如何防止管理员从自己的活动中访问日志?
这样做的目的是防止攻击者窃取一个根/管理帐户或升级到清除他自己的活动,甚至读取他正在做的事情的痕迹。让我们假设我们是在Linux下,我们用auditd登录,有集中日志,我们可以在SELinux中使用MAC。但我也对Windows下的答案感兴趣。
一种解决方案是禁止所有根帐户访问日志。日志仅由特定服务器上的授权进程管理,这些进程来自log转速、syslog和所有SIEM内容。所以只有SOC才能读取和分析管理员的日志。只有清除进程才能删除旧日志。有人能确认这是可行的吗?
是否可能有更灵活的方法让具有自己根权限的管理员可以读取其他根帐户的日志?
回答 6
Security用户
发布于 2018-09-21 18:01:14
可以接受的解决方案不是在本地存储日志,而是在日志服务器上存储日志。一旦日志在那里,您可以根据需要限制或限制访问。
在某些日志服务器/聚合器解决方案中,可以限制用户查看包含对某些数据的引用的条目(如其用户帐户或机器IP)。这意味着您可以让管理员看到其他的管理活动,而不是他们自己的。
您通常希望在日志服务器/聚合器中放置警报,以便在来自任何一台计算机的日志停止输入或减少到某些阈值以下时触发警报,这有助于检测本地管理员是否阻止将日志发送到日志服务器/聚合器。
Syslog服务器、SIEMs、日志聚合器、ELK堆栈等。有许多选项可供您探索。
Security用户
发布于 2018-09-21 18:02:10
任何入侵主机上的日志都是可疑的。您需要一个集中的日志平台,或者是中央syslog服务器/ splunk / logrhythm /任何东西。保存一组不同的管理员和帐户。这就是整个想法。
一旦你建立了一个平台,你就可以授权查看他们的行为,不管是他们自己的,还是其他管理员--都可以执行。我们有权限,读取特定的日志源和主机。
Security用户
发布于 2018-09-23 01:28:34
如果攻击者在计算机上获得了高权限,那么整个机器就不再受信任,更不用说日志控制器了。
远程日志服务器是这里的唯一选项,尽管细节可能有所不同。您将能够以比本地存储日志更安全的方式处理日志和管理访问控制。
https://security.stackexchange.com/questions/194231
复制相似问题
腾讯云开发者
