Un amministratore deve legittimamente accedere ai propri registri generati da auditd?

Naviga le tue risposte
2

Nella mia comprensione, gli amministratori devono accedere ai registri dei server, delle workstation, dei servizi e delle applicazioni che gestiscono, a scopo di amministrazione o di debug, mai ai registri generati da auditd dalle proprie attività. Un altro amministratore o il SOC può. Sto prendendo in considerazione la politica aziendale e la minaccia di un account amministratore rubato dove voglio impedire a un utente malintenzionato di vedere o cancellare le sue tracce o malevolenza da parte dell'amministratore stesso.

È corretto? In caso contrario, cosa è raccomandato? Per estendere un po 'di più la domanda, come deve essere gestito l'accesso ai log centralizzati quando è richiesto l'accesso legale o legale, account locali e monitorati?

    
posta lalebarde 27.09.2018 - 12:18
fonte

2 risposte

5

Non vi è alcun motivo per non consentire l'accesso Leggi ai suoi registri. Potrebbe essere in grado di notare e gestire la violazione del proprio account o semplicemente capire cosa ha fatto se ha dimenticato / mistypes.

Dovrebbero NON avere accesso in scrittura a qualsiasi registro. Soprattutto se vuoi essere in grado di fare analisi forensi sui log, i log non dovrebbero essere manomessi.

    
risposta data 27.09.2018 - 12:39
fonte
1

L'intero scopo di un account admin / root è di avere accesso assoluto a tutte le parti di un sistema. Se vuoi evitare che uno scenario del genere non usi account admin / root completi, lavora con utenti / gruppi che hanno solo le autorizzazioni per eseguire le loro attività specifiche. Puoi dare loro l'accesso in lettura ai registri ma impedire l'accesso in scrittura.

Questo è ad esempio quello che faccio con i miei server web, creo un gruppo "amministratori web" che hanno accesso in scrittura SOLO al sito web ma nient'altro sul server ma possono ancora accedere ai registri.

Chiamato anche "principio del privilegio minimo" (PoLP).

    
risposta data 27.09.2018 - 12:39
fonte

Leggi altre domande sui tag

Quali protezioni esistono negli appunti del sistema operativo? In che modo la compilazione di un programma dalla fonte è più sicura?