最高セキュリティ責任者(CSO)は、特権アカウント(ルート)の活動を記録しようとします。で説明されているように、ユーザー入力(キー入力)とコンソール/ターミナル出力(stdout / stderr)を記録するようにsudoを設定できます。「sudo su -」にコマンドを書き込むには?。ただし、コンテンツは常にローカルファイルに書き込まれます。 rootユーザーは簡単にファイルを消去することができます!
/etc/sudoers ログインを有効にしました。
Defaults>root log_input, log_output
Defaults iolog_dir=/var/log/sudo-io
またはそれに対応する
root ALL = (ALL) LOG_INPUT: LOG_OUTPUT: ALL
ファイルが削除されないように保護する方法は?
ベストアンサー1
サーバーでローカルに実行するすべての操作は、管理者またはハッカーの裁量によって管理者またはハッカーがバイパスすることができます。ログの整合性を保証する唯一の方法は、ログをリモートsyslogサーバーに記録(または少なくともコピー)することです。これを行う方法はよく知られている概念なので、詳しくは説明しません。わからない場合は検索してお読みくださいsyslog-ng。リモートsyslogサーバーはCSOチームのみにアクセスでき、sysadminチームの誰もアクセスできないことを確認してください。業務分離は、ログが改ざんされないようにする唯一の方法です。私があなたのCSOであれば、オペレータやシステム管理者がアクセスできない場所に物理的にサーバーを配置します。なぜなら、どのボックスにも物理的にアクセスできるようになるとセキュリティが消えるからです。私の2セント。