PCIのセキュリティログ構成（rsyslogおよびsyslog-ng）の検証DSS 10.5

問題を過度に分析しているようです-PCI DSSでは、システムの悪用が不可能であることを確認する必要はありません。基本的な悪用ベクトルに沿って十分な注意を払う必要があります。

ここの引用は DSS 3.1 「テスト手順」からです：

10.5.1監査証跡ファイルを表示できるのは、職務に関連する必要がある個人のみです。

Auth *タイプのログがrootのみが読み取り可能であることを確認してください。それは非常に簡単です：

$ grep authpriv /etc/rsyslog.conf
# The authpriv file has restricted access.
authpriv.*                                              /var/log/secure
$ ls -l /var/log/secure
-rw------- 1 root root 1085793 Nov 10 13:43 /var/log/secure
$

これで完了です。悪意のある管理者がどこかでauthprivをログに記録して、どこにあるかを確認し、それを誰でも読み取り可能にすることが不明瞭になる可能性はありますか？それは可能ですですが、QSAが探しているものではなく、誤ってログを誤って設定していないことを確認して、誰もがauthprivを読み取れるようにしています。

（編集）コメントで説明する状況：

チェックサムの問題は、アプリケーションが（セキュリティログに影響を与えない場所で）構成を変更する有効な必要性があり、チェックサムを破っていたことです。

実際には、rsyslogで対処する方が簡単です。

• システムログは/etc/rsyslog.confで指定され、cfengineによって標準化され、システム全体で自動管理されます。
• rsyslog.confには/etc/rsyslog.d/*.confが含まれます
• アプリケーションログの設定は/etc/rsyslog.d/application.confにあります

このようにして、ロギング（たとえば）authprivのシステム構成が正しいこと、および構成がシステム間で共通であることを簡単に証明できます。アプリケーションごとのカスタマイズは、/ etc/rsyslog.d/*。confファイルに分離されています。これは、QSAにチェックサムまたは証明する必要はありません。 1つまたは2つですが、一般に、管理者はアプリケーションレベルの構成ファイルで冗長な不正なシステムレベルの構成を隠さないようにします。

繰り返しますが、PCI DSSは、あなたが基本的なことを正しく行っていることを文書化することを望んでいます。疑いの影を越えて、あなたが何か悪いことをしてください。

10.5.2現在の監査証跡ファイルは、アクセス制御メカニズム、物理的な分離、および/またはネットワークの分離を介した不正な変更から保護されています。

ログファイルが不適切なグループや「その他」に書き込み可能でないことを示します。

# find /var/log -type f -a \( -perm -g+w -or -perm -o+w \) -ls
131282 2220 -rw-rw-r--   1 root     utmp      2265216 Oct 30 09:51 /var/log/wtmp-20151101
133888  192 -rw-rw-r--   1 root     utmp       192000 Nov  9 16:12 /var/log/wtmp
# 

wtmpは、ルート以外の端末による更新を許可するためにutmpにグループ書き込み可能であるため、これは正常です。他の調査結果はありません。ログが/ var/logに移動することを示す基本的なチェックに加えて、すべての準備が整いました。

10.5.3現在の監査証跡ファイルは、一元化されたログサーバーまたは変更が困難なメディアに迅速にバックアップされます。

10.5.4外部向けテクノロジ（ワイヤレス、ファイアウォール、DNS、メールなど）のログは、安全な集中型の内部ログサーバーまたはメディアに書き込まれます。

最初に、ログが中央のSIEMに送信されることを示す構成を表示します。次に、マシンからのログがSIEMで見つかることを証明するクエリを表示します。 QSAが要求するサンプルサイズに対して繰り返します。

ローカルで検出されたすべての行がリモートサーバー上で検出されるという完全な調整を行う必要はありません。リモートサーバーにログを記録するように構成したこと、およびリモートサーバーが適切に機能していることを証明する必要があるだけです。

10.5.5システム設定、監視対象ファイル、および監視アクティビティの結果を調べて、ログでのファイル整合性監視または変更検出ソフトウェアの使用を確認します。

/ etc/rsyslog *および/ var/log/*がFIM（Tripwireなど）によって監視されていることを確認します。それでおしまい。

これらの手順は、環境を保護するのに十分ですか？番号！ PCI DSSは床であり、天井ではありません。これは、開始し、すべての人が少なくともシートベルトを締めていることを確認して試すための、基本的なデューデリジェンスのチェックリストです。あなたのセキュリティを改善する方法を探していますが、あなたはそこに行く途中でPCI監査に合格するでしょう。

さて、言われているように、私はあなたの質問で別の問題を検出しています。これにより監査が難しくなります。「ここに設定ファイルがあり、ここにサーバーの95％が使用していることを示すPuppet設定があります」と言うと、QSAが環境のサンプルにサインオフしやすくなります。 「有効な構成が急増する傾向がある」場合、PCIコンプライアンスに影響を与えるだけでなく、全体的なセキュリティにも影響を与える問題があります。集中管理を検討する必要があります（ここでは このようなツールの4つの比較 ）。