Kiểm soát an ninh không phải là một điều có hoặc không. Hãy suy nghĩ nghiêm túc về mức độ cực đoan mà bạn có thể thực hiện để đảm bảo không có sự kiện kiểm tra nào bị bỏ lỡ. Hãy sáng tạo về các điều khiển thay thế.
CIS dường như hiện đặt các danh sách kiểm tra việc triển khai sau một biểu mẫu liên hệ. Tìm thấy một bản sao cũ tại CIS_Red_Hat_Enterprise_Linux_7_Benchmark_v2.2.0.pdf để thảo luận về chi tiết thực hiện. Thuật ngữ và cách đánh số có thể thay đổi, nhưng lý do phần lớn là vượt thời gian.
4.1.1.3 Đảm bảo nhật ký kiểm tra không bị xóa tự động (Đã chấm điểm) Khả năng áp dụng hồ sơ:
- Cấp 2 - Máy chủ
- Cấp 2 - Máy trạm
Mô tả: Cài đặt max_log_file_action xác định cách xử lý
tệp nhật ký kiểm tra đạt đến kích thước tệp tối đa. Một giá trị của keep_logs
sẽ xoay các bản ghi nhưng không bao giờ xóa các bản ghi cũ.
Cơ sở lý luận: Trong bối cảnh bảo mật cao, lợi ích của việc duy trì
lịch sử kiểm toán dài vượt quá chi phí lưu trữ lịch sử kiểm toán.
Kiểm tra: Chạy lệnh sau và xác minh kết quả khớp:
# grep max_log_file_action /etc/audit/auditd.conf
max_log_file_action = keep_logs
Cách khắc phục: Đặt tham số sau trong /etc/audit/auditd.conf:
max_log_file_action = keep_logs
Kiểm soát CIS:
6.3 Đảm bảo hệ thống ghi nhật ký kiểm tra không bị mất (nghĩa là luân chuyển/lưu trữ)
Đảm bảo rằng tất cả các hệ thống lưu trữ nhật ký đều có đủ dung lượng lưu trữ
đối với các nhật ký được tạo thường xuyên, do đó các tệp nhật ký sẽ không
lấp đầy giữa các khoảng thời gian quay nhật ký. Nhật ký phải được lưu trữ và
được ký điện tử trên cơ sở định kỳ.
Lưu ý rằng lý do nói về môi trường bảo mật cao. Cấp độ 2, mà tôi cho rằng bản đồ tới nhóm thực hiện 2 trong thuật ngữ mới hơn. Điều này dành cho các tình huống mà bạn không thể để mất bất kỳ sự kiện nào, tác động lớn do môi trường tuân thủ hoặc các rủi ro khác.
Một điều an toàn cần làm là để quá trình lưu trữ tệp nhật ký xóa các tệp cũ, chỉ sau khi chúng được sao lưu. Tất nhiên bạn có thể xóa các tệp nhật ký khỏi máy chủ. Nhưng hãy cẩn thận rằng lỗi lưu trữ không dẫn đến việc xóa các tệp quay vòng nhật ký sớm.
Đối với kho lưu trữ, không để nhật ký kiểm tra bị thay đổi hoặc xóa. Ký các tệp để xác nhận tính toàn vẹn của chúng. Xóa quyền chỉnh sửa và xóa khỏi tài khoản lưu trữ đối tượng. Xem xét lưu trữ lạnh trên phương tiện băng từ.
Danh sách kiểm tra này trong một số trường hợp cũng khuyến nghị admin_space_left_action = tạm dừng
. Có, điều này có nghĩa là hệ thống kiểm toán sẽ tắt máy chủ lưu trữ nếu không thể đăng nhập. Nếu điều này làm bạn kinh hoàng do các mục tiêu cấp độ dịch vụ của bạn, bạn có thể cần xem xét lại xem mức độ hoang tưởng này có phù hợp với môi trường của bạn hay không.
Đồng thời triển khai hệ thống ghi nhật ký kiểm tra tập trung. Chuyển tiếp hoặc thu thập các sự kiện trong một hệ thống có dung lượng lưu trữ lớn. Dễ dàng bảo mật, truy vấn và lưu giữ hơn.
Cái nào cung cấp khả năng bảo mật tốt hơn: cơ sở dữ liệu trung tâm với dữ liệu 6 tháng sẵn sàng được truy vấn và sao lưu trong nhiều năm hoặc một nhóm máy chủ luôn hết dung lượng lưu trữ vì ai đó cho rằng danh sách kiểm tra cấm xóa tệp?