Het opzetten van een geavanceerd auditing- en compliancecontrolesysteem op jouw CentOS 8 server vereist een gestructureerde aanpak. Hieronder vind je een uitgebreide gids met adviezen, configuratievoorstellen en best practices om te voldoen aan GDPR, ISO 27001 en jouw specifieke beveiligingsbehoeften. 1. Huidige situatie en uitgangspunten - Distributie: CentOS 8 - Huidige auditconfiguratie: Standaard auditd zonder aangepaste regels - Compliance standaarden: GDPR, ISO 27001 - Specifieke uitdaging: Detectie van ongeautoriseerde toegang tot gevoelige data 2. Aanvullende tools en technieken - **auditd**: Voor gedetailleerde audit logs - **OpenSCAP / scap-workbench**: Voor compliance audits en compliance reporting - **AIDE (Advanced Intrusion Detection Environment)**: Bestandsintegriteitscontrole - **SELinux/AppArmor**: Versterking van mandatory access control - **OSQuery**: Voor real-time systeemmonitoring en queries - **Syslog / Rsyslog / journald**: Voor logmanagement en centrale aggregatie - **ELK Stack (Elasticsearch, Logstash, Kibana)**: Voor loganalyse en visualisatie 3. Configuratieadviezen a. auditd configuratie - Pas auditregels aan om toegang tot gevoelige data te monitoren: ```bash # Open audit.rules.d directory sudo mkdir -p /etc/audit/rules.d # Maak een aangepaste regelbestand, bijvoorbeeld /etc/audit/rules.d/10-sensitive-data.rules sudo nano /etc/audit/rules.d/10-sensitive-data.rules ``` - Voeg regels toe om toegang tot belangrijke bestanden te monitoren: ```bash # Monitor toegang tot gevoelige data directories, bijvoorbeeld /var/secure en /etc/secret -w /var/secure/ -p wa -k sensitive_data_access -w /etc/secret/ -p wa -k sensitive_data_access ``` - Regels voor systeem- en gebruikersactiviteiten: ```bash # Monitoring van sudo en su -w /etc/sudoers -p wa -k sudoers_changes -w /etc/passwd -p wa -k passwd_changes -w /etc/shadow -p wa -k shadow_access ``` - Herstart auditd: ```bash sudo systemctl restart auditd ``` b. OpenSCAP voor compliance - Installeer OpenSCAP: ```bash sudo dnf install scap-workbench openscap-scanner scap-security-guide ``` - Download en pas scans toe gebaseerd op standaarden zoals SCAP Security Guide voor CentOS 8: ```bash oscap xccdf eval --profile xccdf_org.ssgproject.content_profile_CentOS8 --report report.html /usr/share/xml/scap/ssg/content/ssg-centos8-xccdf.xml ``` - Pas regels aan op basis van bevindingen. c. Bestandsintegriteit en real-time monitoring - Configureer AIDE: ```bash sudo dnf install aide sudo aide --init sudo mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz sudo systemctl enable aide sudo systemctl start aide ``` - Plan regelmatige controles: ```bash sudo aide --check ``` d. Logmanagement - Configureer syslog of journald voor centrale opslag en forwarding van logs. - Overweeg ELK stack voor analyse en visualisatie van logs, inclusief audit logs en systeemactiviteiten. 4. Best practices en beveiligingsmaatregelen - **Least privilege principe**: Beperk toegang tot auditregels en configuratiebestanden. - **Regelmatige reviews**: Voer periodieke audits uit op logs en configuraties. - **Automatisering**: Gebruik scripts of tools zoals Ansible voor consistente naleving. - **Incident response plan**: Stel procedures op voor het reageren op ongeautoriseerde toegang. - **Encryptie en toegangscontrole**: Versleutel gevoelige data en gebruik sterke authenticatie. - **Bewustwording en training**: Zorg dat beheerders en gebruikers op de hoogte zijn van beveiligingsbeleid. 5. Documentatie en auditing - Documenteer alle configuraties, regels en procedures. - Maak gebruik van versiebeheer (bijvoorbeeld Git) voor configuratiebestanden. - Implementeer een change management proces. 6. Conclusie Door bovenstaande adviezen te volgen, creëer je een gedetailleerd en krachtig auditing- en compliance controlesysteem dat niet alleen voldoet aan GDPR en ISO 27001, maar ook specifiek gericht is op het detecteren van ongeautoriseerde toegang tot gevoelige data. Blijf continu monitoren, testen en verbeteren om de beveiliging en compliance op peil te houden. --- Indien je verdere specificaties hebt of hulp nodig hebt bij de implementatie, laat het gerust weten!

