RHEL 8: Vai trò của Quản trị viên so với Kiểm toán viên

Trên RHEL 8, đã chuẩn bị sẵn các chức năng, phương pháp, quy trình hoặc công cụ để triển khai vai trò quản trị viên/người điều hành và kiểm toán viên theo cách sau:

• Quản trị viên/người điều hành sẽ có thể thực hiện hầu hết mọi thứ trừ việc sửa đổi/xóa nhật ký
• Kiểm toán viên có thể đọc mọi thứ và xóa nhật ký

Trong nghiên cứu của mình, tôi không tìm thấy bất kỳ gợi ý hoặc phương pháp hay nhất nào cho khái niệm này. Nhưng tôi tưởng tượng rằng đây có thể là một yêu cầu chung đối với các hệ thống tuân thủ ISO 27001. Vì vậy, tôi đang băn khoăn, nếu đã có duy trì được các giải pháp để thực hiện các vai trò như vậy trên RHEL hoặc liệu nó có thể hoàn thành được hay không hoặc nếu đây là (hiện nay) không khả thi trên RHEL.

AFAIK có một số điều khoản đã sẵn sàng để phân tách đặc quyền trong SELinux ở chế độ Bảo mật đa cấp đây nhưng không có gì hữu ích và thiết thực ngay lập tức.

Khi bạn cần bảo vệ và chống giả mạo các tệp nhật ký cũng như các dấu vết kiểm tra đối với các quản trị viên đáng tin cậy trên máy chủ, giải pháp hầu như luôn luôn là:

• sao chép các tệp nhật ký và dấu vết kiểm tra đó đến một vị trí từ xa nơi những quản trị viên đó hoàn toàn không có quyền truy cập hoặc chỉ có quyền truy cập hạn chế và nơi họ không phải là người dùng đáng tin cậy.
  Nói cách khác: kiểm toán viên thiết lập và duy trì máy chủ nhật ký hệ thống trung tâm và/hoặc ví dụ: Ngăn xếp Splunk/ELK hoặc tương tự nơi các quản trị viên khác không có quyền truy cập (hoặc sẽ chỉ có quyền truy cập ở cấp độ người dùng) và do đó sẽ không có thể xóa/sửa đổi các bản ghi. Tất cả nhật ký ứng dụng (quan trọng) được sao chép ở đó.
• ghi những nhật ký đó vào phương tiện truyền thông WORM - mặc dù điều đó có thể đã phổ biến hơn nhiều trong quá khứ so với ngày nay