Regras de auditoria sobrescritas no ambiente PCI DSS

2

Estou configurando um ambiente PCI DSS e estou enfrentando o próximo problema. Ao instalar o OS (CentOS 7.3 Minimal) escolhi o perfil "PCI DSS".

Quando eu estava checando as regras aplicadas em /etc/audit/audit.rules havia um número enorme de regras, e eu era apenas interessante em manter 2 ou 3 delas.

Portanto, modifiquei o arquivo que contém as regras e as recarreguei. Até este ponto não há problema.

O que estou enfrentando é que, toda vez que eu reinicio o auditd.service, minhas regras personalizadas são substituídas pelas regras impostas pelo perfil do PCI DSS.

Vou tentar também criar um arquivo com minhas regras personalizadas, digamos /etc/audit/audit-custom.rules . Eu posso importar as regras com o comando auditctl -R /etc/audit/audit-custom.rules e nesse momento se eu executar auditctl -l eu tenho apenas as regras definidas no meu arquivo custom.rules.

O problema é que, quando eu reinicio o serviço auditd, são necessárias todas as vezes as regras definidas em /etc/audit/audit.rules . Mesmo se eu apagar todas as regras e colocar minhas regras personalizadas dentro do arquivo de configuração de regras padrão, após a reinicialização do serviço, o auditd sobrescreverá minhas regras personalizadas

Alguém tem alguma pista sobre como evitar esse comportamento?

Agradecemos antecipadamente por sua ajuda

    
por Abel 14.09.2017 / 14:20

1 resposta

2

OK, finalmente, depois de uma pequena pesquisa neste fim de semana, encontrei a resposta.

Se você quiser evitar que a auditoria substitua suas regras personalizadas pelas restrições impostas pelo perfil de segurança, esse é o procedimento

  1. Edite o próximo arquivo /etc/systemd/system/multi-user.target.wants/auditd.service e comente a seguinte linha

    # ExecStartPost=-/sbin/augenrules --load

  2. Em seguida, você precisa recarregar o daemon systemctl:

    systemctl daemon-reload

  3. Agora você poderá importar suas regras com:

    auditctl -R /etc/audit/audit-custom.rules

  4. Agora você pode reiniciar auditd service ou reiniciar seu servidor, evitando que auditd substitua suas regras personalizadas

por 18.09.2017 / 09:53