我们拥有大量的 Red Hat 7/8 系统。我们要求确保所有系统都符合 CIS 标准。
其中一项要求是不自动轮换审计日志。即配置以下内容:
max_log_file_action = keep_logs
但是,此设置会填满存储日志的分区。我们想配置上述设置,rotate但这会使系统不合规。
我正在尝试寻找业内其他人用来轮换审计日志的机制。
干杯
答案1
安全控制不是非此即彼的事情。认真思考可以采取多极端的措施来确保不会丢失任何审计事件。发挥创意,寻找替代控制措施。
CIS 显然现在将实施清单放在联系表后面。在以下网址找到了一份旧副本:CIS_Red_Hat_Enterprise_Linux_7_Benchmark_v2.2.0.pdf讨论实施细节。术语和编号可能会改变,但推理大部分是永恒的。
4.1.1.3 确保审计日志不会被自动删除(评分)配置文件适用性:
- 第 2 级 - 服务器
- 第 2 层 - 工作站
描述:max_log_file_action 设置决定如何处理达到最大文件大小的审计日志文件。keep_logs 值将轮换日志但永远不会删除旧日志。
理由:在高安全性环境中,维护长期审计历史记录的好处超过存储审计历史记录的成本。
审计:运行以下命令并验证输出是否匹配:
# grep max_log_file_action /etc/audit/auditd.conf max_log_file_action = keep_logs补救措施:在 /etc/audit/auditd.conf 中设置以下参数:
max_log_file_action = keep_logsCIS 控制:6.3 确保审计日志系统不会丢失(即轮换/存档)
确保所有存储日志的系统都有足够的存储空间来存储定期生成的日志,这样日志文件就不会在日志轮换间隔期间填满。必须定期对日志进行归档和数字签名。
请注意,理由是针对高安全性环境。我认为第 2 级对应于执行组2用较新的术语来说。这适用于您无法承受丢失任何事件、因合规环境或其他风险而造成高影响的情况。
一个安全的做法是让日志文件归档过程删除旧文件,但前提是这些文件已备份。当然,您可以从主机中删除日志文件。但请注意,归档失败不会导致日志轮换提前删除文件。
对于档案存储,不要让审计日志被更改或删除。签署文件以确认其完整性。从对象存储帐户中删除编辑和删除权限。考虑在磁带介质上进行冷存储。
此检查表在某些情况下还建议admin_space_left_action = halt。是的,这意味着如果审计系统无法记录,它将关闭主机。如果由于您的服务级别目标而让您感到恐惧,您可能需要重新检查这种程度的偏执是否适合您的环境。
还实施集中式审计日志系统。在具有大量存储的系统中转发或以其他方式收集事件。更易于保护、查询和保留。
哪个能提供更好的安全性:一个拥有 6 个月的数据随时可供查询和多年备份的中央数据库,还是一群主机总是耗尽存储空间,因为有人认为清单禁止删除文件?