¿Necesita un administrador legítimamente acceder a sus propios registros generados por auditd?

2

En mi entendimiento, los administradores necesitan acceder a los registros de los servidores, estaciones de trabajo, servicios y aplicaciones que administran, ya sea con fines de administración o depuración, nunca a los registros generados por auditd desde sus propias actividades. Otro administrador o el SOC pueden. Estoy considerando aquí la política corporativa y la amenaza de una cuenta de administrador robada donde quiero evitar que un atacante vea o borre sus huellas, o malevolencia por parte del administrador mismo.

¿Es correcto? Si no, ¿qué se recomienda? Para ampliar un poco más la pregunta, ¿cómo se debe administrar el acceso a los registros centralizados cuando se requiere acceso legal o forense, cuentas locales y monitoreadas?

    
pregunta lalebarde 27.09.2018 - 12:18
fuente

2 respuestas

5

No hay razón para no permitir que Lea acceda a sus registros. Él puede ser capaz de notar y manejar el incumplimiento de su propia cuenta o simplemente verificar lo que hizo si se olvida de / mistypes.

Deben NO tener acceso de escritura a cualquier registro. Especialmente si desea poder realizar análisis forenses en los registros, los registros no deben manipularse.

    
respondido por el Peter Harmann 27.09.2018 - 12:39
fuente
1

El propósito completo de una cuenta de administrador / raíz es tener acceso absoluto a todas las partes de un sistema. Si desea evitar un escenario como ese, no use cuentas de administrador / root de acceso total, trabaje con usuarios / grupos que solo tienen permisos para realizar sus tareas específicas. Puede darles acceso de lectura a los registros pero evitar el acceso de escritura.

Eso es, por ejemplo, lo que hago con mis servidores web, creo un grupo de "administradores web" que tienen acceso de escritura SOLO al sitio web pero nada más en el servidor pero que aún pueden acceder a los registros.

También llamado "principio de privilegio mínimo" (PoLP).

    
respondido por el Broco 27.09.2018 - 12:39
fuente

Lea otras preguntas en las etiquetas