我最近在 SLES 12 机器上运行了 OpenScap Audit 扫描,结果似乎是误报。
例如对于这两项检查:
1)确保 sudo logfile 存在 - sudo logfile
此商品的描述中提到:
可以使用“logfile”标签配置自定义日志 sudo 文件。此规则在 CIS 建议的默认位置配置 sudo 自定义日志文件,即 /var/log/sudo.log。
我已经检查过服务器,并且该条目已经存在:
ldefra-s12d:~ # grep 'logfile' /etc/sudoers
Defaults logfile="/var/log/sudo.log"
nagios ALL=NOPASSWD: /sbin/multipath -l, /sbin/multipath -ll, /sbin/multipath -r, /sbin/lvs --segments, /usr/bin/salt-call -l quiet cmd.run uname -a, /usr/bin/salt-call -l quiet state.apply test\=true, /usr/bin/zypper --quiet update --dry-run --no-confirm --auto-agree-with-licenses, /usr/bin/yum --quiet check-update, /usr/bin/zypper install --details --dry-run -y TAneo, /usr/lib/nagios/plugins/check_logfiles, /usr/sbin/crm_mon, /usr/sbin/crm, /usr/sbin/iptables -L -n, /usr/lib/nagios/plugins/check_iptables.sh, /usr/bin/id, /usr/lib/nagios/plugins/check_highstate.py, /usr/lib/nagios/plugins/check_iptables.py
ldefra-s12d:~ #
另一个是这样的:
2)限制密码重复使用
对此的描述是:
不允许用户重复使用最近的密码。这可以通过使用 pam_pwhistory PAM 模块的记住选项来实现。
在文件 /etc/pam.d/common-password 中,确保参数 Remember 和 use_authtok 存在,并且 Remember 参数的值为 5 或更大。例如:password requisite pam_pwhistory.so ...existing_options... Remember=5 use_authtok DoD STIG 要求是 5 个密码。
在服务器中,也进行了如下配置:
ldefra-s12d:~ # grep remember /etc/pam.d/common-password
password required pam_pwhistory.so use_authtok remember=5 retry=3
如果是这样,那么为什么扫描会产生假阳性结果?我需要从 openscap 扫描文件/代码本身编辑一些内容吗?请提供解决方案。这是我公司常规审计实践的一部分,我仍然不知道如何解决这个问题。
答案1
OpenSCAP 使用的这些规则的上游项目是https://github.com/ComplianceAsCode/content。
如果您认为这些规则没有按预期发挥作用,最好在项目中提交问题,以便项目维护人员和社区可以在必要时调查并改进规则。
该项目非常动态,这些规则很可能已经更新。