아이디어는 것을 방지하는 공격자에는 도난당한 루트/관리자 계정 또는 에스컬레이션을 맑은 자신의 활동 또 읽어도의 흔적들이 성공할 것입니다. Let's 가정하에 우리는 리눅스에서,우리는 로그와 함께 라고 하면 오직 auditd,가 중앙 로그고,우리가 사용할 수 있습니다 MAC SELinux. 그러나 나는 관심도 대한 답변 under Windows.
하는 것이 하나의 솔루션을 금지하는 모든 루트의 계정에 액세스합니다. 로그만 관리에 의해 허가 프로세스에서는 특정 서버에서는 logrotate,syslog,그리고 모든 씨엠립의 물건입니다. 그래서만 읽을 수 있는 SOC 및 분석 관리자'로그입니다. 만을 제거 과정을 삭제할 수 있습니다 오래된 로그입니다. 할 수 있는 사람이 확인이 할 수 있는?
그것은 좀 더 유연하는 관리자는 자신의 root 권한을 읽을 수 있는 로그를 다른 뿌리 계정을 가지고 계십니까?
허용 솔루션을 이하지 않는 저장하는 로그에 로컬로,하지만에 로그는 서버입니다. 면 로그을 수있는 가장 쉬운 방법입니다 제한하거나 제한 액세스 할 수 있습니다.
에는 일부 로그는 서버/aggregator 솔루션을 제한할 수 있는 사용자에서는 보고 항목을 포함하는 참조를 특정 데이터(같은 사용자의 계정이나 기계 IPs). 이미 사용할 수 있는 관리자를 다른 관리자는 활동하지만,자신 없습니다.
당신은 일반적으로 배치하려는 경고에 로그 server/aggregator 을 트리거하면 로그에서나 기계에 들어오는 중지하거나 감소 아래의 특정 임계값,는 데 도움을 탐지하는 경우에는 로컬 관리 방지하고있는 로그에서 발송하는 로그는 서버/aggregator.
Syslog 서버,Siem,로그 수집,엘크 스택 등입니다. 에 대한 여러 옵션이 있습니다 당신을 기다리고 있습니다.
첫 번째 단계는 로그를 보내는 다른 서버에서는 후 첫 번째 서버가 손상(그리고 따라서 자신의 로그를 변경할 수)는 로그는 서버가 이러한 로그 항목이 있습니다. 이 서버가 할 수 있습니다(해야한다)보상합니다.
그럼에도 불구하고,someone 할 수 있어야합 관리하는 서버는 경우,그래서 서버 업데이트할 수 있습!
할 수 있는 방법 또한 로그를 보호에 해당 서버:
여러 개의 관리자를 위해 어떠(비소)조치(예를 들어. 명령 소개 필요에서 확인 N 관리자) 로그를 저장할 수 있습을 연결하는 이전에[Merkle 트리](https://en.wikipedia.org/wiki/Merkle_tree 다),그래서 그 제거 또는 수정의 것에 영향을 미칠 모든 나중에 들¹ *해시의 현재 로그를 보낼 수 있는 외부(에서 점점 시간을 각인 서버로 보내는 파트너 회사,또는 단순히 전송하면 트위터 feed²).
¹ 때 논쟁을 사용이 그것을 판매할 수 있습니다 더 나은 상태로는 이를 사용 blockchain technology.
²는 경우 또는 기록은 기밀로,당신은 심지어 일부를 밀어 서버 로그에 이벤트를 분명:"jdoe 로그인 로그는 서버가 실행rm-rf/
"
는 몇 가지 방법을 보호하는 로그에서 관리자:
-원격 기록하는 기계는's 에 의해 제어되지에서 관리자는 질문 -쓰기 로그를 기록용 매체(예:Bluray 기록)를 참고해야 할 수도 있습 전략을 방지하는 문 같은 미디어 분리 모든 관리자 로그는 전체 게시의 해시에 로그를 기록하는 공공 안전에 이를 감지 침하지 않지만,로그 파괴 -강제 기계에 대한 액세스를 통해는 결코 더 쉬웠 서버 관리자에 연결할 수만 관리를 통해서 기계는 결코 더 쉬웠는 서버에 기록합니다 모든 주요/마우스의 입력과 스크린/터미널 출력 중 하나를 사용하여(ssh 결코 더 쉬웠나 vnc/rdp 결코 더 쉬웠)
Filter라고 하면 오직 auditd 로그으로그램당 uid 있는 파일당 uid. 다음 SELinux 수 있는 적용을 구현할 정책,특히 중 하나를 방지하 관리자에 액세스하는 자신의 기록합니다. 이 제안한 솔루션이 여기 것을 피하여 필요한 독립적인 팀의 관리자에 액세스하는 로그에 로그는 서버가 있을 때에는 제한적 정책이 있습니다.
로 다른 사람에 의하여,로그될 것 중앙 집중식으로 이루어집니다. 또한,액세스하여 이러한 중앙 로그는 서버가 실행될 것 현지합니다.