红帽7/8上符合CIS标准的审计配置

Question

我们有一个庞大的红帽7/8系统舰队。我们要求确保所有系统都符合CIS标准。

其中一项要求是不自动旋转审计日志。也就是说，配置以下内容：

max_log_file_action = keep_logs

但是，此设置将填充存储日志的分区。我们希望将上述设置配置为rotate，但这将使系统不兼容。

我正在努力寻找其他行业中用于轮换审计日志的机制。

干杯

Answer 1

安全控制不是“是”或“不是”。批判性地想一想，你可以采取多极端的措施来确保审计事件不会丢失。在替代控制方面发挥创造性。

显然，独联体现在将实现检查列表放在联系人表单后面。在独联体_红色_帽子_企业_Linux_7_基准测试_v2.2.0.pdf找到一个旧的副本来讨论实现细节。术语和编号可能会改变，但大多数情况下，推理是永恒的。

4.1.1.3确保审计日志不会自动删除(评分)概要文件的适用性：

• 2级-服务器
• 二级-工作站

描述: max_log_file_action设置确定如何处理达到最大文件大小的审核日志文件。keep_logs值将旋转日志，但从不删除旧日志。理由:在高度安全的情况下，维护长期审计历史的好处超过了存储审计历史记录的成本。审核:运行以下命令并验证输出匹配：# grep max_log_file_action /etc/auditd.conf max_log_file_action = keep_logs补救:在/etc/auditd.conf中设置以下参数：max_log_file_action = keep_logs CIS控件: 6.3确保审计日志系统不会丢失(即旋转/存档)，确保所有存储日志的系统都有足够的存储空间用于定期生成的日志，以便日志文件不会在日志轮转间隔之间填满。日志必须定期存档和数字签名。

请注意，基本原理涉及到高安全性环境。第2级，我假设用更新的术语映射到执行组2。这种情况下，您根本不能失去任何事件，高影响由于合规环境或其他风险。

一个安全的做法是让日志文件归档过程删除旧文件，只有在备份之后。当然，您可以从主机中删除日志文件。但是，请注意，归档失败不会导致日志轮转，提前删除文件。

对于归档存储，不要让审计日志被更改或删除。签署文件以确认其完整性。从对象存储帐户中删除、编辑和删除权限。考虑一下磁带介质上的冷藏室。

在某些情况下，此清单还建议使用admin_space_left_action = halt。是的，这意味着如果无法登录，审核系统将关闭主机。如果由于您的服务级别目标而使您感到恐惧，您可能需要重新检查这种偏执程度是否适合您的环境。

还实现了一个集中式审计日志系统。转发或以其他方式收集具有大量存储空间的系统中的事件。更容易保护、查询和保留。

它提供了更好的安全性:一个包含6个月数据的中央数据库，可以查询和备份几年，或者因为有人认为检查表禁止删除文件，所以主机群总是耗尽存储空间？