Hortonworks Hadoop的安装通常是通过Ambari完成的,Ambari的代码使用su来模拟其他(技术)用户,即Ambari还必须获得基本上所有其他用户使用su的权利。这意味着,Ambari管理员还可以查看所有这些系统的常规日志和审核日志及其数据。此外,在SIEM系统中难以监控su的使用,尤其是比sudo使用更加困难。 这导致两个问题:
我正在尝试设置安全的最小SolrCloud / HDP Search安装。一个大的解决方案可能是将Apache Atlas的屏蔽与基于HDFS的Ranger审核(加密的受限用户访问权限)结合使用。我想知道是否存在更小/更快/更便宜的解决方案。
如果我停用Ranger对Solr和HDFS的审核,并且仅使用log4j config记录Ranger事件,将所有日志立即发送到远程安全syslog,那么它将很好地工作(因此,恶意管理员无法对其进行操作) ?
一旦所有日志条目(也是非审计相关的)都采用平面日志格式(创建精确的SIEM用例),是否有一种简单的方法来识别所有与审计相关的日志事件?
如果取消了Ranger对Solr和HDFS的审核,是否可以确保仍记录每个与审核相关的事件?