管理者は、auditdによって生成された自分のログにアクセスするための正当性が必要ですか?
私の理解では、管理者は、管理またはデバッグの目的で、自分が管理するサーバー、ワークステーション、サービス、およびアプリケーションのログにアクセスする必要があります。自分のアクティビティからauditdによって生成されたログには決してアクセスしないでください。別の管理者またはSOCができます。私はここで、企業ポリシーと、攻撃者が痕跡を見たり消したりするのを防ぐために盗まれた管理者アカウントの脅威、または管理者自身による悪意を検討しています。
それが正しいか?そうでない場合、何をお勧めしますか?質問をもう少し広げるには、法的または法的なアクセスが必要なときに、集中管理されたログへのアクセスを管理するにはどうすればよいですか?
Readのログへのアクセスを許可しない理由はありません。彼は自分のアカウントの違反に気づき、それを処理できるかもしれません。
[〜#〜]ない[〜#〜]ログへの書き込みアクセス権を持っている必要があります。特に、ログでフォレンジックを実行できるようにする場合は、ログを改ざんしないでください。
Admin/rootアカウントの全体的な目的は、システムのすべての部分への絶対的なアクセス権を持つことです。このようなシナリオでフルアクセスのadmin/rootアカウントを使用しないようにしたい場合は、特定のタスクを実行する権限のみを持つユーザー/グループを操作してください。ログへの読み取りアクセスを許可し、書き込みアクセスは禁止できます。
たとえば、私が自分のWebサーバーで行うことです。Webサイトのみに書き込みアクセス権を持つグループ "Web管理者"を作成しますが、サーバー上には何もありませんが、ログにはアクセスできます。
「最小特権の原則」(PoLP)とも呼ばれます。