุผล: ในบริบทความปลอดภัยสูง ประโยชน์ของการรักษา ประวัติการตรวจสอบที่ยาวนานเกินค่าใช้จ่ายในการจัดเก็บประวัติการตรวจสอบ
ตรวจสอบ: รันคำสั่งต่อไปนี้และตรวจสอบผลลัพธ์ที่ตรงกัน:
# grep max_log_file_action /etc/audit/auditd.conf max_log_file_action = keep_logsการแก้ไข: ตั้งค่าพารามิเตอร์ต่อไปนี้ใน /etc/audit/auditd.conf:
max_log_file_action = keep_logsการควบคุม CIS: 6.3 ตรวจสอบให้แน่ใจว่าระบบการบันทึกการตรวจสอบไม่อยู่ภายใต้การสูญหาย (เช่น การหมุนเวียน/การเก็บถาวร)
ตรวจสอบให้แน่ใจว่าระบบทั้งหมดที่จัดเก็บบันทึกมีพื้นที่จัดเก็บเพียงพอ สำหรับบันทึกที่สร้างขึ้นเป็นประจำ ดังนั้นไฟล์บันทึกจะไม่ เติมระหว่างช่วงเวลาการหมุนบันทึก บันทึกจะต้องถูกเก็บถาวรและ เซ็นชื่อแบบดิจิทัลเป็นระยะ
โปรดทราบว่าเหตุผลพูดถึงสภาพแวดล้อมที่มีความปลอดภัยสูง ระดับ 2 ซึ่งฉันถือว่าแผนที่เป็น กลุ่มดำเนินการ 2 ในคำศัพท์ที่ใหม่กว่า สิ่งนี้มีไว้สำหรับสถานการณ์ที่คุณไม่สามารถจะสูญเสียเหตุการณ์ใด ๆ ได้เลย ผลกระทบสูงเนื่องจากสภาพแวดล้อมที่ปฏิบัติตามกฎระเบียบหรือความเสี่ยงอื่น ๆ
สิ่งที่ควรทำอย่างปลอดภัยคือให้กระบวนการเก็บถาวรไฟล์บันทึกลบไฟล์เก่า หลังจากที่สำรองข้อมูลแล้วเท่านั้น แน่นอน คุณสามารถลบไฟล์บันทึกจากโฮสต์ได้ แต่โปรดระวังว่าความล้มเหลวในการเก็บถาวรจะไม่ส่งผลให้การหมุนเวียนบันทึกลบไฟล์ก่อนกำหนด
สำหรับพื้นที่จัดเก็บเอกสารสำคัญ อย่าให้บันทึกการตรวจสอบถูกแก้ไขหรือลบ ลงชื่อไฟล์เพื่อยืนยันความสมบูรณ์ ลบสิทธิ์แก้ไขและลบออกจากบัญชีที่เก็บข้อมูลวัตถุ พิจารณาการเก็บรักษาความเย็นบนสื่อเทป
รายการตรวจสอบนี้แนะนำในบางสถานการณ์ด้วย admin_space_left_action = หยุด. ใช่ หมายความว่าระบบการตรวจสอบจะปิดโฮสต์หากไม่สามารถเข้าสู่ระบบได้ หากสิ่งนี้ทำให้คุณหวาดผวาเนื่องจากวัตถุประสงค์ระดับบริการของคุณ คุณอาจต้องตรวจสอบอีกครั้งว่าความหวาดระแวงในระดับนี้เหมาะสมกับสภาพแวดล้อมของคุณหรือไม่
ใช้ระบบการบันทึกการตรวจสอบแบบรวมศูนย์ ส่งต่อหรือรวบรวมเหตุการณ์ในระบบที่มีพื้นที่เก็บข้อมูลจำนวนมาก รักษาความปลอดภัย สอบถาม และเก็บรักษาได้ง่ายขึ้น
ข้อใดให้การรักษาความปลอดภัยที่ดีกว่า: ฐานข้อมูลกลางที่มีข้อมูล 6 เดือนพร้อมให้สอบถามและสำรองข้อมูลนานหลายปี หรือโฮสต์จำนวนมากมักไม่มีพื้นที่จัดเก็บเพราะมีคนคิดว่ารายการตรวจสอบห้ามลบไฟล์
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