Zeker, ik help u graag bij het opzetten van een geavanceerd auditing- en compliance controlesysteem op uw CentOS 8 server. Hier is een stapsgewijze handleiding met focus op de vereiste standaarden (GDPR, ISO27001) en de specifieke uitdaging van het detecteren van ongeautoriseerde toegang. ### Overzicht van de Aanpak We combineren verschillende tools en technieken voor een diepgaand defensie-model: 1. **Geavanceerde Auditd Configuratie:** De kern voor real-time monitoring van systeemactiviteiten. 2. **OpenSCAP:** Voor automatisering van compliance scanning en remediëring tegen de gedefinieerde standaarden. 3. **Log Management & Analyse:** Centraal beheer en analyse van auditlogboeken. 4. **Best Practices & Hardening:** Algemene maatregelen om de security posture te versterken. --- ### Stap 1: Geavanceerde Auditd Configuratie De standaard `auditd` is een goed startpunt, maar voor uw eisen is een gedetailleerde configuratie nodig. **A. Installatie en Statuscontrole (indien nodig)** ```bash sudo dnf install audit sudo systemctl enable --now auditd sudo systemctl status auditd ``` **B. Configuratie van Audit Regels (`/etc/audit/rules.d/audit.rules`)** Voeg deze regels toe aan het bestand. Dit zijn voorbeelden die relevant zijn voor GDPR (toegang tot persoonsgegevens) en ISO27001 (toegangscontrole, wijzigingsbeheer). ```bash # Verwijder alle bestaande regels om te beginnen met een schone lei -D # Stel de buffer en configuratie in om falen te voorkomen (best practice) -b 8192 -f 1 # 1. Monitoring van gevoelige bestanden en directories (GDPR & ISO27001) # Log alle toegang (lezen, schrijven, uitvoeren) tot directories met gevoelige data. -w /etc/passwd -p wa -k identity_access -w /etc/shadow -p wa -k identity_access -w /etc/gshadow -p wa -k identity_access -w /etc/group -p wa -k identity_access -w /var/log/faillog -p wa -k logfile_access -w /var/log/lastlog -p wa -k logfile_access -w /var/log/tallylog -p wa -k logfile_access # Stel uw eigen directory met gevoelige data in (bijv. een database directory) -w /opt/application/sensitive_data/ -p rwa -k sensitive_data_access # 2. Monitoring van systeem- en beveiligingsgerelateerde events (ISO27001) # Sudo commando's -a always,exit -F arch=b64 -S execve -F path=/usr/bin/sudo -F key=sudo_cmd # Gebruik van privileges (setuid/setgid) -a always,exit -F arch=b64 -S setxattr -F key=privilege_esc # Onsuccesvolle bestandstoegang -a always,exit -F arch=b64 -S open -S openat -F exit=-EACCES -k access_denied -a always,exit -F arch=b64 -S open -S openat -F exit=-EPERM -k access_denied # Wijzigingen in accountgegevens -w /etc/selinux/ -p wa -k MAC_policy -w /etc/apparmor/ -p wa -k MAC_policy -w /etc/audit/ -p wa -k audit_config -w /etc/libaudit.conf -p wa -k audit_config -w /etc/ssh/sshd_config -p wa -k ssh_config # 3. Gebeurtenissen bij opstarten en laden van modules -w /sbin/insmod -p x -k module_load -w /sbin/rmmod -p x -k module_load -w /sbin/modprobe -p x -k module_load # Maak de configuratie permanent -e 2 ``` **C. Auditd Hoofdconfiguratie (`/etc/audit/auditd.conf`)** Zorg voor deze sleutelparameters: ```bash # Locatie van het logboek log_file = /var/log/audit/audit.log # Maximale loggrootte (MB) max_log_file = 100 # Hoeveel oude logbestanden bewaren num_logs = 5 # Actie bij volle schijf (meestal HALT of SYSLOG) max_log_file_action = keep_logs # Ruimte op schijf die moet worden behouden space_left = 75 space_left_action = email action_mail_acct = root admin_space_left = 50 admin_space_left_action = halt ``` **D. Toepassen van de Nieuwe Regels** ```bash # Herstart de auditd service sudo systemctl restart auditd # Of laad de regels handmatig in met auditctl sudo auditctl -R /etc/audit/rules.d/audit.rules # Controleer of de regels actief zijn sudo auditctl -l ``` --- ### Stap 2: Gebruik van OpenSCAP voor Compliance Scanning en Hardening OpenSCAP is essentieel voor het automatisch controleren en afdwingen van compliance. **A. Installatie** ```bash sudo dnf install openscap-scanner scap-security-guide ``` **B. Uitvoeren van een Compliance Scan** * **Scannen tegen een specifieke baseline (bijv. voor ISO27001):** ```bash # Zoek de juiste profile ID oscap info /usr/share/xml/scap/ssg/content/ssg-centos8-ds.xml # Voer een scan uit en genereer een rapport (bijv. voor de 'stig' of 'pci-dss' profile, die overlappen met ISO27001) sudo oscap xccdf eval --profile stig --results /tmp/centos8-stig-scan-results.xml --report /tmp/centos8-stig-scan-report.html /usr/share/xml/scap/ssg/content/ssg-centos8-ds.xml ``` *Opmerking: Er is geen perfecte 1-op-1 mapping. De 'stig' (Security Technical Implementation Guide) en 'pci-dss' profiles zijn goede benaderingen voor ISO27001-controles. Voor GDPR is het meer procesmatig, maar technische controles (toegangsbeheer, logging) worden hier wel afgedekt.