RHEL 8:管理员与审计员角色

RHEL 8:管理员与审计员角色

在 RHEL 8 上,是否有准备好的功能、方法、流程或工具来以以下方式实现管理员/操作员和审计员角色:

  • 管理员/操作员应该能够执行除修改/删除日志之外的几乎所有操作
  • 审计员应该能够阅读所有内容,并删除日志

在我的研究中,我没有找到关于这个概念的任何提示或最佳实践。但我想,这可能是符合 ISO 27001 的系统的共同要求。所以我想知道,是否已经有可维护在 RHEL 上实现此类角色的解决方案,或者是否可以实现,或者这是否是(现在) 在 RHEL 上是不可行的。

答案1

据我所知,SELinux 在多级安全模式下已经为权限分离提供了一些现成的规定这里但没有任何立即有用和实用的东西。

当你需要保护日志文件和审计跟踪,并防止其被服务器上受信任的管理员篡改时,解决方案几乎总是:

  • 将这些日志文件和审计跟踪复制到远程位置,这些管理员完全无权访问或只有有限的访问权限,并且他们不是受信任的用户。
    换句话说:审计员设置并维护一个中央系统日志服务器和/或例如 Splunk/ELK Stack 或类似服务器,其他管理员无权访问(或只有用户级访问权限),因此无法删除/修改记录。所有(关键)应用程序日志都会复制到那里。
  • 将这些日志写入WORM 介质- 尽管这在过去可能比现在更受欢迎

相关内容