* * **Scannen en automatisch remediëren:** ```bash # Dit past automatisch alle mogelijke fixes toe (WEES VOORZICHTIG - test eerst in een ontwikkelomgeving!) sudo oscap xccdf eval --profile stig --remediate /usr/share/xml/scap/ssg/content/ssg-centos8-ds.xml ``` **C. Genereren van een Tailored Profile (Aanbevolen)** Maak een aangepast profile gebaseerd op uw specifieke eisen. ```bash # Maak een tailoring bestand aan (dit is een vereenvoudigd voorbeeld) sudo oscap xccdf generate tailoring --profile stig --output /tmp/gdpr_iso27001-tailoring.xml /usr/share/xml/scap/ssg/content/ssg-centos8-ds.xml # Bewerk het tailoring bestand om specifieke regels in/uit te schakelen. # Scan vervolgens met uw aangepaste profile. sudo oscap xccdf eval --tailoring-file /tmp/gdpr_iso27001-tailoring.xml --profile stig --results /tmp/tailored-scan-results.xml /usr/share/xml/scap/ssg/content/ssg-centos8-ds.xml ``` --- ### Stap 3: Log Management en Analyse Alleen loggen is niet genoeg; u moet de logs kunnen analyseren. **A. Centralisatie (Optie)** Overweeg een tool zoals **Elastic Stack (ELK)**, **Graylog** of **Splunk** om logs van meerdere servers centraal te verzamelen, indexeren en analyseren. Dit is cruciaal voor effectieve detectie van inbreuken. **B. Gebruik van `aureport` en `ausearch`** Dit zijn uw primaire command-line tools voor analyse. ```bash # Genereer een samenvattend rapport sudo aureport # Zoek naar specifieke events, bijvoorbeeld alle toegang tot "sensitive_data" sudo ausearch -k sensitive_data_access -i # Rapport over mislukte toegangspogingen sudo aureport --failed # Gebeurtenissen van een specifieke gebruiker sudo ausearch -ua <gebruikersnaam> -i ``` --- ### Stap 4: Best Practices en Aanvullende Beveiliging 1. **SELinux:** Zorg dat SELinux op `enforcing` staat. Dit is een fundamentele eis voor ISO27001 en een krachtige mitigatie tegen ongeautoriseerde toegang. ```bash sudo getenforce # Moet 'Enforcing' teruggeven sudo setenforce 1 # Indien niet actief (tijdelijk) # Wijzig /etc/selinux/config voor een permanente wijziging. ``` 2. **Regelmatige Updates:** Voer `sudo dnf update` regelmatig uit en overweeg automatische beveiligingsupdates. 3. **Firewall (`firewalld`):** Beperk inkomende connecties tot het strikt noodzakelijke. ```bash sudo systemctl enable --now firewalld sudo firewall-cmd --list-all ``` 4. **Integriteitscontrole:** Gebruik tools zoals **AIDE (Advanced Intrusion Detection Environment)** om een database met checksums van bestanden aan te maken en wijzigingen in binaries en configuratiebestanden te detecteren. ```bash sudo dnf install aide sudo aide --init sudo cp /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz # Plaats een cronjob voor regelmatige checks ``` ### Conclusie en Volgende Stappen 1. **Implementeer Stap voor Stap:** Begin met de auditd-regels en voer een OpenSCAP scan uit om een basislijn vast te stellen. 2. **Test Uw Detectie:** Simuleer een eenvoudige inbreuk (bijv. probeer een gevoelig bestand te lezen zonder rechten) en gebruik `ausearch` om te verifiëren dat het wordt gelogd. 3. **Documenteer:** Voor ISO27001 en GDPR is documentatie van uw beleid, procedures en configuraties essentieel. Documenteer uw auditregels en scanresultaten. 4. **Plan Regelmatige Reviews:** Compliance is een continu proces. Plan maandelijkse of driemaandelijkse reviews van uw logs, scanresultaten en regelconfiguraties. Deze setup biedt een robuust kader dat voldoet aan de technische controle-eisen van zowel GDPR als ISO27001, met name op het gebied van toegangsmonitoring en detectie van ongeautoriseerde activiteiten.